Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Datenschutz und Umweltschutz — ein Dilemma?

01/2023

I. Einleitung

Der gesellschaftliche Wandel des 21. Jahrhunderts ist in fast allen Lebensbereichen stark von der Digitalisierung geprägt. Die Covid-19-Pandemie hat ebenfalls gezeigt, wie wichtig funktionierende und effiziente digitale Infrastrukturen für Gesellschaft und Wirtschaft sind. Gleichzeitig hat die Pandemie aber auch auf umweltschädliches Verhalten aufmerksam gemacht. Denn im Kampf gegen den Klimawandel sind neue Technologien ein zweischneidiges Schwert: Einerseits können sie zur ökologischen Optimierung von Prozessen, Produkten und Märkten beitragen und den Klimawandel damit bekämpfen. Andererseits besteht ein erhebliches Risiko, dass der Nachhaltigkeitsaspekt bei der Nutzung von Informations- und Kommunikationstechnologien (IKT) und anderen Technologien nicht berücksichtigt wird. Die Entwicklung und Nutzung von IKT im Besonderen erfordert bereits heute eine grosse Menge an Energie und Rohstoffen. Insbesondere Rechenzentren (auch Datenzentren, data centres), die den IKT als Infrastruktur dienen, gelten als die weltweit am schnellsten wachsenden Energieverbraucher. Gleichzeitig steigt die Nachfrage an Rechen- und Speicherkapazität kontinuierlich — was nicht zuletzt eine Zunahme des Bedarfs an deren Infrastruktur bedeutet. Dies ist aus rechtlicher Sicht insbesondere auch mit Blick auf das Pariser Klimaabkommen problematisch, das die Schweiz im Oktober 2017 ratifiziert hat. Dass Rechenzentren jedoch auch grosses Energieeffizienzpotenzial haben, zeigte eine Studie im Jahr 2021. Daraufhin wurde sich auch die Politik der Brisanz der Thematik bewusster, weshalb auf politischer Ebene im vergangenen Jahr erstmals verschiedene diesbezügliche Vorstösse eingereicht wurden.

In der vorliegenden Publikation beleuchten die Autorinnen anhand des Beispiels von Rechenzentren das Dilemma zwischen dem Daten- und Klimaschutz in der Schweiz und versuchen diesem anhand verschiedener Regelungsvorschläge — ohne Anspruch auf Vollständigkeit — zu begegnen.

II. Grundlagen zu den Rechenzentren

1. Was ist ein Rechenzentrum?

Geschäftsaktivitäten innerhalb eines Unternehmens oder einer Behörde generieren Unmengen an Daten, die gespeichert werden müssen und folglich grossen Speicherplatz benötigen (z. B. Online-Transaktionen, Kommunikationsdienste). Rechenzentren sind physisch zugängliche Gebäude oder sonstige Räumlichkeiten, in denen grosse Datenverarbeitungsanlagen umfangreiche Berechnungen vornehmen. Sie kamen bereits in den 1950er-Jahren auf, werden heutzutage jedoch fünf bis zehn Mal grösser geplant. Vermehrt sind sie über öffentliche oder private Clouds, ein auf mehrere Rechner verteiltes Netzwerk, das überwiegend als dezentraler Speicherplatz dient, vernetzt. Software, Speicherkapazitäten oder Rechenleistung werden beim Cloud Computing bedarfsabhängig im Internet oder im Rahmen eines Virtual Private Networks (VPN) gemietet — der Datenspeicherort, also z. B. ein Rechenzentrum, wird nicht mehr durch das einzelne Unternehmen oder die einzelne Behörde betrieben, sondern vom jeweiligen Cloud-Anbieter. Die geringen IT-Infrastruktur-Kosten, die hohe Rechenleistung, der dynamische Speicherplatz und die einfache Verfügbarkeit begründen die rasante Entwicklung und Verbreitung von Cloud Computing und seiner Etablierung als die am schnellsten wachsende und umwälzendste Technologie in der Geschichte der Datenverarbeitung (Cloud-first-Strategie).

Ein Rechenzentrum kann unterschiedliche Aufgaben haben — massgeblich hängt dies vom Standort, der Besitzerin und dem Einsatzgebiet ab. Um Cyberangriffe abwehren und Serverausfälle verhindern zu können, bedürfen die Server ständiger Überwachung und Wartung. Anstatt eigene Rechenzentren zu betreiben, können sich Unternehmen an Rechenzentren anschliessen, die rund um die Uhr überwacht sind und dadurch Zeit und Kosten sparen.

