Warum gerade US-Cloud-Anbieter ein Datenschutzproblem darstellen

Viele unserer Kunden fragen uns: "Können wir ChatGPT oder Copilot bedenkenlos nutzen?" Die ehrliche Antwort: Es kommt darauf an. Verstehen Sie erst die rechtlichen Rahmenbedingungen, dann finden wir gemeinsam die passende Lösung für Ihre Situation.

Der entscheidende Unterschied beginnt beim Grundrecht

In der Schweiz und in Europa ist der Schutz Ihrer persönlichen Daten ein verfassungsmässiges Grundrecht. In den USA existiert dieses Grundrecht nicht. Das ist kein technisches Detail, sondern prägt das gesamte Rechtssystem – und hat direkte Konsequenzen für die Sicherheit Ihrer Unternehmensdaten.

Wie tief ist Datenschutz in Europa verankert?

Besonders eindrücklich zeigt sich das in Deutschland: Bereits 1983 – lange vor dem Internet-Zeitalter – entwickelte das deutsche Bundesverfassungsgericht im berühmten Volkszählungsurteil das "Recht auf informationelle Selbstbestimmung". Es wurde direkt aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht abgeleitet. 2008 kam noch das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" hinzu – ein explizites IT-Grundrecht.

In Deutschland ist der Datenschutz damit sogar noch tiefer verfassungsrechtlich verankert als in der Schweiz. Die Schweiz schützt in Artikel 13 der Bundesverfassung die Privatsphäre – pragmatisch, klar und verbindlich. Beide Systeme haben gemeinsam: Datenschutz ist nicht verhandelbar.

In den USA hingegen gibt es zwar Grundrechte wie das Recht, Waffen zu tragen, die Redefreiheit und den Schutz vor willkürlichen Durchsuchungen. Aber ein explizites verfassungsmässiges Grundrecht auf Schutz persönlicher Daten? Das existiert nicht.

Was bedeutet das konkret für Ihr Unternehmen?

Stellen Sie sich vor, Sie lesen über einen Kriminalfall in einer US-amerikanischen Zeitung: Sie finden dort die vollständigen Namen von Tätern und oft auch Opfern. In einer Schweizer Zeitung? Da heisst es: Namen geändert. Das ist kein journalistischer Unterschied – das spiegelt die grundlegende Haltung zum Datenschutz wider.

In der Schweiz und EU gilt:

• Ihre persönlichen Daten sind geschützt – gegen Unternehmen UND gegen den Staat

• Jede Behörde muss Datenschutzgesetze einhalten

• Sie haben durchsetzbare Rechte, wenn Ihre Daten missbraucht werden

• Datenschutz ist kein Feature, sondern ein Grundrecht

In den USA gilt:

• Kein verfassungsmässiger Schutz für persönliche Daten

• US-Bundesbehörden müssen keinen Datenschutz einhalten

• Der Staat hat weitreichende Zugriffsrechte auf alle Daten

• Datenschutz ist sektorspezifisch und lückenhaft geregelt

Die praktische Konsequenz: Unterschiedliche Rechtssysteme erfordern unterschiedliche technische Lösungen

Weil in Europa Datenschutz ein Grundrecht ist, reicht es nicht, Daten "irgendwie zu schützen". Sie müssen so geschützt sein, dass selbst bei Kompromittierung des Systems die Daten unzugänglich bleiben. Genau deshalb sind technische Lösungen aus den USA – so innovativ sie auch sein mögen – für europäische Datenschutzanforderungen oft strukturell ungeeignet. Nicht weil die Technologie schlecht wäre, sondern weil sie für ein anderes Rechtssystem entwickelt wurde.

Warum betrifft das Ihre Geschäftsdaten?

Wenn Sie Daten in ChatGPT, Microsoft Copilot oder Google Gemini eingeben, landen diese bei US-Unternehmen. Und diese Unternehmen unterliegen US-Gesetzen, die Behördenzugriff auch ohne Gerichtsbeschluss erlauben:

• CLOUD Act: Verpflichtet US-Firmen zur Datenherausgabe – egal, wo die Daten physisch gespeichert sind

• FISA Section 702: Erlaubt Zugriff auf Daten von Nicht-US-Bürgern ohne richterliche Genehmigung

• National Security Letters (bspw. EO 12333): Behördenzugriff ohne Gerichtsbeschluss, oft mit Schweigegebot (das Unternehmen darf Sie nicht informieren)

"Aber Microsoft hat doch Schweizer Datencenter!"

