Datenschutz und Umweltschutz - ein Dilemma?

Gedanken zur Problematik und zu Regulierungsansätzen am Beispiel von Rechenzentren

Anne-Sophie Morand / Liliane Obrecht *

Rechenzentren (auch Datenzentren, data centres) werden in Zukunft knapp vier Prozent des gesamten schweizerischen Stromverbrauchs ausmachen. Ihr hoher Strombedarf und ihre enorme Wärmeerzeugung lassen es sinnvoll erscheinen, Rechenzentren in Regionen mit umweltfreundlicher Stromerzeugung oder kühlen Aussentemperaturen zu platzieren. Die Realität zeigt, dass insbesondere die USA als attraktiver Standort für den Bau von Rechenzentren gilt. Wird mit Cloud-Lösungen ausländischer Anbieter gearbeitet, macht es aus datenschutzrechtlicher Sicht durchaus Sinn, trotzdem Rechenzentren in der Schweiz zu nutzen. Um den negativen Umwelteinfluss dabei zu reduzieren, sind insbesondere die Kantone gefragt, gesetzgeberisch tätig zu werden und ihre Energiegesetze um verpflichtende Bestimmungen zur Abwärmenutzung und Energieeffizienz zu ergänzen.

Les centres de données (ou data centers) représenteront à l'avenir près de quatre pour cent de la consommation totale d'électricité en Suisse. Au regard de leur besoin élevé en électricité et leur immense capacité de production de chaleur, il semble judicieux de les placer dans des régions où la production d'électricité est respectueuse de l'environnement ou dans des zones climatiquement froides. La pratique montre que les États-Unis sont particulièrement attrayants et appréciés pour la construction de tels centres. Si l'on travaille avec des solutions cloud de fournisseurs étrangers, il est préférable, du point de vue de la protection des données, de recourir malgré tout à des centres de données en Suisse. Afin de réduire l'impact négatif sur l'environnement, les cantons sont invités à légiférer et à compléter leurs lois sur l'énergie par des dispositions contraignantes sur l'utilisation des rejets thermiques et l'efficacité énergétique.

Zitiervorschlag: Anne-Sophie Morand / Liliane Obrecht, Datenschutz und Umweltschutz - ein Dilemma?, sui generis 2022, S. 207

URL: sui-generis.ch/221

DOI: https://doi.org/10.21257/sg.221

* Anne-Sophie Morand, Dr. iur., LL.M., Rechtsanwältin, arbeitet in der Anwaltskanzlei Walder Wyss AG und berät vorwiegend zu Fragen des Datenschutz-, Informations- und Technologierechts (anne-sophie.morand@walderwyss.com). Sie publiziert regelmässig in ihren Fachgebieten und ist auch als Dozentin und Moderatorin im Einsatz. In ihrer Freizeit ist sie politisch bei der GLP im Kanton Luzern aktiv. Liliane Obrecht, MLaw, Wissenschaftliche Mitarbeiterin und Doktorandin an der Juristischen Fakultät der Universität Basel (liliane.obrecht@unibas.ch). Sie forscht und doktoriert im Bereich der Digitalisierung und des Einsatzes neuer Technologien im Öffentlichen Recht. Im Beitrag wird die persönliche Ansicht der Autorinnen vertreten.



I. Einleitung

Der gesellschaftliche Wandel des 21. Jahrhunderts ist in fast allen Lebensbereichen stark von der Digitalisierung geprägt.[1] Die Covid-19-Pandemie hat ebenfalls gezeigt, wie wichtig funktionierende und effiziente digitale Infrastrukturen für Gesellschaft und Wirtschaft sind.[2] Gleichzeitig hat die Pandemie aber auch auf umweltschädliches Verhalten aufmerksam gemacht.[3] Denn im Kampf gegen den Klimawandel sind neue Technologien ein zweischneidiges Schwert: Einerseits können sie zur ökologischen Optimierung von Prozessen, Produkten und Märkten beitragen und den Klimawandel damit bekämpfen.[4] Andererseits besteht ein erhebliches Risiko, dass der Nachhaltigkeitsaspekt bei der Nutzung von Informations- und Kommunikationstechnologien (IKT)[5] und anderen Technologien[6] nicht berücksichtigt wird. Die Entwicklung und Nutzung von IKT im Besonderen erfordert bereits heute eine grosse Menge an Energie und Rohstoffen.[7] Insbesondere Rechenzentren (auch Datenzentren, data centres), die den IKT als Infrastruktur dienen, gelten als die weltweit am schnellsten wachsenden Energieverbraucher.[8] Gleichzeitig steigt die Nachfrage an Rechen- und Speicherkapazität kontinuierlich[9] - was nicht zuletzt eine Zunahme des Bedarfs an deren Infrastruktur bedeutet.[10] Dies ist aus rechtlicher Sicht insbesondere auch mit Blick auf das Pariser Klimaabkommen problematisch, das die Schweiz im Oktober 2017 ratifiziert hat.[11] Dass Rechenzentren jedoch auch grosses Energieeffizienzpotenzial haben, zeigte eine Studie im Jahr 2021.[12] Daraufhin wurde sich auch die Politik der Brisanz der Thematik bewusster, weshalb auf politischer Ebene im vergangenen Jahr erstmals verschiedene diesbezügliche Vorstösse eingereicht wurden.[13]

In der vorliegenden Publikation beleuchten die Autorinnen anhand des Beispiels von Rechenzentren das Dilemma zwischen dem Daten- und Klimaschutz in der Schweiz und versuchen diesem anhand verschiedener Regelungsvorschläge - ohne Anspruch auf Vollständigkeit - zu begegnen.[14]

II. Grundlagen zu den Rechenzentren

1. Was ist ein Rechenzentrum?

Geschäftsaktivitäten innerhalb eines Unternehmens oder einer Behörde generieren Unmengen an Daten, die gespeichert werden müssen und folglich grossen Speicherplatz benötigen (z. B. Online-Transaktionen, Kommunikationsdienste).[15] Rechenzentren sind physisch zugängliche Gebäude oder sonstige Räumlichkeiten, in denen grosse Datenverarbeitungsanlagen umfangreiche Berechnungen vornehmen.[16] Sie kamen bereits in den 1950er-Jahren auf,[17] werden heutzutage jedoch fünf bis zehn Mal grösser geplant.[18] Vermehrt sind sie über öffentliche oder private Clouds, ein auf mehrere Rechner verteiltes Netzwerk, das überwiegend als dezentraler Speicherplatz dient, vernetzt.[19] Software, Speicherkapazitäten oder Rechenleistung werden beim Cloud Computing bedarfsabhängig im Internet oder im Rahmen eines Virtual Private Networks (VPN) gemietet - der Datenspeicherort, also z. B. ein Rechenzentrum, wird nicht mehr durch das einzelne Unternehmen oder die einzelne Behörde betrieben, sondern vom jeweiligen Cloud-Anbieter.[20] Die geringen IT-Infrastruktur-Kosten, die hohe Rechenleistung, der dynamische Speicherplatz und die einfache Verfügbarkeit begründen die rasante Entwicklung und Verbreitung von Cloud Computing und seiner Etablierung als die am schnellsten wachsende und umwälzendste Technologie in der Geschichte der Datenverarbeitung(Cloud-first-Strategie).[21]

Ein Rechenzentrum kann unterschiedliche Aufgaben haben - massgeblich hängt dies vom Standort, der Besitzerin und dem Einsatzgebiet ab.[22] Um Cyberangriffe abwehren und Serverausfälle verhindern zu können, bedürfen die Server ständiger Überwachung und Wartung.[23] Anstatt eigene Rechenzentren zu betreiben, können sich Unternehmen an Rechenzentren anschliessen, die rund um die Uhr überwacht sind und dadurch Zeit und Kosten sparen.[24]