2. Rechenzentren als grosse Energieverbraucher

Aus umwelttechnischer Sicht steht der hohe Stromverbrauch eines Rechenzentrums im Fokus. Zunehmende Datentransfers und Datenverarbeitungen bedeuten letztlich mehr Energieverbrauch. In der Schweiz bspw. waren Serverräume und Rechenzentren im Jahr 2019 für rund 3,6 Prozent des Stromverbrauchs des Landes verantwortlich, was dem Stromverbrauch von 450’000 Schweizer Haushalten entspricht. Mit anderen Worten verbrauchen Rechenzentren in der Schweiz pro Jahr doppelt so viel Strom wie die ganze Stadt Bern. Die Kommission der Europäischen Union (EU) schätzte im Jahr 2018, dass der damals aktuelle Energieverbrauch von Rechenzentren in der EU 77 Terrawattstunden (2,7 Prozent des Gesamtstromverbrauchs in der EU) betrug. Studien zufolge wird in der EU und in der Schweiz in den nächsten fünf Jahren mit einer starken Zunahme des Stromverbrauchs von Rechenzentren gerechnet. Dies führt zur Erkenntnis, die Digitalisierung habe negative Auswirkungen auf die Nachhaltigkeit und die Bekämpfung der Klimakrise. Dabei wird (vereinfacht) zwischen direkten und indirekten Umweltauswirkungen unterschieden. IKT-Hardware (z. B. Laptops, Smartphones) und IKT-Infrastrukturen (z. B. Rechenzentren, Kommunikationsnetze) verbrauchen über ihren gesamten Lebenszyklus hinweg Ressourcen und verursachen Emissionen — von der Herstellung bzw. dem Bau, über den Betrieb bis zur Entsorgung. Dieser Energie- und Ressourcenverbrauch hat direkte Umweltauswirkungen, da er durch die Gewinnung von Rohstoffen für die Produktion, die Energiebereitstellung in allen Phasen der Nutzung und die Prozesse nach der Entsorgung entsteht. Indirekte Umweltauswirkungen sind hingegen Veränderungen in den Verbrauchs- und Produktionsmustern, die sich aus dem Einsatz von IKT ergeben sowie alle weiteren Umweltauswirkungen dieser Veränderungen (z. B. mobiles Arbeiten). Im Gegensatz zu direkten Auswirkungen können diese Veränderungen in beide Richtungen wirken — sie können die Emissionen erhöhen, aber auch verringern.

Vorrangig verantwortlich für den gesteigerten Datenverkehr sowie den erhöhten Bedarf an Rechen- und Speicherkapazität ist die enorme Entwicklung und Nachfrage — neben der allgemeinen Digitalisierung — in folgenden vier Bereichen: Online-Streaming-Dienste, 5G-Technologien und Innovationen des Internet of Things, Cloud-Infrastrukturen sowie Blockchain-Technologien (insbesondere Kryptowährungen wie Bitcoin). Dies führt dazu, dass heutzutage immer mehr IKT-Infrastrukturen gebaut werden. Da Rechenzentren ständig in Betrieb sind, erzeugen sie durch ihren Stromverbrauch grosse Kohlenstoffemissionen, denn die Stromgewinnung basiert in vielen Ländern — nicht jedoch in der Schweiz — auf fossilen Brennstoffen. Zudem sind die Anlagen mit einer Notfallstromversorgung ausgestattet und Ausfallsicherheit ist entscheidend, um die Datensicherheit und den kontinuierlichen Betrieb zu gewährleisten. Das Überhitzen der Server wird durch ständige Kühlung des Rechenzentrums verhindert, welche die stärkste treibende Kraft des Energieverbrauchs ist. Das Google-Rechenzentrum bspw. verbraucht zur Beantwortung einer einzigen Suchfrage so viel Strom wie eine Bartrasur.

