KI-Anbieter im Ausland: Was der Verwaltungsrat kontrollieren muss
Ausgangspunkt
Drei KI-Tools laufen produktiv. Eines schreibt Offerten. Eines fasst Sitzungen zusammen. Eines unterstützt die Kundenkommunikation. Daten verarbeitet in Zürich. Muttergesellschaft in Kalifornien. Backups in Frankfurt. Globaler Support aus drei Zeitzonen. Im Modell des Offerten-Tools stecken Preise, Rabattmatrizen und Spezifikationen der fünf grössten Industriekunden.
Für die Geschäftsleitung ist das Effizienz. Für den Verwaltungsrat ist es eine Kontrollketten-Frage. Und im Lieferantenaudit eines europäischen Grosskunden ist es zunehmend eine Vertriebsfrage.
Der VR muss nicht jedes KI-Tool technisch verstehen. Er muss wissen, ob die Kontrollkette hält. Welche Daten fliessen wohin? Wer hat Zugriff? Werden Eingaben für Modelltraining genutzt? Was passiert bei Behördenanordnung, Anbieterwechsel oder Vertragsende? Genau dort beginnt Oberaufsicht nach Art. 716a OR.
Drei Entwicklungen, die den Massstab verschoben haben
Swiss-US Data Privacy Framework, in Kraft seit 15. September 2024. Der Bundesrat anerkennt zertifizierte US-Unternehmen als angemessenen Schutzraum nach Art. 16 Abs. 1 DSG. Die Zertifizierung ist auf dataprivacyframework.gov öffentlich prüfbar und jährlich zu erneuern.
EDÖB-Mitteilung vom 8. Mai 2025. Das nDSG ist auf KI-gestützte Datenbearbeitungen direkt anwendbar. Bei hohem Risiko verlangt das Gesetz eine Datenschutz-Folgenabschätzung.
Privatim-Resolution vom 24. November 2025. Die Konferenz der schweizerischen Datenschutzbeauftragten hält fest, dass internationale SaaS-Lösungen für besonders schützenswerte oder geheimhaltungspflichtige Personendaten durch öffentliche Organe in den meisten Fällen unzulässig sind, solange der Cloud-Anbieter Zugriff auf den Schlüssel hat. Die Resolution adressiert Behörden. Der Massstab strahlt auf jedes KMU mit B2G-Geschäft, kritischer Infrastruktur oder grossem Industriekunden ab.
Damit hat sich die Souveränitätsdebatte verschoben. Für den VR genügt der Speicherort allein nicht mehr. Entscheidend ist, ob der Anbieter Klartextzugriff hat und welche Jurisdiktion auf ihn wirkt.
Die VR-Matrix: fünf Fragen, fünf rechtliche Schichten
| VR-Frage | Rechtliche Schicht |
|---|---|
| Darf der Anbieter Daten im Auftrag bearbeiten? | nDSG Art. 9 |
| Greift zusätzlich EU-Recht? | DSGVO Art. 3 und Art. 28 |
| Kann eine ausländische Behörde Zugriff verlangen? | CLOUD Act, FISA, lokale Rechtslage |
| Hat der Anbieter überhaupt Klartextzugang? | BYOK, Schlüsselkontrolle, Confidential Computing |
| Kann das KMU sauber aussteigen? | Löschung, Datenrückgabe, Exit-Pfad |
Wann greift die DSGVO?
Die DSGVO wird für Schweizer KMU relevant, sobald eine EU-Niederlassung besteht, gezielt EU-Kunden adressiert werden oder Verhalten in der EU beobachtet wird. Eine deutsche Vertriebs-AG genügt. Dann gelten Art. 28 (Auftragsbearbeitung) und Art. 48 (Drittstaaten-Anordnungen). Ohne EU-Bezug bleibt das nDSG die Hauptachse.