Das hören wir oft. Die Wahrheit: Der physische Standort des Servers ist irrelevant, wenn die rechtliche Kontrolle in den USA liegt. Microsoft Schweiz ist eine Tochtergesellschaft von Microsoft Corporation (USA). Die US-Muttergesellschaft kann zur Datenherausgabe verpflichtet werden – unabhängig davon, wo der Server steht.

Ein Beispiel aus der Praxis:

Ein Treuhand- und Wirtschaftsprüfungsbüro möchte KI nutzen, um Rechnungstexte für ihre Kunden zu erstellen. Darin enthalten: Kundennamen, Verhandlungsthemen beispielsweise über Merger und andere sensible Informationen. Diese Daten würden durch US-kontrollierte Systeme fliessen. Unsere Lösung: Wir betreiben die KI-Lösung als Managed Service in Schweizer Infrastruktur – gleiche Produktivität, volle Rechtssicherheit.

Warum wird das ständig diskutiert?

Weil das Problem nicht lösbar ist, solange US-Recht gilt. Deshalb wurden bereits zwei transatlantische Datenschutzabkommen (Safe Harbor 2015, Privacy Shield 2020) vom Europäischen Gerichtshof für ungültig erklärt. Das aktuelle EU-US Data Privacy Framework steht auf wackligen Füssen.

Wie sieht es mit den Kontrollmechanismen in den USA aus?

In den USA existiert das Privacy and Civil Liberties Oversight Board (PCLOB) – ein unabhängiges Gremium, das Überwachungsprogramme der Geheimdienste auf ihre Auswirkungen auf Datenschutz und Bürgerrechte überprüfen soll. Theoretisch eine wichtige Kontrollinstanz.

Als wären bestehende Unsicherheiten nicht schon genug, hat Donald Trump im Januar 2025 drei demokratische Mitglieder des PCLOB entlassen. Ein Bundesgericht ordnete im Mai 2025 zwar die Wiedereinsetzung an – doch die Regierung legte umgehend Berufung ein. Der Fall zeigt beispielhaft die juristischen Winkelzüge, die derzeit in den USA ablaufen.

Die eigentliche Frage ist nicht, wie dieser eine Fall ausgeht. Die Frage ist: Wie stark vertrauen Sie der gegenseitigen Kontrolle der Staatsgewalten in den USA?

• Wenn ein Präsident unabhängige Aufsichtsgremien einfach entlassen kann – und es Monate dauert, bis Gerichte eingreifen

• Wenn Gerichtsentscheidungen durch Berufungen verzögert werden – während die Aufsicht tatsächlich lahmgelegt ist

• Wenn politische Schwerpunkte sich alle vier Jahre grundlegend ändern können

Dann sind die versprochenen Kontrollmechanismen nicht robust, sondern zerbrechlich.

Die gute Nachricht für Schweizer Unternehmen:

Sie müssen dieses Risiko nicht eingehen. Es gibt heute ausgereifte Alternativen – von europäischen Cloud-Lösungen bis zu lokalen Installationen. Welche Option zu Ihnen passt, hängt von Ihrer Branche, Ihren Daten und Ihren Ressourcen ab. Genau dabei unterstützen wir Sie.

Ein Gedankenexperiment: Was würden Sie akzeptieren?

Stellen Sie sich vor, Sie sind Arzt. Ein Patient erzählt Ihnen von seiner Krebsdiagnose, seinen Ängsten, seiner familiären Situation. Würden Sie diese Informationen an eine unbekannte Organisation in Übersee weiterleiten, "um besser dokumentieren zu können"? Undenkbar!

Doch wenn Sie Notizen mit KI-Unterstützung verfassen oder Befunde zusammenfassen lassen – genau das geschieht.

Die unbequeme Wahrheit: Was wir im analogen Raum niemals akzeptieren würden, tun wir digital – oft ohne nachzudenken. Der Unterschied: Die digitale Version fühlt sich unsichtbar an. Aber die rechtlichen und ethischen Konsequenzen sind identisch.

