fairlane.systems

Datenschutz & Datensouveränität

US Cloud Act vs. Schweizer Datenstandort: Warum CH/EU-Hosting für Mandantendaten zählt

Der US CLOUD Act erlaubt US-Behörden Zugriff auf Daten von US-Anbietern – auch in CH/EU-Rechenzentren. Was das für Mandantendaten und den Datenstandort bedeutet.

Recherche & Faktencheck: · Stand: 2026-06

Was ist der US CLOUD Act?

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde im März 2018 als Teil des Consolidated Appropriations Act vom US-Kongress verabschiedet und von Präsident Trump unterzeichnet. Er stellt klar, dass US-Anbieter elektronischer Kommunikations- und Cloud-Dienste auf gültige Anordnung von US-Behörden gespeicherte Daten herausgeben müssen – unabhängig davon, wo auf der Welt diese Daten physisch liegen.

Entscheidend ist der Anwendungsbereich. Der CLOUD Act erfasst einen Anbieter, wenn kumulativ zwei Voraussetzungen erfüllt sind: (a) US-Gerichte können über den Anbieter persönliche Zuständigkeit ("personal jurisdiction") ausüben – was bei hinreichenden Geschäftskontakten zu den USA der Fall ist, unabhängig vom Sitz; und (b) der Anbieter hat "possession, custody, or control" (Besitz, Gewahrsam oder Kontrolle) über die gesuchten Daten. Das Kontroll-Erfordernis ist ein substanzieller Filter und nicht mit blosser Geschäftspräsenz gleichzusetzen.

Für US-Konzerne mit EU-Rechenzentren (z. B. Microsoft Azure EU, AWS Frankfurt) greift der CLOUD Act klar, weil die US-Muttergesellschaft die Daten ihrer EU-Tochter kontrolliert – selbst wenn der Server in Zürich, Frankfurt oder Dublin steht. Für den umgekehrten Fall – ein europäischer Anbieter mit einer US-Tochtergesellschaft – reicht die blosse US-Präsenz der Tochter dagegen nicht aus, wenn diese keine faktische Kontrolle über die Daten der Mutter hat.

Der Standort des Rechenzentrums allein schützt also nicht. Massgeblich ist die rechtliche Kontrolle über die Daten, nicht die Geografie der Festplatte. Das ist der Kern, weshalb "Daten in der EU" bei einem US-Anbieter eine andere Aussage ist als "Daten unter Schweizer/EU-Jurisdiktion".

Warum das für Mandantendaten zählt

Treuhänder, Anwälte und KMU verarbeiten besonders sensible Mandantendaten: Steuerakten, Lohndaten, Geschäftsgeheimnisse sowie – je nach Mandat – Personendaten besonders schützenswerter Kategorien nach Art. 5 lit. c revDSG (z. B. Gesundheitsdaten, Angaben zu Strafverfolgung oder Sozialhilfe). Geschäftsgeheimnisse fallen dabei nicht unter den Katalog von Art. 5 lit. c revDSG, sondern unter allgemeinen Datenschutz und vertragliche Geheimhaltung. Für diese Daten bestehen mehrere überlagernde Pflichten – datenschutzrechtlich (revDSG), berufsrechtlich und vertraglich gegenüber dem Mandanten.

Wichtig ist die berufsrechtliche Einordnung: Das strafrechtliche Berufsgeheimnis nach Art. 321 StGB gilt nur für die dort abschliessend aufgezählten Berufe (u. a. Rechtsanwälte, Notare, Revisoren, Ärzte). Generische Treuhänder sind keine Kategorie nach Art. 321 StGB; ihre Vertraulichkeitspflichten ergeben sich aus dem Auftragsverhältnis (Vertrag), aus kantonalen bzw. branchenrechtlichen Regelungen und aus Standesregeln – nicht aus dem strafrechtlichen Berufsgeheimnis.

Ein US-Behördenzugriff über den CLOUD Act kann mit diesen Pflichten direkt kollidieren. Setzt ein Treuhänder einen US-Cloud-Anbieter ein und gibt dieser Daten auf US-Anordnung heraus, lässt sich das von der Schweiz aus weder kontrollieren noch zuverlässig verhindern – oft erfährt der Verantwortliche nicht einmal davon (Geheimhaltungsanordnungen, "gag orders").

