US-Cloud-Anbieter in der Schweiz: Rechtliche Fallstricke und praktische Lösungen

# US-Cloud-Anbieter in der Schweiz: Rechtliche Fallstricke und praktische Lösungen

Einleitung

Die Nutzung von Cloud-Diensten amerikanischer Anbieter wie Microsoft Azure, Amazon Web Services (AWS) oder Google Cloud Platform ist für Schweizer Unternehmen längst zur Normalität geworden. Doch während diese Dienste technologisch überzeugen und wirtschaftlich attraktiv sind, werfen sie komplexe rechtliche Fragen auf. Der **CLOUD Act**, das Schrems-II-Urteil des Europäischen Gerichtshofs und das Schweizer Datenschutzgesetz (DSG) schaffen ein Spannungsfeld, das KMU vor erhebliche Herausforderungen stellt. Dieser Artikel beleuchtet die rechtlichen Risiken bei der Nutzung von US-Cloud-Anbietern und zeigt praxisnahe Lösungsansätze für Schweizer Unternehmen auf.

Der CLOUD Act: Weitreichende Zugriffsbefugnisse für US-Behörden

Der **Clarifying Lawful Overseas Use of Data Act** (CLOUD Act) wurde 2018 in den USA verabschiedet und hat weltweit für Aufsehen gesorgt. Dieses Gesetz ermächtigt US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert oder verarbeitet werden – **unabhängig davon, wo sich die Server physisch befinden**. Das bedeutet konkret: Auch wenn Ihre Unternehmensdaten auf einem Server in Zürich oder Frankfurt liegen, können US-Behörden Zugriff verlangen, sofern der Cloud-Anbieter ein US-Unternehmen ist.

Betroffen sind insbesondere die Marktführer Microsoft, Amazon und Google, die zusammen einen Grossteil des globalen Cloud-Marktes dominieren. Für Schweizer KMU bedeutet dies ein erhebliches Risiko: Sensible Geschäftsdaten, Kundendaten oder Personaldaten könnten theoretisch ohne Wissen des Unternehmens an US-Behörden übermittelt werden. Zwar verpflichtet der CLOUD Act die Anbieter, die betroffenen Kunden zu informieren, doch in der Praxis kann diese Benachrichtigung verzögert oder in bestimmten Fällen sogar ganz unterlassen werden.

Besonders problematisch ist die Kombination des CLOUD Act mit **Section 702 des Foreign Intelligence Surveillance Act (FISA)**, die Massenüberwachungsmassnahmen ermöglicht. Diese Regelungen gelten aus Schweizer und europäischer Perspektive als unvereinbar mit den Grundsätzen des Datenschutzes, da sie weder eine hinreichende Verhältnismässigkeitsprüfung noch einen effektiven Rechtsschutz für Betroffene vorsehen.

Schrems II: Das Ende des Privacy Shield und die Folgen

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil, das als **Schrems II** bekannt wurde. Der Gerichtshof erklärte das **EU-US Privacy Shield** für ungültig – ein Abkommen, das bis dahin als rechtliche Grundlage für Datentransfers in die USA diente. Der Grund: Das Privacy Shield biete keinen ausreichenden Schutz vor Zugriffen durch US-Behörden und verstosse damit gegen europäisches Verfassungsrecht.

Für Schweizer Unternehmen hatte dieses Urteil zunächst keine unmittelbare rechtliche Wirkung, da der EuGH nicht für die Schweiz entscheidet. Doch faktisch hat Schrems II die Praxis grundlegend verändert. Die Schweiz hatte eine eigene Variante des Privacy Shield mit den USA ausgehandelt, doch nach dem EuGH-Urteil wurde klar, dass auch diese Lösung auf wackeligen Füssen steht. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) strich das Privacy Shield von seiner Länderliste, um die Chancen der Schweiz auf Erneuerung des Angemessenheitsbeschlusses durch die EU nicht zu gefährden.

Das Schrems-II-Urteil hatte jedoch noch eine zweite wichtige Dimension: Der EuGH bestätigte zwar die Gültigkeit der **Standardvertragsklauseln (Standard Contractual Clauses, SCC)** der Europäischen Kommission, machte aber deutlich, dass deren blosse Verwendung nicht ausreicht. Unternehmen müssen die konkreten Umstände jedes Datentransfers prüfen und bewerten, ob die Standardvertragsklauseln in Kombination mit den rechtlichen Rahmenbedingungen im Zielland tatsächlich einen angemessenen Schutz bieten. Ist dies nicht der Fall, sind **zusätzliche technische und organisatorische Massnahmen** erforderlich – oder der Datentransfer muss ganz unterbleiben.

