4 Min. Lesezeit

Datensouveränität: Warum Ihre Daten in der Schweiz bleiben sollten

Datensouveränität ist keine Marketing-Phrase. Für Schweizer Unternehmen in regulierten Branchen ist es eine rechtliche Notwendigkeit. Ein Überblick über die Fakten.

DatensouveränitätSchweizCLOUD ActDSG
Datensouveränität: Warum Ihre Daten in der Schweiz bleiben sollten

«Swiss-hosted» steht auf immer mehr Software-Webseiten. Microsoft investiert 400 Millionen Dollar in Schweizer Cloud-Infrastruktur. Google und AWS betreiben Rechenzentren in Zürich. Hosting in der Schweiz wird zum Standard-Feature. Aber «in der Schweiz gehostet» und «datensouverän» sind nicht dasselbe.

Dieser Artikel erklärt den Unterschied, warum er für regulierte Branchen relevant ist und welche Fragen Schweizer Unternehmen stellen sollten, bevor sie sich für einen KI-Anbieter entscheiden.

Was Datensouveränität bedeutet

Datensouveränität heisst: Die Daten unterliegen ausschliesslich den Gesetzen des Landes, in dem sie verarbeitet werden. Keine fremde Jurisdiktion kann Zugriff erzwingen.

Für Daten in der Schweiz bedeutet das: Nur Schweizer Recht gilt. Der EDÖB ist die zuständige Aufsichtsbehörde. Kein ausländischer Geheimdienst, keine ausländische Strafverfolgungsbehörde kann Zugriff verlangen, ausser über den Weg der internationalen Rechtshilfe.

Dieses Prinzip bricht, wenn der Anbieter einer ausländischen Jurisdiktion untersteht, die extraterritoriale Zugriffsbefugnisse hat.

Der CLOUD Act: Das konkrete Problem

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) der Vereinigten Staaten wurde 2018 in Kraft gesetzt. Er erlaubt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig davon, wo diese Daten physisch gespeichert sind.

Das bedeutet konkret: Wenn ein Schweizer Unternehmen Daten bei einem US-Anbieter speichert (Microsoft Azure, Google Cloud, Amazon AWS, Salesforce etc.), kann eine US-Behörde die Herausgabe dieser Daten verlangen. Der Serverstandort Schweiz schützt nicht vor dem CLOUD Act, weil das Gesetz an die Kontrolle des Unternehmens anknüpft, nicht an den Standort der Daten.

Die Vertragsbedingungen des Anbieters («Wir geben keine Daten heraus ohne Ihre Zustimmung») können den CLOUD Act nicht übersteuern. Ein Vertrag steht in der Normenhierarchie unter einem Bundesgesetz. Wenn ein US-Gericht die Herausgabe anordnet, muss der US-Anbieter liefern, auch wenn sein Vertrag mit dem Schweizer Kunden etwas anderes sagt.

Warum das für regulierte Branchen relevant ist

Anwaltliches Berufsgeheimnis (BGFA Art. 13)

Schweizer Anwältinnen und Anwälte unterstehen dem Berufsgeheimnis nach Art. 13 des Bundesgesetzes über die Freizügigkeit der Anwältinnen und Anwälte (BGFA, SR 935.61). Die Verletzung ist strafbar nach Art. 321 StGB.

Wenn eine Anwältin eine Mandatsanfrage in ein KI-Tool eingibt, das von einem US-Unternehmen betrieben wird, besteht das theoretische Risiko, dass diese Anfrage durch einen CLOUD-Act-Zugriff offengelegt wird. Das wäre eine potenzielle Verletzung des Berufsgeheimnisses.

FINMA-Beaufsichtigung

FINMA-beaufsichtigte Institute (Banken, Versicherungen, Vermögensverwalter) unterliegen strengen Anforderungen an die Datensicherheit und das Outsourcing. Das FINMA-Rundschreiben 2018/3 «Outsourcing» verlangt eine Risikoanalyse bei der Auslagerung von Geschäftsfunktionen, einschliesslich IT-Dienstleistungen. Die Auslagerung an einen Anbieter, der einer ausländischen Jurisdiktion mit extraterritorialen Zugriffsbefugnissen untersteht, ist ein Risiko, das dokumentiert und mitigiert werden muss.

Datenschutzgesetz (DSG)

Das Schweizer DSG (SR 235.1) regelt in Art. 16-17 die grenzüberschreitende Datenübermittlung. Daten dürfen nur in Länder mit angemessenem Schutzniveau übermittelt werden. Für die USA fehlt ein genereller Angemessenheitsentscheid der Schweiz. Übermittlungen in die USA erfordern zusätzliche Garantien (Standardvertragsklauseln, verbindliche Unternehmensrichtlinien).

