CLOUD Act und Datensouveränität: Was Schweizer Unternehmen wissen müssen

Daten auf Schweizer Servern sind automatisch sicher, oder? Diese weit verbreitete Annahme greift zu kurz. Denn entscheidend ist nicht nur, wo deine Daten liegen, sondern wem die Infrastruktur gehört und welchem Recht sie untersteht. Genau hier kommt der Begriff der Datensouveränität ins Spiel.

Was bedeutet Datensouveränität?

Datensouveränität bezeichnet das Recht und die Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen.[] Entscheidend sind dabei unter anderem drei Punkte: Wo werden die Daten gespeichert, wer kann darauf zugreifen und welchem Rechtsrahmen unterliegen sie? Bei vielen Cloud-Diensten ist genau diese Souveränität nicht gegeben.

Das Problem: CLOUD Act und US-Zugriff auf Schweizer Daten

Was ist der CLOUD Act?

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Gesetz aus dem Jahr 2018. Es erlaubt amerikanischen Behörden, Zugriff auf Daten von US-Unternehmen zu verlangen - selbst wenn diese Daten physisch ausserhalb der USA gespeichert sind.[]

Warum auch Schweizer Server betroffen sind

Viele Schweizer Softwareanbieter nutzen Cloud-Infrastruktur von US-Konzernen wie Microsoft Azure, Amazon Web Services oder Google Cloud. Diese Rechenzentren stehen zwar in der Schweiz, gehören aber US-Unternehmen. Damit können US-Behörden über den CLOUD Act Zugriff verlangen - ohne den Schweizer Rechtsweg zu beschreiten.

Microsoft bestätigt das Risiko

Im Juni 2025 bestätigte Anton Carniaux, Rechtsverantwortlicher von Microsoft Frankreich, vor dem französischen Senat unter Eid: Microsoft könne nicht garantieren, dass europäische Daten nicht ohne Zustimmung an US-Behörden weitergegeben werden. Die Betroffenen würden in einem solchen Fall möglicherweise nicht einmal informiert.[]

Die Schweiz reagiert: privatim-Resolution und Swiss Government Cloud

Resolution vom 24. November 2025

Die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) hat Ende 2025 eine klare Position bezogen: Sie hält die Auslagerung von besonders schützenswerten Personendaten in SaaS-Lösungen internationaler Anbieter in den meisten Fällen für unzulässig.[]

Swiss Government Cloud: Der Bund reagiert

Auch der Bund zieht Konsequenzen. Mit der Swiss Government Cloud (SGC) baut das Bundesamt für Informatik eine eigene Cloud-Infrastruktur auf. Die Realisierung ist für 2025 bis 2032 angesetzt, das Parlament hat dafür rund 320 Millionen Franken bewilligt.[]

Was bedeutet das für Unternehmen?

Die privatim-Resolution sendet ein starkes Signal: Standard-Installationen von Microsoft 365 und Google Workspace gelten für die Verarbeitung besonders schützenswerter Daten als problematisch. Unternehmen, die auf Nummer sicher gehen wollen, setzen auf spezielle Konfigurationen mit eigener Verschlüsselung oder auf Schweizer Anbieter, die wirklich datensouveräne Cloud-Infrastruktur nutzen.

Wie erkennst du echte Datensouveränität?

Checkliste: Worauf du achten solltest

  1. Ist die Betreiberfirma der Software rechtlich in der Schweiz ansässig und hat keinen Mutterkonzern im Ausland?
  2. Ist die Betreiberfirma der Infrastruktur (Server, Cloud) ein Schweizer Unternehmen ohne Mutterkonzern im Ausland?
  3. Werden die Daten physisch in der Schweiz gespeichert?
  4. Falls ein US-Cloud-Anbieter (AWS, Azure, Google Cloud) genutzt wird: Gibt es eine eigene Verschlüsselung (Customer-Managed Keys), bei der der Anbieter keinen Zugriff auf die Schlüssel hat?

Diese Informationen findest du in der Datenschutzerklärung oder im Auftragsverarbeitungsvertrag (AVV) des jeweiligen Anbieters.

Das Swiss Hosting Label als einfache Orientierung

Wer nicht jede Frage selbst prüfen will, kann sich am Swiss Hosting Label von Swiss Made Software orientieren. Es steht für zwei zentrale Versprechen:[]

  1. Die Daten werden ausschliesslich in der Schweiz gespeichert.
  2. Zugriff durch Behörden ist nur über den Schweizer Rechtsweg möglich.

Bei Software mit diesem Label ist kein direkter Zugriff durch US-Behörden möglich.

Praxisbeispiel: Datensouveräne Alternative zu US-Anwendungen

Dass Datensouveränität auch in der Praxis umsetzbar ist, zeigt die Schweizerdeutsch Übersetzer App. Alle Audiodateien und Transkriptionstexte werden ausschliesslich auf Infrastruktur von Schweizer Unternehmen verarbeitet und gespeichert - ohne Abhängigkeit von US-Cloud-Anbietern, womit der CLOUD Act nicht greift. Die App trägt das Swiss Hosting Label und Transkriptionsdaten werden nicht für KI-Training weiterverwendet.

Mehr zur Datensicherheit der App

Podcast: Digitale Souveränität in der Praxis

In diesem Podcast spricht Florian Gyger, Entwickler der Schweizerdeutsch Übersetzer App, mit Fabian Beck von swiDOC über die praktischen Herausforderungen und Lösungen rund um Datensouveränität, Cloud-Hosting und den sicheren Einsatz von KI.

Video thumbnail

Quellenverzeichnis

  1. Datensouveränität: Digitale Selbstbestimmung als strategischer Erfolgsfaktor Website von OMR Reviews. Abgerufen am 07.02.2026.
  2. CLOUD Act - Grundbegriffe und Definitionen Website von Datenschutzbeauftragte Kanton Zürich. Abgerufen am 07.02.2026.
  3. Unter Eid: Microsoft kann Schutz vor Cloud Act nicht garantieren Website von IT Magazine. Abgerufen am 07.02.2026.
  4. Resolution zur Auslagerung von Datenbearbeitungen in die Cloud Website von privatim. Abgerufen am 07.02.2026.
  5. Swiss Government Cloud Website von Bundesamt für Informatik und Telekommunikation. Abgerufen am 07.02.2026.
  6. Swiss Hosting Label Website von Swiss Made Software. Abgerufen am 07.02.2026.

Schluss mit Tippen - diktiere jetzt auf Schweizerdeutsch!

Schliesse dich tausenden von begeisterten Leuten an, die täglich auf die App vertrauen und wertvolle Zeit sparen.

Jetzt kostenlos loslegen
Schweizer Datensouveränität • Kein US-Zugriff
4.4
(243 Bewertungen)