Datenkontrolle, wenn der KI-Anbieter im Ausland sitzt
Drei KI-Tools im Einsatz. Ein Tool für Offerten. Ein Tool für Protokolle. Ein Tool für Kundenkommunikation. Drei AGBs in englischer Sprache. Drei Subprozessoren-Listen, die niemand gelesen hat. Drei Rechenzentren in unterschiedlichen Jurisdiktionen.
Das ist die operative Realität in vielen Schweizer KMU im Frühjahr 2026.
Für den Verwaltungsrat stellt sich damit eine konkrete Frage. Unter welcher Jurisdiktion liegen unsere KI-Daten? Welche Subprozessoren haben im Notfall Zugriff? Welche Vertragsklausel hält stand, wenn ein Schlüsselkunde im nächsten Audit nach der KI-Datenverarbeitungskette fragt?
Der Beitrag vom 14. April hat das KI-Inventar und die Datenklassifikation als Pflicht der ersten drei VR-Sitzungen skizziert. Dieser Beitrag geht eine Stufe tiefer in den Anbieter-Teil des Inventars. Was muss der VR im Vertrag, in der Jurisdiktion und in der Kontrollkette sehen, bevor ein neues KI-Tool produktiv geht?
Warum Serverstandort allein nicht reicht
Viele KI-Anbieter werben mit Datenhaltung in der Schweiz oder in Europa. Das klärt den Speicherort. Die Kontrollkette reicht weiter.
Ein praktisches Beispiel zeigt die Komplexität. Ein KI-gestützter Offerten-Generator hostet die produktiven Daten in Zürich. Die Muttergesellschaft sitzt in Kalifornien. Die Backup-Logs werden in Frankfurt repliziert. Der globale Support hat Zugriff aus drei Zeitzonen. Das Modell wird mit anonymisierten Eingaben trainiert. In den verarbeiteten Daten stehen Preise, Rabattmatrizen und technische Spezifikationen für die fünf grössten Industriekunden.
Fünf Jurisdiktionen in einem einzigen Tool. Daraus entsteht eine konkrete Schadensexposition für Marge, Wettbewerbsposition und Kundenvertrauen.
Drei rechtliche Schichten in klarer Hierarchie
Drei rechtliche Regime spielen für einen Schweizer Verwaltungsrat eine Rolle. Sie wirken in einer klaren Hierarchie.
nDSG Art. 9 als Grundlage. Das Schweizer Datenschutzgesetz gilt für jedes KMU mit Sitz oder Tätigkeit in der Schweiz. Es verlangt drei Dinge vom Auftraggeber: dass der Auftragsbearbeiter die Daten nur auf Weisung bearbeitet, dass er die Datensicherheit gewährleistet und dass Subprozessoren ausschliesslich mit vorgängiger Genehmigung eingesetzt werden. Der EDÖB hat in seiner Mitteilung vom 8. Mai 2025 ausdrücklich klargestellt, dass das seit 1. September 2023 geltende DSG direkt auf KI-gestützte Datenbearbeitungen anwendbar ist.
DSGVO Art. 3 als Anwendungsschwelle, Art. 28 als Vertragsfolge. Die DSGVO greift unter den Tatbeständen von Art. 3 DSGVO: EU-Niederlassung, gezieltes Angebot von Waren oder Dienstleistungen an Personen in der EU oder Verhaltensbeobachtung in der EU. Für ein Schweizer Industrie-KMU mit einer deutschen oder österreichischen Vertriebsgesellschaft trifft das in der Regel zu. Für ein reines Schweizer KMU ohne EU-Marktauftritt eher nicht. Greift die DSGVO, wird Art. 28 für den Auftragsbearbeitungsvertrag relevant. Der VR muss die Anwendbarkeit fallspezifisch prüfen lassen.
US CLOUD Act als Sonderfall bei US-Anbietern. Der CLOUD Act (18 U.S.C. § 2713) verpflichtet Anbieter unter US-Jurisdiktion zur Herausgabe gespeicherter Daten, soweit diese in ihrer Verfügungsmacht oder Kontrolle liegen, unabhängig vom physischen Speicherort. Der Speicherort in Zürich oder Frankfurt schliesst die Pflicht des US-Mutterkonzerns nicht aus.
Behördliche Zugriffe auf KMU-Daten sind selten. Die Praxisrelevanz des CLOUD Act zeigt sich anders. Ein europäischer Grosskunde fragt im jährlichen Lieferanten-Audit, ob behördlicher Zugriff auf seine überlassenen Daten vertraglich ausgeschlossen ist. Wer bei einem produktiv genutzten US-Tool mit Nein antworten muss, riskiert den Folgeauftrag. Das ist die KMU-relevante CLOUD-Act-Konsequenz.
Lösen europäische Tochtergesellschaften das Problem?
Das häufigste Gegenargument in VR-Diskussionen: Die grossen Anbieter haben mittlerweile europäische Tochtergesellschaften mit eigener Datenhoheit. Microsoft EU Data Boundary, OpenAI Ireland, Anthropic-Hosting in Frankfurt, Google Schweiz-Regionen.