Rechenzentren sind weltweit mit am stärksten für den Anstieg von Kohlenstoffemissionen verantwortlich. Deshalb erstaunt es nicht, dass sich «grüne» Lösungen — z. B. die Eigenversorgung durch erneuerbare Energieträger — für den Bau und den Betrieb von Rechenzentren etablieren. Dies ist nicht zuletzt auf die Anforderungen des Pariser Klimaübereinkommens zurückzuführen. Studien in der Schweiz zum Klimaschutzpotenzial der Digitalisierung sind sogar zum Ergebnis gekommen, dass durch ambitionierte Massnahmen umweltschonende Effekte der IKT-Technologien den direkten Kohlenstoff-Fussabdruck der IKT-Branche künftig überwiegen könnten (indirekte, positive Umweltauswirkungen).

3. Standorte von Rechenzentren

Um die Stromversorgung eines Rechenzentrums zu gewährleisten und dadurch Datenverlusten und Sachschäden vorzubeugen, ist die Wahl eines (geographisch) sicheren Standorts unabdingbar — Orte besonderer Gefährdung, vor allem durch Naturgewalten (z. B. Überschwemmungen oder Erdbeben), gefährden seine Kontinuität. Zudem bedarf ein Rechenzentrum ständiger Kühlung, um einer Serverüberhitzung zuvorzukommen, womit aus ökologischer Sicht kühl gelegene Standorte für den Bau von neuen Rechenzentren grundsätzlich besser geeignet sind.

Heutzutage stehen 40 Prozent der Hyperscale-Rechenzentren in den USA, welche die Hälfte der weltweiten Kapazität bereitstellen. Die Plätze zwei und drei belegen China und Irland, gefolgt von Indien und Spanien. Doch auch in der Schweiz hat sich die Anzahl an Rechenzentren in den letzten Jahren erhöht. Deren Fläche ist kontinuierlich um ca. zehn bis fünfzehn Prozent pro Jahr angewachsen. Insgesamt existieren in der Schweiz nach aktuellem Stand 85 Rechenzentren. Gemessen an der Bevölkerungszahl entspricht dies der zweithöchsten Dichte an Rechenzentren in ganz Europa. Derweilen nimmt insbesondere der Kanton Zürich eine Vorreiterrolle in diesem Bereich ein. Die Schweiz ist für Rechenzentren ein beliebter Standort, weil hohe Standards im Bereich Datenschutz bestehen und das Land politische und wirtschaftliche Stabilität bieten kann. Hinzu kommt, dass die Betreiberinnen hierzulande von einer exzellenten Serverinfrastruktur, schnellen Internetverbindungen, einer stabilen Stromversorgung sowie gut ausgebildeten ICT-Fachkräften profitieren können. Deshalb wird die Anzahl Rechenzentren in der Schweiz voraussichtlich weiter zunehmen. Verschiedene Bauprojekte, etwa in Glattbrugg, Winterthur und Dielsdorf, sind bereits in vollem Gange. Auch der steile Aufwärtstrend beim Datenverbrauch generell hat das Wachstum stark vorangetrieben.

Auf dem Schweizer Rechenzentrumsmarkt führend sind zurzeit Hyperscaler-Rechenzentren, die von Schweizer und ausländischen Betreiberinnen errichtet und von grossen internationalen Cloud-Anbietern wie Google, Amazon und Microsoft genutzt werden. Sie verfügen über enorme Ressourcen, weshalb sie gerade Cloud-Dienste kosteneffizient anbieten und eine hohe Redundanz und Ausfallsicherheit anbieten können. Dies sind u. a. Gründe, weshalb im Übrigen auch öffentliche Verwaltungen in der Schweiz — wie bspw. diejenige des Kantons Zürich — bereit sind, externe Cloud-Services von ausländischen Anbietern zu nutzen. Dabei befinden sich die Rechenzentren der US-Anbieter jedoch nicht unbedingt in der Schweiz, sondern häufig in den USA selbst. Europa scheint aus verschiedenen Gründen weniger attraktiv zu sein; neben einem allgemeinen Platzmangel sind dies auch die vergleichsweise hohen Stromkosten.

4. Zwischenfazit

Mit Blick auf den hohen Strombedarf und die enorme Wärmeerzeugung von Rechenzentren macht es Sinn, diese an Standorten mit niedrigen Stromkosten und bestenfalls kühlen Aussentemperaturen zu platzieren. Die Realität zeigt, dass Länder wie die USA noch immer als attraktive Standorte für die Wahl von Rechenzentren empfunden werden. Dies wirft jedoch die Frage auf, ob ausländische Cloud-Lösungen, z. B. US-amerikanische, ohne weiteres im Einklang mit dem Schweizer Datenschutzrecht zum Einsatz gelangen können. Dieser Frage wird im Folgenden nachgegangen.

