Wo sind Ihre Daten wirklich?
Jeden Tag erzeugt und verarbeitet Ihr Unternehmen sensible Daten: Rechnungen, Verträge, Mitarbeiterdaten, Bankinformationen, Korrespondenz mit Kunden und Lieferanten. Aber wissen Sie genau, wo diese Daten gespeichert sind? Auf welchem Server, in welchem Land, unter welcher Rechtsordnung?
Mit dem Inkrafttreten des neuen Datenschutzgesetzes (nDSG) am 1. September 2023 hat die Schweiz strenge Pflichten für die Verarbeitung und Lokalisierung personenbezogener Daten eingeführt. Für KMU und Treuhandbüros ist die Wahl des Cloud-Anbieters keine rein technische Entscheidung mehr: Es geht um Rechtskonformität, Reputation und zivilrechtliche Haftung.
Dieser Leitfaden analysiert, warum das Schweizer Cloud-Hosting die sicherste Wahl für Unternehmensdaten darstellt, vergleicht die Rechtsordnungen CH, EU und USA, untersucht die erforderlichen Zertifizierungen und liefert konkrete Kriterien zur fundierten Bewertung eines Cloud-Anbieters.
nDSG und Hosting-Pflichten
Das neue Bundesgesetz über den Datenschutz (nDSG) und die zugehörige Verordnung (DSV) stellen spezifische Anforderungen an das Hosting und die Verarbeitung personenbezogener Daten:
Datenlokalisierung (Art. 16 nDSG)
Die Übermittlung personenbezogener Daten ins Ausland ist nur in Länder mit einem vom Bundesrat anerkannten angemessenen Schutzniveau zulässig. Fehlt eine solche Anerkennung, sind spezifische vertragliche Garantien (SCC) oder die ausdrückliche Einwilligung der betroffenen Person erforderlich.
Verantwortlichkeit des Verantwortlichen (Art. 5 nDSG)
Der Verantwortliche bleibt auch dann haftbar, wenn er die Daten einem externen Cloud-Anbieter anvertraut. Er muss sicherstellen, dass der Anbieter eine angemessene Sicherheit gewährleistet und die vertraglichen Verarbeitungsanweisungen einhält.
Technische und organisatorische Sicherheit (Art. 8 nDSG)
Der Verantwortliche und der Auftragsverarbeiter müssen dem Risiko angemessene technische und organisatorische Massnahmen ergreifen: Verschlüsselung, Zugangskontrolle, Backup, Protokollierung und Notfallpläne.
Verzeichnis der Bearbeitungstätigkeiten (Art. 12 nDSG)
Unternehmen mit mehr als 250 Mitarbeitenden (oder solche, die sensible Daten in grossem Umfang verarbeiten) müssen ein Verzeichnis der Bearbeitungstätigkeiten führen, das Datenkategorien, Zwecke, Empfänger und getroffene Sicherheitsmassnahmen umfasst.
Meldung von Verletzungen (Art. 24 nDSG)
Bei einer Verletzung der Datensicherheit muss der Verantwortliche den EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten) unverzüglich benachrichtigen. Ein Hosting in ausländischen Rechtsordnungen kann Fristen und Meldeverfahren verkomplizieren.
Rechtliche Unterschiede: CH vs EU vs USA
Die Rechtsordnung, in der die Daten gespeichert sind, bestimmt, welche Gesetze gelten, wer Zugang hat und mit welchen Garantien. Hier ein direkter Vergleich der drei wichtigsten Rechtsordnungen:
| Kriterium | Schweiz (nDSG) | EU (DSGVO) | USA (CLOUD Act) |
|---|---|---|---|
| Anwendbares Recht | nDSG + DSV (ab 1.9.2023) | DSGVO (ab 25.5.2018) | CLOUD Act + ECPA + Sektorgesetze |
| Staatlicher Datenzugriff | Nur mit Schweizer Gerichtsbeschluss; kein Massenzugriff | Möglich mit Gerichtsbeschluss; variiert je nach Mitgliedstaat | CLOUD Act: extraterritorialer Zugriff auch auf im Ausland gespeicherte Daten |
| Grenzüberschreitender Datentransfer | Nur in angemessene Länder (EDÖB-Liste) oder mit SCC erlaubt | Mit Angemessenheitsbeschluss oder SCC erlaubt | Keine Beschränkungen beim Export; starker Druck beim Import (FISA 702) |
| Maximale Sanktionen | CHF 250'000 (persönliche Haftung der Geschäftsleitung) | 20 Mio. € oder 4 % des weltweiten Umsatzes | Variabel; FTC-Sanktionen, Sammelklagen |
| Recht auf Löschung | Ja, Art. 32 nDSG | Ja, Art. 17 DSGVO | Eingeschränkt, nur in einigen Bundesstaaten (CCPA in Kalifornien) |
| Gegenseitige Angemessenheit | CH anerkennt EU; EU anerkennt CH | EU anerkennt CH als angemessen | EU-US Data Privacy Framework (instabil, bereits zweimal für ungültig erklärt) |
Achtung: Der US CLOUD Act erlaubt es US-Behörden, den Zugang zu Daten zu verlangen, die von amerikanischen Unternehmen verwaltet werden — unabhängig davon, wo die Daten physisch gespeichert sind. Dies betrifft Anbieter wie AWS, Azure und Google Cloud, selbst wenn die Server in Europa oder der Schweiz stehen.
