Schweizer Anwaltskanzleien geniessen ein Privileg, das in wenigen Ländern der Welt so stark geschützt ist: das Anwaltsgeheimnis nach BGFA Art. 13. Dieses Geheimnis ist nicht verhandelbar. Es ist die Grundlage des Mandantenvertrauens und eine gesetzliche Pflicht, deren Verletzung strafrechtliche Konsequenzen hat.
Gleichzeitig nutzen zahlreiche Schweizer Kanzleien Cloud-Dienste von US-Anbietern für ihre tägliche Arbeit. Microsoft 365, Google Workspace, Dropbox, diverse Legal-Tech-Tools mit US-Hosting. Viele sind sich nicht bewusst, dass sie damit ein Compliance-Risiko eingehen, das mit dem Anwaltsgeheimnis unvereinbar sein kann.
Was der CLOUD Act tatsächlich besagt
Der Clarifying Lawful Overseas Use of Data Act wurde 2018 vom US-Kongress verabschiedet. Das Gesetz ist kurz und sein Kern ist einfach: US-Behörden können von Unternehmen, die US-Recht unterliegen, die Herausgabe von Daten verlangen, unabhängig davon, wo diese Daten physisch gespeichert sind.
Das bedeutet konkret: Wenn eine Schweizer Kanzlei ihre Mandantendaten auf einem Microsoft-Server in Zürich speichert, können US-Behörden dennoch die Herausgabe dieser Daten verlangen. Nicht von der Kanzlei selbst, sondern von Microsoft. Und Microsoft unterliegt als US-Unternehmen dem CLOUD Act.
Das Gesetz enthält zwar Bestimmungen, die es Unternehmen erlauben, eine Herausgabe anzufechten, wenn sie dem lokalen Recht widerspricht. Diese Anfechtungsmöglichkeit bietet jedoch keinen verlässlichen Schutz. Das Verfahren findet vor US-Gerichten statt, nach US-Recht, und die bisherige Rechtsprechung zeigt keine konsistente Linie zum Schutz ausländischer Vertraulichkeitspflichten.
BGFA Art. 13: Das Anwaltsgeheimnis
Das Schweizer Anwaltsgeheimnis ist in Art. 13 des Bundesgesetzes über die Freizügigkeit der Anwältinnen und Anwälte (BGFA) verankert. Es schützt alles, was einem Anwalt im Rahmen seiner Berufsausübung anvertraut wird. Dieses Geheimnis ist umfassend und zeitlich unbegrenzt. Es gilt auch nach Beendigung des Mandats.
Die Verletzung des Anwaltsgeheimnisses ist nach Art. 321 StGB strafbar. Es handelt sich um ein Offizialdelikt bei qualifizierter Tatbegehung. Die Konsequenzen reichen von Geldstrafen bis zu Freiheitsstrafen von bis zu drei Jahren.
Entscheidend ist: Das Anwaltsgeheimnis verbietet nicht nur die aktive Weitergabe von Mandantendaten. Es verpflichtet den Anwalt auch, angemessene Massnahmen zu treffen, um die Vertraulichkeit zu schützen. Die Nutzung eines Cloud-Dienstes, der einer ausländischen Jurisdiktion die rechtliche Möglichkeit gibt, auf Mandantendaten zuzugreifen, kann als Verletzung dieser Schutzpflicht gewertet werden.
Die Lücke zwischen Theorie und Praxis
In der Praxis argumentieren viele Kanzleien, dass der CLOUD Act bisher nicht gegen Schweizer Anwaltsdaten eingesetzt wurde. Das stimmt, soweit öffentlich bekannt. Aber dieses Argument verkennt zwei wesentliche Punkte.
Erstens: Compliance bemisst sich nicht daran, ob ein Risiko eingetreten ist, sondern daran, ob es besteht. Die kantonalen Aufsichtsbehörden bewerten nicht, ob US-Behörden tatsächlich auf Mandantendaten zugegriffen haben. Sie bewerten, ob die Kanzlei angemessene Massnahmen getroffen hat, um einen solchen Zugriff zu verhindern. Die Nutzung eines US-Cloud-Dienstes für Mandantendaten kann als ungenügende Schutzmassnahme bewertet werden.
Zweitens: Der CLOUD Act ist nicht das einzige Instrument. US-Behörden verfügen über weitere rechtliche Werkzeuge, darunter National Security Letters, FISA-Anordnungen und Subpoenas, die in bestimmten Fällen ohne richterliche Genehmigung und unter Geheimhaltungspflicht des betroffenen Unternehmens eingesetzt werden können. Eine Kanzlei würde in einem solchen Fall nicht einmal erfahren, dass auf ihre Daten zugegriffen wurde.
Technische Schutzmassnahmen und ihre Grenzen
Einige Kanzleien verweisen auf technische Schutzmassnahmen. Verschlüsselung, Private Keys, Zero-Knowledge-Architekturen. Diese Massnahmen haben ihren Wert, bieten aber keinen vollständigen Schutz.
Verschlüsselung at rest und in transit schützt Daten vor unbefugtem Zugriff durch Dritte, aber nicht vor dem Cloud-Anbieter selbst. Wenn Microsoft oder Google die Infrastruktur betreiben, kontrollieren sie die Verschlüsselungsarchitektur. Selbst bei Customer-Managed Keys besteht die technische Möglichkeit des Zugriffs durch den Infrastrukturbetreiber.
Confidential Computing ist ein vielversprechender Ansatz, bei dem Daten auch während der Verarbeitung verschlüsselt bleiben. Die Technologie ist jedoch noch nicht ausgereift genug, um einen vollständigen Schutz vor einem Cloud-Anbieter zu garantieren, der gezwungen wird, mit Behörden zu kooperieren.