III. Datentransfers in ausländische Rechenzentren

1. Cloud Computing

Der Transfer von Daten in ausländische Rechenzentren — insbesondere durch Cloud Computing — ist kein neuer Trend, auch wenn die Anzahl Unternehmen, die inländische Cloud-Lösungen nutzen und bspw. ihre gesamte IT in die Cloud auslagern, stetig zunimmt. Gleichzeitig wird der Einsatz von Cloud-Technologien mit Blick auf das Datenschutzrecht immer wieder intensiv diskutiert. Je nach erbrachter Leistung kann im Cloud Computing als Outsourcing von Datenbearbeitungen zwischen Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Business Process as a Service (BPaaS) unterschieden werden. Mit Blick auf die Frage, ob die Cloud-Dienstleistungen für eine Vielzahl voneinander unabhängiger Nutzender oder für die ausschliessliche Nutzung durch eine einzige Organisation bereitgestellt werden, ist sodann zwischen Public Cloud, Private Cloud und Hybrid Cloud zu unterscheiden. Arbeitet ein Unternehmen mit einem Cloud-Service-Anbieter zusammen, stellt sich die Frage, ob Daten überhaupt auf Servern ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) gespeichert werden dürfen. In diesem Zusammenhang wird dann ebenfalls diskutiert, ob die Situation anders aussähe, wenn die Datenspeicherung in der Schweiz bzw. im EWR erfolgte, auch wenn eine Cloud-Lösung eines ausländischen Anbieters — bspw. einer Tochtergesellschaft eines US-Unternehmens — gewählt wird.

2. Bekanntgabe von Personendaten ins Ausland

a) Voraussetzungen für die Datenbekanntgabe ins Ausland

Gemäss dem neuen Schweizer Datenschutzgesetz (nDSG) ist unter dem Begriff «Bekanntgeben» das Übermitteln oder Zugänglichmachen von Personendaten zu verstehen. Personendaten werden rechtlich gesehen dann ins Ausland bekanntgegeben, wenn diese in ein Land ausserhalb der Schweiz transferiert und i.d.R. auf Servern im Ausland gespeichert werden. Jedoch liegt auch dann ein Transfer von Personendaten ins Ausland vor, wenn diese Daten auf einem Server in der Schweiz liegen, der Hauptsitz des Anbieters im Ausland liegt und die Daten per Remote Access zur Verfügung gestellt werden können (sog. Fernzugriff).

Gibt ein verantwortliches Unternehmen Daten ins Ausland bekannt, müssen gemäss nDSG die Voraussetzungen für die Datenbekanntgabe ins Ausland erfüllt werden. Hiernach dürfen Personendaten u. a. dann ins Ausland bekanntgegeben werden, wenn der Bundesrat (unter dem geltenden Recht der Eidgenössische Datenschutzbeauftragte, EDÖB) autoritativ über die Angemessenheit des Datenschutzniveaus eines betroffenen Drittstaats entschieden hat. Ein entsprechendes Datenschutzniveau bieten in jedem Fall die Länder des EWR, in denen die Europäische Datenschutzgrundverordnung (DSGVO) gilt und damit die Vorgaben der revidierten Datenschutzkonvention 108 des Europarates umgesetzt werden. Kein angemessenes Datenschutzniveau weisen bspw. die USA auf. Das Privacy Shield Framework, das selbstzertifizierten Unternehmen wie Google, Microsoft oder Amazon zwischen 2016 bis 2020 ein angemessenes Datenschutzniveau zusicherte, wurde im Juli 2020 vom Europäischen Gerichtshof für unwirksam erklärt (Entscheid «Schrems II»).