2. Rechenzentren als grosse Energieverbraucher

Aus umwelttechnischer Sicht steht der hohe Stromverbrauch eines Rechenzentrums im Fokus. Zunehmende Datentransfers und Datenverarbeitungen bedeuten letztlich mehr Energieverbrauch. In der Schweiz bspw. waren Serverräume und Rechenzentren im Jahr 2019 für rund 3,6 Prozent des Stromverbrauchs des Landes verantwortlich,[25] was dem Stromverbrauch von 450'000 Schweizer Haushalten entspricht.[26] Mit anderen Worten verbrauchen Rechenzentren in der Schweiz pro Jahr doppelt so viel Strom wie die ganze Stadt Bern.[27] Die Kommission der Europäischen Union (EU) schätzte im Jahr 2018, dass der damals aktuelle Energieverbrauch von Rechenzentren in der EU 77 Terrawattstunden (2,7 Prozent des Gesamtstromverbrauchs in der EU) betrug.[28] Studien zufolge wird in der EU und in der Schweiz in den nächsten fünf Jahren mit einer starken Zunahme des Stromverbrauchs von Rechenzentren gerechnet.[29] Dies führt zur Erkenntnis, die Digitalisierung habe negative Auswirkungen auf die Nachhaltigkeit und die Bekämpfung der Klimakrise.[30] Dabei wird (vereinfacht) zwischen direkten und indirekten Umweltauswirkungen unterschieden.[31] IKT-Hardware (z. B. Laptops, Smartphones) und IKT-Infrastrukturen (z. B. Rechenzentren, Kommunikationsnetze) verbrauchen über ihren gesamten Lebenszyklus hinweg Ressourcen und verursachen Emissionen - von der Herstellung bzw. dem Bau, über den Betrieb bis zur Entsorgung.[32] Dieser Energie- und Ressourcenverbrauch hat direkte Umweltauswirkungen, da er durch die Gewinnung von Rohstoffen für die Produktion, die Energiebereitstellung in allen Phasen der Nutzung und die Prozesse nach der Entsorgung entsteht.[33] Indirekte Umweltauswirkungen sind hingegen Veränderungen in den Verbrauchs- und Produktionsmustern, die sich aus dem Einsatz von IKT ergeben sowie alle weiteren Umweltauswirkungen dieser Veränderungen (z. B. mobiles Arbeiten).[34] Im Gegensatz zu direkten Auswirkungen können diese Veränderungen in beide Richtungen wirken - sie können die Emissionen erhöhen, aber auch verringern.[35]

Vorrangig verantwortlich für den gesteigerten Datenverkehr sowie den erhöhten Bedarf an Rechen- und Speicherkapazität ist die enorme Entwicklung und Nachfrage - neben der allgemeinen Digitalisierung - in folgenden vier Bereichen: Online-Streaming-Dienste, 5G-Technologien und Innovationen des Internet of Things, Cloud-Infrastrukturen sowie Blockchain-Technologien (insbesondere Kryptowährungen wie Bitcoin).[36] Dies führt dazu, dass heutzutage immer mehr IKT-Infrastrukturen gebaut werden.[37] Da Rechenzentren ständig in Betrieb sind, erzeugen sie durch ihren Stromverbrauch grosse Kohlenstoffemissionen,[38] denn die Stromgewinnung basiert in vielen Ländern - nicht jedoch in der Schweiz - auf fossilen Brennstoffen.[39] Zudem sind die Anlagen mit einer Notfallstromversorgung ausgestattet und Ausfallsicherheit ist entscheidend, um die Datensicherheit und den kontinuierlichen Betrieb zu gewährleisten.[40] Das Überhitzen der Server wird durch ständige Kühlung des Rechenzentrums verhindert, welche die stärkste treibende Kraft des Energieverbrauchs ist.[41] Das Google-Rechenzentrum bspw. verbraucht zur Beantwortung einer einzigen Suchfrage so viel Strom wie eine Bartrasur.[42]

Rechenzentren sind weltweit mit am stärksten für den Anstieg von Kohlenstoffemissionen verantwortlich.[43] Deshalb erstaunt es nicht, dass sich «grüne» Lösungen - z. B. die Eigenversorgung durch erneuerbare Energieträger - für den Bau und den Betrieb von Rechenzentren etablieren.[44] Dies ist nicht zuletzt auf die Anforderungen des Pariser Klimaübereinkommens zurückzuführen.[45] Studien in der Schweiz zum Klimaschutzpotenzial der Digitalisierung sind sogar zum Ergebnis gekommen, dass durch ambitionierte Massnahmen umweltschonende Effekte der IKT-Technologien den direkten Kohlenstoff-Fussabdruck der IKT-Branche künftig überwiegen könnten (indirekte, positive Umweltauswirkungen).[46]

3. Standorte von Rechenzentren

Um die Stromversorgung eines Rechenzentrums zu gewährleisten und dadurch Datenverlusten und Sachschäden vorzubeugen, ist die Wahl eines (geographisch) sicheren Standorts unabdingbar - Orte besonderer Gefährdung, vor allem durch Naturgewalten (z. B. Überschwemmungen oder Erdbeben), gefährden seine Kontinuität.[47] Zudem bedarf ein Rechenzentrum ständiger Kühlung, um einer Serverüberhitzung zuvorzukommen, womit aus ökologischer Sicht kühl gelegene Standorte für den Bau von neuen Rechenzentren grundsätzlich besser geeignet sind.[48]

Heutzutage stehen 40 Prozent der Hyperscale-Rechenzentren[49] in den USA, welche die Hälfte der weltweiten Kapazität bereitstellen. Die Plätze zwei und drei belegen China und Irland, gefolgt von Indien und Spanien.[50] Doch auch in der Schweiz hat sich die Anzahl an Rechenzentren in den letzten Jahren erhöht. Deren Fläche ist kontinuierlich um ca. zehn bis fünfzehn Prozent pro Jahr angewachsen.[51] Insgesamt existieren in der Schweiz nach aktuellem Stand 85 Rechenzentren.[52] Gemessen an der Bevölkerungszahl entspricht dies der zweithöchsten Dichte an Rechenzentren in ganz Europa.[53] Derweilen nimmt insbesondere der Kanton Zürich eine Vorreiterrolle in diesem Bereich ein.[54] Die Schweiz ist für Rechenzentren ein beliebter Standort, weil hohe Standards im Bereich Datenschutz bestehen und das Land politische und wirtschaftliche Stabilität bieten kann. Hinzu kommt, dass die Betreiberinnen hierzulande von einer exzellenten Serverinfrastruktur, schnellen Internetverbindungen, einer stabilen Stromversorgung sowie gut ausgebildeten ICT-Fachkräften profitieren können.[55] Deshalb wird die Anzahl Rechenzentren in der Schweiz voraussichtlich weiter zunehmen. Verschiedene Bauprojekte, etwa in Glattbrugg, Winterthur und Dielsdorf, sind bereits in vollem Gange.[56] Auch der steile Aufwärtstrend beim Datenverbrauch generell hat das Wachstum stark vorangetrieben.[57]

Auf dem Schweizer Rechenzentrumsmarkt führend sind zurzeit Hyperscaler-Rechenzentren, die von Schweizer und ausländischen Betreiberinnen errichtet und von grossen internationalen Cloud-Anbietern wie Google, Amazon und Microsoft genutzt werden.[58] Sie verfügen über enorme Ressourcen, weshalb sie gerade Cloud-Dienste kosteneffizient anbieten und eine hohe Redundanz und Ausfallsicherheit anbieten können.[59] Dies sind u. a. Gründe, weshalb im Übrigen auch öffentliche Verwaltungen in der Schweiz - wie bspw. diejenige des Kantons Zürich - bereit sind, externe Cloud-Services von ausländischen Anbietern zu nutzen.[60] Dabei befinden sich die Rechenzentren der US-Anbieter jedoch nicht unbedingt in der Schweiz, sondern häufig in den USA selbst.[61] Europa scheint aus verschiedenen Gründen weniger attraktiv zu sein; neben einem allgemeinen Platzmangel sind dies auch die vergleichsweise hohen Stromkosten.[62]

4. Zwischenfazit

Mit Blick auf den hohen Strombedarf und die enorme Wärmeerzeugung von Rechenzentren macht es Sinn, diese an Standorten mit niedrigen Stromkosten und bestenfalls kühlen Aussentemperaturen zu platzieren.[63] Die Realität zeigt, dass Länder wie die USA noch immer als attraktive Standorte für die Wahl von Rechenzentren empfunden werden.[64] Dies wirft jedoch die Frage auf, ob ausländische Cloud-Lösungen, z. B. US-amerikanische, ohne weiteres im Einklang mit dem Schweizer Datenschutzrecht zum Einsatz gelangen können. Dieser Frage wird im Folgenden nachgegangen.

