Skip to content
Setzt Ihr auf das richtige CMS? Kostenlose online CMS-Check
AI und Automatisierung AI & Künstliche Intelligenz

AI-Datenschutz für Schweizer KMU: Welche Lösung wirklich konform ist

Wer einen AI-Chatbot auf die Website bringt oder ChatGPT für Kundenkommunikation nutzt, stösst schnell auf eine unbequeme Frage: Wo landen die Daten eigentlich? Dieser Artikel zeigt, warum «DSGVO-konform» auf dem Anbieter-Dashboard nicht ausreicht, welche Anbieter Schweizer KMU tatsächlich bedenkenlos einsetzen können — und warum der Serverstandort oft das falsche Kriterium ist.

Noël Bossart
Noël Bossart
Aktualisiert: 29. Apr. 2026 · 12 Min. Lesezeit
Abstraktes Schild-Symbol mit Schweizer Kreuz und digitalen Verbindungslinien — steht für AI-Datenschutz für Schweizer KMU
Inhalt
Auf einen Blick
  • CLOUD Act gilt auch bei EU-Serverstandort
  • Drei Risikostufen — entscheidend ist die rechtliche Einheit
  • Infomaniak: einzige Schweizer Option
  • Mistral: bester EU-nativer Kompromiss
  • revDSG verlangt Dokumentation und Rechtsgrundlage

Ein typischer Vorfall — und seine Folgen

Eine Mitarbeiterin in der Geschäftsleitung will einen vertraulichen Lieferantenvertrag schnell zusammenfassen. Sie kopiert die 40 Seiten in ChatGPT Free, erhält in 30 Sekunden eine saubere Übersicht. Was sie nicht sieht: Vertragsname, Lieferant, Preise und Klauseln liegen ab sofort auf US-Servern bei OpenAI — und gehen dort potenziell ins Training neuer Modelle ein, weil ChatGPT Free das standardmässig tut. Sensible Geschäftsdaten in einem Modell, das morgen jeder befragen kann.

Oder: Eine NGO-Mitarbeiterin schreibt einen Bericht über schutzbedürftige Klienten. Sie tippt: «Glätte mir diesen Absatz: Frau M. (52) aus Bern, alleinerziehend mit drei Kindern, hat seit zwei Monaten keine Wohnung mehr...» Name, Lebenssituation, Adresse stehen jetzt bei einem US-Unternehmen.

Beide Vorfälle sind kein Einzelfall — sondern in Schweizer KMU, Kanzleien und NGOs heute Alltag. In den meisten Fällen ist niemandem bewusst, welche Spuren das hinterlässt und welche rechtlichen Folgen es haben kann. Dieser Artikel zeigt, woran ihr solche Risiken erkennt — und wie ihr AI im Unternehmen einsetzen könnt, ohne gegen Schweizer revDSG oder EU-DSGVO zu verstossen.

Was «datenschutzkonform» bei AI wirklich bedeutet

Viele AI-Anbieter werben mit DSGVO-Konformität oder EU-Serverstandorten. Das klingt beruhigend — greift aber zu kurz. Ein Server in Frankfurt oder Genf hilft wenig, wenn das Unternehmen dahinter ein US-Unternehmen ist. US-Unternehmen unterliegen dem amerikanischen CLOUD Act — egal, wo ihre Server stehen. Das gilt für OpenAI, Microsoft, Google und Amazon gleichermassen.

Die entscheidende Frage lautet deshalb nicht: «Wo steht der Server?» — sondern: «Welchem Recht unterliegt das Unternehmen, das meine Daten verarbeitet?»

Wer das verstanden hat, sieht den Unterschied zwischen «sicherem» und «unsicherem» AI-Einsatz schnell. Und kann bewusst entscheiden, welche Daten überhaupt durch welches System gehen dürfen.

AI-Chatbot für Schweizer KMU

AI-Chatbot für eure Website

Wie sich ein Chatbot datenschutzkonform aufbauen lässt — SaaS oder Custom.

