Stellen Sie sich vor, Sie nutzen Google Workspace für Ihre Geschäfts-E-Mails. Ihr Hosting-Anbieter ist Amazon Web Services, mit Serverstandort Frankfurt. Sie gehen davon aus, dass Ihre Daten unter Schweizer und europäischem Recht sicher sind.
Das stimmt nur teilweise. Weil Google und Amazon US-amerikanische Unternehmen sind, unterliegen sie dem CLOUD Act. Dieser gibt US-Behörden unter bestimmten Voraussetzungen das Recht, auf Daten zuzugreifen, die bei US-Unternehmen liegen, unabhängig davon, wo der Server physisch steht.
Das ist kein Randproblem für Grosskonzerne. Es betrifft jedes Schweizer Unternehmen, das Dienste von US-Anbietern nutzt.
Was ist der CLOUD Act?
Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz, das im März 2018 in Kraft trat. Er regelt, unter welchen Bedingungen US-amerikanische Strafverfolgungsbehörden auf digitale Daten zugreifen dürfen, die bei US-Unternehmen gespeichert sind.
Das Entscheidende am Wortlaut: US-Unternehmen sind verpflichtet, Daten auf Anfrage herauszugeben, unabhängig davon, in welchem Land die Daten physisch gespeichert sind.
Vor dem CLOUD Act gab es eine Rechtsunsicherheit: Mussten US-Unternehmen auch Daten herausgeben, die auf Servern in anderen Ländern lagen? Der CLOUD Act beantwortet diese Frage eindeutig mit ja.
Welche Unternehmen fallen darunter?
Der CLOUD Act gilt für alle Unternehmen, die unter US-amerikanische Rechtshoheit fallen. Das sind:
Alle in den USA gegründeten oder registrierten Unternehmen. Alle Unternehmen, die ihren Hauptsitz in den USA haben. Alle Tochtergesellschaften und Niederlassungen von US-Unternehmen.
In der Praxis betrifft das die grössten Technologieanbieter der Welt, die auch in der Schweiz weit verbreitet sind:
Cloud-Dienste: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform
Produktivitätssoftware: Google Workspace (Gmail, Drive, Docs), Microsoft 365 (Exchange, SharePoint, Teams, OneDrive)
Kommunikation: Zoom, Slack, WhatsApp, Dropbox
E-Commerce: Shopify (kanadisch, aber relevante US-Infrastruktur)
Wer einen oder mehrere dieser Dienste für Geschäftsdaten nutzt, hat Daten bei Unternehmen, die dem CLOUD Act unterliegen.
Was kann eine Behörde konkret verlangen?
US-Behörden wie das FBI oder das Department of Justice können über zwei Wege auf Daten zugreifen:
Direktanfrage an das Unternehmen: Eine US-Behörde stellt einen sogenannten "warrant" oder "subpoena" an ein US-Unternehmen aus. Das Unternehmen ist rechtlich verpflichtet, die angeforderten Daten herauszugeben, auch wenn sich die Daten auf einem Server in der Schweiz befinden.
Ohne Information der betroffenen Person: In vielen Fällen darf das Unternehmen die betroffene Person nicht darüber informieren, dass eine Behördenanfrage eingegangen ist. Die Datenweitergabe findet im Verborgenen statt.
Was angefordert werden kann: E-Mails, Dokumente, Kundendaten, Kommunikationsverläufe, Metadaten zu Kommunikation und Aktivitäten.
Warum ist das für Schweizer Unternehmen relevant?
Der CLOUD Act berührt zwei Grundprinzipien, die in der Schweiz besonders ernst genommen werden: Datensouveränität und Berufsgeheimnisse.
Datensouveränität
Das revidierte Schweizer Datenschutzgesetz (DSG) verpflichtet Unternehmen dazu, Personendaten zu schützen und sicherzustellen, dass sie nicht unbefugt weitergegeben werden. Wenn ein US-Unternehmen auf Anfrage einer US-Behörde Kundendaten herausgibt, ohne dass die betroffene Person davon weiss, ist das eine Weitergabe, die das datenverarbeitende Schweizer Unternehmen möglicherweise nicht verhindern kann.
Das schafft eine Grauzone: Das Schweizer KMU hat versucht, die Daten zu schützen, hat aber einen Dienstleister gewählt, der unter US-Recht zur Herausgabe verpflichtet sein kann.
Berufsgeheimnisse
Besonders problematisch ist der CLOUD Act für Berufsgruppen, die gesetzlich zur Verschwiegenheit verpflichtet sind: Anwälte, Ärzte, Treuhänder, Steuerberater.