III. Datentransfers in ausländische Rechenzentren

1. Cloud Computing

Der Transfer von Daten in ausländische Rechenzentren - insbesondere durch Cloud Computing - ist kein neuer Trend, auch wenn die Anzahl Unternehmen, die inländische Cloud-Lösungen nutzen und bspw. ihre gesamte IT in die Cloud auslagern, stetig zunimmt. Gleichzeitig wird der Einsatz von Cloud-Technologien mit Blick auf das Datenschutzrecht immer wieder intensiv diskutiert.[65] Je nach erbrachter Leistung kann im Cloud Computing als Outsourcing von Datenbearbeitungen zwischen Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Business Process as a Service (BPaaS) unterschieden werden.[66] Mit Blick auf die Frage, ob die Cloud-Dienstleistungen für eine Vielzahl voneinander unabhängiger Nutzender oder für die ausschliessliche Nutzung durch eine einzige Organisation bereitgestellt werden, ist sodann zwischenPublic Cloud, Private Cloud und Hybrid Cloud zu unterscheiden.[67] Arbeitet ein Unternehmen mit einem Cloud-Service-Anbieter zusammen, stellt sich die Frage, ob Daten überhaupt auf Servern auss63erhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) gespeichert werden dürfen.[68] In diesem Zusammenhang wird dann ebenfalls diskutiert, ob die Situation anders aussähe, wenn die Datenspeicherung in der Schweiz bzw. im EWR erfolgte, auch wenn eine Cloud-Lösung eines ausländischen Anbieters - bspw. einer Tochtergesellschaft eines US-Unternehmens - gewählt wird.[69]

2. Bekanntgabe von Personendaten ins Ausland

a) Voraussetzungen für die Datenbekanntgabe ins Ausland

Gemäss dem neuen Schweizer Datenschutzgesetz (nDSG[70]) ist unter dem Begriff «Bekanntgeben» das Übermitteln oder Zugänglichmachen von Personendaten zu verstehen.[71] Personendaten werden rechtlich gesehen dann ins Ausland bekanntgegeben, wenn diese in ein Land ausserhalb der Schweiz transferiert und i.d.R. auf Servern im Ausland gespeichert werden.[72] Jedoch liegt auch dann ein Transfer von Personendaten ins Ausland vor, wenn diese Daten auf einem Server in der Schweiz liegen, der Hauptsitz des Anbieters im Ausland liegt und die Daten per Remote Access zur Verfügung gestellt werden können (sog. Fernzugriff).[73]

Gibt ein verantwortliches Unternehmen Daten ins Ausland bekannt, müssen gemäss nDSG die Voraussetzungen für die Datenbekanntgabe ins Ausland erfüllt werden.[74] Hiernach dürfen Personendaten u. a. dann ins Ausland bekanntgegeben werden, wenn der Bundesrat (unter dem geltenden Recht der Eidgenössische Datenschutzbeauftragte, EDÖB) autoritativ über die Angemessenheit des Datenschutzniveaus eines betroffenen Drittstaats entschieden hat.[75] Ein entsprechendes Datenschutzniveau bieten in jedem Fall die Länder des EWR, in denen die Europäische Datenschutzgrundverordnung (DSGVO[76]) gilt und damit die Vorgaben der revidierten Datenschutzkonvention 108 des Europarates umgesetzt werden.[77] Kein angemessenes Datenschutzniveau weisen bspw. die USA auf. Das Privacy Shield Framework, das selbstzertifizierten Unternehmen wie Google, Microsoft oder Amazon zwischen 2016 bis 2020 ein angemessenes Datenschutzniveau zusicherte, wurde im Juli 2020 vom Europäischen Gerichtshof für unwirksam erklärt (Entscheid «Schrems II»[78]).[79]

Bietet die Gesetzgebung im Drittstaat keinen angemessenen Schutz, kann der Datenschutz auf anderem Wege gewährleistet werden.[80] In der Praxis geschieht dies i.d.R. durch den Abschluss von Standardvertragsklauseln (SCC) der Europäischen Kommission, die im August 2021 vom EDÖB anerkannt wurden und damit - leicht angepasst - auch für Schweizer Verhältnisse verwendet werden können.[81] SCC dürfen dann eingesetzt werden, wenn der Verantwortliche im Einzelfall überprüft, ob die SCC ein gleichwertiges Datenschutzniveau herzustellen vermögen, mithin das Risiko überprüft, ob lokale Behörden im Empfängerstaat gestützt auf die lokale Gesetzgebung auf die übermittelten Personendaten zugreifen. Dies tut der Verantwortliche u. a. anhand eines Transfer Impact Assessment (TIA). Falls festgestellt wird, dass das Datenschutzniveau durch Abschluss der SCC allein noch nicht gleichwertig ist, so müssen zusätzliche Schutzmassnahmen implementiert werden. Bei der Bekanntgabe von Personendaten ins Ausland wird in der Praxis somit einem risikobasierten Ansatz gefolgt.[82] Das nDSG verlangt einen "geeigneten" Schutz, nicht aber einen Ausschluss jedes theoretischen Risikos.[83] Im Kern ist somit zu prüfen, ob das im Zielstaat anwendbare Recht (in der Praxis ist oftmals US-Recht einschlägig) im konkreten Einzelfall die Effektivität der SCC zur Herstellung eines angemessenen Datenschutzniveaus beeinträchtigt.[84] Die Antwort bzw. das TIA besteht dabei aus einer rechtlichen und tatsächlichen Komponente: Erstens ist zu klären, ob das US-Recht im konkreten Fall den Behörden einen Zugriff erlaubt und zweitens ist zu fragen, ob die Behörden dieses (allenfalls) bestehende Recht im konkreten Fall faktisch überhaupt nutzen und auf Daten zugreifen würden. In der Praxis werden diese beiden Komponenten oft nicht differenziert.[85]

b) Geringere Zugriffsmöglichkeiten durch US-Behörden bei Standortwahl Schweiz

Der Schutz von Personendaten in der Cloud ist vor einem Zugriff durch (US- oder andere ausländische) Behörden besser gewährleistet, wenn die Schweizer Kundschaft den Cloud-Vertrag mit einer Tochtergesellschaft in der Schweiz bzw. im EWR abschliesst und die Daten auf Servern in der Schweiz liegen, selbst wenn die Tochtergesellschaft wiederum die Dienste der US-Muttergesellschaft in Anspruch nimmt.[86] Wenn bspw. eine US-Behörde gestützt auf den US CLOUD Act[87] mit seiner extraterritorialen Wirkung ein Auskunftsgesuch an eine Europäische Tochtergesellschaft eines US-Anbieters richten möchte und hierfür auch die notwendigen Voraussetzungen erfüllt sind, bedeutet dies noch nicht, dass ein solches Gesuch praktisch durchsetzbar ist. Kollidiert das Gesuch der US-Behörde mit dem für die Tochtergesellschaft geltenden Schweizer Recht,[88] ist es wahrscheinlich, dass das Gesuch von der Tochtergesellschaft ignoriert wird. Im Gegensatz zum US CLOUD Act gilt die ebenfalls viel diskutierte Section 702 FISA[89] gemäss h.L. nur für Datenerhebungen auf US-amerikanischem Hoheitsgebiet.[90] Liegen Daten also auf Servern in der Schweiz, wäre ein Zugriff auf Daten gestützt auf Section 702 FISA gar nicht erst möglich.

c) Risikobasierter Ansatz

Das Risiko eines Zugriffs auf Personendaten durch US-Behörden ist erfahrungsgemäss sehr gering, kann aber nicht gänzlich ausgeschlossen werden. Es wäre also theoretisch möglich, dass es beim Einsatz von Cloud-Lösungen eines ausländischen Hyperscalers zu einem Zugriff (aus den USA) kommt, selbst wenn die Daten auf einem Server in der Schweiz liegen und die Tochtergesellschaft des Hyperscalers ihren europäischen Sitz in der Schweiz bzw. im EWR hat (z. B. um mit Hilfe der Muttergesellschaft ein technisches Problem zu lösen).[91] Deshalb betrachten vereinzelte Behörden die Bekanntgabe von Personendaten in unsichere Drittstaaten als kritisch.[92] Vorgebracht wird von kritischen Stimmen folglich, dass nur schon die reine Existenz einer unzureichenden rechtlichen Bestimmung im Empfängerstaat, die potenziell Zugriffe auf Daten zulassen könnte, für ein Bekanntgabeverbot sprechen müsste.[93] Einige EU-Datenschutzbehörden verfolgen diesen absoluten Ansatz (auch «Null-Risiko-Ansatz») und sind der Meinung, dass selbst ein theoretisches Risiko eines solchen Lawful Access ein Verbot von Datentransfers in ausländische Clouds mit US-Konnex zur Folge haben müsse. Bspw. hat die österreichische Datenschutzbehörde (DSB) im Mai 2022 festgestellt, dass ein von Google verfolgter, risikobasierter Ansatz bei der Übermittlung von Personendaten in Drittländer unzulässig sei.[94] Würde hierzulande dem absoluten Ansatz gefolgt, könnten Daten nur noch auf Rechenzentren ausgelagert werden, die im Inland bzw. im EWR stehen und von Schweizer oder EU-Anbietern betrieben werden. Es ist fraglich, ob die Schweiz einem solchen Ansatz in Zukunft folgen würde, denn der risikobasierte Ansatz ist ein Grundsatz des Datenschutzrechts, der in der Botschaft zum nDSG als «erste Leitlinie» der Revision bezeichnet wird.[95] Auch ein kürzlich erschienener Bericht der Bundeskanzlei hält fest, dass den einschlägigen Bestimmungen des schweizerischen Datenschutzrechts nicht zu entnehmen ist, dass (für Behörden) ein risikobasierter Ansatz bei der Auftragsdatenbearbeitung oder bei der Auslandbekanntgabe unzulässig wäre.[96]

