Jeder grosse KI-Anbieter wird Ihnen sagen, dass Ihre Daten sicher sind. Er wird auf Verschlüsselung, SOC-2-Zertifizierungen und Datenschutzrichtlinien verweisen. Was er Ihnen nicht sagen wird, ist, wo Ihre Daten physisch gespeichert sind, welche Regierung den Zugriff erzwingen kann und was das für Ihre professionellen Pflichten bedeutet.
Für Schweizer Anwaltskanzleien, Banken und Compliance-Fachleute sind das keine abstrakten Bedenken. Es ist der Unterschied zwischen der Erfüllung Ihrer rechtlichen Pflichten und deren Verfehlung.
Das Jurisdiktionsproblem
Wenn Sie eine Mandantenfrage in ChatGPT eingeben, wandern diese Daten zu Servern von OpenAI, einem US-Unternehmen. Wenn Sie Claude nutzen, gehen die Daten an Anthropic, ebenfalls US-basiert. Google Gemini, Microsoft Copilot: dasselbe Muster. Jedes grosse allgemeine KI-Tool wird von einem US-amerikanischen Unternehmen betrieben.
Das ist wichtig wegen eines Gesetzes, von dem die meisten Fachleute gehört haben, aber das wenige vollständig verinnerlicht haben: der US CLOUD Act.
Der Clarifying Lawful Overseas Use of Data Act, verabschiedet 2018, gibt US-Strafverfolgungsbehörden die Befugnis, jedes US-amerikanische Unternehmen zu zwingen, Daten herauszugeben, die überall auf der Welt gespeichert sind. Nicht nur Daten, die in den USA gespeichert sind. Daten, die auf Servern in der Schweiz, Deutschland, Singapur oder anderswo gespeichert sind. Wenn das Unternehmen US-amerikanisch ist oder wesentliche US-Geschäftstätigkeit hat, erreicht der CLOUD Act die Daten.
Das bedeutet, dass ein «Schweizer Rechenzentrum, betrieben von Microsoft» nicht schweiz-souverän ist. Microsoft ist ein US-Unternehmen. Der CLOUD Act gilt. Ein US-Gericht kann einen Beschluss erlassen, und Microsoft muss ihn befolgen, unabhängig davon, wo der Server steht.
Ein Schweizer Rechenzentrum, betrieben von einem Schweizer Unternehmen, ohne US-Muttergesellschaft, Tochtergesellschaft oder operative Abhängigkeit, liegt ausserhalb der Reichweite des CLOUD Act. Das ist die einzige Konfiguration, die echte Datensouveränität bietet.
Warum Schweizer Fachleute das nicht ignorieren können
Bankgeheimnis (Art. 47 Bankengesetz). Schweizer Banken riskieren strafrechtliche Konsequenzen bei unbefugter Offenlegung von Kundendaten. Das ist keine zivilrechtliche Strafe oder regulatorische Busse. Es ist ein Straftatbestand. Wenn Kundendaten, die durch ein KI-System verarbeitet werden, für US-Behörden über den CLOUD Act zugänglich sind, hat ein Compliance-Beauftragter eine berechtigte Grundlage zur Sorge. Keine Schweizer Rechtsabteilung wird KI-Tools genehmigen, die diese Exposition schaffen.
Anwaltsgeheimnis (BGFA Art. 13). Schweizer Anwälte haben eine gesetzliche Verpflichtung zum Schutz der Mandantenvertraulichkeit. Diese Verpflichtung erstreckt sich auf alle Werkzeuge und Systeme, die in der Mandantenarbeit verwendet werden. Wenn ein Anwalt ein auf US-Infrastruktur gehostetes KI-Tool nutzt, um einen Mandantenvertrag zu analysieren, und diese Daten theoretisch unter dem CLOUD Act zugänglich sind, ist die Vertraulichkeitskette unterbrochen. Das Risiko mag in der Praxis gering sein, aber die rechtliche Exposition ist real.
