Back to blog
AI/KI IT-Imfrastruktur News

Datenschutzversprechen von US-Konzernen: Warum IT-Dienstleister jetzt handeln müssen

Ramon Kuster
04. Nov. 2025
4 min read
Symbolische Darstellung einer Anhörung vor einem Senatsausschuss – sinnbildlich für die Diskussion um Datenschutz und den CLOUD Act.

Die harte Realität vor dem französischen Senat

Am 10. Juni 2025 bestätigte Anton Carniaux, Chefjustiziar von Microsoft France, vor dem französischen Senat, was viele IT-Experten längst befürchteten: Der Standort eines Rechenzentrums ausserhalb der USA ändert nichts am Zugriffsrecht US-amerikanischer Behörden auf dort gespeicherte Daten. Auf die Frage, ob die Daten des französischen Staates bei Microsoft vor der Weitergabe an US-Behörden sicher seien, antwortete er mit einem klaren „Nein“. Dies bestätigt: Entscheidend ist allein der Firmensitz des Anbieters. Der ist bei Microsoft, AWS, Google Cloud und Co. nach wie vor in den USA. Selbst wenn die Daten physisch in der Schweiz, Deutschland oder Frankreich gespeichert werden, unterliegen sie dem US-amerikanischen CLOUD Act. Dieser ermöglicht US-Behörden den Zugriff auf Daten, ohne dass der Eigentümer informiert werden muss. Die Aussage, dass ein solcher Zugriff „noch nie“ stattgefunden habe, ist dabei nicht überprüfbar: Nur die US-Behörden und der betroffene Konzern wissen davon – nicht aber der Kunde oder die europäische Aufsichtsbehörde.

Was bedeutet das für IT-Dienstleister und ihre Kunden?

Für IT-Dienstleister wirft diese Situation grundlegende Fragen auf: Wie können Sie Ihren Kunden eine sichere Umgebung garantieren, wenn selbst europäische Rechenzentren US-amerikanischer Anbieter keine echte Souveränität bieten? Wie lassen sich Compliance-Anforderungen – insbesondere die DSG und DSGVO – unter diesen Bedingungen überhaupt erfüllen?

Inhalt

  • Wann sind Kundendaten wirklich sicher vor US-Behörden?
  • Wie können IT-Dienstleister eine sichere Umgebung für Unternehmen bereitstellen?

Wann sind Kundendaten wirklich sicher vor US-Behörden?

  • Firmensitz und Rechenzentren des Anbieters: Warum „Hosted in Europe“ nicht ausreicht
  • Verarbeitungsprozesse: Die versteckte US-Abhängigkeit europäischer SaaS-Lösungen

Firmensitz und Rechenzentren des Anbieters: Warum „Hosted in Europe“ nicht ausreicht

Die Illusion der „souveränen Cloud“ ist längst geplatzt: Auch wenn ein US-Konzern Rechenzentren in der Schweiz oder EU betreibt, bleibt der Zugriff durch US-Behörden weiterhin möglich. Der CLOUD Act verpflichtet US-Unternehmen und ihre Tochtergesellschaften weltweit, Daten auf Anfrage herauszugeben, unabhängig vom Speicherort. Das gilt für Microsoft (Azure, MS365), AWS, Google Cloud, Oracle, Dropbox, aber auch für KI-Anbieter wie OpenAI, Anthropic (Claude) oder Perplexity. Die extraterritoriale Reichweite des Gesetzes kollidiert dabei fundamental mit schweizerischen und europäischen Datenschutzregeln und damit geltendem Recht.

Praktische Konsequenz für IT-Dienstleister:

  • Kein Vertrauen in Standortversprechen: Die Wahl eines europäischen Rechenzentrums bietet keine rechtliche Sicherheit, solange der Anbieter US-Recht unterliegt.
  • Risiko für Compliance: Wer sensible Kundendaten bei US-Anbietern speichert (Speziell von Internationalen Unternehmungen oder Individuen), setzt sich dem Risiko aus, gegen die DSG zu verstossen – mit potenziell hohen Bussgeldern und Reputationsschäden.
  • Transparenzlücke: Kunden können nicht nachvollziehen, ob und wann US-Behörden auf ihre Daten zugegriffen haben. Das untergräbt das Vertrauen in Cloud-Dienste und macht IT-Dienstleister zu «Geiseln» US-amerikanischer Gesetzgebung.

Verarbeitungsprozesse: Die versteckte US-Abhängigkeit europäischer SaaS-Lösungen

Viele europäische SaaS-Anwendungen – von ERP-Systemen über CRM-Tools bis hin zu KI-Integrationen – nutzen im Hintergrund Infrastruktur oder Dienste US-amerikanischer Cloud-Anbieter. Selbst Lösungen, die mit „DSGVO-konform“ werben, integrieren oft OpenAI, Claude oder andere US-KI-Tools, ohne dies immer offen zu kommunizieren. Ein Beispiel: SoftMaker Office NX wirbt mit Datenschutz, nutzt aber OpenAI als KI-Assistenten.