Datenklassen-Matrix: Was braucht welche Schutzstufe
Nicht jede Datenklasse braucht die strengste Schutzstufe. Eine VR-taugliche Klassifikation orientiert sich an vier Klassen.
| Datenklasse | Beispiele | Mindeststufe |
|---|---|---|
| K1 Öffentlich | Marketing-Content, publizierte Preislisten | Standard-Cloud genügt |
| K2 Geschäftsdaten | Interne Protokolle, Lieferanteninfos, Routine-E-Mail | EU/CH-Rechenzentrum, Enterprise-Tier, Training abgeschaltet |
| K3 Besonders schützenswert oder erhöht vertraulich | Gesundheitsdaten, HR-Dossiers, Lohn- und Leistungsdaten, sensible Kundendossiers | BYOK plus EU/CH-Tier oder Schweizer Anbieter |
| K4 Geschäftsgeheimnis Tier 1 | Konstruktionsdaten, M&A-Unterlagen, Forschungspipeline, strategische Preismodelle | BYOK plus Confidential Computing oder Schweizer Anbieter mit dedizierter Infrastruktur |
Diese Matrix ist die Grundlage jedes Anbieter-Entscheids. Sie gehört in das KI-Register und ins Protokoll.
Die zwei Schutzhebel realistisch eingeordnet
Bring Your Own Key. Der Schlüssel verbleibt beim KMU oder in einem kundenseitigen Key-Vault (Schweizer HSM, AWS KMS External Key Store, Azure Managed HSM, Google Cloud EKM). Der Anbieter verarbeitet Chiffrat. Eine Behördenanordnung liefert verschlüsselte Daten, die ohne Schlüssel unlesbar bleiben. Schlüsselentzug beendet den Zugriff in Sekunden.
Confidential Computing. Die Verarbeitung läuft in einer hardware-gesicherten Enklave. Konzeptionell ist das ein Tresor im Rechenzentrum: Der Anbieter stellt den Tresor, der Inhalt bleibt für ihn unsichtbar. Die Kombination BYOK plus Confidential Computing ist heute die strengste produktiv verfügbare Schutzstufe.
Wichtige Einordnung. BYOK und Confidential Computing reduzieren den Klartextzugriff des Anbieters erheblich. Sie ersetzen keine Prüfung von Vertrag, Subprozessoren, Support-Zugriffen, Logs und Schlüsselverwaltung. Metadaten und Account-Daten bleiben sichtbar. Für den VR ist deshalb nicht das Label entscheidend, sondern die dokumentierte und gelebte Kontrollkette.
Schweizer und europäische Optionen sind real
Für K3 und K4 lohnt der Vergleich mit Schweizer und europäischen Alternativen. Infomaniak betreibt mit kAI eine Schweizer KI-Plattform mit Datenhaltung in der Schweiz. Im Vergleich zu US-Anbietern reduziert dies die CLOUD-Act-Exposition deutlich, ersetzt aber keine Prüfung von Modellherkunft, Subprozessoren, Supportzugriffen und Vertragsbedingungen. Swisscom bietet souveräne Cloud- und KI-Infrastruktur. Exoscale stellt europäische GPU-Kapazität bereit. Mistral und Aleph Alpha stehen für europäische KI-Modelle und Enterprise-Lösungen.
Der Vergleich gehört nüchtern geführt. Schweizer oder europäische Anbieter sind nicht automatisch besser. Entscheidend bleiben Modellqualität, Vertragsstruktur, Subprozessoren, Supportzugriff, Modellherkunft und Datenhaltung. Für K1 und K2 kann ein US-Enterprise-Tier genügen. Für K4 verschiebt sich das Argument von Komfort und Modellqualität zu Kontrollierbarkeit und Datensouveränität.
Der Auftragsbearbeitungsvertrag in fünf Pflichtpunkten
Ein produktionstauglicher DPA regelt fünf Dimensionen sauber.
- Subprozessoren. Vollständige Liste mit Sitz, Funktion und Datenzugriff. Widerspruchsrecht bei Änderungen mit Vorlauffrist.
- Trainingsdaten. Klare Klausel zur Verwendung von Eingaben. Default abgeschaltet. Bei Enterprise-Tier vertraglich fixierbar.
- Speicher- und Backup-Standort. Beide Orte vertraglich definiert, inklusive Replikationsketten.
- Behördenverfahren. Definierte Eskalation, Anfechtungspflicht des Anbieters, Informationspflicht gegenüber dem KMU, soweit rechtlich zulässig.