Das Swiss-US Data Privacy Framework: Eine neue Hoffnung?

Als Reaktion auf die Aufhebung des Privacy Shield haben die Schweiz und die USA ein neues Abkommen ausgehandelt: das **Swiss-US Data Privacy Framework**. Dieses trat am 15. September 2024 in Kraft und soll sicherstellen, dass zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau bieten. Unternehmen, die sich diesem Rahmenwerk unterwerfen, verpflichten sich öffentlich und verbindlich, die Datenschutzanforderungen der Schweiz einzuhalten.

Doch Vorsicht: Das neue Framework ist kein Freifahrtschein. Kritiker weisen darauf hin, dass die zugrunde liegenden Probleme – insbesondere die weitreichenden Zugriffsbefugnisse der US-Behörden – nicht gelöst wurden. Es ist daher nicht auszuschliessen, dass auch dieses Abkommen in Zukunft vor Gericht angefochten und möglicherweise für ungültig erklärt wird. Schweizer Unternehmen sollten sich daher nicht ausschliesslich auf das Swiss-US Data Privacy Framework verlassen, sondern zusätzliche Schutzmassnahmen in Betracht ziehen.

Standardvertragsklauseln: Notwendig, aber nicht hinreichend

Die **Standardvertragsklauseln (SCC)** der Europäischen Kommission sind nach wie vor das wichtigste Instrument für internationale Datentransfers. Sie legen vertraglich fest, dass der Datenempfänger im Ausland die gleichen Datenschutzstandards einhält wie in der Schweiz oder der EU. Doch wie das Schrems-II-Urteil deutlich gemacht hat, genügt die blosse Unterzeichnung dieser Klauseln nicht.

Schweizer Unternehmen müssen eine **Datenschutz-Folgenabschätzung** durchführen und dabei folgende Fragen klären:

• Welche Art von Daten werden übermittelt? (Personendaten, besonders schützenswerte Daten, Geschäftsgeheimnisse)
• In welches Land werden die Daten übermittelt? (USA, EU, andere Drittstaaten)
• Welche rechtlichen Zugriffsmöglichkeiten haben die Behörden des Ziellandes?
• Bieten die Standardvertragsklauseln in diesem konkreten Fall tatsächlich einen angemessenen Schutz?
• Welche zusätzlichen technischen oder organisatorischen Massnahmen sind erforderlich?

Wenn die Prüfung ergibt, dass die Standardvertragsklauseln allein nicht ausreichen, müssen Unternehmen nachlegen. Mögliche zusätzliche Massnahmen sind:

• **Ende-zu-Ende-Verschlüsselung**: Die Daten werden bereits vor der Übermittlung verschlüsselt, sodass der Cloud-Anbieter keinen Zugriff auf die Klartextdaten hat.
• **Pseudonymisierung oder Anonymisierung**: Personenbezogene Daten werden so verändert, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können.
• **Vertragliche Zusicherungen**: Der Cloud-Anbieter verpflichtet sich vertraglich, Zugriffsanfragen von Behörden offenzulegen und rechtlich anzufechten.
• **Datenspeicherung in der Schweiz oder EU**: Soweit möglich, sollten sensible Daten ausschliesslich auf Servern in der Schweiz oder der EU gespeichert werden.

Das Schweizer Datenschutzgesetz (DSG): Anforderungen und Pflichten

Das revidierte **Schweizer Datenschutzgesetz (DSG)**, das seit September 2023 in Kraft ist, stellt höhere Anforderungen an den Umgang mit Personendaten. Für die Nutzung von Cloud-Diensten sind insbesondere folgende Punkte relevant:

**Auftragsverarbeitung (ADV)**: Wenn ein Cloud-Anbieter Personendaten im Auftrag eines Schweizer Unternehmens verarbeitet, muss ein **Auftragsverarbeitungsvertrag** abgeschlossen werden. Dieser regelt die Pflichten des Anbieters, insbesondere hinsichtlich Datensicherheit, Vertraulichkeit und Löschung der Daten nach Vertragsende.

**Datenschutz-Folgenabschätzung**: Bei der Nutzung von Cloud-Diensten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, ist eine **Datenschutz-Folgenabschätzung** durchzuführen. Dies ist insbesondere bei der Verarbeitung besonders schützenswerter Daten (z.B. Gesundheitsdaten, biometrische Daten) oder bei der Nutzung von US-Cloud-Anbietern der Fall.

**Meldepflicht bei Datenschutzverletzungen**: Wenn es zu einer Datenschutzverletzung kommt (z.B. unbefugter Zugriff auf Daten, Datenverlust), muss das betroffene Unternehmen den EDÖB und unter Umständen auch die betroffenen Personen informieren.