Wichtig zur Einordnung: Seit dem 15. September 2024 ist das Swiss-U.S. Data Privacy Framework (DPF) in Kraft (Bundesratsbeschluss vom 14. August 2024). Es stellt für zertifizierte US-Empfänger ein angemessenes Datenschutzniveau im Sinne von Art. 16 Abs. 1 revDSG sicher und legitimiert damit die kommerzielle Datenübermittlung. Das Swiss-U.S. DPF ist ein eigenständiges Instrument und nicht identisch mit dem EU-US Data Privacy Framework (Beschluss der EU-Kommission vom 10. Juli 2023). *Hinweis: Das verwandte EU-US DPF ist Gegenstand eines hängigen Verfahrens vor dem EuGH (Berufung Latombe, Oktober 2025). Das Swiss-US DPF kann durch einen EuGH-Entscheid politisch unter Druck geraten; die Lage ist periodisch zu prüfen.*

Das DPF löst zudem nicht den Konflikt mit dem CLOUD Act: Es regelt die Zulässigkeit der Übermittlung, nicht den behördlichen Zugriff. US-Anordnungen nach CLOUD Act und FISA Section 702 (Stand Juni 2026: befristet verlängert, Reform/Verlängerung offen) bleiben auch bei DPF-zertifizierten Anbietern anwendbar. Datenstandort und Anbieterjurisdiktion sind deshalb weiterhin eigenständige Risikofaktoren.

*Dies ist keine Rechtsberatung. Für die Beurteilung des Einzelfalls ist eine fachkundige Prüfung erforderlich.*

Wie der Drittlandtransfer rechtlich funktioniert

Das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) regelt die Bekanntgabe von Personendaten ins Ausland in Art. 16 und 17. Grundregel (Art. 16 Abs. 1): Eine Übermittlung ist zulässig, wenn der Bundesrat festgestellt hat, dass der betreffende Staat ein angemessenes Datenschutzniveau gewährleistet. Die entsprechende Staatenliste findet sich in Anhang 1 der Datenschutzverordnung (DSV).

Alle EU/EWR-Staaten sind als angemessen anerkannt – Übermittlungen dorthin sind ohne Zusatzgarantien zulässig. Für die USA gilt seit dem 15. September 2024 die Angemessenheit nur für DPF-zertifizierte Empfänger; für nicht zertifizierte US-Empfänger besteht weiterhin kein angemessenes Niveau.

Fehlt ein Angemessenheitsbeschluss, ist eine Übermittlung nach Art. 16 Abs. 2 revDSG nur mit geeigneten Garantien zulässig – etwa Standarddatenschutzklauseln (vom EDÖB anerkannte SCC), verbindlichen unternehmensinternen Datenschutzvorschriften (BCR) oder einem Staatsvertrag. Hinzu kommt die aus Art. 16 Abs. 2 revDSG und dem Verhältnismässigkeitsgrundsatz (Art. 6 revDSG) abgeleitete Prüfpflicht: Der Verantwortliche muss sicherstellen, dass die vereinbarten Garantien im Zielstaat tatsächlich Wirkung entfalten (Transfer Impact Assessment, TIA), und gegebenenfalls zusätzliche Massnahmen (z. B. starke Verschlüsselung mit Schlüsselhoheit beim Verantwortlichen) ergreifen. Der EDÖB hat diese Anforderung in seiner Praxis übernommen – sachlich analog zum EuGH-Urteil Schrems II (C-311/18, 16. Juli 2020), das EU-Behörden direkt bindet, nicht aber Schweizer Recht.

Art. 17 revDSG enthält eng auszulegende Ausnahmen (u. a. ausdrückliche Einwilligung, Vertragserfüllung, überwiegende öffentliche Interessen, Geltendmachung von Rechtsansprüchen). Diese sind für den routinemässigen Cloud-Einsatz mit Mandantendaten in der Regel keine taugliche Grundlage.

