15 Digitales Querschnittsrecht
Der Clarifying Lawful Overseas Use of Data Act (kurz: CLOUD Act) wurde am 23. März 2018 vom US-Kongress verabschiedet. Auslöser war der Streit Microsoft v. United States (829 F.3d 197, 2d Cir. 2016), in dem das US-Berufungsgericht entschied, dass das FBI gestützt auf den Stored Communications Act (18 U.S.C. § 2701 ff.) keine Daten herausverlangen darf, die auf einem Server in Irland liegen. Der Gesetzgeber reagierte und verpflichtet seither US-Anbieter elektronischer Kommunikations- und Cloud-Dienste über den neu eingefügten 18 U.S.C. § 2713, den US-Strafverfolgungsbehörden auf Anordnung Daten ihrer Kundinnen und Kunden herauszugeben – und zwar unabhängig davon, wo die Server physisch stehen. Der CLOUD Act umgeht damit den klassischen, völkerrechtlich verankerten Rechtshilfeweg.
Sind Daten auf Servern in der Schweiz vor US-Zugriff sicher?
Sind Daten auf Servern in der Schweiz vor US-Zugriff sicher? Die kurze Antwort lautet: nicht zwingend. Entscheidend ist nicht der Standort des Servers, sondern die rechtliche Zugehörigkeit des Anbieters. Untersteht das Unternehmen US-Recht – etwa weil es seinen Sitz in den USA hat oder eine Schweizer Tochtergesellschaft eines US-Konzerns ist (Microsoft, Amazon Web Services, Google, Oracle, IBM) –, kann der Mutterkonzern verpflichtet werden, Daten herauszugeben, sofern er auf diese zugreifen kann. Das gilt selbst dann, wenn die Daten in einem Schweizer Rechenzentrum gespeichert sind. Diese Einschätzung teilen die Konferenz der Schweizer Datenschutzbeauftragten (privatim), der Datenschutzbeauftragte des Kantons Zürich sowie das Bundesamt für Justiz (BJ) in seinem Gutachten vom 17. September 2021. Wer demgegenüber einen rein schweizerischen Anbieter ohne Konzernverbindung in die USA wählt, fällt nicht in den unmittelbaren Anwendungsbereich des CLOUD Act.
Spannungsfeld zum Schweizer Recht
Aus schweizerischer Sicht ist eine direkte Datenherausgabe an US-Behörden problematisch. Sie kollidiert mit dem Datenschutzgesetz (DSG), insbesondere mit den Voraussetzungen einer Bekanntgabe ins Ausland (Art. 16 f. DSG), und sie umgeht den Rechtshilfeweg. Strafrechtlich relevant ist vor allem Art. 271 StGB (verbotene Handlungen für einen fremden Staat): Wer auf schweizerischem Gebiet ohne Bewilligung für einen fremden Staat Handlungen vornimmt, die einer Behörde zukommen, macht sich strafbar. Mit Urteil 6B_216/2020 vom 1. November 2021 hat das Bundesgericht bestätigt, dass die direkte Übermittlung von Kundendossiers an das US-Justizministerium (DOJ) unter Umgehung des Rechtshilfewegs eine solche verbotene Amtshandlung darstellt – auch dann, wenn die Daten teilweise schon im Ausland liegen. Ergänzend können je nach Konstellation Art. 273 StGB (wirtschaftlicher Nachrichtendienst) sowie das Bank- oder Berufsgeheimnis betroffen sein.
Hilft das Swiss-US Data Privacy Framework?
Verbreitet ist die Annahme, das am 15. September 2024 in Kraft getretene Swiss-US Data Privacy Framework (Swiss-US DPF -> digilaw.ch Kapitel 06.13 Übermittlung von Personendaten ins Ausland) löse das Problem. Das trifft nicht zu. Das DPF beantwortet eine andere Frage: Es regelt, ob ein Schweizer Unternehmen Personendaten überhaupt an einen DPF-zertifizierten US-Empfänger übermitteln darf, ohne nach Art. 16 DSG zusätzliche Garantien (etwa Standardvertragsklauseln) abschliessen zu müssen. An der Anwendbarkeit des CLOUD Act ändert das DPF nichts, und es gilt nur für Datenbekanntgaben, nicht für das Outsourcing an einen Cloud-Anbieter (so ausdrücklich die Datenschutzbeauftragte des Kantons Zürich im Netzwoche-Interview vom 05.01.2026). US-Behörden können also auch gegenüber einem DPF-zertifizierten Anbieter weiterhin Herausgabeanordnungen gestützt auf den CLOUD Act oder Foreign Intelligence Surveillance Act (FISA) Section 702 erlassen. Hinzu kommt, dass das DPF politisch instabil ist – mit der Entlassung mehrerer Mitglieder des Privacy and Civil Liberties Oversight Board Anfang 2025 wurde die zentrale US-Aufsichtsinstanz handlungsunfähig, und ein «Schrems-III»-Verfahren (-> Max Schrems) wird erwartet.
Wie kann man sich gegen einen Zugriff der US-Behörden wehren?
Auf rechtlicher Ebene sieht der CLOUD Act selbst ein Anfechtungsrecht («motion to quash») vor (vgl. 18 U.S.C. § 2703(h)): Der angesprochene Provider kann sich vor dem zuständigen US-Gericht gegen die Anordnung wehren, wenn die betroffene Person weder US-Bürgerin noch in den USA ansässig ist und die Herausgabe gegen das Recht eines qualifizierten ausländischen Staates verstösst. Das US-Gericht nimmt dann eine Interessenabwägung («comity analysis») vor. Der Cloud-Kunde selbst hat in diesem Verfahren nur indirekt Einfluss; entscheidend ist, dass der Anbieter vertraglich verpflichtet ist, ihn zu informieren und das Anfechtungsrecht auszuüben, soweit dies nicht durch eine sogenannte gag order («Maulkorberlass») verboten ist. Auf staatlicher Ebene fehlt zwischen der Schweiz und den USA bislang ein bilaterales Executive Agreement gemäss 18 U.S.C. § 2523; das Bundesamt für Justiz prüft eine solche Vereinbarung, die den Zugriff auf schwere Straftaten beschränken und an verfahrensrechtliche Garantien knüpfen würde.
Praktische Schutzmassnahmen für Unternehmen
Wirksamer Schutz beginnt vor der Anbieterwahl. Empfohlen werden eine sorgfältige Risiko- und Datenschutzfolgenabschätzung (Art. 22 DSG), die Wahl eines Anbieters ohne US-Konzernbezug für besonders schützenswerte oder geheimnisgeschützte Daten, der Abschluss eines Auftragsbearbeitungsvertrags (Art. 9 DSG) mit klaren Regelungen zum Vorgehen bei Behördenanfragen, sowie technische Massnahmen. Die Konferenz privatim hält in ihrer Resolution vom 18. November 2025 fest, dass die Nutzung internationaler SaaS-Lösungen für besonders schützenswerte oder geheimnisgeschützte Personendaten durch öffentliche Organe nur dann zulässig ist, wenn der Cloud-Kunde die Daten selbst verschlüsselt und der Anbieter keinen Zugriff auf den Schlüssel hat («Bring Your Own Key» bzw. «Hold Your Own Key»). Eine starke Ende-zu-Ende-Verschlüsselung mit kundenseitiger Schlüsselverwaltung ist daher der praktisch wirksamste Schutz: Auch wenn der Anbieter Daten herausgeben muss, sind sie ohne Schlüssel für die US-Behörden unbrauchbar.