- Löschung nach Vertragsende. Inklusive Backups, Logs und Trainingsdaten. Mit dokumentiertem Löschnachweis.
Lieferantenaudit als kommerzielle Dimension
Ein europäischer Grosskunde fragt im jährlichen Lieferantenaudit nach der KI-Datenverarbeitungskette. Die Antwort ist heute Vertriebsargument. Ein KMU, das in 90 Sekunden zeigt, welche KI welche Daten verarbeitet, in welcher Jurisdiktion mit welcher Schutzstufe, gewinnt Vertrauen gegen Wettbewerber mit dünner Antwort. Wer hier sauber aufgestellt ist, verteidigt seine Marge im Mehrjahresvertrag und gewinnt Aufträge, die andere wegen unklarer Compliance verlieren.
Entscheidung
Art. 716a OR macht produktive KI-Anbieterwahl zur Sache des Verwaltungsrats, sobald materielle Datenklassen, Geschäftsgeheimnisse oder zentrale Prozesse betroffen sind. Die zentrale Frage im Schadenfall dürfte lauten: Welche Sorgfaltsprüfung wurde vor der Auswahl dokumentiert? Die Antwort entscheidet, ob ein Anbieterausfall ein operatives Ereignis bleibt oder zur Governance-Frage wird.
Die Entscheidung läuft entlang dreier Achsen:
- Rechtsrahmen. Schweizer Anbieter, EU-Anbieter, US-Anbieter mit Swiss-US-DPF-Zertifizierung oder ohne.
- Technische Schutzstufe. Standard-Cloud, Enterprise-Tier mit abgeschaltetem Training, BYOK, BYOK plus Confidential Computing.
- Datenklasse. K1 bis K4. Sie bestimmt die Mindestkombination der ersten beiden Achsen.
Nächster Schritt
Drei Aktionen für die nächste VR-Sitzung.
1. KI-Anbieter-Statusbericht. Für die fünf produktivsten KI-Tools je ein Datenblatt: Datenklasse, Anbieter-Jurisdiktion, Subprozessoren mit Sitz, Trainingsnutzung der Eingaben, BYOK-Status, Confidential-Computing-Option, Swiss-US-DPF-Zertifizierung, Exit-Pfad. Die Geschäftsleitung legt vor.
2. Prüfung der Top-3-Verträge. Externe Datenschutzstelle oder spezialisierter Anwalt. Schwerpunkte: Trainingsklausel, Behördenverfahren, Subprozessoren-Änderungsrechte, Lösch- und Rückgabenachweis. Ergebnis als Protokollbeilage.
3. VR-Beschluss zum Anbieter-Lebenszyklus. Formulierungsfertig:
Der Verwaltungsrat beschliesst, dass jede produktive KI-Anwendung mit Zugriff auf Datenklasse K3 oder K4 vor Inbetriebnahme der schriftlichen Freigabe durch den Verwaltungsrat bedarf. Die Geschäftsleitung legt für jede Anwendung ein Datenblatt vor, das Anbieter-Jurisdiktion, Subprozessoren, Schutzstufe und Exit-Pfad dokumentiert. Der Verwaltungsrat lässt sich halbjährlich über den Stand des KI-Anwendungsregisters orientieren.
48-Stunden-Test für den Verwaltungsrat
Die Geschäftsleitung liefert für die drei produktivsten KI-Anbieter fünf Punkte: Speicherort, Subprozessoren, Trainingsnutzung, Schlüsselkontrolle, Löschpfad. Was innert 48 Stunden belegbar ist, gehört ins Protokoll. Was offen bleibt, gehört auf die nächste Traktandenliste.
Genau dort beginnt wirksame KI-Oberaufsicht.
Marco Quinter unterstützt Verwaltungsräte dabei, produktive KI-Tools sauber zu beurteilen: Datenflüsse, Anbieterstruktur, Verträge, Trainingsnutzung, Schlüsselkontrolle und Exit-Pfad. Ergebnis ist eine protokollfähige Entscheidungsgrundlage für den Verwaltungsrat. Aktiver Verwaltungsrat. Ehemaliger CBO und CIO.
30 Minuten. Vertraulich. Auf Augenhöhe.