Datenstandort prüfen – Schritt für Schritt

  1. 01Datenarten kartieren: Welche Mandantendaten sind betroffen, gibt es Personenbezug, besonders schützenswerte Daten (Art. 5 lit. c revDSG) oder eine Geheimhaltungspflicht (Berufsgeheimnis nach Art. 321 StGB bzw. vertragliche/standesrechtliche Vertraulichkeit)?
  2. 02Anbieter-Jurisdiktion klären: Untersteht der Anbieter (oder seine Muttergesellschaft) US-Recht und hat er Kontrolle über die Daten? Standort des Rechenzentrums getrennt von der rechtlichen Kontrolle bewerten.
  3. 03Transferpfad bestimmen: Liegt eine Angemessenheit nach Anhang 1 DSV vor (EU/EWR; USA nur bei DPF-Zertifizierung)? Wenn nein: geeignete Garantien nach Art. 16 Abs. 2 revDSG (SCC/BCR).
  4. 04Transfer Impact Assessment durchführen (Art. 16 Abs. 2 i. V. m. Art. 6 revDSG): Greifen Gesetze wie CLOUD Act oder FISA 702? Geben die Garantien tatsächlich Wirkung? Restrisiko dokumentieren.
  5. 05Zusatzmassnahmen festlegen: Verschlüsselung mit Schlüsselhoheit beim Verantwortlichen, Pseudonymisierung, Zugriffsbeschränkung; bei hoher Sensibilität CH/EU-Anbieter ohne US-Bezug wählen.
  6. 06Vertraglich absichern: Auftragsbearbeitungsvertrag nach Art. 9 revDSG, Datenstandort-Zusicherung, Benachrichtigungspflicht bei Behördenanfragen, im Bearbeitungsverzeichnis (Art. 12 revDSG) dokumentieren.
  7. 07Periodisch überprüfen: Rechtslage regelmässig neu bewerten – u. a. DPF-Status (hängiges EuGH-Verfahren Latombe), FISA-702-Status (Stand 2026 befristet/in Reform), PCLOB (Hinweis: Board seit Januar 2025 durch Entlassungen beschlussunfähig; eigenständige Überprüfung der US-Rechtslage erforderlich), Anbieterstruktur und Sub-Auftragsbearbeiter.

Wann CH/EU-Datenstandort die richtige Wahl ist

Ein Schweizer oder EU-Datenstandort bei einem Anbieter ohne US-Jurisdiktion ist die robusteste Option, wenn:

- Sie Mandantendaten mit besonderer Vertraulichkeitspflicht verarbeiten (Treuhand, Anwaltskanzlei, Steuerberatung) – hier wiegen der Vertraulichkeitsschutz und das Risiko verdeckter Behördenzugriffe besonders schwer; - Sie besonders schützenswerte Personendaten (Art. 5 lit. c revDSG) oder Geschäftsgeheimnisse von Mandanten halten; - Mandanten oder Auftraggeber vertraglich Schweizer/EU-Datenhaltung verlangen; - Sie das aufwendige Transfer Impact Assessment und die Garantien-Architektur für US-Transfers vermeiden wollen – mit einem CH/EU-Anbieter ohne US-Mutter entfällt die Drittland-Problematik weitgehend.

Für KI-Anwendungen mit Mandantendaten gilt dasselbe verschärft: Wer ein Sprachmodell oder eine RAG-Pipeline mit vertraulichen Akten betreibt, sollte Inferenz und Vektorspeicher bei einem Anbieter unter Schweizer/EU-Recht halten oder lokal/self-hosted betreiben, damit weder Trainings- noch Verarbeitungsdaten dem CLOUD-Act-Risiko ausgesetzt sind.

Wann der Datenstandort nicht das entscheidende Kriterium ist

Der Datenstandort ist kein Allheilmittel und sollte nicht überbewertet werden, wenn:

- die Daten keinen Personenbezug und keine Geheimhaltungspflicht haben (z. B. anonymisierte oder rein technische Daten) – dann steht der CLOUD-Act-Konflikt nicht im Vordergrund, und Funktionalität, Verfügbarkeit oder Kosten können legitim überwiegen; - der gewählte Anbieter zwar in CH/EU hostet, aber unter US-Jurisdiktion steht: Ein "EU-Rechenzentrum" eines US-Konzerns löst das Problem gerade nicht. Hier ist der reine Standort irreführend; - der Empfänger DPF-zertifiziert ist und die Verarbeitung kommerziell-unkritisch bleibt – die Übermittlung ist datenschutzrechtlich legitimiert, doch das CLOUD-Act-Restrisiko bleibt bestehen und muss separat bewertet werden.

