US CLOUD Act: Warum eine Schweizer Cloud-Region noch keine Datenhoheit ist

Viele Schweizer Unternehmen glauben, ihre Daten seien sicher, sobald sie in einer Schweizer Region von Microsoft, Google oder AWS liegen. Rechtlich ist das ein Trugschluss, denn der US CLOUD Act reicht über Ländergrenzen hinweg.

Was ist der US CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act von 2018 verpflichtet Anbieter, die der US-Jurisdiktion unterstehen, Daten herauszugeben, die in ihrem Besitz oder unter ihrer Kontrolle stehen, unabhängig davon, in welchem Land die Server stehen. Massgebend ist also nicht der Standort der Daten, sondern ob der Anbieter dem US-Recht untersteht. Das gilt ausdrücklich auch für europäische Töchter von US-Konzernen.

Warum betrifft das die Schweiz?

Auch die Schweizer Rechenzentren der grossen Hyperscaler werden letztlich von US-Konzernen kontrolliert. Damit fallen die dort gespeicherten Daten potenziell unter den CLOUD Act, trotz Schweizer Adresse. Wie real das ist, zeigte sich im Juni 2025: Microsofts französische Tochter musste vor dem französischen Senat unter Eid einräumen, dass sie eine Herausgabe an US-Behörden auch für in Frankreich gespeicherte Daten nicht ausschliessen kann. Für Banken, Versicherungen, Anwältinnen, Ärzte, Treuhänder und Behörden, die Berufsgeheimnis, Bankkundengeheimnis oder das revidierte Datenschutzgesetz einhalten müssen, ist das ein reales Problem.

Datenstandort ist nicht Datenhoheit

Ein Server in Zürich allein schützt nicht, wenn der Betreiber einem fremden Recht untersteht. Zwar kann ein Anbieter eine Herausgabe-Anordnung theoretisch anfechten, wenn sie ausländisches Recht verletzt, doch die Beweislast liegt bei ihm, und ein solcher Einwand greift praktisch nur, wenn zwischen den USA und dem betroffenen Land ein entsprechendes Abkommen besteht. Solche Abkommen haben die USA bislang nur mit dem Vereinigten Königreich und Australien geschlossen, nicht mit der Schweiz. Datenhoheit entsteht erst, wenn Standort, Betreiber und Vertragsrecht in der Schweiz liegen, ohne ausländische Konzernmutter, die zur Herausgabe gezwungen werden kann.

Was Sie tun sollten

• Daten klassifizieren: Welche Informationen sind wirklich schützenswert oder reguliert?
• Für sensible Daten einen Anbieter wählen, der ausschliesslich Schweizer Recht und Schweizer Eigentum bietet.
• Verträge und Unterauftragnehmer prüfen, gerade bei Microsoft 365 und anderen Cloud-Diensten.
• Wo möglich mit eigenen Schlüsseln verschlüsseln, sodass der Anbieter die Daten nicht im Klartext sieht.

Der Punkt

Public Cloud ist praktisch und für viele Daten völlig in Ordnung, der CLOUD Act erlaubt kein willkürliches Massen-Abgreifen, sondern greift im Rahmen konkreter Strafverfahren. Aber bei allem, was die Schweiz nicht verlassen darf, zählt nicht die Aussage Daten in der Schweiz, sondern die Frage, wer im Ernstfall darauf zugreifen könnte, ohne Schweizer richterliche Kontrolle.