Die Rechtslage ist differenzierter. Eine europäische Tochtergesellschaft beseitigt den CLOUD-Act-Prüfpunkt nicht automatisch. Für den VR zählt, ob ein Anbieter unter US-Jurisdiktion Verfügungsmacht oder Kontrolle über die Daten hat. Diese Kontrollfrage gehört ins Anbieter-Inventar.
Der Unterschied liegt im Verhandlungsspielraum. Enterprise-Verträge mit europäischen Entitäten sind modifizierbar und schliessen Modell-Training auf Eingabedaten standardmässig aus. Consumer-AGBs sehen diesen Spielraum selten vor. Wer das Budget nur für die Pro-Variante freigibt, bekommt die Compliance-Lücke häufig gratis dazu. Die Migration auf Enterprise-Tier ist deshalb ein Governance-Entscheid mit VR-Relevanz.
Was im Auftragsbearbeitungsvertrag stehen muss
Ein Auftragsbearbeitungsvertrag, im internationalen Kontext oft Data Processing Agreement oder DPA genannt, ist der entscheidende Hebel. Er muss fünf Punkte sauber regeln.
Erstens: Subprozessoren. Vollständige Liste mit Sitz, Funktion und Datenzugriffsumfang. Entscheidend für den VR: Liegt die Liste vor, ist sie aktuell, und gibt es ein Widerspruchsrecht bei Änderungen?
Zweitens: Trainingsdaten-Klausel. Werden Eingaben für Modelltraining, Produktverbesserung, Sicherheitsanalysen oder Modell-Optimierung verwendet? Die Default-Antwort bei vielen Consumer-Tarifen ist Ja. In Enterprise-Verträgen lässt sich das abschalten. Ohne aktive Prüfung gilt meist die Anbieterlogik, die selten auf das Schutzinteresse des KMU optimiert ist.
Dritter Punkt: Speicherort und Backup-Standort. Beide Aussagen müssen vertraglich fixiert sein. Ohne offen gelegten Backup-Standort fehlt ein wesentliches Element der Kontrollkette.
Vierter Punkt: Behördenzugriff. Welche Verfahren greifen, wenn eine Behörde Datenherausgabe verlangt? Wird der Auftraggeber informiert, sofern rechtlich zulässig? Gibt es definierte Eskalationswege?
Fünfter Punkt: Löschung nach Vertragsende. Inklusive Backups, Logs und Trainingsdaten. Mit nachweisbarem Lösch-Protokoll und dokumentierter Vertragsklausel.
Wo der VR konkret in der Pflicht steht
Art. 716a OR verpflichtet den Verwaltungsrat zur unübertragbaren Oberaufsicht. Wesentliche Outsourcing-Entscheide fallen darunter. Die Auswahl eines KI-Anbieters mit Zugriff auf Kundendaten, Preise, Personaldaten oder produktive Prozessdaten ist eine materielle VR-Entscheidung mit Folgewirkung auf die Geschäftsleitung.
Im Schadenfall lautet die richterliche Frage: Hätten Sie es wissen müssen?
Drei VR-konkrete Pflicht-Checks für die nächste Sitzung.
1. KI-Anbieter-Statusbericht für die drei produktivsten Tools. Pro Anbieter: Datenklasse, Jurisdiktion der Muttergesellschaft, Subprozessoren-Liste mit Sitz, Trainingsnutzung der Eingaben, Behördenverfahren-Klausel, Exit-Pfad. Die Geschäftsleitung legt vor. Der VR nimmt zur Kenntnis und protokolliert.
2. DPA-Prüfung der drei produktivsten KI-Tools intern durch Rechtsdienst oder extern durch eine Stelle mit Datenschutzkompetenz. Schwerpunkte: Modell-Training auf Eingabedaten, Behördenzugriff-Verfahren, Subprozessoren-Änderungsrechte, Löschung nach Vertragsende. Ergebnis als Beilage zum Protokoll.
3. Beschluss zum Anbieter-Lebenszyklus. Ab welcher Datenklasse braucht ein KI-Tool VR-Freigabe vor Produktivnahme? Wie sieht der Vorgang für Anbieter-Wechsel aus, inklusive Datenrückgabe, Löschnachweis und Übergangsregelung? Ein Anbieter ohne dokumentierten Exit-Pfad bleibt ein Restrisiko in der Kontrollkette.
Fazit
Schweizer Hosting ist ein Vorteil. Datenkontrolle entsteht erst aus der vollständigen Kette: Anbieter, Muttergesellschaft, Subprozessoren, Trainingsnutzung, Behördenverfahren und Exit.
Ein produktiver KI-Anbieter ist Teil der Daten- und Kontrollarchitektur des Unternehmens. Diese Konstellation gehört auf VR-Ebene geprüft, bevor ein Tool produktiv geht.
48-Stunden-Test für den Verwaltungsrat: Für welche drei produktiven KI-Anbieter liegen Speicherort, Subprozessoren, Trainingsnutzung und Lösch-Nachweis dokumentiert vor?
Marco Quinter berät Verwaltungsräte zu KI-Governance, Anbieter-Auswahl und der Kontrollkette bei produktiven KI-Tools. Aktiver Verwaltungsrat, ehemaliger CBO und CIO.