Die Frage ist nicht, ob Sie KI nutzen sollten. Die Frage ist: Wie nutzen Sie KI, ohne Ihre Sorgfaltspflicht zu verletzen?

Die gute Nachricht: Es gibt Lösungen für jede Situation

Nach diesen ernüchternden Erkenntnissen die befreiende Botschaft: Sie müssen nicht auf KI-Produktivität verzichten. Und Sie brauchen auch nicht zwingend eine eigene Serverinfrastruktur.

Was Sie brauchen, ist die richtige Lösung für Ihre spezifische Situation.

Schritt 1: Verstehen Sie Ihre Use Cases

Bevor wir über Technologie sprechen, müssen wir verstehen: Was wollen Sie mit KI erreichen? Nicht alle Anwendungsfälle sind gleich kritisch, und nicht jeder benötigt maximale Sicherheitsvorkehrungen.

Konkrete Beispiele aus verschiedenen Branchen:

Apotheken:

• Intelligente Bestandsoptimierung spart erhebliches gebundenes Kapital bei weniger Lieferengpässen

• Automatisierte Interaktionsprüfung erhöht die Patientensicherheit

• KI-gestützte Telefonzentrale beantwortet Standardfragen zu Öffnungszeiten und Produktverfügbarkeit rund um die Uhr

Treuhandfirmen:

• Automatisierte Dokumentenklassifizierung spart hunderte Stunden jährlich

• Intelligente Steueroptimierung identifiziert proaktiv Einsparpotenziale bei allen Mandanten

• Automatisierte Social Media Posts informieren Mandanten regelmässig über Steueränderungen und Fristen

Anwaltskanzleien:

• Juristische Recherche in Minuten statt Stunden

• Automatisierte Vertragsprüfung konzentriert Ihre Expertise auf kritische Stellen

• KI-Bot beantwortet erste Mandantenanfragen und qualifiziert diese vor dem Erstgespräch

KMU allgemein:

• Automatisierung von Social Media Content und Marketing-Texten

• KI-gestützte Telefonzentrale mit intelligenter Anrufweiterleitung

• Automatische Erstellung von Zusammenfassungen aus Meetings und Protokollen

Schritt 2: Die technische Landkarte verstehen

Für jeden Use Case analysieren wir systematisch: Welche Systeme sind involviert? Welche Daten werden wirklich benötigt? Wie sensibel sind diese Daten?

Unser Ampelsystem für Daten:

• Grün – unkritisch: Produktinformationen, öffentliche Rechtsprechung, aggregierte Statistiken. Hier sind Cloud-Lösungen unproblematisch.

• Gelb – sensibel: Interne Geschäftsdaten, anonymisierte Verkaufsstatistiken. Hier empfehlen wir Schweizer Cloud mit EU-Modellen.

• Rot – hochsensibel: Gesundheitsdaten, Mandanteninformationen, Steuergeheimnisse. Hier setzen wir auf maximalen Schutz durch Datenminimierung, lokale Modelle oder Anonymisierung.

Mehrschichtige Sicherheitsansätze: Ihr Werkzeugkasten

Sichere KI ist kein Einzelansatz, sondern eine Kombination verschiedener Strategien. Je nach Use Case setzen wir unterschiedliche Schwerpunkte.

Priorität 1: Datenminimierung – Der eleganteste Schutz

Der beste Schutz ist, Daten gar nicht erst zu exponieren. Wir prüfen für jeden Use Case:

• Welche Daten sind wirklich notwendig?

• Können wir mit aggregierten statt individuellen Daten arbeiten?

• Lässt sich der Use Case ohne sensitive Informationen umsetzen?

Beispiel Social Media Posts für Treuhänder: Die KI braucht keine Mandantendaten – nur Informationen über Steueränderungen und Fristen aus öffentlichen Quellen. Hier können Sie bedenkenlos Cloud-Services nutzen.

Priorität 2: Lokale und europäische Modelle – Souveränität zurückgewinnen

Wenn Datenminimierung nicht ausreicht, bieten lokale oder europäische Lösungen echte Alternativen zu US-Anbietern.

Lokale LLMs auf Ihrer Hardware: Kleine, lokal betriebene Sprachmodelle bieten maximale Kontrolle. Keine Daten verlassen Ihre Infrastruktur.