Chatbot-Artikel lesen Chatbot-Artikel lesen

Der CLOUD Act — das unterschätzte Risiko

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Bundesgesetz aus dem Jahr 2018. Er ermächtigt US-Strafverfolgungsbehörden, von US-Unternehmen Datenzugriff zu verlangen — unabhängig vom Serverstandort.

Was das in der Praxis bedeutet: Ein US-Unternehmen, das Daten auf EU-Servern speichert, muss einer US-Behörde trotzdem Zugriff gewähren. Es ist dabei nicht verpflichtet, euch oder die betroffenen Personen darüber zu informieren.

Das ist kein hypothetisches Szenario. US-Behörden nutzen diese Möglichkeit aktiv. Für Schweizer KMU mit Datenschutzpflichten gegenüber Kunden, Mitarbeitenden oder Behörden ist das ein reales rechtliches Risiko — auch wenn es im Alltag selten sichtbar wird.

Achtung

Ein Auftragsverarbeitungsvertrag (AVV) mit einem US-Anbieter reduziert euer Compliance-Risiko auf dem Papier. Er schützt aber nicht vor staatlichem US-Datenzugriff. Der AVV regelt, was der Anbieter mit euren Daten tun darf — nicht, was er auf US-Regierungsanweisung tun muss.

Schützt eine EU-Tochtergesellschaft vor dem CLOUD Act?

Ein häufiges Gegenargument: Microsoft betreibt Microsoft Ireland, Google hat Google Ireland Limited, Amazon führt Amazon EU SARL. Sind das nicht europäische Unternehmen unter europäischem Recht?

Nein — nicht im Sinne des CLOUD Act. Das Gesetz gilt ausdrücklich für US-Unternehmen und alle von ihnen kontrollierten Einheiten. «Kontrolle» bedeutet: das Mutterunternehmen kann die Tochtergesellschaft anweisen. Das ist bei Tochtergesellschaften per Definition der Fall.

Eine US-Behörde erwirkt einen Beschluss gegen Microsoft Corp — nicht gegen Microsoft Ireland. Microsoft Corp weist dann Microsoft Ireland an, die Daten herauszugeben. Das Mutterunternehmen hat die rechtliche Pflicht und die technischen Mittel zur Durchsetzung. Kommt es nicht nach, riskiert es Contempt of Court. Serverstandort und EU-Registrierung der Tochtergesellschaft ändern nichts an dieser Logik.

Kann die EU-Tochtergesellschaft den US-Datenzugriff ablehnen?

Theoretisch ja — hier liegt ein echter, ungelöster Rechtskonflikt. Die DSGVO Art. 48 besagt: Datentransfers in Drittländer auf Basis ausländischer Behördenanordnungen müssen über MLAT-Kanäle oder anerkannte Übereinkommen laufen, nicht über direkte Anordnungen. Eine EU-Tochtergesellschaft kann also eine Rechtsgrundlage für die Verweigerung anführen.

Drei Gründe, warum das in der Praxis keinen sicheren Hafen schafft:

Das US-Gericht zwingt das Mutterunternehmen — nicht die Tochtergesellschaft. Der Beschluss richtet sich gegen Microsoft Corp. Das Mutterunternehmen trägt die Pflicht zur Erfüllung und das Risiko bei Verweigerung.

Es gibt kein EU-US-CLOUD-Act-Abkommen. Das Gesetz sieht eine «Qualifying Foreign Government»-Klausel vor: Hat ein Land ein bilaterales Abkommen mit den USA unterzeichnet, können Anbieter Beschlüsse anfechten, die mit dem Recht dieses Landes kollidieren. Das Vereinigte Königreich hat ein solches Abkommen 2022 unterzeichnet. Die EU bis heute nicht. Ohne dieses Abkommen gibt es keinen formalisierten Weg, US-Beschlüsse zu blockieren.

Der Konflikt fällt auf das Unternehmen zurück. CLOUD-Act-Pflicht erfüllen verstösst gegen DSGVO Art. 48. Verweigern riskiert Contempt of Court für das Mutterunternehmen. Microsoft und AWS versuchen mit «EU Sovereign Cloud»-Architekturen, US-Personal technisch vom EU-Datenzugriff abzuschneiden. Kein Gericht hat diese Konstruktion bislang als rechtliche Schutzschranke anerkannt.