Wichtig ist die saubere Trennung: Standort ≠ Jurisdiktion. Entscheidend ist, wer rechtlich auf die Daten zugreifen kann, nicht nur wo sie liegen. Zudem ersetzt der Datenstandort nie die übrigen Pflichten (Verschlüsselung, Zugriffskontrolle, Auftragsbearbeitungsvertrag nach Art. 9 revDSG, Bearbeitungsverzeichnis nach Art. 12 revDSG).

Häufige Fragen

Schützt ein EU-Rechenzentrum meine Daten vor dem US CLOUD Act?

Nicht zwingend. Der CLOUD Act knüpft an die US-Jurisdiktion über den Anbieter und dessen Kontrolle über die Daten an, nicht an den Speicherort. Hostet ein US-Konzern Ihre Daten in einem EU-Rechenzentrum, kann er auf gültige US-Anordnung dennoch zur Herausgabe verpflichtet sein. Schutz bietet erst ein Anbieter, der nicht der US-Jurisdiktion untersteht.

Hat das Swiss-U.S. Data Privacy Framework den CLOUD Act entschärft?

Nein. Das DPF (in Kraft seit 15. September 2024) stellt für zertifizierte US-Empfänger die datenschutzrechtliche Angemessenheit der Übermittlung sicher. Es ist ein eigenständiges Instrument (nicht identisch mit dem EU-US DPF) und regelt die kommerzielle Übermittlung, nicht den behördlichen Zugriff. Anordnungen nach CLOUD Act und FISA 702 bleiben auch gegenüber DPF-zertifizierten Anbietern anwendbar.

Was ist ein Transfer Impact Assessment und brauche ich es?

Es ist die im Schweizer Recht aus Art. 16 Abs. 2 i. V. m. Art. 6 revDSG abgeleitete Einzelfallprüfung, ob die Rechtslage im Zielstaat den vereinbarten Garantien (z. B. SCC) tatsächlich Wirkung verleiht. Der EDÖB folgt dieser Praxis – sachlich analog zum EuGH-Urteil Schrems II (C-311/18, 16. Juli 2020), das aber EU-Behörden bindet, nicht das Schweizer Recht. Bei Übermittlungen in Drittstaaten ohne Angemessenheit – insbesondere zu nicht DPF-zertifizierten US-Empfängern – ist es regelmässig erforderlich.

Gilt der CLOUD Act auch für KI-Dienste mit Mandantendaten?

Ja, wenn der KI-Anbieter der US-Jurisdiktion untersteht und Kontrolle über die Daten hat. Werden vertrauliche Akten über ein US-Sprachmodell oder eine US-gehostete RAG-/Vektor-Pipeline verarbeitet, fallen diese Daten unter dasselbe Zugriffsrisiko. Für vertrauliche bzw. geheimhaltungspflichtige Daten empfiehlt sich Inferenz und Speicherung bei einem CH/EU-Anbieter oder self-hosted.

Verwandte Themen

TIA · COMPLIANCEDrittlandtransfer und Transfer Impact Assessment (TIA): CH-Daten in US- und PRC-Cloud-LLMsrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetHETZNER · TECHHetzner als EU-Hosting für CH-Treuhand und KMU: Rechenzentren, Verträge, KostenWerkzeuge · Microsoft 365 CopilotMicrosoft 365 Copilot für Schweizer Treuhänder: Datenresidenz, Flex Routing & revDSG-Checkliste

Quellen

  1. CLOUD Act – Volltext und Übersicht, U.S. Department of Justice (Criminal Division, CLOUD Act Resources) · 2018-03-23
  2. revDSG Art. 16 (Bekanntgabe ins Ausland), Fedlex – Schweizerische Bundeskanzlei · 2023-09-01
  3. EDÖB – Neuer Datenschutzrahmen Schweiz–USA (Swiss-U.S. DPF), Medienmitteilung vom 15. August 2024 (Bundesratsbeschluss: 14. August 2024, in Kraft: 15. September 2024) · 2024-08-15
  4. EuGH, Urteil vom 16. Juli 2020, C-311/18 (Schrems II) – EUR-Lex · 2020-07-16
  5. EDÖB – Bekanntgabe von Personendaten ins Ausland (Staatenliste / Anhang 1 DSV) · 2024-09-15

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen