Warum die Daten Ihrer Kunden die Schweiz nicht verlassen sollten

Wenn ein Schweizer KMU entscheidet, wo es die Daten seiner Kunden — Kontaktdaten, Kaufhistorien, Dossiers, Korrespondenzen — hostet, trifft es eine Entscheidung, die weit über den technischen Rahmen hinausgeht. Es übernimmt rechtliche Verantwortung, seinen Ruf und das Vertrauen, das ihm seine Kunden entgegenbringen. Doch viele Unternehmen wissen nicht genau, wo ihre Daten gespeichert sind. Eine SaaS-Anwendung mit Servern in Irland, ein ERP bei AWS Frankfurt, eine E-Mail-Lösung auf US-Servern — ohne es zu merken, haben Ihre Kundendaten die Schweiz möglicherweise bereits verlassen. Hier ist warum das ein Problem ist und wie Sie es beheben können.

Die Schweiz ist nicht die Europäische Union

Die Schweiz ist nicht Mitglied der EU und gehört nicht zum Europäischen Wirtschaftsraum. Ihr Rechtsrahmen zum Datenschutz — das nDSG — ist an die europäische DSGVO angeglichen, bleibt aber eigenständig. Konkret bedeutet dies, dass die Regeln für Datenübermittlungen zwischen der Schweiz und anderen Ländern spezifisch sind. Die Schweiz führt ihre eigene Liste von Ländern, die als angemessen geschützt gelten. Die USA befinden sich ohne zusätzliche vertragliche Garantien nicht auf dieser Liste. Wenn Sie US-Cloud-Dienste nutzen, um Schweizer Kundendaten zu hosten, müssen Sie sicherstellen, dass geeignete Rechtsinstrumente diese Übermittlung abdecken — etwas, das viele Unternehmen nicht umgesetzt haben.

Der Cloud Act: ein Damoklesschwert über Ihren Daten

Der Clarifying Lawful Overseas Use of Data Act, kurz Cloud Act, ist ein US-amerikanisches Gesetz aus dem Jahr 2018. Er ermöglicht US-Behörden, von US-Technologieunternehmen die Herausgabe von Daten zu verlangen, die auf deren Servern gespeichert sind — auch auf Servern ausserhalb der USA. AWS, Microsoft Azure, Google Cloud, Salesforce, Microsoft 365 — all diese Dienste werden von US-Unternehmen betrieben, die dem Cloud Act unterliegen. Selbst wenn Ihre Daten physisch in Europa oder der Schweiz gespeichert sind, können sie auf Anfrage potenziell für US-Behörden zugänglich sein. Für ein Schweizer KMU, das Kundendossiers, medizinische Informationen, Finanzdaten oder vertrauliche Korrespondenzen hostet, ist das ein reales Risiko — auch wenn die Wahrscheinlichkeit der tatsächlichen Inanspruchnahme im Alltag gering bleibt.

Kundenvertrauen: ein oft unterschätztes Argument

Über den rechtlichen Rahmen hinaus ist das Hosting von Kundendaten in der Schweiz in vielen Branchen ein konkretes Verkaufsargument. In regulierten Branchen — Gesundheit, Finanzen, Recht, Fiduziaire, Versicherung — ist der Standort der Daten oft eine ausdrückliche Anforderung der Kunden oder Aufsichtsbehörden. Eine Anwaltskanzlei, eine Fiduziaire oder eine Klinik kann es sich nicht leisten, auf die Frage „Wo werden meine Daten gespeichert?" mit „Ich weiss es nicht" zu antworten. Aber auch ausserhalb regulierter Branchen wird der Datenstandort zu einem Differenzierungskriterium. Schweizer Unternehmen werden zunehmend sensibler für die Frage der digitalen Souveränität — und einige integrieren sie in ihre Lieferantenauswahl. Die Antwort „Ihre Daten werden in der Schweiz gehostet, in Rechenzentren, die von einem lokalen Team betrieben werden, ohne Abhängigkeit von ausländischen Konzernen" ist eine einfache Antwort auf eine zunehmend häufige Frage.