Gut zu wissen

Datenresidenz ≠ Datensouveränität. «Datenresidenz» bezeichnet, wo Daten physisch gespeichert sind. «Datensouveränität» bezeichnet, wer letztlich rechtliche Kontrolle darüber hat. EU-Tochtergesellschaften garantieren Ersteres. Den CLOUD Act schaltet nur das Fehlen einer US-Muttergesellschaft im Kontrollpfad aus.

Drei Risiko-Ebenen im Überblick

Nicht jede AI-Lösung trägt dasselbe Risiko. Drei Tier reichen aus, um die Entscheidung zu strukturieren — je nachdem, welche Daten ihr verarbeitet und welche Compliance-Anforderungen gelten.

Das einzige relevante Kriterium ist die rechtliche Einheit des vertraglichen Anbieters: US-Unternehmen unterliegen dem CLOUD Act, EU-Unternehmen nicht. Der Serverstandort ist nachrangig — eine «EU-Datenresidenz» bei einem US-Anbieter (AWS Bedrock EU, Azure OpenAI EU, OpenAI Enterprise EU) ändert nichts an der Jurisdiktion.

Tier 1: US-Anbieter Tier 2: EU-Gateway Tier 3: EU/CH eigene Server
Rechtliche Einheit US-Unternehmen EU- oder UK-Unternehmen EU/CH-Unternehmen
Serverstandort USA oder EU-Residenz EU EU/Schweiz
CLOUD Act-Risiko (Anbieter) Hoch Keines (NL) / Niedrig (UK) Keines
CLOUD Act-Risiko (Modell-Anbieter) Hoch Keines bei EU-Modell / Hoch bei US-Modell Keines
Bekannte Beispiele OpenAI, Anthropic, Google, AWS Bedrock EU, Azure OpenAI EU EUrouter (NL), Requesty (UK) Mistral, Infomaniak, Scaleway, Apertus
AVV verfügbar Ja Ja Ja
Für sensible Daten Nicht empfohlen Nur mit gezielter Modellwahl Empfohlen

Eine «EU-Datenresidenz» bei US-Anbietern (AWS Bedrock EU, Azure OpenAI EU) ändert nichts an der CLOUD-Act-Exposition — das vertragliche Anbieter-Unternehmen bleibt US-juristisch. Bei Tier 2 ist das Gateway EU-juristisch sauber, doch der nachgelagerte Modellaufruf kann US-Recht aktivieren — siehe Tier 2-Abschnitt. Stand: April 2026.

Tier 1: US-SaaS direkt — wann ist das vertretbar?

Direkte US-Anbieter wie OpenAI, Anthropic oder Google sind nicht per se verboten. Entscheidend ist, welche Daten ihr verarbeitet.

Vertretbar bei: nicht-personenbezogenen Daten (öffentlich zugängliche Informationen, generische Texte), internem Use ohne Personenbezug, oder einmaligen Tests ohne Datenpersistenz.

Nicht vertretbar bei: Kundendaten (Namen, E-Mail, Kaufhistorie), Mitarbeiterdaten (Bewerbungen, Gehaltsinfos), Gesundheits- oder Finanzdaten, und vertraulichen Dokumenten mit Geschäftsgeheimnissen.

Viele KMU nutzen ChatGPT täglich — oft für Aufgaben, bei denen Tier 1 eigentlich problematisch ist. Das Risiko ist real, auch wenn es selten unmittelbar spürbar wird.

EU-Datenresidenz ≠ Datensouveränität

Mehrere US-Anbieter werben mit EU-Datenresidenz: OpenAI Enterprise mit EU-Hosting, AWS Bedrock mit EU-Inference-Profilen (eu-central-1, eu-west-1) für Claude oder Titan, Microsoft Azure OpenAI Service mit EU-Deployment in Frankfurt oder Schweden. Die Daten bleiben dann auf EU-Servern — das vertragliche Unternehmen bleibt aber US-amerikanisch. Der CLOUD Act greift weiterhin. EU-Datenhaltung reduziert das Risiko marginal, eliminiert es nicht. Beachtet das beim AVV: ein US-Anbieter mit EU-Region ist rechtlich Tier 1, kein eigener Tier.