3. Zwischenfazit

Nach dem Gesagten ist es sinnvoll, Daten auf Servern in der Schweiz zu speichern und zu bearbeiten. Auch wenn mit US-Cloud-Anbietern zusammengearbeitet wird, die potenziell Zugriff auf Personendaten haben können, wäre dieser bei der Standortwahl Schweiz immerhin erschwert.[97] Weil davon ausgegangen wird, dass der Bau von Rechenzentren in der Schweiz zunehmen wird, stellt sich somit die Frage, wie mit den so entstehenden Umwelteinflüssen umzugehen ist, um dem Widerspruch «Datenschutz und Umweltschutz» zu begegnen. Im Folgenden wird daher aufgezeigt, wie der grüne Fussabdruck von energieintensiven Rechenzentren in der Schweiz beeinflusst werden könnte, indem rechtliche Impulse für nachhaltige Lösungen diskutiert werden.[98]

IV. Regulierungsansätze

1. Regulierung de lege lata

a) Energieeffizienz und erneuerbare Energien

Art. 89 Abs. 2 Bundesverfassung (BV)[99] sieht eine Grundsatzgesetzgebungskompetenz des Bundes im Bereich erneuerbarer Energien und Energieverbrauch vor. Die bundesrechtlichen Regeln beschränken sich somit auf allgemeine Prinzipien. Die Regelung konkreter Sachbelange sowie insbesondere der Vollzug obliegen den Kantonen.[100] Art. 89 Abs. 3 BV enthält einerseits eine Gesetzgebungs- und andererseits eine Förderungskompetenz des Bundes zum Erlass von Vorschriften über den Energieverbrauch von Anlagen, Fahrzeugen und Geräten, insbesondere in den Bereichen des Energiesparens und der erneuerbaren Energien. Es handelt sich um eine umfassende Bundeskompetenz, welcher der Bund insbesondere durch den Erlass des Energiegesetzes (EnG)[101] und des Stromversorgungsgesetzes (StromVG)[102] nachgekommen ist.[103] Gemäss der Bundesgesetzgebung ist grundsätzlich jede Energie möglichst sparsam und effizient zu verwenden sowie zu einem wesentlichen Anteil aus kosteneffizienten erneuerbaren Energien zu decken.[104] Mindestanforderungen an die Effizienz beim Inverkehrbringen von Servern, Datenspeichern und Leistungstransformatoren stellen im Wesentlichen auf die EU-Gesetzgebung im besagten Bereich ab.[105] Angesichts der umfassenden Regelungen scheint der Spielraum für kantonale Rechtsetzungsvorhaben beschränkt.[106] Allerdings können Abgrenzungsschwierigkeiten entstehen, wenn Anlagen betroffen sind, die hauptsächlich in Gebäuden eingesetzt werden, da gemäss Art. 89 Abs. 4 BV v. a. die Kantone für Massnahmen, die den Verbrauch von Energie in Gebäuden betreffen, zuständig sind.[107] Die im vorliegenden Aufsatz adressierten Datenverarbeitungsanlagen werden (ausschliesslich) in Gebäuden betrieben,[108] weshalb die Kantone für deren Energieeffizienz zuständig sein werden.[109] Dieses Argument wird dadurch verstärkt, dass die kantonalen Energiegesetze i.d.R. spezifische Bestimmungen für Grossverbraucheranlagen vorsehen.[110] Bspw. können sie verpflichtet werden, ihren Energieverbrauch zu analysieren und diese Informationen den Gemeinden zu deren Energieplanung offenzulegen und periodisch Energiebetriebsoptimierungen vorzunehmen oder sie können Vereinbarungen mit den zuständigen kantonalen Behörden zur Einhaltung des Energieverbrauchs schliessen.[111] Die rechtlichen Grundlagen lassen dabei einen relativ grossen Spielraum der zuständigen kantonalen Behörde zu.

b) Abwärmenutzung

Abwärme ist Wärme, die von Lebewesen oder technischen Geräten erzeugt und an die Umgebung abgegeben wird.[112] Fällt bei einem Prozess Abwärme an, kann danach unterschieden werden, ob diese dem gleichen Prozess wieder zugeführt wird (Wärmerückgewinnung) oder ob sie für einen anderen Prozess wiederverwendet wird (Abwärmenutzung).[113] Insbesondere grosse Industrieunternehmen setzen bereits heute auf die Weitergabe von Abwärme und auch für Rechenzentren wird ihr Potenzial betont.[114] Art. 50 lit. c EnG sieht vor, dass der Bund im Bereich der Energie- und Abwärmenutzung Massnahmen zur «Nutzung der Abwärme, insbesondere von […] Dienstleistungs- und Industrieanlagen sowie zur Verteilung der Abwärme in Nah- und Fernwärmenetzen» unterstützt. Die entsprechenden vorgesehenen Finanzierungsmöglichkeiten stehen auch den Betreiberinnen von Rechenzentren - die als Dienstleistungsanlagen aufzufassen sind - offen.[115] Die kantonalen Energiegesetze erwähnen das Thema Abwärme jeweils an mehreren Stellen.[116] Grundsätzlich ist die Abwärme zu nutzen, soweit möglich und ökologisch sinnvoll.[117] Sodann existieren Bestimmungen, bei denen Betreiberinnen von Infrastrukturanlagen, deren Bauten im Finanz- und Verwaltungsvermögen des Kantons liegen, zur Abwärmenutzung verpflichtet werden können (Vorbildfunktion der öffentlichen Hand).[118] Eine generelle Verpflichtung zur Abwärmenutzung existiert jedoch nicht. Hervorzuheben ist eine Regelung «light» im Kanton Luzern. Diese sieht vor, dass beim Bau oder bei der Erneuerung von Anlagen in Dienstleistungsbetrieben - d. h. auch Rechenzentren[119] - Einrichtungen zur Rückgewinnung der Abwärme zu installieren sind, jedoch nur, soweit technisch und betrieblich möglich sowie wirtschaftlich tragbar.[120] Die im Betrieb nicht benötigte Abwärme soll sodann (nach Möglichkeit) an Dritte abgegeben werden.[121]

2. Regulierung de lege ferenda

a) Energieeffizienz und erneuerbare Energien

Laut einem Greenpeace-Bericht von 2017 beziehen viele grössere Rechenzentren (weltweit) nur einen kleinen Teil ihrer Energie aus erneuerbaren Quellen.[122] Rechenzentren in der Schweiz hingegen setzen bereits heute zu einem grossen Teil auf erneuerbare Energien.[123] Kohlenstoff-Kompensationen und der reine Bezug erneuerbarer Energien können für Rechenzentren künftig jedoch voraussichtlich nicht ausreichen, um die Umweltanforderungen zu erfüllen. Im Zentrum wird wohl generell die Verbesserung der Energieeffizienz stehen.[124] Deshalb werden bereits verfügbare Effizienztechnologien in den Bereichen Kühlung, Stromversorgung und Betrieb von IT-Hardware eingesetzt.[125] Weiter könnten die öffentliche Verwaltung sowie Unternehmen bei der Auswahl und Beschaffung von Public-Cloud-Diensten verpflichtet werden, stärker auf die Nachhaltigkeit der Cloud-Anbieter zu achten und das Kriterium der Nutzung erneuerbarer Energien besonders vorteilhaft zu gewichten.[126] Dies setzte allerdings voraus, dass die Betreiberinnen von Rechenzentren verpflichtet würden, Informationen über ihren Energieverbrauch und ihre Energieeffizienz zu veröffentlichen.[127] Dazu müsste wohl eine einheitliche, standardisierte, transparente Nachhaltigkeitsbewertung verpflichtend werden. Diese Bewertung müsste sodann auch unabhängig, z. B. durch eine zuständige Behörde oder eine spezifische Kommission, überprüfbar sein. Um den Energieverbrauch einzuordnen, könnte ein Energieeffizienzlabel sodann Unterstützung bieten.[128] Da insbesondere die Kantone für Massnahmen, die den Verbrauch von Energie in Gebäuden betreffen, zuständig sind,[129] könnten die wesentlichen Anforderungen sodann in den kantonalen Energiegesetzen verankert werden. Neben gesetzlichen Vorschriften spielt auch die Selbstregulierung der Unternehmen eine entscheidende Rolle, Energiesparmassnahmen umzusetzen.[130]