**Transparenz**: Unternehmen müssen ihre Kunden, Mitarbeitenden und andere betroffene Personen darüber informieren, dass und wie ihre Daten in der Cloud verarbeitet werden. Dies umfasst auch Angaben zum Datenspeicherort und zu möglichen Datentransfers in Drittstaaten.

Praktische Empfehlungen für Schweizer KMU

Angesichts der komplexen rechtlichen Lage stellt sich für viele Schweizer KMU die Frage: Wie können wir Cloud-Dienste rechtssicher nutzen? Hier sind praxisnahe Empfehlungen:

**1. Datenspeicherort prüfen**: Bevorzugen Sie Cloud-Anbieter, die Daten ausschliesslich in der Schweiz oder der EU speichern. Viele grosse Anbieter bieten mittlerweile Schweizer oder europäische Rechenzentren an. Achten Sie darauf, dass die Daten auch tatsächlich dort bleiben und nicht für Wartungszwecke oder Backups in die USA übertragen werden.

**2. Vertragliche Absicherung**: Schliessen Sie Auftragsverarbeitungsverträge ab und nutzen Sie die Standardvertragsklauseln der Europäischen Kommission. Lassen Sie sich vom Cloud-Anbieter zusichern, dass er Zugriffsanfragen von Behörden offenlegt und rechtlich anficht.

**3. Technische Schutzmassnahmen**: Setzen Sie auf Ende-zu-Ende-Verschlüsselung, insbesondere bei besonders schützenswerten Daten. Prüfen Sie, ob der Cloud-Anbieter Verschlüsselungslösungen anbietet, bei denen Sie die Schlüssel selbst verwalten (Bring Your Own Key, BYOK).

**4. Datenschutz-Folgenabschätzung**: Führen Sie eine Datenschutz-Folgenabschätzung durch, bevor Sie einen neuen Cloud-Dienst einführen. Dokumentieren Sie die Ergebnisse und die getroffenen Massnahmen.

**5. Alternativen prüfen**: Für besonders sensible Daten (z.B. Patientendaten, Anwaltsdaten, Bankdaten) sollten Sie Schweizer oder europäische Cloud-Anbieter in Betracht ziehen. Diese unterliegen nicht dem CLOUD Act und bieten oft ein höheres Mass an Datenschutz.

**6. Hybrid-Cloud-Strategie**: Kombinieren Sie Public-Cloud-Dienste mit einer Private Cloud oder On-Premises-Lösungen. Sensible Daten bleiben in der eigenen Infrastruktur, während weniger kritische Workloads in die Public Cloud ausgelagert werden.

**7. Regelmässige Überprüfung**: Die rechtliche Lage ändert sich ständig. Überprüfen Sie regelmässig, ob Ihre Cloud-Strategie noch den aktuellen rechtlichen Anforderungen entspricht. Bleiben Sie über Entwicklungen wie neue Gerichtsurteile oder Gesetzesänderungen informiert.

Fazit: Rechtssicherheit erfordert proaktives Handeln

Die Nutzung von US-Cloud-Anbietern ist für Schweizer Unternehmen mit erheblichen rechtlichen Risiken verbunden. Der CLOUD Act, das Schrems-II-Urteil und die Anforderungen des Schweizer Datenschutzgesetzes schaffen ein komplexes Regelwerk, das nicht ignoriert werden darf. Doch mit der richtigen Strategie lassen sich diese Herausforderungen meistern.

Entscheidend ist ein **proaktiver Ansatz**: Prüfen Sie Ihre Cloud-Strategie, führen Sie Datenschutz-Folgenabschätzungen durch, setzen Sie auf technische Schutzmassnahmen und ziehen Sie Alternativen in Betracht. Das Swiss-US Data Privacy Framework bietet eine gewisse Rechtssicherheit, sollte aber nicht als alleinige Lösung betrachtet werden. Schweizer und europäische Cloud-Anbieter können für sensible Daten die bessere Wahl sein.

Letztlich geht es darum, ein ausgewogenes Verhältnis zwischen technologischer Innovation, wirtschaftlicher Effizienz und rechtlicher Compliance zu finden. Wer diese Balance meistert, kann die Vorteile der Cloud nutzen, ohne die Datenschutzrechte seiner Kunden, Mitarbeitenden und Geschäftspartner zu gefährden.

---

**Benötigen Sie Unterstützung bei der rechtssicheren Nutzung von Cloud-Diensten?** Als erfahrener IT-Partner begleiten wir Schweizer KMU bei der Auswahl, Implementierung und rechtlichen Absicherung von Cloud-Lösungen. Kontaktieren Sie uns für eine kostenlose Erstberatung.