Alle Artikel
Datensouveränität3. Juli 20267 Min. Lesezeit

nDSG & US CLOUD Act: Das versteckte Datenschutz-Risiko Ihrer Cloud

Warum ein Server in Frankfurt oder Zürich Ihre Daten nicht vor dem US CLOUD Act schützt – und was Schweizer KMU nach revDSG konkret tun müssen. Mit Checkliste.

nDSG & US CLOUD Act: Das versteckte Risiko Ihrer Cloud

Es ist einer der hartnäckigsten Irrtümer im Schweizer Datenschutz: «Meine Daten liegen auf einem Server in Europa, also bin ich sicher.» Diese Annahme ist falsch – und sie kann teuer werden. Der Grund heisst US CLOUD Act, und er hebelt den Serverstandort als Schutzkriterium aus.

Was ist der US CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act ist ein US-Gesetz aus dem Jahr 2018. Es verpflichtet US-Unternehmen, gespeicherte Daten auf Anordnung von US-Behörden herauszugeben – unabhängig davon, wo auf der Welt diese Daten liegen.

Das bedeutet konkret: Ein US-Anbieter mit Rechenzentrum in Frankfurt oder sogar Zürich muss die Daten trotzdem an US-Behörden liefern, wenn diese es verlangen. Der physische Standort spielt keine Rolle – entscheidend ist, welchem Recht die Muttergesellschaft untersteht.

Warum das die meisten Schweizer KMU betrifft

Die gängigsten Cloud-Dienste sind US-Unternehmen. Wahrscheinlich nutzen Sie mehrere davon, ohne aktiv darüber nachgedacht zu haben:

  • Website oder App auf AWS, Vercel oder Netlify
  • Kundendatenbank in Firebase (Google)
  • Dokumente in Google Workspace oder Microsoft 365
  • Newsletter über Mailchimp
  • CRM in einem US-SaaS

Jeder dieser Dienste fällt unter den CLOUD Act. Die «EU-Region» in den Einstellungen ändert daran nichts.

Was das revDSG dazu sagt

Das revidierte Datenschutzgesetz (revDSG / nDSG) verlangt, dass die Bekanntgabe von Personendaten ins Ausland nur zulässig ist, wenn ein angemessener Schutz gewährleistet ist. Bei US-Anbietern ist das durch den CLOUD Act gerade nicht selbstverständlich. Sie müssen als verantwortlicher Betrieb:

  • offenlegen, wohin Daten fliessen (Informationspflicht),
  • geeignete Garantien sicherstellen (z.B. Standardvertragsklauseln – die den CLOUD Act aber faktisch nicht aushebeln),
  • und das Ganze im Bearbeitungsverzeichnis dokumentieren.

Bei Verstössen drohen Bussen bis CHF 250'000, ausgesprochen gegen die verantwortliche natürliche Person. Anders als bei der DSGVO haftet also nicht abstrakt «die Firma», sondern eine Person.

Die einzige echte Lösung: ein Anbieter unter Schweizer Recht

Standardvertragsklauseln und Verschlüsselung mildern das Risiko, lösen es aber nicht: Solange der Anbieter US-Recht untersteht, bleibt der Zugriff möglich. Die einzige Konstellation, in der der CLOUD Act nicht greift, ist ein Anbieter, der

  • ein Schweizer Unternehmen ist,
  • ausschliesslich Schweizer Recht untersteht,
  • und seine Rechenzentren in der Schweiz betreibt.

Der Schweizer Markt bietet solche Anbieter heute in reifer, ISO-27001-zertifizierter Form. Der pragmatische Weg für ein KMU ist, bestehende Systeme dorthin zu migrieren und betreuen zu lassen, statt selbst Infrastruktur aufzubauen.

Ihre Checkliste: In 5 Schritten zur Datensouveränität

1. Bestandsaufnahme: Listen Sie jeden Dienst auf, der Kundendaten speichert (Website, App, DB, Dateien, E-Mail, CRM, Newsletter).

2. Herkunft prüfen: Welche davon sind US-Unternehmen? (Faustregel: AWS, Google, Microsoft, Vercel, Netlify, Firebase, Mailchimp = ja.)

3. Risiko bewerten: Wo liegen besonders schützenswerte Daten (Gesundheit, Finanzen, Recht)?

4. Migrieren: Verlagern Sie die kritischen Dienste auf einen Schweizer Anbieter unter Schweizer Recht.

5. Dokumentieren: AVV abschliessen, Bearbeitungsverzeichnis und Datenschutzerklärung aktualisieren.

Fazit

Der Serverstandort ist ein Marketingversprechen, kein Rechtsschutz. Wer als Schweizer KMU sensible Daten verarbeitet, kommt am Wechsel zu einem Anbieter unter Schweizer Recht nicht vorbei – und sollte das angesichts der persönlichen Haftung eher früher als später angehen.

logixc übernimmt diesen Wechsel für Sie: von der Bestandsaufnahme über die Migration bis zur revDSG-Dokumentation. Mehr zu Swiss Hosting →

Projekt besprechen?

logixc berät KMUs in Basel, Zürich, Bern, Luzern, Zug und der ganzen Deutschschweiz.