b) Abwärmenutzung

Da Rechenzentren sehr viel Wärme erzeugen, wird verschiedentlich die Möglichkeit diskutiert, diese weiterzuverwenden,[131] um Büro- und Wohngebäude zu beheizen oder Warmwasser zu erzeugen. Dies wäre besonders sinnvoll, da Rechenzentren häufig in Stadtnähe oder sogar in einer Stadt selbst gebaut werden, wodurch Energieverluste durch kurze Transportwege vermieden werden.[132] Allerdings reicht die Abwärme von Rechenzentren (bislang) nicht vollständig für Heizungssysteme aus.[133] Konkret könnte die Abwärme von Rechenzentren jedoch durch deren Einspeisung in Nah- und Fernwärmenetze genutzt werden.[134] Generell wäre es sinnvoll, die Abwärme zur Beheizung von Einrichtungen zu nutzen, die das ganze Jahr über hohe Temperaturen benötigen.[135] Mit Blick auf das anzunehmende starke Wachstum von Rechenzentren in der Schweiz scheint es geboten, die Nutzung der von Rechenzentren erzeugten Abwärme künftig auf kantonaler Ebene rechtlich verbindlich einzuführen und nicht nur mit finanzieller Unterstützung, wie dies die im Rahmen dieses Beitrags untersuchten rechtlichen Grundlagen[136] vorsehen, zu fördern. Die Möglichkeit, Abwärme zu nutzen, hängt von verschiedenen - u. a. lokalen - Gegebenheiten ab, womit zu klären wäre, welche Voraussetzungen im jeweiligen Kanton vorhanden sein müssten, um eine Verpflichtung einzuführen. Neben der Weiterentwicklung und Ergänzung von rechtlichen Grundlagen steht sodann die Förderung von Information und Aufklärung der Betreiberinnen von Rechenzentren im Fokus. Diese müssen mehr und besser über die bestehenden Möglichkeiten zur Nutzung von Abwärme informiert werden.[137] Gleichzeitig muss die Forschung in diesem Bereich gefördert werden, um technische Systeme zu entwickeln und Innovationen zu fördern, um die Kühlungs- bzw. Stromkosten so gering wie möglich zu halten und die Abwärmenutzung zu verbessern.

V. Fazit und Ausblick

Aus datenschutzrechtlicher Sicht macht es Sinn, dass künftig entweder Rechenzentren von Schweizer Anbietern ohne Auslandbezug genutzt werden oder - falls mit Cloud-Lösungen ausländischer Anbieter gearbeitet wird - die Daten zumindest auf Servern in der Schweiz gespeichert werden, um einen möglichen Zugriff ausländischer Behörden immerhin zu erschweren. Die Einführung kantonaler Bestimmungen, die Rechenzentren zur Umsetzung umweltschonender Massnahmen zu verpflichten, scheint insbesondere mit Blick auf den wachsenden Energiebedarf der Gesellschaft und somit den Ausbau der IKT-Infrastruktur geboten. Im Endeffekt tut die Schweiz gut daran, beim umweltfreundlich ausgestalteten Einsatz von Rechenzentren eine internationale Vorreiterrolle einzunehmen, um den Innovationsstandort Schweiz unter Wahrung der Umweltschutzziele für Rechenzentren weiter zu etablieren. In Bezug auf die allgemein rasant fortschreitende Digitalisierung ist es besonders wichtig, deren Auswirkungen auf die Umwelt rechtlich zu erfassen - nicht zuletzt, um Dilemmata wie «Umweltschutz vs. Datenschutz» zu begegnen.



[1] Siehe dazu etwa Matthias Schule / Ralf Stockmann, Open Science und Networked Science - Offenheit und Vernetzung als Leitmotive und Visionen einer digitalen Wissenschaft im 21. Jahrhundert, in: Neuroth/Lossau/Rapp (Hrsg.), Evolution der Informationsinfrastruktur, Glückstadt 2013, S. 31 ff.; Michael Latzer, The Digital Trinity - Controllable Human Evolution - Implicit Everyday Religion, KZfSS 2022, S. 331 ff.

[2] Siehe dazu etwa Anna Kindsmüller, Die Pandemie verschiebt die Dringlichkeiten in der Infrastrukturpolitik, Diskussionsbeiträge des Centrums für Interdisziplinäre Wirtschaftsforschung WWU Münster 2/2021; Ole Wintermann, Perspektivische Auswirkungen der Corona-Pandemie auf die Wirtschaft und die Art des Arbeitens, ZBW 2020, S. 657 ff.; Jana Z'Rotz / Leila Gisin / Chantal Magnin, Homeoffice in öffentlichen Verwaltungen: Auswirkungen der Covid-19-Pandemie auf die Arbeitskultur in Gemeinden und Kantonen, Studie der Hochschule Luzern - Wirtschaft, Institut für Betriebs- und Regionalökonomie IBR, 22. März 2021.

[3] Dirk Messner / Carsten Nesshöver, Umwelt- und Nachhaltigkeitspolitik unter Corona, Ökologisches Wirtschaften 2021, S. 10 ff.; Konrad Ott, Nachhaltigkeitspolitik in und nach der Pandemie, SuN 2020, Sonderband II, S. 132 ff.; Florian Koch / Kerstin Krellenberg, Die Agenda 2030 und die Sustainable Development Goals, Wiesbaden 2021, S. 16 f. und 43 ff.

[4] Das trifft z. B. für Technologien wie Künstliche Intelligenz (KI) zu, Lucas Spreiter et al., Wie Künstliche Intelligenz Klimaschutz und Nachhaltigkeit fördern kann, Positionspapier des KI Bundesverbands vom Februar 2021, S. 2.

[5] Der Begriff Informations- und Kommunikationstechnologien umfasst alle Komponenten im Zusammenhang mit Computer- und anderen Digitaltechnologien, die für die Handhabung von Informationen und zur Unterstützung der Kommunikation eingesetzt werden (z. B. Radio, Smartphones, Hardware und Software für Computer und Netzwerke, Satellitensysteme sowie für die verschiedenen Dienstleistungen und Anwendungen, die damit verbunden sind. Siehe dazu be-digital, Glossar ICT/IKT).

[6] Auch wenn KI Klimaschutz und Nachhaltigkeit fördern kann (Fn. 4), bringt auch deren Einsatz einen grossen Energiebedarf mit sich. Vgl. dazu Ariane Rüdiger / Ulrike Ostler, Klimapakt der europäischen Datacenter-Betreiber, datacenter insider vom 1. Februar 2021; Susanne Boll et al., Mit Künstlicher Intelligenz zu nachhaltigen Geschäftsmodellen, Whitepaper Lernende Systeme - Die Plattform für Künstliche Intelligenz, 2022, S. 45 f.

[7] In verschiedenen Studien wird geschätzt, dass bereits heute bis zu vier Prozent der weltweiten CO2-Emissionen durch die Nutzung von IKT verursacht werden, z. B. Charlotte Freitag et al., The real climate and transformative impact of ICT: A critique of estimates, trends, and regulations, Patterns 2021, S. 1.

[8] Rz. 4 ff.

[9] Rz. 4 ff.

[10] Martin Jakob / Jonas Müller / Adrian Altenburger, Rechenzentren in der Schweiz - Stromverbrauch und Effizienzpotenzial, Studie im Auftrag von EnergieSchweiz, April 2021.

[11] Vertieft Bundesamt für Umwelt BAFU, Das Übereinkommen von Paris.

[12] Jakob/Müller/Altenburger (Fn. 10), S. 5.

[13] Interpellation NR Martina Munz vom 4. Mai 2021 (21.3534); Postulat Kommission WBK vom 27. Mai 2021 (21.3606).

[14] Die Publikation widerspiegelt die persönliche Haltung der Autorinnen.

[15] IONIS Digital Guide vom 11. April 2022 (Was ist ein Rechenzentrum?), 11. April 2022.

[16] Duden online zum Suchbegriff «Rechenzentrum»; zudem vertieft Slav Dabrovski, Was ist ein Rechenzentrum?, Techbuyer Techblog vom 7. Juni 2021. Es existieren unterschiedliche Arten von Rechenzentren, die im vorliegenden Beitrag jedoch nicht spezifisch erläutert werden. Für eine Übersicht vgl. CBRE, Data Center Market Switzerland, Studie 2021, S. 5 (zit. Studie CBRE 2021).

[17] Zur historischen Entwicklung von Rechenzentren Sonja Palfner / Gabriele Gramelsberger, Rechenzentrum, in: Marquardt/Schreiber (Hrsg.), Ortsregister, Bielefeld 2012, S. 232 f.; Wilhelm Held, Geschichte der Zusammenarbeit der Rechenzentren in Forschung und Lehre, Februar 2009.

[18] René Fasan, Rechenzentren in der Schweiz, Studie 23. Februar 2021, S. 3 und 6 f.

[19] Der Begriff «Cloud» stammt aus der englischen Sprache, bedeutet übersetzt «Wolke» und kam Ende des ersten Jahrzehnts des 21. Jahrhunderts auf, vgl. das Wörterbuch Wortbedeutung.info zum Suchbegriff «Cloud».