Europäische KI-Modelle operieren unter DSGVO und europäischem Recht – ohne Risiko durch Zugriff ausländischer Behörden:

• Mistral AI (Frankreich): Hochperformante Sprachmodelle aus europäischer Entwicklung

• Aleph Alpha (Deutschland): Spezialisiert auf souveräne KI-Lösungen für regulierte Branchen

• Aperto (ETH Zürich, Schweiz): Schweizer Forschungsexzellenz für vertrauenswürdige KI-Anwendungen

Priorität 3: Intelligente Anonymisierung – Funktionalität ohne Identität

Wo Datenminimierung nicht ausreicht und lokale Modelle an Grenzen stossen, setzen wir auf Anonymisierung durch konsistente Ersatzwerte.

Wie funktioniert das?

Statt "Frau Müller, 67 Jahre, Diabetes Typ 2" erhält die KI: "Patient P-7823, Altersgruppe 65-70, Zustand C-4129"

Die KI kann vollständig arbeiten, Zusammenhänge erkennen und präzise antworten – aber kein einziger realer Name, keine genaue Diagnose verlässt Ihre Kontrolle.

Ein konkretes Beispiel:

Eine Apotheke möchte Medikamenten-Interaktionen prüfen. Die KI erhält:

• Patient P-7823 (statt "Herr Müller")

• Altersgruppe 65-70 (statt "67 Jahre")

• Zustand C-4129 (statt "Niereninsuffizienz Grad 3")

• Medikation M-1156 und M-2847 (statt "Ramipril und Metformin")

Die KI antwortet präzise mit Warnungen und Empfehlungen – Ihre Software übersetzt zurück in Klartext. Maximale Funktionalität bei angemessenem Schutz.

Ihre Architektur-Optionen: Von maximal sicher bis pragmatisch flexibel

Je nach Branche, Datensensibilität und Ressourcen gibt es unterschiedliche Wege zur sicheren KI-Nutzung.

Option 1: On-Premises-Lösung – Maximale Kontrolle für kritische Bereiche

Was bedeutet das?

• KI-Modelle laufen auf Ihrer eigenen Hardware

• Absolute Datenkontrolle, keine externe Abhängigkeit

• Optimal für hochregulierte Bereiche

Ideal für: Arztpraxen, Anwaltskanzleien, Finanzdienstleister mit strengsten Compliance-Anforderungen und eigener IT-Abteilung

Vorteile:

• Vollständige Datensouveränität

• Keine Abhängigkeit von Dritten

• Maximale Rechtssicherheit

• Einmalige Investition

Zu bedenken:

• Höhere Initialinvestition in Hardware

• Eigene IT-Wartung erforderlich

• Know-how für Betrieb und Updates notwendig

• Begrenzte Skalierbarkeit

Option 2: Managed Service – Rundum-sorglos-Paket für KMU

Was bedeutet das?

• Wir betreiben Ihre KI-Infrastruktur für Sie

• In Schweizer Rechenzentren oder auf Ihrer Hardware – wie Sie möchten

• Inklusive Wartung, Updates, Support und Weiterentwicklung der KI-Lösung

• Sie nutzen, wir kümmern uns um den Rest

Ideal für: KMU ohne eigene IT-Abteilung, die maximale Sicherheit mit minimalem Aufwand wollen

Vorteile:

• Keine eigene IT-Expertise notwendig

• Professioneller Betrieb und Support auf Deutsch

• Planbare monatliche oder jährliche Kosten

• Wir übernehmen Wartung der Infrastruktur UND der KI-Lösung

• Schnelle Updates und kontinuierliche Optimierung

• Rechtssicherheit durch Schweizer Betrieb

• Flexible Skalierung bei wachsendem Bedarf

Was ist enthalten:

• Infrastruktur-Hosting (Schweizer Rechenzentrum oder Ihre Hardware)

• Installation und Konfiguration der KI-Modelle

• Regelmässige Updates und Sicherheitspatches

• Monitoring und proaktive Wartung

• Support bei Fragen und Problemen

• Weiterentwicklung und Optimierung Ihrer KI-Lösung

• Backup und Disaster Recovery

Zu bedenken:

• Monatliche oder jährliche Gebühr

• Leichte Abhängigkeit vom Service-Provider (aber volle Datenkontrolle)

Typisches Szenario: Eine Treuhandfirma mit 8 Mitarbeitern möchte KI für Dokumentenklassifizierung und Steueroptimierung nutzen. Keine eigene IT-Abteilung vorhanden. Wir installieren die Lösung in einem Schweizer Rechenzentrum, schulen das Team und übernehmen den kompletten Betrieb. Die Firma nutzt die KI produktiv, wir sorgen dafür, dass alles läuft, aktuell bleibt und rechtssicher ist.

