US Cloud Act - Bedeutung für Schweizer Unternehmen

US‑Plattformen sind für Schweizer Unternehmen kein Tabu – aber sie bewegen sich in einem juristischen Spannungsfeld, das Verwaltungsräte, CEOs und CTOs aktiv steuern müssen, statt es an die IT zu delegieren. Der folgende Artikel richtet sich an die Führungsebene und zeigt, warum das Thema CLOUD Act inzwischen Chefsache ist.

Nur rund 30 % der Schweizer VR-Gremien verfügen über dedizierte Digitalkompetenz. In einer Zeit, in der US-Gesetze wie der Cloud Act die Souveränität Ihrer Firmendaten direkt herausfordern, ist IT-Expertise keine "Support-Funktion" mehr – sie ist eine Pflicht der Oberaufsicht.

1. Was der US CLOUD Act wirklich bedeutet

Der US CLOUD Act verpflichtet US‑Clouddienstanbieter, den zuständigen US‑Strafverfolgungsbehörden Zugang zu Kundendaten zu geben – auch dann, wenn diese Daten ausserhalb der USA gespeichert sind. Betroffen sind insbesondere grosse US‑Konzerne wie Microsoft, Google, Amazon Web Services oder Meta, aber auch kleinere US‑SaaS‑Anbieter.

Kernpunkte

• US‑Behörden können über US‑Anbieter auf Daten zugreifen, die physisch in der Schweiz oder der EU liegen.

• Der übliche Weg über die internationale Rechtshilfe wird teilweise umgangen; der Zugriff erfolgt direkt über den Provider.

• Unternehmen im Einflussbereich des CLOUD Act geraten damit potenziell in einen Konflikt zwischen US‑Recht und lokalem Datenschutzrecht (DSG, DSGVO).

Das Bundesamt für Justiz hat in einem Gutachten festgehalten, dass der CLOUD Act einen Paradigmenwechsel darstellt und mit den Prinzipien des traditionellen Rechtshilferechts nur schwer vereinbar ist. Für Schweizer Unternehmen bedeutet das: Wer US‑Plattformen nutzt, holt dieses Spannungsfeld in seine eigene IT‑Landschaft.​

2. Schweizer Rechtslage: DSG gilt – auch bei US‑Clouds

Unabhängig vom CLOUD Act gilt für Schweizer Unternehmen das revidierte Datenschutzgesetz (DSG). Es verlangt u.a. Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung und angemessene Datensicherheit. Wer Daten in die Cloud auslagert, bleibt Verantwortlicher im Sinne des DSG – der Cloud‑Anbieter ist bloss Auftragsbearbeiter.admin​

Wesentliche Punkte für die Praxis

• Auslandsbekanntgabe: Sobald ein Anbieter einem ausländischen Recht untersteht oder Daten ausserhalb der Schweiz bearbeitet, liegt eine Datenbekanntgabe ins Ausland vor, die rechtlich abzusichern ist.

• Sorgfaltspflichten: Unternehmen müssen die Risiken ausländischer Zugriffe (inkl. CLOUD Act) im Rahmen von Risiko‑ und Schutzbedarfsanalysen berücksichtigen.​

• Verträge: Auftragsbearbeitungsverträge, Standardvertragsklauseln und technische/organisatorische Massnahmen (TOM) müssen auf diese Risiken reagieren – blosse Marketing‑Aussagen zu «Schweizer Rechenzentren» genügen nicht.

Eine Datenherausgabe an US‑Behörden gestützt auf den CLOUD Act ist aus grundrechtlicher und datenschutzrechtlicher Sicht «sehr heikel», wie die Analyse zum Gutachten des Bundesamts für Justiz festhält. Das ändert nichts daran, dass Schweizer Unternehmen primär an das DSG gebunden bleiben – auch wenn ihr Provider parallel US‑Recht erfüllen muss.​

3. Was Schweizer Behörden zu US‑Clouds sagen

3.1 Bundesrat und zentrale Verwaltung

Der Bund hat in Dokumenten zum rechtlichen Rahmen für Public‑Cloud‑Nutzung festgehalten, dass bei Public‑Cloud‑Diensten mit ausländischem Bezug zusätzliche Risiken bestehen, insbesondere durch ausländische Gesetzgebung mit extraterritorialer Wirkung. Diese Risiken sind explizit in die Rechts‑ und Sicherheitsbeurteilung einzubeziehen, bevor ein Dienst gewählt wird.​

Die Botschaft an Unternehmen: Die Nutzung von Public Clouds – insbesondere mit US‑Bezug – ist kein Standardentscheid, sondern erfordert eine strukturierte Risiko‑ und Rechtsanalyse.