DSG (Bundesgesetz über den Datenschutz). Das Schweizer Datenschutzgesetz, aktualisiert im September 2023, beschränkt die Übermittlung personenbezogener Daten in Länder ohne angemessenen Datenschutz. Die USA haben keinen Angemessenheitsentscheid der Schweiz. Jede Übermittlung erfordert spezifische Garantien (Standardvertragsklauseln, verbindliche Unternehmensregelungen oder ausdrückliche Einwilligung). US-gehostete KI-Tools für jede Arbeit mit personenbezogenen Daten zu nutzen, schafft eine Compliance-Last, die viele Firmen nicht managen.
FINMA-Anforderungen. Das FINMA-Outsourcing-Rundschreiben (2018/3) verlangt von Finanzinstituten, dass ausgelagerte Funktionen — einschliesslich IT-Dienstleistungen — Schweizer regulatorischen Standards entsprechen. Datenverarbeitung durch ausländische Anbieter muss vertraglich und operativ kontrolliert werden. Ein US-gehostetes KI-Tool für Compliance-Analysen zu nutzen, wirft Fragen auf, ob dieser Standard erfüllt ist.
Das Argument «Aber wir nutzen die Enterprise-Version»
Einige Firmen glauben, dass Enterprise-KI-Vereinbarungen das Souveränitätsproblem lösen. Sie verweisen auf vertragliche Bestimmungen zur Datenverarbeitung, Verschlüsselung im Ruhezustand und dedizierte Instanzen.
Diese Bestimmungen adressieren Datensicherheit. Sie adressieren nicht Jurisdiktion.
Verschlüsselung schützt Daten vor unbefugtem Zugriff. Der CLOUD Act bietet befugten Zugriff durch rechtliches Verfahren. Ein US-Gerichtsbeschluss ist kein Hackerversuch, den Verschlüsselung abwehrt. Es ist eine rechtliche Anordnung, der das Unternehmen nachkommen muss, und die Befolgung kann die Entschlüsselung der Daten umfassen.
Vertragliche Bestimmungen zur Datenverarbeitung sind Vereinbarungen zwischen Ihnen und dem Anbieter. Sie heben die Verpflichtungen des Anbieters unter US-Recht nicht auf. Wenn ein US-Gericht Microsoft anweist, Daten herauszugeben, gibt Microsofts Vertrag mit Ihnen Microsoft nicht das Recht, dies zu verweigern.
Dedizierte Instanzen adressieren Multi-Tenancy-Risiken. Sie adressieren nicht jurisdiktionelle Risiken. Eine dedizierte Instanz auf Azure Switzerland wird immer noch von einem US-Unternehmen betrieben, das US-Recht unterliegt.
Der einzige Weg, jurisdiktionelles Risiko zu eliminieren, ist, einen Anbieter zu nutzen, der vollständig ausserhalb der US-Jurisdiktion liegt. Für Schweizer Fachleute bedeutet das ein Schweizer Unternehmen, in Schweizer Besitz, das Schweizer Infrastruktur betreibt.
Wie souveräne KI-Infrastruktur aussieht
Echte Datensouveränität für KI erfordert drei Dinge:
Schweizer Unternehmensstruktur. Die Einheit, die die KI-Infrastruktur betreibt, muss ein Schweizer Unternehmen ohne US-Muttergesellschaft oder kontrollierenden Aktionär sein. Das stellt sie ausserhalb der Unternehmensreichweite des CLOUD Act.
Schweizer physische Infrastruktur. Die Server müssen sich in der Schweiz befinden. Nicht in einer Schweizer Verfügbarkeitszone eines US-Cloud-Anbieters, sondern in einem Schweizer Rechenzentrum, betrieben von einem Schweizer Anbieter. Schweizer Anbieter wie Exoscale (im Besitz der A1 Telekom Austria Group, eines EU-Unternehmens) und Infomaniak (in Schweizer Besitz, mit Sitz in Genf) erfüllen diesen Standard.
