Die Schweiz hat einen internationalen Ruf für Datenschutz, Diskretion und Rechtsstaatlichkeit. Dieser Ruf ist ein Wettbewerbsvorteil für Schweizer Unternehmen, besonders in regulierten Branchen wie Finanzdienstleistungen, Recht und Gesundheitswesen. Doch genau dieser Vorteil wird durch die Art und Weise bedroht, wie viele Unternehmen ihre KI-Werkzeuge einsetzen.
Wer seine Daten an einen US-Cloud-Anbieter übergibt, um KI-Dienste zu nutzen, untergräbt die Datensouveränität, die seine Mandanten und Kunden erwarten. Das ist kein hypothetisches Risiko. Es ist eine rechtliche Realität.
Was Datensouveränität bedeutet
Datensouveränität bezeichnet die Kontrolle darüber, wo Daten gespeichert werden, wer darauf zugreifen kann und welchem Rechtssystem sie unterliegen. Für Schweizer Unternehmen bedeutet das: Daten, die in der Schweiz verarbeitet und gespeichert werden, unterliegen Schweizer Recht. Daten, die von einem US-Unternehmen verarbeitet werden, unterliegen potenziell US-Recht, unabhängig davon, wo der Server steht.
Diese Unterscheidung ist nicht akademisch. Sie hat konkrete rechtliche Konsequenzen.
Das CLOUD-Act-Problem
Der US Clarifying Lawful Overseas Use of Data Act (CLOUD Act) wurde 2018 verabschiedet. Er gibt US-Behörden die Befugnis, von US-Unternehmen die Herausgabe von Daten zu verlangen, auch wenn diese Daten ausserhalb der USA gespeichert sind.
Das betrifft direkt Schweizer Unternehmen, die Dienste von Microsoft, Google, Amazon oder anderen US-Technologieanbietern nutzen. Selbst wenn die Daten physisch auf einem Server in Zürich liegen: wenn der Anbieter ein US-Unternehmen ist (oder eine US-Tochtergesellschaft hat), kann die US-Regierung theoretisch Zugriff verlangen.
Für Schweizer Anwaltskanzleien ist das besonders problematisch. Das Anwaltsgeheimnis nach BGFA Art. 13 ist absolut. Eine Herausgabe von Mandantendaten an ausländische Behörden wäre ein schwerwiegender Verstoss. Für Banken und Vermögensverwalter gelten ähnliche Vertraulichkeitspflichten. Für Gesundheitsdienstleister schützt das Patientengeheimnis die Daten.
Die Frage ist nicht, ob US-Behörden tatsächlich auf Schweizer Daten zugreifen. Die Frage ist, ob die rechtliche Möglichkeit besteht. Und die besteht.
Das Schweizer Datenschutzgesetz (DSG)
Das revidierte Schweizer Datenschutzgesetz (DSG), in Kraft seit September 2023, verschärft die Anforderungen an den Umgang mit Personendaten erheblich.
Datenübermittlung ins Ausland (Art. 16-18 DSG). Personendaten dürfen nur in Länder übermittelt werden, die einen angemessenen Datenschutz gewährleisten. Die Liste der anerkannten Länder wird vom Bundesrat festgelegt. Für die USA besteht kein genereller Angemessenheitsbeschluss. Übermittlungen erfordern zusätzliche Garantien wie Standardvertragsklauseln oder die ausdrückliche Einwilligung der betroffenen Person.
Pflichten des Verantwortlichen (Art. 5-8 DSG). Wer Personendaten bearbeitet, muss angemessene technische und organisatorische Massnahmen treffen, um die Datensicherheit zu gewährleisten. Die Nutzung von KI-Diensten, die Daten an US-Server senden, kann diese Pflicht verletzen, wenn keine ausreichenden Schutzmassnahmen bestehen.
Strafbestimmungen (Art. 60-66 DSG). Neu können Verstösse gegen das DSG mit Bussen bis zu CHF 250'000 geahndet werden. Im Unterschied zur DSGVO richten sich die Bussen gegen natürliche Personen, nicht gegen Unternehmen. Das bedeutet: Der Geschäftsführer oder Datenschutzverantwortliche haftet persönlich.
DSGVO-Relevanz für Schweizer Unternehmen
Schweizer Unternehmen, die Daten von EU-Bürgern verarbeiten oder Waren und Dienstleistungen in den EU-Raum anbieten, unterliegen zusätzlich der DSGVO. Die Anforderungen an Datenübermittlungen in Drittländer sind unter der DSGVO noch strenger als unter dem DSG.
Nach dem Schrems-II-Urteil des EuGH (2020) ist der EU-US Privacy Shield ungültig. Das EU-US Data Privacy Framework von 2023 bietet einen neuen Rahmen, dessen Stabilität jedoch umstritten bleibt. Schweizer Unternehmen, die sich auf diesen Rahmen verlassen, gehen ein regulatorisches Risiko ein.
Warum das für KI besonders relevant ist
KI-Systeme verarbeiten grosse Datenmengen. Ein KI-gestütztes Rechtsrecherche-Tool liest Mandantenunterlagen. Ein Compliance-Tool analysiert interne Richtlinien und Finanzdaten. Ein Dokumentenanalyse-Tool verarbeitet Verträge mit vertraulichen Geschäftsinformationen.