Bietet die Gesetzgebung im Drittstaat keinen angemessenen Schutz, kann der Datenschutz auf anderem Wege gewährleistet werden. In der Praxis geschieht dies i.d.R. durch den Abschluss von Standardvertragsklauseln (SCC) der Europäischen Kommission, die im August 2021 vom EDÖB anerkannt wurden und damit — leicht angepasst — auch für Schweizer Verhältnisse verwendet werden können. SCC dürfen dann eingesetzt werden, wenn der Verantwortliche im Einzelfall überprüft, ob die SCC ein gleichwertiges Datenschutzniveau herzustellen vermögen, mithin das Risiko überprüft, ob lokale Behörden im Empfängerstaat gestützt auf die lokale Gesetzgebung auf die übermittelten Personendaten zugreifen. Dies tut der Verantwortliche u. a. anhand eines Transfer Impact Assessment (TIA). Falls festgestellt wird, dass das Datenschutzniveau durch Abschluss der SCC allein noch nicht gleichwertig ist, so müssen zusätzliche Schutzmassnahmen implementiert werden. Bei der Bekanntgabe von Personendaten ins Ausland wird in der Praxis somit einem risikobasierten Ansatz gefolgt. Das nDSG verlangt einen «geeigneten» Schutz, nicht aber einen Ausschluss jedes theoretischen Risikos. Im Kern ist somit zu prüfen, ob das im Zielstaat anwendbare Recht (in der Praxis ist oftmals US-Recht einschlägig) im konkreten Einzelfall die Effektivität der SCC zur Herstellung eines angemessenen Datenschutzniveaus beeinträchtigt. Die Antwort bzw. das TIA besteht dabei aus einer rechtlichen und tatsächlichen Komponente: Erstens ist zu klären, ob das US-Recht im konkreten Fall den Behörden einen Zugriff erlaubt und zweitens ist zu fragen, ob die Behörden dieses (allenfalls) bestehende Recht im konkreten Fall faktisch überhaupt nutzen und auf Daten zugreifen würden. In der Praxis werden diese beiden Komponenten oft nicht differenziert.

b) Geringere Zugriffsmöglichkeiten durch US-Behörden bei Standortwahl Schweiz

Der Schutz von Personendaten in der Cloud ist vor einem Zugriff durch (US- oder andere ausländische) Behörden besser gewährleistet, wenn die Schweizer Kundschaft den Cloud-Vertrag mit einer Tochtergesellschaft in der Schweiz bzw. im EWR abschliesst und die Daten auf Servern in der Schweiz liegen, selbst wenn die Tochtergesellschaft wiederum die Dienste der US-Muttergesellschaft in Anspruch nimmt. Wenn bspw. eine US-Behörde gestützt auf den US CLOUD Act mit seiner extraterritorialen Wirkung ein Auskunftsgesuch an eine Europäische Tochtergesellschaft eines US-Anbieters richten möchte und hierfür auch die notwendigen Voraussetzungen erfüllt sind, bedeutet dies noch nicht, dass ein solches Gesuch praktisch durchsetzbar ist. Kollidiert das Gesuch der US-Behörde mit dem für die Tochtergesellschaft geltenden Schweizer Recht, ist es wahrscheinlich, dass das Gesuch von der Tochtergesellschaft ignoriert wird. Im Gegensatz zum US CLOUD Act gilt die ebenfalls viel diskutierte Section 702 FISA gemäss h.L. nur für Datenerhebungen auf US-amerikanischem Hoheitsgebiet. Liegen Daten also auf Servern in der Schweiz, wäre ein Zugriff auf Daten gestützt auf Section 702 FISA gar nicht erst möglich.

c) Risikobasierter Ansatz

Das Risiko eines Zugriffs auf Personendaten durch US-Behörden ist erfahrungsgemäss sehr gering, kann aber nicht gänzlich ausgeschlossen werden. Es wäre also theoretisch möglich, dass es beim Einsatz von Cloud-Lösungen eines ausländischen Hyperscalers zu einem Zugriff (aus den USA) kommt, selbst wenn die Daten auf einem Server in der Schweiz liegen und die Tochtergesellschaft des Hyperscalers ihren europäischen Sitz in der Schweiz bzw. im EWR hat (z. B. um mit Hilfe der Muttergesellschaft ein technisches Problem zu lösen). Deshalb betrachten vereinzelte Behörden die Bekanntgabe von Personendaten in unsichere Drittstaaten als kritisch. Vorgebracht wird von kritischen Stimmen folglich, dass nur schon die reine Existenz einer unzureichenden rechtlichen Bestimmung im Empfängerstaat, die potenziell Zugriffe auf Daten zulassen könnte, für ein Bekanntgabeverbot sprechen müsste. Einige EU-Datenschutzbehörden verfolgen diesen absoluten Ansatz (auch «Null-Risiko-Ansatz») und sind der Meinung, dass selbst ein theoretisches Risiko eines solchen Lawful Access ein Verbot von Datentransfers in ausländische Clouds mit US-Konnex zur Folge haben müsse. Bspw. hat die österreichische Datenschutzbehörde (DSB) im Mai 2022 festgestellt, dass ein von Google verfolgter, risikobasierter Ansatz bei der Übermittlung von Personendaten in Drittländer unzulässig sei. Würde hierzulande dem absoluten Ansatz gefolgt, könnten Daten nur noch auf Rechenzentren ausgelagert werden, die im Inland bzw. im EWR stehen und von Schweizer oder EU-Anbietern betrieben werden. Es ist fraglich, ob die Schweiz einem solchen Ansatz in Zukunft folgen würde, denn der risikobasierte Ansatz ist ein Grundsatz des Datenschutzrechts, der in der Botschaft zum nDSG als «erste Leitlinie» der Revision bezeichnet wird. Auch ein kürzlich erschienener Bericht der Bundeskanzlei hält fest, dass den einschlägigen Bestimmungen des schweizerischen Datenschutzrechts nicht zu entnehmen ist, dass (für Behörden) ein risikobasierter Ansatz bei der Auftragsdatenbearbeitung oder bei der Auslandbekanntgabe unzulässig wäre.