Tier 2: EU-Gateways als Mittelposition

Tier 2 sind Gateways: europäische Firmen, die selbst keine Modelle betreiben, sondern eure Anfrage an verschiedene Modell-Anbieter weiterleiten. Das Gateway ist eine Vermittlungsschicht. Was bei Datenschutz herauskommt, hängt deshalb davon ab, an wen das Gateway eure Daten weiterreicht.

Zwei bekannte Beispiele: EUrouter (eingetragen in Amsterdam) und Requesty (eingetragen in London). Beide unterliegen selbst nicht dem US-CLOUD Act. Bei Requesty gibt es eine kleine Restexposition, weil Grossbritannien 2022 ein Abkommen mit den USA über Datenzugriffe unterzeichnet hat. Beide leiten je nach Wahl an europäische Modell-Anbieter (z.B. Mistral aus Frankreich) oder an US-Plattformen mit europäischen Servern (AWS, Microsoft) weiter.

Zwei Ergebnisse je nach Route:

(a) Gateway → europäischer Modell-Anbieter. Eure Daten bleiben durchgehend in Europa. Kein US-Unternehmen in der Kette. Datenschutz-Wirkung praktisch wie Tier 3 — nur mit zwei europäischen Firmen statt einer im Datenfluss.

(b) Gateway → US-Cloud-Plattform mit EU-Servern. Das Modell läuft zwar in Frankfurt oder Stockholm — aber Amazon oder Microsoft bleibt der vertragliche Verarbeiter unter US-Recht. CLOUD Act greift wieder. Kein Vorteil gegenüber dem direkten US-Anbieter.

Tier 2 lohnt sich also nur, wenn ihr bewusst einen europäischen Modell-Anbieter unter dem Gateway wählt. Wer Claude oder GPT-5 über ein EU-Gateway nutzt, akzeptiert dabei US-Recht und ist rechtlich nicht besser dran als mit dem direkten US-Anbieter.

ISO 27001 als Mindeststandard

Bei Gateway- und Cloud-Anbietern lohnt sich ein Blick auf ISO 27001 (Informationssicherheits-Management) und SOC 2 Type II. Sie ersetzen keine rechtliche Einordnung — belegen aber, dass Zugriffsverwaltung, Incident-Handling und interne Prozesse extern auditiert sind. Für sensible Daten ist mindestens eine dieser Zertifizierungen die Eintrittskarte. Den aktuellen Audit-Bericht (nicht nur das Marketing-Versprechen) immer einfordern.

Tier 3: Europäische Anbieter mit eigenen Servern

Tier 3 sind Anbieter, die in der EU oder Schweiz registriert sind und ihre AI-Modelle auf eigenen Servern in Europa betreiben. Vom Vertrag bis zur Verarbeitung sieht eine einzige Firma eure Daten — keine Vermittler, keine US-Subunternehmer, keine nachgelagerten US-Modell-Anbieter.

Welche Sprachmodelle der Anbieter einsetzt — eigene wie bei Mistral oder offene wie LLaMA, Mixtral, Qwen — ist datenschutzrechtlich zweitrangig. Modelle sind Software. Entscheidend ist, wer eure Daten technisch verarbeitet.

Der CLOUD Act greift hier nicht. EU- und Schweizer Datenschutzrecht gilt vollumfänglich. Das macht Tier 3 zur sichersten Option für personenbezogene und sensible Daten.