Anforderungen an die Unternehmens-Cloud
Ein Cloud-Anbieter, der sensible Unternehmensdaten hosten soll, muss eine Reihe grundlegender technischer und organisatorischer Anforderungen erfüllen:
- Rechenzentren physisch in der Schweiz gelegen, mit redundanter Infrastruktur und Tier-III-Klassifizierung oder höher für eine garantierte Verfügbarkeit von ≥ 99,982 %
- End-to-End-Verschlüsselung der Daten im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.3), mit vom Anbieter getrennter Schlüsselverwaltung (BYOK — Bring Your Own Key)
- Granulare rollenbasierte Zugangskontrolle (RBAC) mit obligatorischer Multi-Faktor-Authentifizierung (MFA) für alle administrativen Benutzer
- Automatische tägliche Backups mit geografischer Replikation auf mindestens zwei verschiedenen Schweizer Standorten und dokumentierte Wiederherstellungstests mindestens einmal pro Jahr
- SLA (Service Level Agreement) mit garantierter Verfügbarkeit ≥ 99,9 %, definierten Reaktionszeiten für kritische Vorfälle und vertraglichen Strafzahlungen bei Nichteinhaltung
- Dokumentierter Geschäftskontinuitätsplan (BCP) und Disaster-Recovery-Plan (DRP), jährlich getestet, mit RTO (Recovery Time Objective) ≤ 4 Stunden und RPO (Recovery Point Objective) ≤ 1 Stunde
Zertifizierungen und Sicherheitsstandards
Zertifizierungen bescheinigen, dass der Cloud-Anbieter international anerkannte Standards für Informationssicherheit einhält. Hier die relevantesten für den Schweizer Kontext:
ISO/IEC 27001
Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er umfasst Risikomanagement, Sicherheitsrichtlinien, Zugangskontrolle und Vorfallmanagement. Er ist die Mindestanforderung für jeden seriösen Cloud-Anbieter.
SOC 2 Type II
Ein unabhängiges Audit nach AICPA Trust Services Criteria: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Type II überprüft die Wirksamkeit der Kontrollen über einen Zeitraum (typischerweise 6–12 Monate).
FINMA-Rundschreiben (für den Finanzsektor)
Die FINMA-Rundschreiben 2018/03 (Outsourcing) und 2023/01 (operationelle Risiken) definieren spezifische Anforderungen an das IT-Outsourcing im Schweizer Finanzsektor. Relevant für Treuhandbüros mit regulierten Mandaten und Finanzinstitute.
ISO/IEC 27017 und 27018
Erweiterungen des Standards 27001, die spezifisch für die Cloud sind: 27017 deckt Sicherheitskontrollen für Cloud-Dienste ab, 27018 konzentriert sich auf den Schutz personenbezogener Daten (PII) in der öffentlichen Cloud.
C5 / ISAE 3402
Der Cloud Computing Compliance Criteria Catalogue (C5) des deutschen BSI und ISAE 3402 sind Auditstandards für interne Kontrollen von Dienstleistern. Zunehmend von Schweizer Unternehmen mit internationalen Geschäftstätigkeiten gefordert.
Wie man einen Cloud-Anbieter bewertet
Die Wahl eines Cloud-Anbieters ist eine strategische Entscheidung. Hier sind die sechs grundlegenden Kriterien, die vor der Übergabe von Unternehmensdaten an einen externen Anbieter zu analysieren sind:
Rechtsordnung und Firmensitz
Stellen Sie sicher, dass der Anbieter seinen Firmensitz in der Schweiz hat und die Rechenzentren physisch auf Schweizer Gebiet stehen. Ein Anbieter mit Sitz in den USA unterliegt dem CLOUD Act, auch wenn die Server in der Schweiz stehen. Bevorzugen Sie 100 % Schweizer Unternehmen.
Zertifizierungen und Audits
Verlangen Sie ISO 27001-, SOC 2 Type II-Zertifizierungen und, falls Sie im Finanzsektor tätig sind, die Konformität mit FINMA-Rundschreiben. Prüfen Sie, ob die Audits aktuell (letzte 12 Monate) und von anerkannten unabhängigen Stellen durchgeführt wurden.
Vertrag und SLA
Analysieren Sie den Servicevertrag: garantierte Verfügbarkeit, Reaktionszeiten bei Vorfällen, Strafzahlungen, Ausstiegsklauseln und Datenportabilität. Ein guter Anbieter bietet SLAs mit Verfügbarkeit ≥ 99,9 % und Reaktionszeiten ≤ 15 Minuten bei kritischen Vorfällen.