Der CLOUD Act untergräbt diese Garantien, weil er einen Zugriffspfad eröffnet, den keine vertragliche Klausel blockieren kann.

Die Alternativen

Schweizer Anbieter mit Schweizer Infrastruktur

Unternehmen wie Infomaniak, Exoscale und Safe Swiss Cloud betreiben Rechenzentren in der Schweiz und unterstehen ausschliesslich Schweizer Recht. Kein CLOUD Act. Kein Zugriff durch ausländische Behörden ausser über formelle Rechtshilfe.

Für KI-Anwendungen bieten diese Anbieter zunehmend GPU-Kapazitäten und managed AI-Services an. Die Leistungsfähigkeit erreicht nicht das Niveau der US-Hyperscaler, aber für die meisten Schweizer Anwendungsfälle reicht sie aus.

Open-Source-Modelle auf eigener Infrastruktur

Open-Source-Sprachmodelle wie Mistral Small 4 (Apache 2.0) oder Qwen3.5 laufen auf Standard-Hardware. Ein Mac Studio mit 96 GB RAM kann ein Modell mit 35 Milliarden Parametern lokal betreiben. Keine Cloud. Keine API-Aufrufe. Keine Daten, die das Gebäude verlassen.

Schweizer GmbHs mit Schweizer Hosting

KI-Dienstleister, die als Schweizer GmbH organisiert sind und ihre gesamte Infrastruktur in der Schweiz betreiben, bieten die sauberste Lösung: Schweizer Recht, Schweizer Daten, Schweizer Verantwortung.

Fünf Fragen an jeden KI-Anbieter

Bevor ein Schweizer Unternehmen in einer regulierten Branche einen KI-Anbieter evaluiert, sollte es diese Fragen stellen:

  1. In welchem Land ist Ihr Unternehmen registriert? Eine Schweizer Tochtergesellschaft eines US-Mutterkonzerns untersteht dem CLOUD Act.

  2. Wo werden die Daten physisch verarbeitet und gespeichert? «Schweizer Region» bei einem US-Hyperscaler ist nicht dasselbe wie ein Schweizer Rechenzentrum eines Schweizer Unternehmens.

  3. Untersteht Ihr Unternehmen dem US CLOUD Act oder vergleichbaren ausländischen Gesetzen? Direkte Frage, direkte Antwort. Akzeptieren Sie keine Ausweichmanöver.

  4. Können Sie vertraglich garantieren, dass keine Daten an ausländische Behörden herausgegeben werden? Wenn ja: auf welcher rechtlichen Grundlage? Wenn der Anbieter einem ausländischen Zugriffgesetz untersteht, ist diese Garantie rechtlich nicht durchsetzbar.

  5. Welches Schweizer Gericht ist zuständig bei Streitigkeiten? Schweizer Gerichtsstand ist das Minimum. Ausländischer Gerichtsstand bei einem Datensouveränitätsangebot ist ein Widerspruch.

Fazit

Datensouveränität ist kein Marketing-Argument. Für Anwaltskanzleien, FINMA-beaufsichtigte Institute und jedes Schweizer Unternehmen, das personenbezogene Daten verarbeitet, ist es eine rechtliche Anforderung.

Die gute Nachricht: Schweizer Alternativen existieren. Schweizer Cloud-Anbieter, Open-Source-Modelle und Schweizer KI-Dienstleister machen es möglich, die Vorteile von KI zu nutzen, ohne die Kontrolle über die Daten zu verlieren.

Weitere Informationen: montvirtua.com

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar.

Zurück zum Blog

Verwandte Artikel

19 March 2026

Schweizer Datensouveränität im Zeitalter der KI: Warum es für Ihre Firma zählt

Schweizer Datensouveränität ist kein Marketing-Feature für KI-Tools. Es ist eine rechtliche Anforderung für Anwaltskanzleien, Banken und Compliance-Fachleute. Warum es zählt, wo Ihre KI läuft.
30 March 2026

DSG Compliance Checklist 2026: Was jede Schweizer Firma wissen muss

Praktische Checklist für die Einhaltung des Schweizer Datenschutzgesetzes (DSG). 20 Punkte, die jedes Unternehmen prüfen sollte, mit konkreten Artikelverweisen.
29 March 2026

DSG/FADP Compliance-Leitfaden für Schweizer Unternehmen

Umfassender Leitfaden zum Schweizer Datenschutzgesetz (DSG/FADP). Alle Pflichten, Definitionen, Checklisten und praktische Umsetzungshinweise. März 2026 Edition.