Mistral AI — Frankreich

  • Französisches Unternehmen, EU-Recht, kein CLOUD Act
  • Eigene leistungsstarke Modelle (Mistral Large)
  • Verarbeitet eure Daten auf eigenen Servern in Frankreich
  • DPA verfügbar, einfache Anbindung an Standard-Tools
  • Beste Wahl, wenn ihr Top-Modellqualität ohne Mittelsmann braucht

Infomaniak AI Tools — Schweiz

  • Schweizer Unternehmen (Genf), eigene Rechenzentren in der Schweiz
  • Zertifiziert nach revDSG und DSGVO, Preise in CHF
  • Setzt offene Modelle (LLaMA, Mixtral, Gemma) auf eigenen Servern ein
  • Kostenloser Einstieg möglich, einfache Anbindung
  • Sehr gute Wahl für Standardaufgaben mit maximaler Schweizer Kontrolle

Scaleway Generative APIs — Frankreich

  • Französische Aktiengesellschaft, EU-Recht
  • Setzt Mistral- und offene Modelle auf eigenen EU-Rechenzentren ein
  • DSGVO-konform, einsteigerfreundliche Preise
  • Eine einzige Firma im Datenfluss — Scaleway ist Vertragspartner und Verarbeiter
  • Pragmatische Alternative zu einem direkten Mistral-Vertrag

Apertus — Schweiz (in Aufbau)

  • Schweizer Nationalprojekt von ETH Zürich und EPFL
  • Geplant: Schweizer Infrastruktur, 70B-Modell, offene Gewichte
  • Maximale Datensouveränität — noch eingeschränkt verfügbar
  • Breite Nutzung ab 2026/2027
  • Relevant für Organisationen mit höchsten Souveränitätsanforderungen

Checkliste: Was vor dem AI-Einsatz zu klären ist

Bevor ihr einen AI-Dienst produktiv einsetzt, sollten grundlegende Fragen geklärt sein. Das gilt unabhängig vom Anbieter — revDSG und DSGVO verlangen nachweisbare Entscheidungen, keine guten Absichten. Eine kurze Beratung hilft, den richtigen Einstiegspunkt zu finden.

Bevor ihr startet

  • Verarbeitet ihr personenbezogene Daten? (Namen, E-Mail, Verhaltensdaten)
  • Ist ein AVV/DPA mit dem Anbieter vorhanden und unterzeichnet?
  • Habt ihr eine Rechtsgrundlage für die Datenverarbeitung (Art. 6 DSGVO / Art. 9 revDSG)?
  • Unterliegt der Anbieter dem CLOUD Act — also US-Recht?
  • Ist der Anbieter ISO 27001 oder SOC 2 Type II zertifiziert (aktueller Audit-Bericht)?
  • Werden Daten für Modelltraining genutzt? (Opt-out geprüft?)
  • Ist die Datenverarbeitung im Verarbeitungsverzeichnis dokumentiert?
  • Sind Betroffene informiert, dass AI ihre Daten verarbeitet?
  • Habt ihr geprüft, ob Open-Source- oder Schweizer Alternativen relevant sind?

Was revDSG konkret von euch verlangt

Das revidierte Datenschutzgesetz (revDSG), seit September 2023 in Kraft, stellt konkrete Anforderungen an den AI-Einsatz. Drei davon sind für Schweizer KMU besonders relevant.

Informationspflicht. Verarbeitet ihr personenbezogene Daten mit AI, müssen Betroffene darüber informiert werden — aktiv und verständlich, nicht nur im Kleingedruckten der Datenschutzerklärung.

Rechtsgrundlage. Jede Verarbeitung braucht eine Basis: Einwilligung, Vertrag oder legitimes Interesse. Bei AI-Systemen ist das oft unklar dokumentiert — besonders wenn Daten an Drittanbieter fliessen.

Drittlandtransfer. Werden Daten an Länder ohne gleichwertigen Schutz übertragen (USA), braucht ihr zusätzliche Garantien. Standardvertragsklauseln (SCCs) sind eine Möglichkeit — reichen bei US-Anbietern wegen des CLOUD Act aber möglicherweise nicht aus. Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat klargemacht: revDSG wird mit denselben Mitteln durchgesetzt wie die DSGVO in der EU — Bussen inklusive.