Verschlüsselung und Schlüsselverwaltung
Überprüfen Sie, dass Daten im Ruhezustand und bei der Übertragung mit aktuellen Standards verschlüsselt sind (AES-256, TLS 1.3). Idealerweise sollte der Anbieter BYOK oder HYOK (Hold Your Own Key) unterstützen, um Ihnen die alleinige Kontrolle über die Verschlüsselungsschlüssel zu garantieren.
Backup und Disaster Recovery
Fragen Sie nach Details zur Backup-Häufigkeit, geografischen Replikation, Wiederherstellungszeiten (RTO/RPO), dokumentierten Wiederherstellungstests und dem Meldeverfahren bei Vorfällen. Ein zuverlässiger Anbieter testet die Wiederherstellung mindestens vierteljährlich.
Support und Transparenz
Bewerten Sie die Qualität des technischen Supports: 24/7-Verfügbarkeit, Kontaktkanäle, Eskalationszeiten, Sprache. Prüfen Sie die Transparenz zu vergangenen Vorfällen (öffentliche Statusseite, veröffentlichte Post-Mortems) und die Bereitschaft, Auditergebnisse zu teilen.
Vorteile der Schweizer Cloud
Die Wahl eines Schweizer Cloud-Anbieters bietet konkrete Vorteile, die über die reine Einhaltung von Vorschriften hinausgehen:
Rechtliche Souveränität
Die Daten bleiben unter Schweizer Rechtsordnung, geschützt durch das nDSG und nicht dem US CLOUD Act oder extraterritorialen Zugriffsanfragen unterworfen. Im Streitfall gilt Schweizer Recht vor Schweizer Gerichten.
Politische und regulatorische Stabilität
Die Schweiz ist international anerkannt für die Stabilität ihres Rechtsrahmens und die Rechtssicherheit. Datenschutzregeln ändern sich nicht durch Notverordnungen oder Executive Orders.
Latenz und Performance
Rechenzentren in der Schweiz bedeuten minimale Latenz für lokale Nutzer (typischerweise < 5 ms). Für Echtzeit-Buchhaltungs- und Managementanwendungen macht die physische Nähe des Servers einen spürbaren Unterschied.
Vertrauen von Kunden und Partnern
Ihren Kunden mitzuteilen, dass Daten in der Schweiz gespeichert sind, ist ein konkreter Wettbewerbsvorteil, insbesondere für Treuhandbüros, Anwaltskanzleien und Unternehmen, die sensible Finanzdaten verarbeiten.
Automatische nDSG-Konformität
Mit einem Schweizer Anbieter ist es nicht nötig, auf Standardvertragsklauseln (SCC) zurückzugreifen oder Angemessenheitsentscheide des Bundesrates zu prüfen. Der grenzüberschreitende Transfer existiert schlicht nicht.
Lokaler Support und Sprache
Ein Schweizer Anbieter bietet Support in den Landessprachen (IT, DE, FR), versteht den lokalen regulatorischen Kontext und kann auf spezifische Bedürfnisse von Schweizer KMU und Treuhandbüros ohne kulturelle oder Zeitzonen-Barrieren eingehen.
Praktische Tipps
- Erfassen Sie alle derzeit in Ihrem Unternehmen genutzten Cloud-Dienste (E-Mail, Speicher, Buchhaltung, CRM) und prüfen Sie für jeden, wo die Daten physisch gespeichert sind und unter welche Rechtsordnung der Anbieter fällt
- Für die sensibelsten Daten (Buchhaltung, Mitarbeiterdaten, Bankinformationen) bevorzugen Sie stets einen Cloud-Anbieter mit Firmensitz und Rechenzentren ausschliesslich in der Schweiz
- Nehmen Sie in den Vertrag mit dem Anbieter eine Klausel auf, die den Transfer von Daten ausserhalb der Schweiz ohne Ihre schriftliche Zustimmung ausdrücklich untersagt
- Verlangen Sie vom Anbieter aktuelle ISO 27001- und SOC 2 Type II-Zertifizierungen und prüfen Sie, dass die Audits von akkreditierten und unabhängigen Stellen durchgeführt wurden
- Definieren Sie eine Ausstiegsstrategie (Exit Strategy) vor Vertragsunterzeichnung: wie Sie Ihre Daten exportieren, in welchem Format, innerhalb welcher Fristen und zu welchen Kosten
- Aktivieren Sie die clientseitige Verschlüsselung (Client-Side Encryption) für die kritischsten Dokumente, sodass nicht einmal der Anbieter auf den Klartext zugreifen kann
- Nutzen Sie AccountEX, um die Buchhaltungsdaten Ihres Unternehmens auf Schweizer Cloud-Infrastruktur zu speichern — mit Verschlüsselung, nDSG-Konformität und automatischen Backups, ohne Kompromisse bei der Sicherheit
Vereinfachen Sie Ihre Schweizer Buchhaltung
AccountEX erledigt MWST, QR-Rechnungen und Buchungen mit AI. Kostenlos starten.
Kostenlos starten