[20] Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Erläuterungen zu Cloud Computing. Eingehend zum Cloud Computing Apollo Dimitri Dauag, Der Zivilprozess gegen den Cloud Provider, Zürich 2022, S. 6 ff., der den Begriff des Cloud Computing als «konturlos» bezeichnet (S. 6).

[21] Peter Mell / Timothy Grance, The NIST Definition of Cloud Computing, September 2011; Christian Schinko, Cloud-First-Strategie: Was dahintersteckt und wie Unternehmen diese umsetzen können, CANCOM vom 28. April 2021.

[22] Zur Klassifikation von Cloud-Computing-Modellen Andreas Haas / Annette Hofmann, Risiken aus der Nutzung von Cloud-Computing-Diensten: Fragen des Risikomanagements und Aspekte der Versicherbarkeit, ZVersWiss 2014, S. 380 f.

[23] IONIS Digital Guide (Fn. 15).

[24] In diesem Sinne wird auch von einer «Demokratisierung des Technologiezugangs» gesprochen, wobei sich insbesondere für kleinere Unternehmen Vorteile ergeben, da ihnen dadurch die Möglichkeit verschafft wird, von Dienstleistungen zu profitieren, die sie aufgrund ihrer kleinen Grösse normalerweise nicht in Anspruch nehmen könnten. Vgl. Christof Baumgartner, Umstellung auf Cloud-Computing bringt Demokratisierung der IT, Computerwelt vom 23. November 2020; Manuel Heckel, Unterwegs zwischen zwei Welten, Handelsblatt vom 21. Oktober 2015.

[25] EnergieSchweiz, Weniger Strom und mehr Effizienz in Serverräumen und Rechenzentren; vertieft Jakob/Müller/Altenburger (Fn. 10), S. 5.

[26] Martin Jakob, So viel Energie verschleudern Schweizer Rechenzentren, Netzwoche vom 24. Februar 2022.

[27] Harry Stitzel / Alessandro Massaro, Digitale Stromfresser - Rechenzentren verbrauchen doppelt so viel Strom wie Stadt Bern, SRF vom 6. August 2022.

[28] Europäische Kommission, Energy-efficient Cloud Computing Technologies and Policies for an Eco-friendly Cloud Market, 9. November 2020. Vertieft zur Thematik Markus Siewert / Pascal König / Stefan Wurster, Eine ökologisch nachhaltige KI braucht Regulierung, Sustain Magazin 2022, S. 46.

[29] Fasan (Fn. 18), S. 3; Stitzel/Massaro (Fn. 27); Wissenschaftliche Dienste Deutscher Bundestag, Energieverrauch von Rechenzentren, 24. August 2021, S. 9 ff.

[30] Vertieft Herbert Zech, Nachhaltigkeit und Digitalisierung im Recht, ZfDR 2022, S. 127 ff. Zudem Andreas Meyer / Anne Mollen / Friederike Rohde / Josephin Wagner, Nachhaltigkeit von KI bewertbar machen, Sustain Magazin 2022, S. 8; Frans Berkhout / Julia Hertin, Impacts of Information and Communication Technologies on Environmental Sustainability: speculations and evidence, Report to the OECD, 25. Mai 2001, S. 2 ff.

[31] Die negativen Umweltauswirkungen von IKT werden zum Teil in drei Kategorien eingeteilt, siehe Berkhout/Hertin (Fn. 30), S. 2.

[32] Lorenz Hilty / Bernard Aebischer, ICT for Sustainability: An Emerging Research Field, S. 24; Lorenz Hilty / Jan Bieser, Opportunities and Risks of Digitalization for Climate Protection in Switzerland, Zürich 2017, S. 5 ff. Zu den Ursprüngen und Grundlagen der Lebenszyklusanalyse («Life cycle assessment») vgl. Walter Klöpffer, Life Cycle Assessment - From the Beginning to the Current State, Environment Science and Pollution Research 1997, S. 223 ff.

[33] Hilty/Aebischer (Fn. 32), S. 24; Hilty/Bieser (Fn. 32), S. 5 ff.

[34] Jan Bieser / Vlad Coroamă, Direkte und indirekte Umwelteffekte der Informations- und Kommunikationstechnologie, Sustainability Management Forum 2021, S. 6.

[36] Milko Malev, Klima überhitzt - grüne Rechenzentren müssen her!, dmexco vom 24. Februar 2021; Bieser/Coroamă (Fn. 34), S. 4.

[37] In der Schweiz wird aktuell die Kapazität von Rechenzentren stark ausgebaut, dazu Kevin Fischer, Das grösste Rechenzentrum der Schweiz erhält zusätzliche Kapazität, Netzwoche vom 5. Juli 2021.

[38] Hilty/Bieser (Fn. 32), S. 9.

[39] Jeannette Goddar, Eine Inventur des fossilen Zeitalters, Max-Planck-Gesellschaft vom 10. März 2020. Eine Übersicht zur Schweizer Stromgewinnung: Bundesamt für Energie, 80 Prozent des Stroms aus Schweizer Steckdosen stammten 2021 aus erneuerbaren Energien, 5. September 2022.

[41] Mark Acton / Paolo Bertoldi / John Booth, 2022 Best Practical Guidelines for the EU Code of Conduct on Data Centre Energy Efficiency, JRC Technical Report 2022, S. 24. Dies liegt gemäss den Autoren nicht zuletzt daran, dass Rechenzentren häufig mit kälteren als notwendigen Lufttemperaturen überkühlt werden (S. 28).

[42] Pro Sekunde gibt es weltweit rund eine Million Suchanfragen, siehe Digitale Gesellschaft/WOZ, Eine kurze Anleitung zur nachhaltigen Digitalisierung, 2021, S. 17 f.

[43] Lotfi Belkhir / Ahemed Elmeligi, Assessing ICT global emissions footprint: Trends to 2040 & recommendations, Journal of Cleaner Production 2018, S. 448 ff. Studien des Shift Project in Frankreich prognostizieren einen weltweiten, sehr hohen Anstieg des Energiebedarfs, vgl. The Shift Project, Lean ICT: Towards digital sobriety, Paris 2019, S. 15 ff. Rechenzentren werden auch als «die am weltweit am schnellsten wachsenden Energieverbraucher» bezeichnet, vgl. auch Malev (Fn. 36).

[44] Insbesondere sollen «Grüne Rechenzentren» gebaut werden bzw. bestehende Rechenzentren umgestaltet werden, vgl. Medienmitteilung Green vom 18. Januar 2021, Green investiert eine halbe Milliarde in den Digitalstandort Schweiz; Malev (Fn. 36). Auch wurde im Jahr 2008 ein Verhaltenskodex für Rechenzentren erstellt («Code of Conduct for Energy Efficiency in DataCentres»), der den mit diesen verbundenen Auswirkungen auf die Umwelt-, Wirtschafts- und Energieversorgungssicherheit entgegenwirken soll. Derweilen geht daraus sogar ein europaweiter Rechenzentrumspakt hervor, der Klimaneutralität für seine Mitgliedsrechenzentren bis 2030 anpeilt, siehe dazu Ariane Rüdiger / Ulrike Ostler, Klimapakt der europäischen Datacenter-Betreiber, Datacenter Insider vom 1. Februar 2021.

[45] Harald Lutz, Jedes Unternehmen, das sich zügig auf den Weg macht, ist gut beraten, Datacenter Insider vom 19. Juli 2022.

[46] Hilty/Bieser (Fn. 32), S. 3, sagen dies bereits für das Jahr 2025 voraus. Im Ergebnis auch GeSI Report, Digital with Purpose: Delivering a SMARTer2030, Brüssel 2019, S. 10 f.; Ulrike Ostler, Spätestens im Jahr 2030 sollen Rechenzentren klimaneutral sein, Datacenter Insider vom 27. Februar 2020.

[47] Bundesamt für Sicherheit in der Informationstechnik, Kriterien für die Standortwahl von Rechenzentren, Version 2.0, Oktober 2019, S. 9 ff.

[48] David Friend, Darum boomt Europa als Rechenzentrumsstandort, it-daily vom 7. Oktober 2021.

[49] Stefan Luber / Jürgen Ehness, Was ist ein Hyperscaler?, Storage Insider vom 9. Februar 2021.

[51] Switzerland Global Enterprise, Factsheet Datenzentren in der Schweiz, 9/2019, S. 3.

[52] Stitzel/Massaro (Fn. 27).

[54] 63'000 Quadratmeter des Kantons Zürich sind durch Rechenzentren bedeckt, vgl. Studie CBRE 2021 (Fn. 16), S. 9. Aktuell wird aber bspw. auch im Kanton Zug ein neues Rechenzentrum gebaut, dazu Kevin Fischer, CKW errichtet Rechenzentrum in Rotkreuz, Netzwoche vom 22. Oktober 2021.

[55] Switzerland Global Enterprise (Fn. 51), S. 1.