​

3.2 Kantonale Datenschutzbehörden und Fachstellen

Die Datenschutzbeauftragten und Fachstellen in den Kantonen werden zunehmend deutlich:

• Die Datenschutzstelle des Kantons Zürich beschreibt den CLOUD Act explizit als Gesetz, das die internationale Rechtshilfe umgeht, welche ein wesentlicher Eckpfeiler des Schweizer Rechtsstaats ist.​

• Leitfäden (z.B. zu Microsoft 365 in Gemeinden) verlangen, dass besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Daten nur dann in US‑Plattformen verarbeitet werden dürfen, wenn der Anbieter keinen Zugang zu den Schlüsseln hat (starke Verschlüsselung, eigene Schlüsselhoheit).​

• In Fachartikeln und Stellungnahmen wird darauf hingewiesen, dass US‑Clouds für gewisse Datenkategorien faktisch ausscheiden oder nur in stark «entkoppelten» Architekturen zulässig sind.

Damit ergibt sich kein generelles Verbot von US‑Plattformen in der Schweiz – aber eine klare Linie: Je sensibler die Daten, desto höher die Anforderungen und desto eher scheidet eine direkte, unverschlüsselte Nutzung aus.

4. Nutzung von Microsoft, Google & Co.: Verstoss gegen Behördenwarnungen?

Die zentrale Frage vieler Führungsgremien lautet: Bedeutet die weitere Nutzung von US‑Plattformen in der Schweiz einen Verstoss gegen die expliziten Mahnungen der Behörden?

Die Antwort ist differenziert:

• Nicht per se rechtswidrig: Die blosse Nutzung von US‑Software ist weder im Privatsektor noch in der öffentlichen Hand generell verboten.

• Aber: Risiko bewusster Ignorierung von Warnungen: Wenn sensible oder geheimhaltungspflichtige Daten ohne zusätzliche Schutzmassnahmen in US‑Clouds verarbeitet werden, obwohl Behörden seit Jahren explizit vor genau diesem Risiko warnen, bewegt man sich faktisch gegen die Linie der Aufsichtsbehörden.

Die Aufsichtsbehörden betonen, dass gerade bei besonders schützenswerten Daten und Berufs‑/Amtsgeheimnissen ein Einsatz internationaler Clouds nur zulässig ist, wenn der Cloud‑Anbieter technisch keinen Zugriff auf die Inhalte hat (starke Ende‑zu‑Ende‑Verschlüsselung mit eigener Schlüsselhoheit, ggf. zusätzliche Zwischenschichten). Wer in solchen Fällen trotzdem «nackt» in die US‑Cloud geht – also ohne ausreichende Verschlüsselung, ohne Datenklassifizierung, ohne Risikoanalyse – handelt nicht nur fahrlässig, sondern ignoriert im Ergebnis die dokumentierten Empfehlungen der Behörden.

Für Verwaltungsrat und Geschäftsleitung ist das weniger eine IT‑ als eine Governance‑Frage: Man kann US‑Plattformen nutzen, aber nicht mehr ohne bewusstes, dokumentiertes und begründetes Risikomanagement.

5. Strategische Konsequenzen für VR, CEO und CTO

5.1 Daten‑ und Risikoklassifizierung

Unternehmen benötigen eine geschäftsorientierte Datenklassifizierung (z.B. öffentlich, intern, vertraulich, streng vertraulich), verbunden mit klaren Cloud‑Regeln:

• Welche Klassen dürfen in US‑Clouds?

• Welche nur verschlüsselt mit eigener Schlüsselhoheit?

• Welche bleiben zwingend in souveränen Schweizer oder EU‑Lösungen ohne US‑Einfluss?

Solche Modelle werden in Beratungs‑ und Fachbeiträgen zu CLOUD‑Act‑Risiken für Schweizer KMU explizit empfohlen.

5.2 Architektur‑ und Anbieterwahl

Die Praxis zeigt sich in mehreren Mustern:

• Multi‑Cloud‑Strategien mit Trennung von kritischen und weniger kritischen Workloads.kmu-digitalisierung​

• Einsatz von Schweizer oder EU‑Anbietern ohne US‑Mutter für besonders schützenswerte Daten, während Standard‑Office‑Workloads auf grossen Plattformen laufen.

• Nutzung von Verschlüsselungsgateways, Double‑Key‑Encryption oder ähnlichen Modellen, um US‑Dienste zu nutzen, ohne den Klartext preiszugeben.

Diese Ansätze reduzieren die Angriffsfläche des CLOUD Act, ohne vollständig auf die Vorteile grosser Cloud‑Ökosysteme zu verzichten.​

5.3 Governance, Dokumentation und Haftung

Aus Sicht von Verwaltungsrat und Geschäftsleitung sind drei Punkte entscheidend:

• Es braucht eine dokumentierte Cloud‑Strategie, die das Spannungsfeld DSG – CLOUD Act explizit adressiert.

• Die Auswahl und der Einsatz von US‑Plattformen müssen nachvollziehbar begründet, regelmässig überprüft und bei veränderten Rahmenbedingungen angepasst werden.