2. Zwischenfazit

Nach dem Gesagten ist es sinnvoll, Daten auf Servern in der Schweiz zu speichern und zu bearbeiten. Auch wenn mit US-Cloud-Anbietern zusammengearbeitet wird, die potenziell Zugriff auf Personendaten haben können, wäre dieser bei der Standortwahl Schweiz immerhin erschwert. Weil davon ausgegangen wird, dass der Bau von Rechenzentren in der Schweiz zunehmen wird, stellt sich somit die Frage, wie mit den so entstehenden Umwelteinflüssen umzugehen ist, um dem Widerspruch «Datenschutz und Umweltschutz» zu begegnen. Im Folgenden wird daher aufgezeigt, wie der grüne Fussabdruck von energieintensiven Rechenzentren in der Schweiz beeinflusst werden könnte, indem rechtliche Impulse für nachhaltige Lösungen diskutiert werden.

IV. Regulierungsansätze

1. Regulierung de lege lata

a) Energieeffizienz und erneuerbare Energien

Art. 89 Abs. 2 Bundesverfassung (BV) sieht eine Grundsatzgesetzgebungskompetenz des Bundes im Bereich erneuerbarer Energien und Energieverbrauch vor. Die bundesrechtlichen Regeln beschränken sich somit auf allgemeine Prinzipien. Die Regelung konkreter Sachbelange sowie insbesondere der Vollzug obliegen den Kantonen. Art. 89 Abs. 3 BV enthält einerseits eine Gesetzgebungs- und andererseits eine Förderungskompetenz des Bundes zum Erlass von Vorschriften über den Energieverbrauch von Anlagen, Fahrzeugen und Geräten, insbesondere in den Bereichen des Energiesparens und der erneuerbaren Energien. Es handelt sich um eine umfassende Bundeskompetenz, welcher der Bund insbesondere durch den Erlass des Energiegesetzes (EnG) und des Stromversorgungsgesetzes (StromVG) nachgekommen ist. Gemäss der Bundesgesetzgebung ist grundsätzlich jede Energie möglichst sparsam und effizient zu verwenden sowie zu einem wesentlichen Anteil aus kosteneffizienten erneuerbaren Energien zu decken. Mindestanforderungen an die Effizienz beim Inverkehrbringen von Servern, Datenspeichern und Leistungstransformatoren stellen im Wesentlichen auf die EU-Gesetzgebung im besagten Bereich ab. Angesichts der umfassenden Regelungen scheint der Spielraum für kantonale Rechtsetzungsvorhaben beschränkt. Allerdings können Abgrenzungsschwierigkeiten entstehen, wenn Anlagen betroffen sind, die hauptsächlich in Gebäuden eingesetzt werden, da gemäss Art. 89 Abs. 4 BV v. a. die Kantone für Massnahmen, die den Verbrauch von Energie in Gebäuden betreffen, zuständig sind. Die im vorliegenden Aufsatz adressierten Datenverarbeitungsanlagen werden (ausschliesslich) in Gebäuden betrieben, weshalb die Kantone für deren Energieeffizienz zuständig sein werden. Dieses Argument wird dadurch verstärkt, dass die kantonalen Energiegesetze i.d.R. spezifische Bestimmungen für Grossverbraucheranlagen vorsehen. Bspw. können sie verpflichtet werden, ihren Energieverbrauch zu analysieren und diese Informationen den Gemeinden zu deren Energieplanung offenzulegen und periodisch Energiebetriebsoptimierungen vorzunehmen oder sie können Vereinbarungen mit den zuständigen kantonalen Behörden zur Einhaltung des Energieverbrauchs schliessen. Die rechtlichen Grundlagen lassen dabei einen relativ grossen Spielraum der zuständigen kantonalen Behörde zu.

