Der US CLOUD Act und Ihre Daten: Leitfaden für die Schweiz

Viele Schweizer Unternehmen gehen davon aus, dass Daten «in der Schweiz» automatisch geschützt sind. Beim US CLOUD Act stimmt das nicht unbedingt. Dieser Leitfaden erklärt, warum — und was das für KI-Projekte heisst. Er ist keine Rechtsberatung.

Was der CLOUD Act tut

Der Clarifying Lawful Overseas Use of Data Act (2018) verpflichtet US-Unternehmen, auf Anordnung Daten an US-Behörden herauszugeben — unabhängig davon, wo die Daten gespeichert sind. «Es spielt keine Rolle, ob das Rechenzentrum in Bern, Frankfurt oder Paris steht» (Infomaniak). Entscheidend ist die rechtliche Kontrolle über den Anbieter, nicht der physische Standort der Server.

Das Risiko ist real, aber bedingt — es bedeutet keinen generellen Dauerzugriff, sondern einen möglichen Zugriff im Rahmen rechtlicher Anordnungen.

Warum die Schweizer Cloud-Region nicht reicht

Alle drei grossen Hyperscaler sind US-Unternehmen:

• Microsoft Azure betreibt Switzerland North (Zürich) und Switzerland West (Genf) seit Ende 2019; bis August 2024 nutzten über 50’000 Firmen die Schweizer Cloud (Microsoft).
• Google Cloud hat eine Region im Raum Zürich (europe-west6).
• AWS hat keine eigene Schweizer Region und bedient die Schweiz aus Paris und Frankfurt (Exoscale).

In allen Fällen gilt: Schweizer Datenresidenz ja — aber der Betreiber untersteht dem CLOUD Act. Das ist der Kern des Unterschieds zwischen Residenz und Souveränität.

Das Swiss–US Data Privacy Framework regelt nur die Übermittlung

Am 14. August 2024 anerkannte der Bundesrat die Angemessenheit des Swiss–US Data Privacy Framework; es wurde am 15. September 2024 wirksam (edoeb.admin.ch). Seither sind Übermittlungen an DPF-zertifizierte US-Firmen ohne Zusatzgarantien zulässig; für nicht zertifizierte Anbieter bleiben Standardvertragsklauseln plus Risikoabschätzung Pflicht (Lenz & Staehelin).

Wichtig: Das DPF regelt die datenschutzrechtliche Zulässigkeit der Übermittlung — es hebt den behördlichen Zugriff nach CLOUD Act nicht auf. Zudem stützt es sich auf dieselbe US-Architektur wie das EU–US DPF, die rechtlich angefochten wird; die Dauerhaftigkeit ist also nicht garantiert.

Was Schweizer Unternehmen tun können

Wer Bank- oder Berufsgeheimnis trägt oder besonders sensible Daten verarbeitet, hält die Daten am besten ausserhalb des Einflussbereichs eines US-Anbieters:

• Swiss Hosting bei einem Schweizer Anbieter ohne US-Mutter;
• Self-Hosting der Plattform in der eigenen Cloud mit eigenen Schlüsseln;
• lokale Inferenz, bei der die Daten das Gerät nie verlassen.

osFoundry ist für genau diese Architekturen gebaut — BYOK, BYO Cloud und lokale Modelle. Welche Stufe nötig ist, zeigt der Leitfaden KI-Hosting in der Schweiz.

dgm beurteilt das CLOUD-Act-Risiko pro Anwendungsfall und baut die Architektur so, dass sensible Daten gar nicht erst in fremde Jurisdiktion gelangen. Die rechtliche Würdigung bleibt bei Ihnen.