Vertragliche Zusicherungen des Cloud-Anbieters, keine Daten herauszugeben, sind rechtlich nicht belastbar. Ein US-Unternehmen, das eine behördliche Anordnung zur Datenherausgabe erhält, muss dieser nachkommen. Vertragliche Vereinbarungen mit Kunden ändern daran nichts.
Die DSG-Dimension
Neben dem Anwaltsgeheimnis verschärft das revidierte Schweizer Datenschutzgesetz (DSG) die Situation. Art. 16 DSG regelt die Bekanntgabe von Personendaten ins Ausland. Personendaten dürfen nur in Staaten übermittelt werden, die einen angemessenen Datenschutz gewährleisten. Für die USA besteht kein genereller Angemessenheitsbeschluss des Bundesrates.
Das DSG sieht bei Verstössen persönliche Bussen bis zu CHF 250'000 vor. Anders als bei der DSGVO richten sich diese Bussen gegen natürliche Personen, also potenziell gegen den verantwortlichen Kanzleipartner persönlich.
Für Kanzleien, die sowohl unter das BGFA als auch unter das DSG fallen, entsteht ein doppeltes Risiko: Die gleiche Handlung kann gleichzeitig gegen das Anwaltsgeheimnis und gegen das Datenschutzgesetz verstossen.
Was die Aufsichtsbehörden sagen
Die kantonalen Anwaltsaufsichtsbehörden haben sich bisher nicht einheitlich zum CLOUD Act geäussert. Einzelne Stellungnahmen deuten jedoch darauf hin, dass die Sensibilität zunimmt. Der Schweizerische Anwaltsverband (SAV) hat in verschiedenen Publikationen auf die Risiken hingewiesen, ohne eine verbindliche Empfehlung auszusprechen.
Es ist absehbar, dass die Aufsichtsbehörden ihre Anforderungen in den kommenden Jahren verschärfen werden. Kanzleien, die dann noch auf US-Cloud-Dienste für Mandantendaten setzen, könnten unter erheblichen Anpassungsdruck geraten.
Praktische Alternativen
Die gute Nachricht: Es gibt funktionierende Alternativen zu US-Cloud-Diensten, die den Anforderungen des Anwaltsgeheimnisses gerecht werden.
Schweizer Cloud-Anbieter. Unternehmen wie Infomaniak, Exoscale oder Green bieten Cloud-Dienste an, die vollständig Schweizer Recht unterliegen. Die Funktionalität ist mit internationalen Anbietern vergleichbar, die Preise oft wettbewerbsfähig.
Self-Hosting. Für besonders sensible Daten kann eigenes Hosting auf eigener oder gemieteter Infrastruktur in der Schweiz die sicherste Lösung sein. Der Verwaltungsaufwand ist höher, aber die Kontrolle ist vollständig.
Schweizer KI-Werkzeuge. Für KI-gestützte Rechtsrecherche und Dokumentenanalyse gibt es mittlerweile Lösungen, die vollständig in der Schweiz gehostet werden, ohne US-Unternehmensabhängigkeiten. Die Enclava-Plattform von Mont Virtua ist ein Beispiel: Schweizer Hosting, Schweizer Jurisdiktion, keine CLOUD-Act-Exposition.
Hybride Ansätze. Nicht alle Daten sind gleich sensibel. Eine pragmatische Lösung kann darin bestehen, unkritische Daten (öffentliche Dokumente, allgemeine Korrespondenz) auf internationalen Plattformen zu belassen und vertrauliche Mandantendaten auf Schweizer Infrastruktur zu migrieren.
Ein konkreter Handlungsplan
Für Kanzleien, die ihre Cloud-Strategie überprüfen möchten, empfehlen wir folgende Schritte:
Bestandsaufnahme. Welche Cloud-Dienste nutzt die Kanzlei? Welche davon unterliegen US-Jurisdiktion? Welche Datentypen werden dort gespeichert oder verarbeitet?
Risikobewertung. Welche der genutzten Dienste verarbeiten Mandantendaten oder andere vertrauliche Informationen? Hier besteht das grösste Risiko.
Priorisierung. Beginnen Sie mit den Diensten, die das höchste Risiko darstellen: E-Mail, Dokumentenspeicherung, KI-Werkzeuge für Rechtsrecherche. Weniger kritische Dienste können in einem zweiten Schritt migriert werden.
Migration. Ersetzen Sie US-Dienste durch Schweizer Alternativen, beginnend mit den prioritären Bereichen. Planen Sie ausreichend Zeit für die Umstellung ein.
Dokumentation. Halten Sie die getroffenen Massnahmen schriftlich fest. Im Fall einer Überprüfung durch die Aufsichtsbehörde ist die Dokumentation der entscheidende Nachweis.
Fazit
Der CLOUD Act ist kein theoretisches Risiko. Er ist ein geltendes Gesetz, das US-Behörden den Zugriff auf Daten bei US-Unternehmen ermöglicht. Für Schweizer Kanzleien, die Mandantendaten auf der Infrastruktur von US-Unternehmen verarbeiten, besteht ein realer Konflikt mit dem Anwaltsgeheimnis nach BGFA Art. 13.
Die Lösung ist nicht kompliziert: Mandantendaten gehören auf Infrastruktur, die ausschliesslich Schweizer Recht unterliegt. Schweizer Alternativen existieren und sind praxistauglich. Die Frage ist nicht ob, sondern wann Kanzleien diesen Schritt gehen.
Wenn Sie Ihre Cloud-Strategie im Licht des CLOUD Act überprüfen möchten, kontaktieren Sie uns unter [email protected] oder besuchen Sie unsere Kontaktseite.