b) Abwärmenutzung

Abwärme ist Wärme, die von Lebewesen oder technischen Geräten erzeugt und an die Umgebung abgegeben wird. Fällt bei einem Prozess Abwärme an, kann danach unterschieden werden, ob diese dem gleichen Prozess wieder zugeführt wird (Wärmerückgewinnung) oder ob sie für einen anderen Prozess wiederverwendet wird (Abwärmenutzung). Insbesondere grosse Industrieunternehmen setzen bereits heute auf die Weitergabe von Abwärme und auch für Rechenzentren wird ihr Potenzial betont. Art. 50 lit. c EnG sieht vor, dass der Bund im Bereich der Energie- und Abwärmenutzung Massnahmen zur «Nutzung der Abwärme, insbesondere von […] Dienstleistungs- und Industrieanlagen sowie zur Verteilung der Abwärme in Nah- und Fernwärmenetzen» unterstützt. Die entsprechenden vorgesehenen Finanzierungsmöglichkeiten stehen auch den Betreiberinnen von Rechenzentren — die als Dienstleistungsanlagen aufzufassen sind — offen. Die kantonalen Energiegesetze erwähnen das Thema Abwärme jeweils an mehreren Stellen. Grundsätzlich ist die Abwärme zu nutzen, soweit möglich und ökologisch sinnvoll. Sodann existieren Bestimmungen, bei denen Betreiberinnen von Infrastrukturanlagen, deren Bauten im Finanz- und Verwaltungsvermögen des Kantons liegen, zur Abwärmenutzung verpflichtet werden können (Vorbildfunktion der öffentlichen Hand). Eine generelle Verpflichtung zur Abwärmenutzung existiert jedoch nicht. Hervorzuheben ist eine Regelung «light» im Kanton Luzern. Diese sieht vor, dass beim Bau oder bei der Erneuerung von Anlagen in Dienstleistungsbetrieben — d. h. auch Rechenzentren — Einrichtungen zur Rückgewinnung der Abwärme zu installieren sind, jedoch nur, soweit technisch und betrieblich möglich sowie wirtschaftlich tragbar. Die im Betrieb nicht benötigte Abwärme soll sodann (nach Möglichkeit) an Dritte abgegeben werden.

2. Regulierung de lege ferenda

a) Energieeffizienz und erneuerbare Energien

Laut einem Greenpeace-Bericht von 2017 beziehen viele grössere Rechenzentren (weltweit) nur einen kleinen Teil ihrer Energie aus erneuerbaren Quellen. Rechenzentren in der Schweiz hingegen setzen bereits heute zu einem grossen Teil auf erneuerbare Energien. Kohlenstoff-Kompensationen und der reine Bezug erneuerbarer Energien können für Rechenzentren künftig jedoch voraussichtlich nicht ausreichen, um die Umweltanforderungen zu erfüllen. Im Zentrum wird wohl generell die Verbesserung der Energieeffizienz stehen. Deshalb werden bereits verfügbare Effizienztechnologien in den Bereichen Kühlung, Stromversorgung und Betrieb von IT-Hardware eingesetzt. Weiter könnten die öffentliche Verwaltung sowie Unternehmen bei der Auswahl und Beschaffung von Public-Cloud-Diensten verpflichtet werden, stärker auf die Nachhaltigkeit der Cloud-Anbieter zu achten und das Kriterium der Nutzung erneuerbarer Energien besonders vorteilhaft zu gewichten. Dies setzte allerdings voraus, dass die Betreiberinnen von Rechenzentren verpflichtet würden, Informationen über ihren Energieverbrauch und ihre Energieeffizienz zu veröffentlichen. Dazu müsste wohl eine einheitliche, standardisierte, transparente Nachhaltigkeitsbewertung verpflichtend werden. Diese Bewertung müsste sodann auch unabhängig, z. B. durch eine zuständige Behörde oder eine spezifische Kommission, überprüfbar sein. Um den Energieverbrauch einzuordnen, könnte ein Energieeffizienzlabel sodann Unterstützung bieten. Da insbesondere die Kantone für Massnahmen, die den Verbrauch von Energie in Gebäuden betreffen, zuständig sind, könnten die wesentlichen Anforderungen sodann in den kantonalen Energiegesetzen verankert werden. Neben gesetzlichen Vorschriften spielt auch die Selbstregulierung der Unternehmen eine entscheidende Rolle, Energiesparmassnahmen umzusetzen.

