US CLOUD Act: Das unterschätzte Datenschutzrisiko bei Online-Formularen in der Schweiz

Online-Formulare gehören heute zu den wichtigsten Werkzeugen im digitalen Alltag von Unternehmen. Ob Kontaktformular, Kundenumfrage, Newsletter-Anmeldung oder Bewerbungsformular – Daten werden täglich über Dienste wie Typeform, Google Forms oder SurveyMonkey erfasst.

Viele dieser Tools sind einfach zu bedienen und schnell eingerichtet. Was dabei oft übersehen wird: Für Schweizer Unternehmen kann ihre Nutzung ein erhebliches Datenschutzrisiko darstellen.

Der Grund dafür ist der sogenannte US CLOUD Act, ein amerikanisches Gesetz mit weltweiter Wirkung. Selbst wenn Daten auf Servern in Europa oder in der Schweiz gespeichert werden, kann dieses Gesetz dazu führen, dass US-Behörden Zugriff darauf erhalten.

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) trat 2018 in den USA in Kraft. Er verpflichtet US-amerikanische IT-Dienstleister, gespeicherte Daten auf Anordnung amerikanischer Behörden herauszugeben.

Entscheidend ist dabei, dass sich diese Pflicht nicht nur auf Daten in den USA bezieht. Auch Daten, die auf Servern in Europa oder in der Schweiz gespeichert sind, können betroffen sein, wenn der Anbieter dem US-Recht untersteht.

Der physische Speicherort allein schützt daher nicht vor einem möglichen Zugriff. Rechtlich entscheidend ist nicht nur der Serverstandort, sondern auch, welchem Recht der Anbieter unterliegt.

In der Schweiz gilt das Bundesgesetz über den Datenschutz (DSG). Es verpflichtet Unternehmen dazu, personenbezogene Daten so zu bearbeiten, dass die Persönlichkeit und die Grundrechte der betroffenen Personen geschützt werden.

Dazu gehört auch, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist oder geeignete Garantien bestehen.

Wenn ein Anbieter gesetzlich verpflichtet werden kann, Daten an US-Behörden herauszugeben, ist nicht immer sichergestellt, dass das vom DSG geforderte Schutzniveau eingehalten werden kann. Für Schweizer Unternehmen entsteht dadurch ein rechtlicher Zielkonflikt.

Online-Formulare gehören zu den sensibelsten Stellen in der Datenverarbeitung. Hier werden nicht nur allgemeine Kontaktdaten erfasst, sondern häufig auch Informationen mit erhöhtem Schutzbedarf.

Dazu zählen etwa Bewerbungsunterlagen, Angaben zu Gesundheit oder Terminanfragen, finanzielle Informationen, Beschwerden oder persönliche Rückmeldungen von Kunden.

Solche Daten werden oft direkt in ein Cloud-System des Formularanbieters übertragen. Wenn dieser Anbieter dem US-Recht untersteht, befinden sich die Informationen damit zumindest theoretisch im Zugriffsbereich amerikanischer Behörden.

Viele Unternehmen gehen davon aus, dass sie auf der sicheren Seite sind, wenn ein Anbieter Server in der EU oder in der Schweiz betreibt. Beim CLOUD Act reicht diese Annahme jedoch nicht aus.

Entscheidend ist, ob der Anbieter selbst dem US-Recht unterliegt oder von einem US-Unternehmen kontrolliert wird.

Dadurch kann eine Situation entstehen, in der ein Schweizer Unternehmen nach DSG verpflichtet ist, Daten zu schützen, während ein Dienstleister nach US-Recht verpflichtet sein kann, genau diese Daten herauszugeben.

Der US CLOUD Act hat auch für Unternehmen in der Schweiz eine direkte Bedeutung. Wer Online-Formulare über Anbieter nutzt, die dem US-Recht unterstehen, sollte berücksichtigen, dass ein Zugriff durch amerikanische Behörden grundsätzlich möglich sein kann – unabhängig davon, wo die Server stehen.

Im Zusammenspiel mit dem Schweizer Datenschutzgesetz entsteht dadurch ein Risiko, das häufig nicht sichtbar ist, aber rechtlich relevant sein kann.

Der Serverstandort allein ist kein verlässlicher Schutz. Entscheidend ist, welchem Recht der Anbieter unterliegt und ob die Bearbeitung der Daten mit den Anforderungen des DSG vereinbar bleibt.