Open-Source-Modelle. Proprietäre KI-Modelle von US-Unternehmen (GPT-4, Claude, Gemini) werden über APIs aufgerufen, die über US-Infrastruktur laufen, oder über Lizenzvereinbarungen, die US-Unternehmenskontrolle aufrechterhalten. Open-Source-Modelle (Llama, Mistral, Qwen) können auf Schweizer Infrastruktur deployed werden, ohne laufende Abhängigkeit von einer US-Entität. Das Modell läuft lokal. Keine Daten verlassen die Schweiz. Kein API-Aufruf überquert eine Grenze.
Zusammen schaffen diese drei Elemente einen echt souveränen KI-Stack. Schweizer Unternehmen, Schweizer Server, Open-Source-Modelle. Keine US-Jurisdiktion. Keine CLOUD-Act-Exposition. Keine Daten, die das Land verlassen.
Die Kosten falscher Entscheidungen
Das praktische Risiko, dass eine CLOUD-Act-Offenlegung die Mandantendaten einer Schweizer Anwaltskanzlei betrifft, ist gering. US-Behörden erlassen keine Beschlüsse für Schweizer Arbeitsverträge oder Immobilientransaktionen. Das Risiko ist nicht null, aber es ist klein.
Warum ist es dann wichtig?
Weil Risikobewertung nicht davon handelt, was wahrscheinlich ist. Es handelt davon, was vertretbar ist. Wenn ein Mandant fragt «Wo werden meine Daten verarbeitet, und wer kann darauf zugreifen?», muss die Antwort eine sein, hinter der die Firma stehen kann. «Wir nutzen ein US-gehostetes KI-Tool, aber wir glauben, das Risiko ist gering» ist eine andere Antwort als «Ihre Daten werden vollständig auf Schweizer Infrastruktur verarbeitet, betrieben von einem Schweizer Unternehmen, ohne ausländischen Zugriff.»
Die erste Antwort verlangt vom Mandanten, die Risikobewertung der Firma zu akzeptieren. Die zweite Antwort eliminiert das Risiko vollständig.
In regulierten Branchen gewinnt die zweite Antwort. Jedes Mal.
Es gibt auch eine wettbewerbliche Dimension. Da Datensouveränität ein prominenteres Thema wird — insbesondere nach dem Schrems-II-Entscheid, der EU-US-Datenflüsse destabilisierte, und da der EU AI Act neue Transparenzanforderungen schafft — werden Firmen, die echte Datensouveränität nachweisen können, einen Marktvorteil gegenüber denen haben, die es nicht können.
Das Fenster ist offen
Die Nachfrage nach souveräner KI-Infrastruktur in der Schweiz ist real und wachsend. Aber der Markt ist unterversorgt. Die meisten KI-Tools, die Schweizer Fachleuten zur Verfügung stehen, sind US-gehostet. Die wenigen Schweizer Alternativen sind im Frühstadium oder eng fokussiert.
Das wird sich ändern. Regulatorischer Druck und Kundenerwartungen treiben den Markt in Richtung souveräner Lösungen. Die Firmen, die jetzt souveräne KI-Infrastruktur adoptieren, werden Workflows etablieren, ihre Teams schulen und institutionelles Wissen aufbauen, das Nachzügler Jahre brauchen werden zu entwickeln.
Mont Virtua baut verifizierte KI für regulierte Schweizer Branchen. Unsere Plattform Enclava läuft vollständig auf Schweizer Infrastruktur, nutzt Open-Source-Modelle und wird von einem in Zug eingetragenen Schweizer Unternehmen betrieben. Keine US-Abhängigkeiten. Keine CLOUD-Act-Exposition. Keine Daten verlassen die Schweiz. Für Firmen, wo Datensouveränität nicht optional ist, ist das der Standard. Erfahren Sie mehr auf enclava.ch.