Option 3: Schweizer Cloud mit EU-Modellen – Flexibel mit Datenschutz

Was bedeutet das?

• Daten bleiben in Schweizer Rechenzentren

• Nutzung europäischer KI-Modelle (Mistral, Aleph Alpha)

• Keine US-Jurisdiktion

• Sie betreiben selbst oder wählen einen Cloud-Provider

Ideal für: Technisch versierte Unternehmen, die selbst betreiben möchten, oder solche mit weniger sensiblen Daten

Vorteile:

• RevDSG- und DSGVO-konform

• Keine Hardware-Investition nötig

• Flexible Skalierung

• Zugriff von überall

Zu bedenken:

• Monatliche Cloud-Kosten

• Eigene Administration oder Provider-Support nötig

• Internetverbindung erforderlich

• Abhängigkeit vom Cloud-Provider

Option 4: Hybrid-Architektur – Das Beste aus beiden Welten

Was bedeutet das?

• Hochsensible Daten On-Premises oder mit lokalen Modellen

• Weniger kritische Use Cases in der Cloud oder als Managed Service

• Intelligente Routing-Schicht entscheidet automatisch

Ideal für: Wachsende Unternehmen mit diversen Use Cases, die Flexibilität mit Sicherheit verbinden möchten

Vorteile:

• Optimale Balance zwischen Sicherheit und Flexibilität

• Kosteneffizient durch selektive Nutzung

• Zukunftssicher durch modularen Aufbau

• Kombination von Managed Service für unkritische und On-Premises für kritische Bereiche möglich

Zu bedenken:

• Komplexere Architektur

• Klare Datenklassifizierung notwendig

• Professionelle Implementierung empfohlen

Typisches Szenario: Eine Anwaltskanzlei nutzt unseren Managed Service für allgemeine Recherche und Marketing-Texte (grüne Daten), betreibt aber Mandantenanalyse auf eigener Hardware (rote Daten). Wir sorgen für nahtlose Integration und optimale Sicherheit überall.

So kommen Sie zu Ihrer passenden Lösung: Das KI-Atelier

Nach all diesen Informationen fragen Sie sich vielleicht: "Welche Lösung passt zu uns? Wo fangen wir an?" Genau hier setzt unser KI-Atelier an.

Was ist das KI-Atelier?

Ein strukturierter Workshop-Prozess, der Sie vom ersten Interesse bis zur produktiven, sicheren KI-Lösung begleitet:

• Phase 1: Potenzialanalyse

• Phase 2: Sicherheitskonzept

• Phase 3: Implementierung

Was macht unser Vorgehen besonders?

• Datensicherheit als Grundpfeiler: Als Datenschutz-Spezialisten kennen wir die rechtlichen und technischen Fallstricke

• Praxisorientiert: Keine theoretischen Konzepte, sondern einsatzbereite Lösungen mit messbaren Ergebnissen

• Schweizer Werte: Hosting, Support und rechtliche Sicherheit aus der Schweiz – für Schweizer Anforderungen

• Flexible Betriebsmodelle: Von vollständig selbst betrieben bis Rundum-sorglos-Managed-Service

• End-to-End: Von der Analyse bis zum laufenden Betrieb an Ihrer Seite

• Technologieunabhängig: Wir wählen die beste Lösung für Ihre Situation, nicht die profitabelste für uns

Kontaktieren Sie uns für ein Erstgespräch – gemeinsam finden wir die KI-Lösung, die zu Ihnen passt. Mit Rechtssicherheit, Datenschutz und messbarem Erfolg. Und wenn Sie möchten: vollständig betreut, damit Sie sich auf Ihr Kerngeschäft konzentrieren können: Kontakt