Noël Bossart
Expertentipp Von Noël Bossart

Beginnt mit dem Verarbeitungsverzeichnis. Tragt dort ein, welche AI-Tools ihr nutzt, welche Daten fliessen und auf welcher Rechtsgrundlage. Das ist kein bürokratischer Akt — es ist die Grundlage, auf der ihr im Ernstfall nachweisen könnt, dass ihr sorgfältig entschieden habt. Eine Stunde Aufwand erspart eine stundenlange Erklärung gegenüber dem EDÖB.

Infografik: 3 Risikostufen für AI-Datenschutz in der Schweiz
Kostenloser Download

Infografik: 3 Risikostufen für AI-Datenschutz

CLOUD Act, revDSG, das 3-Tier-Modell (US, EU-Gateway, EU/CH-Inferenz) und konkrete Anbieter — übersichtlich auf einer Seite. Zum Ausdrucken oder Weiterleiten.
Download-Formular

Fazit: Konformität ist keine Zertifikatsaussage

«DSGVO-konform» und «EU-Server» auf dem Anbieter-Dashboard bedeuten wenig ohne Blick auf den CLOUD Act. Die entscheidende Frage ist: Welchem Recht unterliegt das Unternehmen, das eure Daten verarbeitet — nicht: wo steht der Server.

Für Schweizer KMU ohne spezialisierte Rechtsabteilung gilt: Tier 3 ist die sichere Wahl bei sensiblen Daten. Mistral (Frankreich) bietet eigene Frontier-Modelle ohne CLOUD-Act-Risiko. Infomaniak (Schweiz) bietet maximale lokale Kontrolle für Standardaufgaben — Single-Party-Datenkette inklusive.

Tier 2 (EU-Gateway: EUrouter, Requesty) ist sinnvoll, wenn ihr EU/CH-Jurisdiktion auf Anbieter-Ebene wollt, aber Frontier-Modelle wie Claude oder GPT-5 braucht — kombiniert mit EU-deployten Endpunkten.

Tier 1 (US-Anbieter, mit oder ohne EU-Datenresidenz) ist pragmatisch vertretbar für Alltagsaufgaben ohne personenbezogene Daten — Textentwürfe, interne Zusammenfassungen, Recherche.

Die gute Nachricht: EU- und Schweiz-konforme Alternativen existieren, sind produktionstauglich und nicht teurer als die US-Pendants. Die Entscheidung ist keine Budgetfrage — sondern eine Wissensfrage. Wer die Optionen kennt, kann souverän wählen. Und wer Unterstützung bei der AI-Integration braucht, findet sie ohne Kompromisse beim Datenschutz.

Noël Bossart, Gründer von Noevu
AI-Lösung datenschutzkonform umsetzen

Welcher Anbieter zu eurem Setup passt und was ihr konkret dokumentieren müsst — das lässt sich in einem kurzen Gespräch klären. Ohne Fachchinesisch, auf eure Situation zugeschnitten.

Kostenlose Beratung

Häufig gestellte Fragen

Was ist der CLOUD Act und warum ist er für Schweizer KMU relevant?

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) erlaubt US-Strafverfolgungsbehörden, von US-Unternehmen Datenzugriff zu verlangen — auch wenn die Daten auf EU- oder Schweizer Servern gespeichert sind. Für Schweizer KMU bedeutet das: Jeder US-amerikanische AI-Anbieter — OpenAI, Microsoft, Google, Amazon — unterliegt diesem Gesetz, unabhängig vom Serverstandort. Ein Frankfurter Rechenzentrum allein schützt nicht vor US-Behördenzugriff.

Reicht ein Auftragsverarbeitungsvertrag (AVV) für revDSG-Konformität?

Ein AVV ist notwendig, aber nicht ausreichend. Er regelt, was der Anbieter mit euren Daten tun darf — schützt aber nicht vor staatlichem US-Zugriff aufgrund des CLOUD Act. Für sensible Daten braucht es zusätzlich einen Anbieter ohne US-Muttergesellschaft. Nur dann entfällt das CLOUD-Act-Risiko vollständig.

Schützt eine EU-Tochtergesellschaft von Microsoft oder Google vor dem CLOUD Act?