[56] Kevin Fischer, Die Schweiz hat die zweithöchste Rechenzentrumsdichte Europas, Netzwoche vom 5. Februar 2021.

[57] Jakob/Müller/Altenburger (Fn. 10), S. 5.

[58] Fischer (Fn. 56).

[59] Luber/Ehness (Fn. 49).

[60] Vgl. Marc Landis, Von ausländischen Clouds und inländischen, Netzwoche vom 17. November 2021; Medienmitteilung Bundeskanzlei vom 10. November 2021, Bundesverwaltung setzt Cloud-Strategie um - für eine geordnete und effiziente Nutzung von Clouds. Der Kanton Zürich hat die Cloud-Lösung von Microsoft bereits zugelassen, Regierungsratsbeschluss Nr. 542, publiziert am 14. April 2022.

[61] Studie des Gewerbe-Immobilien-Beratungsunternehmens Cushman&Wakefield, Global Data Center Market Comparison, 2022, S. 4 f. Das Unternehmen gibt jährlich ein Ranking der besten Standorte für Rechenzentren heraus, wobei sich acht Standorte der Top-Ten-Liste in den USA befinden.

[62] Cushman&Wakefield (Fn. 61), S. 30 ff.

[63] Inga Janović, Bei Hitze wird das Surfen teurer, FAZ vom 8. Juli 2019.

[64] Janović (Fn. 63); Cushman&Wakefield (Fn. 61), S. 26 f.

[65] David Schwaninger / Michelle Merz, Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke 2.0, Jusletter vom 21. Juni 2021, N 1.

[67] Schwaninger/Merz (Fn. 65), N 1 ff.

[68] Schwaninger/Merz (Fn. 65), N 6 ff.; bereits David Schwaninger / Stephanie Lattmann, Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke, Jusletter vom 11. März 2013, N 5 ff.

[69] Vgl. Julian Powell, Auslagerung als Risiko - mit und ohne Cloud, Jusletter vom 10. Oktober 2022, N 3 ff.

[70] Das neue Bundesgesetz über den Datenschutz (nDSG; BBl 2020 7639) tritt am 1. September 2023 in Kraft. Es wird auf die Kommentarliteratur des aktuell geltenden Rechts verwiesen.

[72] Bruno Baeriswyl / Dominika Blonski, in: Baeriswyl/Pärli (Hrsg.), Handkommentar Datenschutzgesetz, Bern 2015, Art. 6 DSG, N 8 ff.

[73] David Rosenthal, Das neue Datenschutzgesetz, Jusletter 16. November 2020, N 66 (zit. Rosenthal, nDSG); Verein Unternehmens-Datenschutz (VUD), FAQ zum Einsatz von Cloud-Technologien, 26. Juni 2022, S. 8.

[75] Art. 16 Abs. 1 nDSG. Rosenthal, nDSG (Fn. 73), N 65. Der Bundesrat wird dabei künftig wohl auf die Länderliste des EDÖB zurückgreifen.

[76] Europäische Datenschutz-Grundverordnung, Verordnung Nr. 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016.

[77] Rosenthal, nDSG (Fn. 73), N 68.

[78] Urteil des EuGH C-311/18 vom 16. Juli 2020 (Data Protection Commissioner gegen Facebook Ireland Ltd und Maximilian Schrems).

[79] Anne-Sophie Morand / Selma Duc, International data transfers and the EU's adequacy decisions, Jusletter 3. Mai 2021, N 20 ff.

[81] Art. 16 Abs. 2 lit. d nDSG. EDÖB, Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge, Erläuterungen vom 27. August 2021. Im Übrigen besteht gemäss Art. 16 Abs. 2 lit. e nDSG u. a. auch die Möglichkeit, dass sogenannte Binding Corporate Rules (BCR) zum Einsatz kommen.

[82] Weiterführend Clara-Ann Gordon, Der risikobasierte Ansatz im neuen EU- und Schweizer Datenschutzrecht, SJZ 2018, S. 162 ff.

[83] Siehe den Wortlaut von Art. 16 Abs. 2 nDSG und die Definition zur «Geeignetheit» des Schutzes gem. Art. 16 Abs. 2 lit. a-e nDSG.

[84] David Rosenthal, Die Tücken spontaner Datenschutzbeurteilungen und was sich dagegen tun lässt, Jusletter vom 28. Februar 2022, S. 3 f.; VUD (Fn. 73), S. 3 f.

[85] VUD (Fn. 73), S. 5.

[87] Clarifying Lawful Overseas Use of Data Act: Der CLOUD Act verpflichtet die Communication Service Provider mit Sitz in den USA, die ihre Datenspeicherzentren ausserhalb der USA führen, die sich darauf befindenden Personendaten aufzubewahren und US-Strafverfolgungsbehörden auf Ersuchen hin herauszugeben; David Rosenthal, Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, Jusletter vom 10. August 2020, N 45; Bundesamt für Justiz, Bericht zum US-Cloud Act vom 17. September 2021.

[88] Z. B. Art. 271 Schweizerisches Strafgesetzbuch vom 21. Dezember 1937 (StGB; SR 311.0), Verbotene Handlungen für einen fremden Staat.

[89] Section 702 of the Foreign Intelligence Surveillance Act; Emma Kohse, Summary: The FISA Amendments Reauthorization Act of 2017.

[90] Stephen Vladeck, Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse vom 15. November 2021, S. 9; Es wird jedoch vereinzelt darüber diskutiert, ob Section 702 FISA trotzdem auf eine ausländische Tochtergesellschaft eines US-Anbieters anwendbar sein könnte, da die Tochtergesellschaft als «Vertreterin» der US-Muttergesellschaft angesehen und deshalb argumentiert werden könnte, dass sie unter der Kontrolle eines US-Kommunikationsdienstleisters stehe.

[91] Zum Ganzen VUD (Fn. 73), S. 5. Vertieft zur Sicherheit persönlicher Daten bei der Nutzung von Cloud-Diensten siehe Fabia Stöcklin, Die Sicherheit persönlicher Daten beim Outsourcing der Datenbearbeitung an Dritte, ex/ante 2022, S. 30.

[92] Vgl. Rosenthal, nDSG (Fn. 73), N 74.

[93] VUD (Fn. 73), S. 6.

[94] Datenschutzbehörde Republik Österreich, Teilbescheid vom 22. April 2022.

[95] Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, S. 6970.

[96] Bundeskanzlei, Rechtlicher Rahmen für die Nutzung von Public-Cloud-Diensten in der Bundesverwaltung, Bericht in Umsetzung vom Meilenstein 5 der Cloud-Strategie des Bundesrates, 31. August 2022, S. 22.

[97] Siehe auch VUD (Fn. 73), S. 74 ff.

[98] Dass der eigentliche Bau von Rechenzentren die Umwelt ebenfalls stark belastet, ist unbestritten, jedoch nicht Gegenstand dieses Aufsatzes. Vielmehr steht dessen nachhaltiger Betrieb im Zentrum.

[99] Bundesverfassung der Schweizerischen Eidgenossenschaft vom 18. April 1999 (BV; SR 101).

[100] Markus Kern, in: Waldmann/Belser/Epiney (Hrsg.), Basler Kommentar Bundesverfassung, Basel 2015, Art. 89 N 14 ff. (zit. BSK BV-BearbeiterIn).

[101] Energiegesetz vom 30. September 2016 (EnG; SR 730.0).

[102] Bundesgesetz über die Stromversorgung vom 23. März 2007 (StromVG; SR 734.7).

[103] BSK BV-Markus Kern (Fn. 100), Art. 89 N 17 f. Die beiden Bundesgesetze werden nun durch das Bundesgesetz über die Stromversorgung mit erneuerbaren Energien vom 18. Juni 2021 ergänzt, das u. a. eine Revision des EnG und des StromVG vorsieht, um die Ziele der Energiestrategie 2050 und der langfristigen Klimastrategie der Schweiz zu erreichen. Siehe Botschaft vom 18. Juni 2021 zum Bundesgesetz über eine sichere Stromversorgung mit erneuerbaren Energien (BBl 2021 1666) S. 1667.

[104] Art. 5 Abs. 1 lit. a und b EnG, konkretisiert in der Energieverordnung vom 1. November 2017 (EnV; SR 730.01). Weiter ergänzt durch Art. 9 StromVG, der erneuerbare Energien bei der Elektrizitätsbeschaffung und beim Ausbau der Erzeugungskapazitäten priorisiert.

[105] Anhang 2.12 Verordnung über die Anforderungen an die Energieeffizienz serienmässig hergestellter Anlagen, Fahrzeuge und Geräte vom 1. November 2017 (Energieeffizienzverordnung, EnEV; SR 730.02) mit Verweis auf Verordnung (EU) 2019/424 der Kommission vom 15. März 2019 zur Festlegung von Ökodesign-Anforderungen an Server und Datenspeicherprodukte.