Was „Daten in der Schweiz" wirklich bedeutet

Achtung: Nicht alle Anbieter, die „Schweizer Hosting" bewerben, sind gleich. Hier ist, was Sie prüfen sollten:

  • Physische Serverlokation: Die Daten müssen auf Servern gespeichert werden, die sich physisch in der Schweiz befinden. Eine Schweizer Rechnungsadresse oder ein deutschsprachiger Support garantieren nicht, dass die Daten nicht über Server im Ausland laufen.
  • Jurisdiktion des Betreibers: Der Hoster muss eine Schweizer Rechtseinheit sein, die nicht ausserterritorialen Gesetzen wie dem Cloud Act unterliegt. Ein Schweizer Rechenzentrum, das von einer Tochtergesellschaft eines US-Unternehmens betrieben wird, bietet nicht die gleichen Garantien wie ein unabhängiger Schweizer Betreiber.
  • Subunternehmerkette: Selbst ein Schweizer Hoster kann für bestimmte Dienstleistungen — Monitoring, Backup, CDN — auf ausländische Subunternehmer zurückgreifen. Es ist wichtig zu verstehen, wo die Schweizer Verarbeitungskette endet.
  • Vertragliche Regelung: Ein Auftragsbearbeitungsvertrag muss ausdrücklich den Standort der Daten und allfällige Übermittlungsbedingungen nennen. Ohne expliziten Vertrag sind mündliche Zusagen rechtlich wertlos.

Die am stärksten betroffenen Branchen

Einige Branchen sind besonders exponiert für Risiken im Zusammenhang mit der Auslagerung von Kundendaten:

  • Reglementierte Berufe (Anwälte, Notare, Fiduziaire, Ärzte): Das Berufsgeheimnis verlangt strenge Anforderungen an Vertraulichkeit und Datenstandort. Ein Verstoss kann die persönliche Haftung des Berufsausübenden nach sich ziehen.
  • Finanz- und Versicherungswesen: Finanzdaten der Kunden gehören zu den sensibelsten Daten. Branchenspezifische Regulierungen (FINMA, FIDLEG) verlangen hohe Anforderungen an Nachvollziehbarkeit und Sicherheit.
  • Gesundheitswesen: Gesundheitsdaten sind im Sinne des nDSG sensible Daten. Ihre Bearbeitung unterliegt verschärften Regeln, und Patienten haben erweiterte Rechte auf ihre Daten.
  • E-Commerce und Retail: Bestell-, Adress- und Zahlungsdaten stellen ein sensibles Gut dar. Ein Leak oder eine Verletzung kann erhebliche Reputationsfolgen für das Unternehmen haben.
  • HR und Personalverwaltung: Mitarbeitendendaten — Löhne, Beurteilungen, Gesundheitsdaten — gehören zu den sensibelsten Daten, die ein Unternehmen bearbeitet.

Was Sie konkret tun können

  • Kartographieren Sie Ihre Datenflüsse: Identifizieren Sie, welche Dienste Kundendaten bearbeiten, wo diese Dienste gehostet sind und welche Subunternehmer involviert sind. Das ist der erste Schritt, um zu wissen, wo Sie stehen.
  • Auditieren Sie Ihre SaaS-Verträge: Prüfen Sie die allgemeinen Geschäftsbedingungen und Datenschutzerklärungen jedes Software-Anbieters, den Sie nutzen. Der Datenstandort wird oft erwähnt — manchmal im Kleingedruckten.
  • Bevorzugen Sie Schweizer Alternativen: Für kritische Tools — E-Mail, Speicher, CRM, ERP — gibt es oft Schweizer oder europäische Alternativen. Sie sind nicht immer funktional gleichwertig, aber die Frage lohnt sich.
  • Hosten Sie Ihre Infrastruktur in der Schweiz: Für die Daten, die Sie direkt kontrollieren — Datenbanken, Kundendateien, Geschäftsanwendungen — wählen Sie einen unabhängigen Schweizer Hoster mit expliziten vertraglichen Garantien.

Zusammenfassend

Kundendaten in der Schweiz zu hosten, ist nicht nur eine gesetzliche Pflicht — es ist eine Vertrauensentscheidung. In einem Kontext, in dem digitale Souveränität zu einer strategischen Frage wird, ist die klare Antwort auf die Frage „Wo sind meine Daten?" ein echter Wettbewerbsvorteil. Für Schweizer KMU, die sensible Kundendaten bearbeiten, bleibt die einfachste und robusteste Antwort das Hosting bei einem unabhängigen Schweizer Betreiber — mit klaren vertraglichen Garantien und einer vollständig in der Schweiz angesiedelten Verarbeitungskette. Wenn Sie Ihre Situation bewerten oder Ihre Optionen besprechen möchten, kontaktieren Sie uns — wir helfen Ihnen, die passende Lösung für Ihren Kontext zu finden.

AlpineDC verfügt über dedizierte Räumlichkeiten in Lausanne und Crissier, mit einem autonomen Netzwerk AS198385 und Multi-Carrier-Konnektivität. Unsere Infrastrukturen befinden sich ausschliesslich in der Schweiz und werden von einem lokalen Team betrieben.