Wenn eine Anwaltskanzlei Mandantendaten auf Google Drive oder Microsoft 365 speichert, liegen diese Daten bei einem Unternehmen, das sie unter Umständen an US-Behörden weitergeben muss. Das Anwaltsgeheimnis gilt nach Schweizer Recht, schützt aber nicht vor dem CLOUD Act.
Das gleiche gilt für Arztpraxen, die Patientendaten in US-Cloud-Diensten ablegen, oder für Treuhänder mit sensiblen Finanzdaten.
Was der CLOUD Act nicht ist
Es ist wichtig, die Bedrohung realistisch einzuschätzen und nicht zu übertreiben.
Der CLOUD Act ist kein Freifahrtschein für massenhafte Überwachung. Eine Anfrage muss auf einem rechtlichen Verfahren basieren, einem Haftbefehl, einer Vorladung oder einer gerichtlichen Anordnung. Die Hürde ist real, auch wenn sie aus Schweizer Sicht fremd erscheint.
Der CLOUD Act betrifft primär Strafverfolgungsanfragen, nicht wirtschaftliche Spionage oder beliebige Informationsbeschaffung.
Und: In der überwiegenden Mehrheit der Fälle werden Daten nie angefragt. Das Risiko ist trotzdem nicht theoretisch, sondern strukturell vorhanden.
Wie schützen Sie sich?
Es gibt keine vollständige Lösung, die alle Dienste abdeckt. Aber es gibt klare Massnahmen, die das Risiko erheblich reduzieren.
Für Hosting und Websitedaten
Wählen Sie einen Hosting-Anbieter, der nicht dem US-Recht unterliegt und dessen Server in der Schweiz stehen. Ein Schweizer Anbieter mit Serverstandort Schweiz ist nicht dem CLOUD Act unterworfen. US-Behörden müssten den deutlich aufwändigeren Weg über Schweizer Behörden und Rechthilfeverfahren gehen.
Das ist der einfachste und wirkungsvollste Schritt für Ihre Website und alle darauf gespeicherten Kundendaten.
Für Produktivitätssoftware
Das ist schwieriger. Google Workspace und Microsoft 365 sind tief in viele Unternehmen integriert. Vollständige Alternativen sind verfügbar, aber mit Umstellungsaufwand verbunden.
Schweizer Alternativen mit Serverstandort Schweiz gibt es zum Beispiel bei Proton (ProtonMail, ProtonDrive) oder bei verschiedenen Schweizer E-Mail-Anbietern. Für Kollaborationssoftware sind Open-Source-Lösungen wie Nextcloud auf eigenem Server eine datensouveräne Option.
Für besonders sensible Daten
Für Unternehmen mit gesetzlichem Berufsgeheimnis oder besonders schützenswerten Daten sollte die Devise sein: Sensible Daten gehören nicht in US-Cloud-Dienste, ohne eine klare rechtliche Analyse und vertragliche Absicherung.
Auftragsverarbeitungsverträge mit US-Anbietern lösen das CLOUD-Act-Problem nicht vollständig. Der Vertrag bindet das Unternehmen, aber nicht die US-Gerichte.
Was bedeutet das konkret für die Praxis?
Kein Unternehmen muss jetzt alle US-Dienste sofort abschalten. Aber es ist sinnvoll, sich bewusst zu sein, wo welche Daten liegen und welchem Recht der jeweilige Anbieter unterliegt.
Eine einfache Übung: Machen Sie eine Liste der Dienste, die Sie täglich für Geschäftsdaten nutzen. Notieren Sie dazu, ob der Anbieter ein US-Unternehmen ist. Überlegen Sie dann, welche dieser Daten besonders schützenswert sind.
Für die meisten KMU ergibt sich daraus ein klares Bild: Beim Hosting und bei besonders sensiblen Daten lohnt sich der Wechsel zu einem europäischen oder Schweizer Anbieter. Bei allgemeinen Kollaborationstools ist das Risiko für viele Unternehmen tolerierbar, solange man sich bewusst ist, dass es besteht.
Fazit
Der CLOUD Act ist keine abstrakte Bedrohung aus einem Hollywoodfilm. Er ist geltendes US-Recht mit konkreten Auswirkungen für alle, die Daten bei US-Unternehmen speichern.
Für Schweizer KMU, die Datenschutz ernst nehmen, ergibt sich eine klare Schlussfolgerung: Je weniger sensible Geschäftsdaten bei US-Anbietern liegen, desto sicherer ist die rechtliche Position. Beim Hosting ist der Wechsel zu einem Schweizer Anbieter die einfachste und direkteste Massnahme.