[106] So Markus Schreiber, Verfassungsrechtliche Grundlagen, in: Heselhaus/Schreiber/Zumoberhaus (Hrsg.), Handbuch zum schweizerischen Energierecht, Zürich 2022, S. 36 f.

[107] Verstärkt durch Art. 45 EnG (Schaffung günstiger Rahmenbedingungen für die sparsame und effiziente Energienutzung sowie die Nutzung erneuerbarer Energien).

[108] Zur Definition von Rechenzentren siehe Rz. 3.

[109] Vgl. etwa SGK BV-René Schaffhauser / Felix Uhlmann, in: Ehrenzeller/Schindler/Vallender (Hrsg.), Bundesverfassung St. Galler Kommentar, 3. Aufl., Zürich et al. 2014, Art. 89 N 12 (zit. SGK BV-BearbeiterIn), welche die Kompetenz zur Regulierung der Energieeffizienz von Heizungen gemäss Art. 89 Abs. 4 BV bestimmen, mithin insbesondere die Kantone in die Pflicht nehmen. Dieser Gedankengang kann auf Datenverarbeitungsanlagen von Rechenzentren übertragen werden.

[110] Als Grossverbraucher gelten Unternehmen mit einem jährlichen Wärmeverbrauch von mehr als 5 Gigawattstunden (GWh) oder einem jährlichen Elektrizitätsverbrauch von mehr als 0.5 GWh, siehe § 3 Abs. 8 Energiegesetz des Kantons Aargau vom 17. November 2012 (EnergieG-AG; SAR 773.200); § 17 Abs. 1 Energiegesetz Kanton Basel-Stadt vom 16. November 2016 (EnG-BS; SG 772.100); § 19 Abs. 1 Kantonales Energiegesetz des Kantons Luzern vom 4. Dezember 2017 (KEnG-LU; SRL 773); § 13a Abs. 1 Energiegesetz des Kantons Zürich vom 19. Juni 1983 (EnerG-ZH; OS 730.1). Diese Kantone dienen im Folgenden als Beispiele, eine umfassende Begutachtung aller Kantone würde den Rahmen des vorliegenden Beitrags sprengen.

[111] Zur Offenlegungspflicht bzw. Vereinbarung mit der Behörde siehe etwa § 10 Abs. 1 EnergieG-AG; § 17 Abs. 1 i.V.m. § 19 Abs. 3 EnG-BS; § 19 Abs. 1 KEnG-LU; § 13a Abs. 2 EnerG-ZH. Zur Betriebsoptimierung § 10 Abs. 1 EnergieG-AG; § 13 Abs. 1 EnG-BS; § 20 Abs. 1 KEnG-LU; § 13d Abs. 1 EnerG-ZH.

[112] Sarah Brückner, Industrielle Abwärme in Deutschland, Diss. München 2016, S. 1 f.

[113] Bundesamt für Energie BFE, Leitfaden zur industriellen Abwärmenutzung, Schlussbericht vom 30. Juni 2019, S. 8; Andreas Leuenberger, Abwärmenutzung in der Industrie, Juni 2016, S. 9.

[114] Alexandra Hildebrandt, Warum Rechenzentren nachhaltig geplant und gebaut werden sollten, in: Hildebrandt/Landhäusser (Hrsg.), CSR und Digitalisierung, Heidelberg 2021, S. 207; Klaus Fichter, DC-HEAT - Data Centre Heat Exchange with AI-Technologies, 8. April 2021; Ernst A. Müller / Michèle Vogelsanger, Rechenzentren als Abwärmequellen, Fachartikel AQUA&GAS vom 26. April 2022; Isabel Heusser, Ein neues Rechenzentrum im Kanton Zürich so viel Strom wie die Stadt Bülach, NZZ online 16. September 2022.

[115] Vgl. Stellungnahme des Bundesrates vom 11. August 2021 auf die Interpellation Martina Munz (21.3534). Entsprechende Finanzierungsmöglichkeiten sehen auch die Kantone selbst vor, siehe § 16 Abs. 1 EnergieG-AG; § 20 Abs. 1 EnG-BS; § 27 Abs. 2 lit. b KEnG-LU; § 16 Abs. 1 EnerG-ZH.

[116] Im Folgenden werden nur Bestimmungen erwähnt, die für Betreiberinnen von Rechenzentren einschlägig sind bzw. sein können.

[117] § 2 Abs. 1 lit. c EnergieG-AG; § 3 Abs. 5 EnG-BS; § 1 Abs. 2 lit. a KEnG-LU; § 1 lit. f i.V.m. § 14a EnerG-ZH.

[118] Nur § 18 EnG-BS; § 26 KEnG-LU.

[119] Friederike Wall, Qualitätscontrolling im Rechenzentrum, in: Schneider (Hrsg.), Die Organisation des verteilten DV-Versorgungssystems, Wiesbaden 1999, S. 119.

[120] § 22 Abs. 2 KEnG-LU.

[121] § 22 Abs. 3 KEnG-LU.

[122] Greenpeace, Clicking Clean: Who Is Winning The Race To Build A Green Internet?, 2017, S. 8 ff.; Belkhir/Elmeligi (Fn. 25), S. 460.

[123] So z. B. das Rechenzentrum der IWB Basel, IWB Geschäftsbericht, Nachhaltigkeitsbericht 2021, S. 10 ff.

[124] Kevin Fischer, Diese Trends beschäftigen Rechenzentrumsbetreiber 2022, Netzwoche vom 3. Februar 2022.

[125] Google zum Beispiel hat mit seiner Tochter DeepMind ein intelligentes Steuerungssystem entwickelt, das den Energieverbrauch seiner Rechenzentren um 40 Prozent senken soll, siehe Nicola Jones, How to stop data centres from gobbling up the world's electricity, 2018.

[126] Spreiter et al. (Fn. 4), S. 4. Bereits gemäss Art. 2 lit. a Bundesgesetz über das öffentliche Beschaffungswesen vom 21. Juni 2019 (BöB; SR 172.056.1) müssen öffentliche Mittel sowohl wirtschaftlich als auch volkswirtschaftlich, sozial und ökologisch verantwortungsvoll eingesetzt werden.

[127] Spreiter et al. (Fn. 4), S. 4. Aktuell besteht keine Pflicht zur Offenlegung der Informationen, siehe Rz. 19 ff.

[128] In der Schweiz hat eine Gruppe von Vertretern aus Wissenschaft und Wirtschaft im Jahr 2020 den Verein Swiss Datacenter Efficiency gegründet, der besonders energieeffiziente Rechenzentren mit dem «Swiss Data Center Efficiency Label» auszeichnet (SDEA Label). Ziel des Vereins ist es, mit der Zertifizierung einen Anreiz für Schweizer Rechenzentren zu schaffen, ihren Gesamtstromverbrauch deutlich zu senken. Dazu Nadja Gross, Neue Energieetikette 2021 in der Schweiz, Blogbeitrag EnergieExperten. Das Label soll auch der Europäischen Kommission und den Vereinten Nationen vorgelegt werden, um das Schweizer Modell weltweit zu adaptieren, siehe Hewlett Packard Enterprise, Press Release, 2020.

[129] Art. 89 Abs. 4 BV, siehe Rz. 18.

[130] Bspw. hat eine Selbstregulierungsinitiative von 74 Rechenzentrumsbetreiberinnen und 23 Verbänden der Europäischen Kommission im Juli 2022 seine erarbeiteten Metriken zur Wassereinsparung vorgeschlagen.

[131] Acton/Bertoldi/Booth (Fn. 41), S. 37; zur Funktionsweise siehe z. B. EBL, Die intelligente Kampfansage gegen CO2, 1. Februar 2022.

[132] Andreas Leuenberger, Abwärmenutzung in der Industrie, BMS-Energietechnik AG, Internationales Kompetenz-Zentrum für Energieeffizienz 2/2016, S. 9.

[133] Das Gebiet ist jedoch vielversprechend, bedarf aber weiterer technischer Forschung, siehe. Malev (Fn. 36).

[134] In Schweden wird die Abwärme von Rechenzentren in Fernwärmenetze eingespeist und beheizt ganze Städte, Tobias Funke et al., Abwärmenutzung im Rechenzentrum, S. 5; Erin Biba, The city where the internet warms people's home, 2017.

[135] Dazu gehören z. B. Schwimmbäder und Gewächshäuser. Bereits im Jahr 2008 beheizte das IBM-Rechenzentrum Uitikon ein lokales Hallenbad mit der Abwärme seiner Server und Switches, siehe Bryan Bergstein, Heat from data center to warm a pool, NBC News vom 2. April 2008.

[136] Rz. 19.

[137] Funke et al. (Fn. 134), S. 15.