Nein. Der CLOUD Act gilt ausdrücklich für US-Unternehmen und alle von ihnen kontrollierten Einheiten. Eine Tochtergesellschaft ist per Definition kontrolliert. Eine US-Behörde zwingt das US-Mutterunternehmen — das wiederum seine Tochtergesellschaft anweist. Serverstandort und EU-Registrierung der Tochtergesellschaft ändern nichts an dieser Pflicht.

Kann eine EU-Tochtergesellschaft den Datenzugriff durch US-Behörden ablehnen?

Theoretisch kann sie DSGVO Art. 48 als Basis anführen. Praktisch hilft das wenig: Das US-Gericht zwingt das Mutterunternehmen, nicht die Tochtergesellschaft. Ein EU-US-CLOUD-Act-Bilateralabkommen, das eine solche Ablehnung formal absichern würde, existiert nicht — die EU hat keines unterzeichnet (das UK hingegen 2022). Das Unternehmen bleibt im Konflikt zwischen zwei Rechtssystemen ohne validierten Ausweg.

Welche AI-Anbieter sind für Schweizer KMU datenschutzrechtlich unbedenklich?

EU- und Schweiz-native Anbieter ohne US-Muttergesellschaft: Mistral AI (Frankreich, eigene Frontier-Modelle), Infomaniak AI Tools (Schweiz, hostet Open-Source-Modelle), Scaleway Generative APIs (Frankreich, hostet Mistral). Für nicht-sensible Daten sind EU-Gateways (EUrouter, Requesty) eine pragmatische Mittelposition — mit dokumentierten Einschränkungen und AVV.

Sind Requesty und EUrouter US-Unternehmen?

Nein. Requesty ist als britische Private Limited Company eingetragen (Companies House 15165717, London). EUrouter ist eine niederländische Gesellschaft mit Sitz in Amsterdam und betreibt seine Infrastruktur ausschliesslich in der EU (Scaleway, Frankreich) — und ist nach Auskunft des Founders David Lo Dico nicht mit Requesty verbunden. Beide unterliegen nicht direkt dem US CLOUD Act. Restexposition bei Requesty: das Vereinigte Königreich hat 2022 ein bilaterales CLOUD-Act-Abkommen mit den USA unterzeichnet.

Hosten Requesty oder EUrouter eigene Modelle?

Nein. Beide sind reine Vermittler — sie betreiben keine eigene Modell-Infrastruktur. Sie leiten eure Anfrage je nach Wahl an einen europäischen Modell-Anbieter (z.B. Mistral aus Frankreich) oder an eine US-Cloud-Plattform mit EU-Servern (AWS, Microsoft) weiter. Welche Variante ihr wählt, bestimmt das Datenschutz-Ergebnis: bei einem europäischen Modell bleibt alles in Europa, bei einer US-Plattform kommt US-Recht zurück in die Kette — auch wenn der Server in Frankfurt steht.

Ist ChatGPT für Schweizer KMU legal nutzbar?

Für generische Aufgaben ohne Personenbezug — Textentwürfe, Zusammenfassungen öffentlicher Informationen — ist ChatGPT mit unterzeichnetem AVV vertretbar. Für Kundendaten, Mitarbeiterdaten oder vertrauliche Dokumente ist das rechtliche Risiko erheblich. OpenAI bietet zwar EU-Datenhaltung an, bleibt aber ein US-Unternehmen mit CLOUD-Act-Exposition.

Was macht Infomaniak AI Tools besonders für Schweizer Unternehmen?

Infomaniak ist in Genf gegründet, betreibt Rechenzentren in der Schweiz und ist nach revDSG sowie DSGVO zertifiziert. Die API ist OpenAI-kompatibel und bietet einen kostenlosen Einstieg (120'000 Tokens pro Tag). Einschränkung: keine Frontier-Modelle wie Claude oder GPT-4 — nur Open-Source-Modelle wie LLaMA 3 oder Mixtral. Für Standardaufgaben oft ausreichend.

Wie hoch ist das tatsächliche Risiko beim Einsatz von US-AI-Diensten?