Wenn diese Verarbeitung auf der Infrastruktur eines US-Unternehmens stattfindet, unterliegen all diese Daten potenziell dem CLOUD Act. Das gilt auch dann, wenn der Anbieter verspricht, die Daten nicht zu lesen oder nur in Europa zu speichern. Die rechtliche Zugriffsmöglichkeit besteht unabhängig von vertraglichen Zusicherungen.
Hinzu kommt ein technisches Risiko: Viele KI-Anbieter nutzen Benutzerdaten, um ihre Modelle zu trainieren. Selbst wenn ein Anbieter erklärt, dies nicht zu tun, sind die technischen Grenzen oft unklar. Die sicherste Lösung ist, Daten gar nicht erst an Anbieter zu senden, deren Datenverarbeitungspraktiken nicht vollständig kontrollierbar sind.
Was Schweizer Unternehmen konkret tun können
Datensouveränität ist kein abstraktes Ziel. Es gibt konkrete Massnahmen, die Unternehmen ergreifen können.
Hosting-Standort und Betreiber prüfen
Wo werden die Daten verarbeitet? Wer betreibt die Infrastruktur? Ein Schweizer Rechenzentrum, das von einem US-Unternehmen betrieben wird, bietet keinen Schutz vor dem CLOUD Act. Entscheidend ist nicht der Standort des Servers, sondern die Jurisdiktion des Betreibers.
Vertragsklauseln nicht als ausreichend betrachten
Standardvertragsklauseln und Datenschutzvereinbarungen bieten einen rechtlichen Rahmen. Aber sie können den CLOUD Act nicht aushebeln. Ein US-Unternehmen, das eine behördliche Herausgabeanordnung erhält, muss ihr nachkommen, unabhängig von Verträgen mit Schweizer Kunden.
KI-Anbieter mit Schweizer Jurisdiktion wählen
Die effektivste Massnahme ist, KI-Werkzeuge von Anbietern zu nutzen, die keiner US-Jurisdiktion unterliegen. Schweizer Unternehmen, die ihre Infrastruktur in der Schweiz betreiben und keine US-Muttergesellschaft haben, sind nicht dem CLOUD Act unterworfen. Die Daten unterliegen ausschliesslich Schweizer Recht.
Datenklassifizierung einführen
Nicht alle Daten sind gleich sensibel. Eine Datenklassifizierung hilft, den richtigen Schutzbedarf zu bestimmen. Öffentlich verfügbare Rechtsdaten können möglicherweise auch über internationale Dienste verarbeitet werden. Vertrauliche Mandantendaten, Geschäftsgeheimnisse oder Gesundheitsdaten erfordern Schweizer Souveränität.
Technische Architektur bewerten
Wie verarbeitet das KI-System die Daten? Werden sie an externe APIs gesendet? Werden sie für Modelltraining verwendet? Werden sie nach der Verarbeitung gelöscht? Fragen Sie nach technischer Dokumentation, nicht nur nach Marketing-Versprechen.
Der Wettbewerbsvorteil der Datensouveränität
Datensouveränität ist nicht nur eine Compliance-Pflicht. Sie ist ein Wettbewerbsvorteil. Schweizer Unternehmen, die nachweisen können, dass ihre Daten ausschliesslich Schweizer Recht unterliegen, differenzieren sich gegenüber internationalen Wettbewerbern.
Für Anwaltskanzleien bedeutet das: Mandanten vertrauen darauf, dass ihre Daten geschützt sind. Für Finanzdienstleister: Kunden wissen, dass ihre Vermögensdaten nicht potenziell US-Behörden zugänglich sind. Für Unternehmen generell: Partner und Kunden in der EU schätzen Schweizer Datenschutzstandards als Alternative zu US-dominierten Diensten.
In einer Welt, in der KI-Werkzeuge zum Standard werden, wird die Frage nicht sein, ob ein Unternehmen KI nutzt. Die Frage wird sein, ob es KI nutzt, ohne die Kontrolle über seine Daten aufzugeben.
Souveräne KI als Schweizer Antwort
Die Schweiz hat alle Voraussetzungen, um souveräne KI-Infrastruktur anzubieten: politische Stabilität, starke Datenschutzgesetze, exzellente technische Infrastruktur und einen Rechtsrahmen, der Vertraulichkeit schützt.
Was bisher fehlte, waren KI-Werkzeuge, die diese Voraussetzungen nutzen. Das ändert sich.
Die Enclava-Plattform von Mont Virtua ist vollständig in der Schweiz gehostet und wird von einem Schweizer Unternehmen betrieben. Keine US-Unternehmensabhängigkeiten, kein CLOUD-Act-Risiko, keine Datenübermittlung ins Ausland. Alle Daten unterliegen ausschliesslich Schweizer Recht.
Wenn Datensouveränität für Ihr Unternehmen relevant ist, sollten wir sprechen. Kontaktieren Sie uns unter [email protected] oder besuchen Sie unsere Kontaktseite.