Herausforderung für IT-Dienstleister

 

 

  • Due Diligence Pflicht: Vor der Empfehlung oder Integration einer Cloud-Lösung müssen Sie prüfen, wo die Daten tatsächlich verarbeitet werden und welche Subunternehmer (z. B. für KI-Funktionen) im Hintergrund agieren.
  • Aktuelle Rechtsprechung und Praxis
    Der EDÖB hat in mehreren Fällen betont, dass Schweizer Unternehmen nicht einfach auf US-Clouds ausweichen dürfen, ohne die Risiken zu prüfen. Besonders kritisch sind:
    • KI-Tools wie OpenAI/Claude: Wenn diese in US-Clouds laufen, ist die Nutzung für Personendaten nur mit besonderen Schutzmassnahmen zulässig.
    • CRM/ERP-Systeme mit US-Hosting: Selbst wenn der Kunde die Software wählt, muss der IT-Dienstleister auf die rechtliche Situation hinweisen.
    • EDÖB: Sieht in ihren Berichten die Nutzung von MS 365 in der Cloud als kritisch bezogen auf den CLOUD Act

Wie können IT-Dienstleister eine sichere Umgebung für Unternehmen bereitstellen?

  • Hosting auf Schweizer oder europäischer Cloud-Infrastruktur wie der awesome.cloud
  • Kontrolle und Research nach Anwendungen ohne US-Datenrisiko

Hosting auf Schweizer oder europäischer Cloud-Infrastruktur wie der awesome.cloud

Die einzige Möglichkeit, die volle Kontrolle über Kundendaten zu behalten, ist der Einsatz von Cloud-Anbietern mit Sitz und Rechenzentren in der Schweiz oder EU und ohne US-Beteiligung. Schweizer Anbieter wie awesome.cloud bieten hier nicht nur geografische, sondern auch rechtliche Sicherheit: Sie unterliegen weder dem CLOUD Act noch anderen US-Gesetzen.

Vorteile für IT-Dienstleister:

  • DSG-konformität: Keine extraterritorialen Zugriffsrechte, klare rechtliche Rahmenbedingungen.
  • Skalierbarkeit und Integration: Moderne europäische Clouds bieten in Kombination mit Open-Source-Tools absolute Kontrolle, diese lassen sich nahtlos in bestehende Systeme einbinden ohne Leistungsabstriche.
  • KI-Souveränität: Europäische Alternativen wie Mistral AI oder lokale KI-Lösungen ermöglichen die Nutzung von KI ohne US-Abhängigkeit.

Praktische Umsetzung:

  • Migration zu europäischen Clouds: Hier bieten Anbieter aus der Schweiz wie die awesome.cloud und Anbieter aus der EU sichere Alternativen.
  • On-Premises-Lösungen: Für hochsensible Daten bleibt die eigene Infrastruktur (oder gehostete Private Clouds) weiterhin die sicherste Option.

Kontrolle und Research: US-freie Software-Ökosysteme aufbauen

Die Dominanz US-amerikanischer Software macht die Suche nach Alternativen aufwendig – aber nicht unmöglich. Selbst gehostete Software am besten Open-Source-Lösungen ermöglichen es IT-Dienstleistern, ihren Kunden vollständige Datensouveränität zu bieten. Wenn man nicht selber hosten will, dann wird es eine Herausforderung. Denn viele europäische SaaS-Lösungen laufen entweder in US-Clouds oder integrieren US-KI-Lösungen. Es heisst hier also Recherchieren und Absichern.

Empfehlungen für die Praxis:

  • Priorisierung europäischer SaaS-Anbieter: Tools wie Pipedrive (CRM) oder kDrive (Cloud-Speicher) integrieren teilweise US-KI. Hier gilt es, genau hinzuschauen oder auf Open-Source-Alternativen auszuweichen.
  • Hybrid-Strategien: Kombinieren Sie europäische Lösungen, die keine US-Cloud oder KI nutzen mit self-hosting von Software in der Schweizer Cloud.

Herausforderungen:

  • Komplexität der Integration: Europäische Lösungen sind oft weniger stark vernetzt als US-Plattformen. IT-Dienstleister müssen hier als Integratoren agieren und Schnittstellen selbst entwickeln oder diese gegebenenfalls auf Ihre eigenen Bedürfnisse anpassen.
  • Schulungsbedarf: Kunden und Mitarbeiter müssen an neue Tools herangeführt werden – ein Aufwand, der sich langfristig durch mehr Sicherheit, Unabhängigkeit und Kostensenkung auszahlt.

Quellen