Das Risiko hängt von den Daten ab. Für öffentliche, nicht-personenbezogene Aufgaben ist es gering. Für Kundendaten, Gesundheitsinformationen oder Geschäftsgeheimnisse ist es erheblich — nicht weil morgen etwas passiert, sondern weil ihr im Fall einer Prüfung durch den EDÖB keine ausreichende Rechtsgrundlage nachweisen könntet.

Noël Bossart

Über den Autor

Noël Bossart — Gründer & Entwickler

Noël baut seit über 25 Jahren Websites — von der Strategie bis zur Umsetzung. Als Gründer von Noevu verbindet er effiziente Prozesse mit ästhetischem Design, um Schweizer KMUs digitale Lösungen zu bieten, die wirklich funktionieren.

Termin buchen E-Mail LinkedIn
Blog-Beiträge

Weitere Artikel

Vernetzte Knoten und schwebende Glas-Prismen in Coral- und Teal-Tönen — abstrakte Darstellung eines CRM-HubsTool
AI und Automatisierung9 minHubSpot im Check: CRM, Marketing-Automatisierung und die AI-FrageHubSpot gilt als das Schweizer Sackmesser unter den CRM-Systemen — robust, vielseitig und für viele KMU der erste Reflex bei der Auswahl. Doch der Free Plan reicht oft länger als gedacht, der Sprun…Noël Bossart · 21. Mai 2026
Kleiner Glas-Roboter mit korallrotem Akzentlicht überträgt eine leuchtende Dokumentendatei zwischen einem matten Mail-Tablet links und einem Stapel translucenter Ordner rechts — Metapher für Gemini, das Gmail und Google Drive verbindetArtikel
AI und Automatisierung7 minGoogle Gemini: Praktischer Helfer für Schweizer KMUViele Schweizer KMU nutzen Google Workspace täglich — ohne zu wissen, dass ein AI-Assistent bereits integriert ist. Ob Google Gemini das richtige Tool für euer Unternehmen ist, hängt von wenigen Fa…Noël Bossart · 26. Apr. 2026
Abstrakte Darstellung vernetzter Datenpunkte und API-Verbindungen in Noevu-Farben — Squarespace Contacts APIArtikel
AI und Automatisierung7 minSquarespace Contacts API: Direkte CRM-Integration — was jetzt möglich istViele Squarespace-Websites sammeln täglich Kontaktdaten — doch die Weitergabe ans CRM lief bisher nur über kostenpflichtige Zwischendienste wie Zapier. Mit der neuen Contacts API ist direkte Integr…Noël Bossart · 15. Apr. 2026
Abstrakte Darstellung eines AI-Chatbot-Gesprächs mit vernetzten Chat-Blasen und Integrations-SymbolenArtikel
AI und Automatisierung8 minAI-Chatbot für KMU: Was SaaS kann — und wo Custom beginntAI-Chatbots versprechen schnelle Ergebnisse — bis die erste Verkaufssituation zeigt, dass Tonalität und Instruktionstreue den Unterschied machen. Dieser Artikel hilft bei der Einordnung: wann ein f…Noël Bossart · 8. Apr. 2026
AI in Unternehmen – Illustration zum Thema künstliche Intelligenz für Schweizer KMUArtikel
AI und Automatisierung6 minAI für KMU: Warum Euer Unternehmen jetzt handeln mussOb AI für euer KMU relevant ist, steht ausser Frage. Die eigentliche Frage ist: wann und wie ihr diese Technologie strategisch nutzt. Wer jetzt AI ignoriert, riskiert, den Anschluss zu verlieren un…Noël Bossart · 30. Sept. 2025
AI-Tools für Schweizer KMU – eine futuristische Darstellung mit Schweizer ElementenArtikel
AI-Bildwelt16 minDie besten AI-Tools für Schweizer Firmen 2026AI für Schweizer Unternehmen: Erfahrt, wie Ihr Künstliche Intelligenz gewinnbringend einsetzt. Von Chatbots bis Bildgenerierung – euer Leitfaden für KMU.Noël Bossart · 16. Sept. 2025
Alle Beiträge entdecken