Der US CLOUD Act — welche Gefahren für die Schweiz drohen

„Unsere Daten liegen in einem Schweizer Rechenzentrum, also sind sie sicher." Dieser Satz ist verbreitet — und gefährlich falsch. Der US CLOUD Act zeigt, warum der Datenstandort nicht über die Datenhoheit entscheidet.

Was ist der CLOUD Act?

Der „Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) ist ein US-Gesetz von 2018. Es verpflichtet US-Anbieter, US-Behörden auf Anordnung Zugriff auf gespeicherte Daten zu geben — unabhängig davon, wo auf der Welt diese Daten physisch liegen. Damit wurde der jahrelange Streit im Fall „Microsoft Irland" zugunsten der Behörden entschieden.

Betroffen sind nicht nur US-Firmen, sondern alle Anbieter mit hinreichendem US-Bezug — also auch europäische Töchter von US-Konzernen.

Warum der Datenstandort nicht schützt

Entscheidend ist nicht, WO die Daten liegen, sondern WER sie kontrolliert. Ob das Rechenzentrum in Zürich, Frankfurt oder Virginia steht, ändert nichts: Untersteht der Anbieter US-Recht, kann er zur Herausgabe gezwungen werden. Eine „Swiss Region" eines US-Hyperscalers ist also kein Schutzschild.

Wie der Zugriff abläuft

Im rechtsstaatlichen Normalfall läuft ein Zugriff über ein Rechtshilfeverfahren: Eine Schweizer Behörde prüft, dokumentiert und kontrolliert. Der CLOUD Act umgeht diesen Weg — die US-Behörde wendet sich direkt an den Anbieter. Häufig kommt eine Geheimhaltungsanordnung (Gag-Order) dazu: Der betroffene Kunde erfährt von der Herausgabe nichts.

Die Gefahren für die Schweiz

Konflikt mit dem Berufsgeheimnis. Anwälte und Ärzte (Art. 321 StGB) sowie Banken (Bankkundengeheimnis) müssen Vertraulichkeit garantieren — eine Herausgabe nach US-Recht kann diese Pflicht verletzen.

Datenschutz. Das revidierte Datenschutzgesetz (revDSG) verlangt Kontrolle über Personendaten. Ein verdeckter Zugriff ohne Schweizer Verfahren steht dazu im Widerspruch.

Strafrechtliche Zwickmühle. Wer Daten auf fremde Anordnung herausgibt, kann mit Art. 271 StGB (verbotene Handlungen für einen fremden Staat) oder Art. 273 StGB (wirtschaftlicher Nachrichtendienst) in Konflikt geraten — ein echtes Dilemma zwischen US- und Schweizer Recht.

Kein Abkommen. Anders als z. B. Grossbritannien hat die Schweiz kein CLOUD-Act-Vollzugsabkommen mit den USA, das Verfahren und Schutz regeln würde.

Abhängigkeit & Souveränitätsverlust. Wer Kerndaten einem US-Anbieter anvertraut, gibt ein Stück digitale Souveränität ab — besonders heikel für Behörden, Spitäler, Kanzleien, Banken und KMU mit sensiblen Daten.

Was man tun kann

Schutz ist möglich — er beginnt mit ehrlicher Bestandsaufnahme und einer bewussten Architektur-Entscheidung:

US-Nexus prüfen. Nicht nur den Serverstandort ansehen, sondern Eigentümer, Konzernmutter und Subunternehmer.

Daten klassifizieren. Zuerst das schützen, was wirklich heikel ist: Berufsgeheimnis, Bank-, Gesundheits- und Personendaten.

Souveräne Anbieter wählen. Schweizer oder EU-Anbieter ohne US-Kontrolle behalten die Hoheit über Betrieb und Zugriff.

Eigene Schlüssel (BYOK/HYOK). Verschlüsseln, sodass der Anbieter technisch nicht entschlüsseln kann — Vorsicht aber bei Metadaten und Schlüsselverwaltung.

On-Prem / Self-Hosting. Wer selbst hostet (wie dieser Blog), behält die volle Datenhoheit.

Verträge sind kein Schutz. US-Recht sticht den Vertrag — vertragliche Zusicherungen heben den CLOUD Act nicht auf.

Fazit

Digitale Souveränität ist eine bewusste Entscheidung, kein Standort-Versprechen. Für besonders schützenswerte Daten führt an souveränen Schweizer Lösungen oder Self-Hosting kaum ein Weg vorbei. Die zentrale Frage lautet nie nur „Wo liegen die Daten?", sondern immer „Wer kann darauf zugreifen — und nach wessen Recht?".