b) Abwärmenutzung

Da Rechenzentren sehr viel Wärme erzeugen, wird verschiedentlich die Möglichkeit diskutiert, diese weiterzuverwenden, um Büro- und Wohngebäude zu beheizen oder Warmwasser zu erzeugen. Dies wäre besonders sinnvoll, da Rechenzentren häufig in Stadtnähe oder sogar in einer Stadt selbst gebaut werden, wodurch Energieverluste durch kurze Transportwege vermieden werden. Allerdings reicht die Abwärme von Rechenzentren (bislang) nicht vollständig für Heizungssysteme aus. Konkret könnte die Abwärme von Rechenzentren jedoch durch deren Einspeisung in Nah- und Fernwärmenetze genutzt werden. Generell wäre es sinnvoll, die Abwärme zur Beheizung von Einrichtungen zu nutzen, die das ganze Jahr über hohe Temperaturen benötigen. Mit Blick auf das anzunehmende starke Wachstum von Rechenzentren in der Schweiz scheint es geboten, die Nutzung der von Rechenzentren erzeugten Abwärme künftig auf kantonaler Ebene rechtlich verbindlich einzuführen und nicht nur mit finanzieller Unterstützung, wie dies die im Rahmen dieses Beitrags untersuchten rechtlichen Grundlagen vorsehen, zu fördern. Die Möglichkeit, Abwärme zu nutzen, hängt von verschiedenen — u. a. lokalen — Gegebenheiten ab, womit zu klären wäre, welche Voraussetzungen im jeweiligen Kanton vorhanden sein müssten, um eine Verpflichtung einzuführen. Neben der Weiterentwicklung und Ergänzung von rechtlichen Grundlagen steht sodann die Förderung von Information und Aufklärung der Betreiberinnen von Rechenzentren im Fokus. Diese müssen mehr und besser über die bestehenden Möglichkeiten zur Nutzung von Abwärme informiert werden. Gleichzeitig muss die Forschung in diesem Bereich gefördert werden, um technische Systeme zu entwickeln und Innovationen zu fördern, um die Kühlungs- bzw. Stromkosten so gering wie möglich zu halten und die Abwärmenutzung zu verbessern.

V. Fazit und Ausblick

Aus datenschutzrechtlicher Sicht macht es Sinn, dass künftig entweder Rechenzentren von Schweizer Anbietern ohne Auslandbezug genutzt werden oder — falls mit Cloud-Lösungen ausländischer Anbieter gearbeitet wird — die Daten zumindest auf Servern in der Schweiz gespeichert werden, um einen möglichen Zugriff ausländischer Behörden immerhin zu erschweren. Die Einführung kantonaler Bestimmungen, die Rechenzentren zur Umsetzung umweltschonender Massnahmen zu verpflichten, scheint insbesondere mit Blick auf den wachsenden Energiebedarf der Gesellschaft und somit den Ausbau der IKT-Infrastruktur geboten. Im Endeffekt tut die Schweiz gut daran, beim umweltfreundlich ausgestalteten Einsatz von Rechenzentren eine internationale Vorreiterrolle einzunehmen, um den Innovationsstandort Schweiz unter Wahrung der Umweltschutzziele für Rechenzentren weiter zu etablieren. In Bezug auf die allgemein rasant fortschreitende Digitalisierung ist es besonders wichtig, deren Auswirkungen auf die Umwelt rechtlich zu erfassen — nicht zuletzt, um Dilemmata wie «Umweltschutz vs. Datenschutz» zu begegnen.

Anne-Sophie Morand, Liliane Obrecht; sui generis 2022, S. 207

https://doi.org/10.21257/sg.221

http://creativecommons.org/licenses/by-sa/4.0/

Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.


© Swiss Infosec AG 2024