• Die Verantwortung kann nicht an den Provider delegiert werden: Marketing‑Versprechen ersetzen keine eigene Risiko‑ und Rechtsprüfung.

Wer diese Hausaufgaben nicht macht, muss sich im Konfliktfall die Frage gefallen lassen, warum er bekannte und gut dokumentierte Risiken nicht ernst genommen hat.

6. Fazit: Nutzung von US‑Plattformen – ja, aber nur mit klarer Linie

US‑Plattformen bleiben in vielen Szenarien wirtschaftlich attraktiv und technisch führend. Für Schweizer Unternehmen ist ihr Einsatz jedoch nur dann verantwortbar, wenn:

• die rechtlichen Konflikte mit dem CLOUD Act verstanden und aktiv gemanagt werden,

• sensible Daten technisch so geschützt sind, dass der Anbieter keinen Klartextzugriff hat,

• Governance, Verträge und Architektur das Spannungsfeld DSG–CLOUD Act ausdrücklich berücksichtigen.

Anders formuliert: Die Frage ist nicht mehr, ob der CLOUD Act relevant ist, sondern wie die Unternehmensführung darauf reagiert – und ob die gewählten Lösungen einer kritischen Nachprüfung durch Behörden, Kunden und Gerichte standhalten würden...

Quellen und weiterführende Informationen

• Bundesamt für Justiz – Gutachten zum US CLOUD Act (inkl. Analyse der Vereinbarkeit mit Schweizer Recht):
  MLL Legal, «Gutachten des Bundesamts für Justiz zum US CLOUD Act»
  https://www.mll-news.com/gutachten-des-bundesamts-fuer-justiz-zum-us-cloud-act/mll-news​

• Datenschutzbeauftragter Kanton Zürich – Definition und Bewertung des CLOUD Act:
  «CLOUD Act | DSB Kanton Zürich»
  https://www.datenschutz.ch/lexika/grundbegriffe-und-definitionen/cloud-actdatenschutz​

• Überblicksartikel zu Risiken des CLOUD Act für Schweizer Unternehmen:
  Eyevip Blog, «Der Cloud Act: welche Gefahren für Schweizer Firmen …»
  https://blog.eyevip.com/cloud-acteyevip​

• Auswirkungen des US CLOUD Act auf Schweizer und europäische Unternehmen, Praxisempfehlungen:
  KMU‑Digitalisierung, «Der US Cloud Act und seine Auswirkungen auf Unternehmen in der Schweiz und Europa»
  https://kmu-digitalisierung.agency/der-us-cloud-act-und-seine-auswirkungen-auf-unternehmen-in-der-schweiz-und-europa/kmu-digitalisierung​

• Rechtlicher Rahmen für die Nutzung von Public‑Cloud‑Diensten in der Bundesverwaltung (übertragbare Prinzipien für Unternehmen):
  Bundeskanzlei, «Rechtlicher Rahmen für die Nutzung von Public‑Cloud‑Diensten»
  https://www.bk.admin.ch/ (Suchbegriff: «Rechtlicher Rahmen Public‑Cloud»)admin​

• Einschätzungen der Schweizer Datenschutzbehörden zur Cloud‑Nutzung durch Ämter (inkl. Alternativen in der Schweiz):
  Metanet, «Cloud-Nutzung: Datenschützer raten Behörden zur …»
  https://www.metanet.ch/de/blog/schweizer-datenschutzbehoerden-schraenken-cloud-nutzung-fuer-aemter-drastisch-einmetanet​

Als IT-Bauherrenvertreter begleite ich KMU bei der strategischen Digitalisierung.

Mein Anspruch ist es, Technologie nicht isoliert, sondern entlang der gesamten Wertschöpfungskette des Unternehmens wirksam zu machen.

Blog für strategische Digitalisierung und IT‑Projekte mit messbarem Mehrwert für mehr Unternehmenserfolg.

Gerne gebe ich Ihnen nützliche Tips und Praxis-Beispiele und halte Sie zu wichtigen Themen wie Künstliche Intelligenz (KI), Datenschutz und Datensicherheit auf dem Laufenden.

Ich stelle meine langjährige Expertise im Bereich der strategischen Digitalisierung mit Engagement, Begeisterung und unternehmerischer Sichtweise in den Dienst Ihres Unternehmens.

Es würde mich freuen, Sie persönlich kennen zu lernen und ich danke Ihnen vielmals, wenn Sie diesen Blog weiterempfehlen.

Ihr IT-Bauherrenvertreter

Kontaktieren Sie mich

Lucas Jenni ist ein erfahrener Leader und Consultant, der über viele Jahre in verschiedenen Führungspositionen und zahlreichen Projekten Erfahrungen gesammelt hat, die Ihnen nützen könnten.

Gerne lerne ich Sie und Ihr Unternehmen persönlich kennen und freue mich auf einen ersten Austausch:

lj@it-bauherrenvertretung.ch
Telefon + 41 79 641 17 76