Seit dem 1. September 2023 hat das neue Bundesgesetz über den Datenschutz (nDSG) den Rechtsrahmen für die Bearbeitung von Personendaten in der Schweiz erheblich verändert. Viele KMU haben von dieser Revision gehört, aber wenige haben den klaren Zusammenhang zwischen ihren gesetzlichen Verpflichtungen und ihren IT-Hosting-Entscheidungen hergestellt. Wo Sie Ihre Daten speichern, bei welchem Anbieter und unter welcher Jurisdiktion, hat jedoch direkte Auswirkungen auf Ihre Compliance. Hier erfahren Sie, was Sie wissen müssen.
Was ist das nDSG?
Das nDSG ist die überarbeitete Fassung des schweizerischen Datenschutzgesetzes, das modernisiert werden sollte, um einen Text aus dem Jahr 1992 auf den neuesten Stand zu bringen und an europäische Standards, insbesondere die DSGVO, anzugleichen. Es gilt für jede Organisation, die Personendaten von natürlichen Personen in der Schweiz bearbeitet, unabhängig von ihrer Grösse. Im Gegensatz zur europäischen DSGVO sieht das nDSG keine Mindestschwelle vor — ein KMU mit 5 Mitarbeitenden ist genauso betroffen wie ein Grosskonzern.
Was das nDSG konkret ändert
Meldepflicht bei Datenschutzverletzungen
Jede Datenschutzverletzung, die für die betroffenen Personen ein hohes Risiko bergen könnte, muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) unverzüglich gemeldet werden. Unsicheres Hosting oder ein unzuverlässiger Anbieter erhöht dieses Risiko.
Verzeichnis von Bearbeitungstätigkeiten
Unternehmen, die in grossem Umfang sensible Daten bearbeiten, müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen. Dieses Verzeichnis muss unter anderem angeben, wo die Daten gespeichert sind und wer Zugriff darauf hat.
Übermittlung von Daten ins Ausland
Das nDSG regelt streng die Übermittlung von Personendaten in Staaten, die kein angemessenes Schutzniveau bieten. Die Vereinigten Staaten stehen beispielsweise nicht auf der Liste der von der Schweiz als angemessen anerkannten Länder, ohne zusätzliche vertragliche Garantien.
Verantwortung der Auftragsbearbeiter
Wenn Sie die Bearbeitung von Daten einem externen Dienstleister — Hosting-Provider, SaaS-Anbieter, Integrator — übertragen, bleiben Sie für die Bearbeitung verantwortlich. Sie müssen sicherstellen, dass Ihr Dienstleister ausreichende Garantien bietet, und einen Auftragsbearbeitungsvertrag abschliessen.
Privacy by Design und by Default
Der Datenschuss muss von Anfang an in Ihre Systeme integriert und standardmässig aktiv sein. Das bedeutet, Hosting-Lösungen zu wählen, die diese Kontrolle ermöglichen.
Der direkte Zusammenhang mit Ihrem IT-Hosting
Wo befinden sich Ihre Daten physisch?
Das ist die grundlegende Frage. Wenn Ihre Daten in der Schweiz bei einem schweizerischen Betreiber gehostet werden, agieren Sie in einem klaren und beherrschbaren Rechtsrahmen. Wenn sie im Ausland gehostet werden — selbst in einem europäischen Rechenzentrum — müssen Sie sicherstellen, dass die Übermittlung durch angemessene vertragliche Garantien abgedeckt ist.
Das Problem des US-amerikanischen CLOUD Act
Die grossen US-Cloud-Anbieter (AWS, Microsoft Azure, Google Cloud) unterliegen dem CLOUD Act, der US-Behörden ermöglicht, Zugriff auf Daten zu verlangen, die von diesen Unternehmen gespeichert werden — auch auf Servern in Europa oder der Schweiz. Das steht im direkten Spannungsfeld zu den Anforderungen des nDSG an internationale Übermittlungen. Die Wahl eines unabhängigen schweizerischen Hosters, der dieser Jurisdiktion nicht unterliegt, ist ein einfacher Weg, dieses Problem zu vermeiden.
Wer hat Zugriff auf Ihre Daten?
Das nDSG verlangt, dass Sie diese Frage präzise beantworten können. Mit einem Colocation-Hosting in der Schweiz wissen Sie genau, wer physisch auf Ihre Server zugreifen kann und unter welchen Bedingungen. Bei einer geteilten Public Cloud ist diese Sichtbarkeit strukturell begrenzter.
Sensible Daten: ein verschärftes Regime
Das nDSG unterscheidet zwischen "gewöhnlichen" und "sensiblen" Daten — Gesundheitsdaten, religiöse oder politische Überzeugungen, biometrische Daten, Daten über Strafverfolgungsmassnahmen usw. Wenn Sie sensible Daten bearbeiten, sind die Anforderungen noch strenger, insbesondere in Bezug auf Standort und Sicherheit.
Was das praktisch für Ihr KMU bedeutet
Wenn Sie ein ERP-, CRM- oder Geschäftsanwendung als SaaS nutzen: Prüfen Sie, wo der Anbieter die Daten hostet. Ein Auftragsbearbeitungsvertrag muss vorliegen. Wenn der Anbieter ohne angemessene Garantien ausserhalb der Schweiz oder der EU hostet, riskieren Sie eine Verletzung.
Wenn Sie Ihre eigene Infrastruktur betreiben: Bevorzugen Sie ein Hosting in der Schweiz bei einem unabhängigen Betreiber. Dokumentieren Sie, wo Ihre Daten liegen, wer darauf zugreift und wie sie geschützt sind. Halten Sie Ihr Verzeichnis der Bearbeitungstätigkeiten aktuell.
Wenn Sie einen IT-Dienstleister oder MSP beauftragen: Stellen Sie sicher, dass ein Auftragsbearbeitungsvertrag unterzeichnet ist. Prüfen Sie, ob Ihr Dienstleister den Standort der Daten und die Sicherheitsmassnahmen dokumentieren kann.
nDSG-Hosting-Checkliste
- ☐ Wissen Sie, wo Ihre Daten physisch gespeichert sind?
- ☐ Unterliegt Ihr Hoster ausschliesslich der schweizerischen Jurisdiktion?
- ☐ Liegt mit jedem Dienstleister ein Auftragsbearbeitungsvertrag vor?
- ☐ Ist Ihr Verzeichnis der Bearbeitungstätigkeiten aktuell?
- ☐ Verfügen Sie über ein Verfahren für den Fall einer Datenschutzverletzung?
- ☐ Profitieren Ihre sensiblen Daten von einem erhöhten Schutzniveau?
Hosting in der Schweiz: eine einfache Antwort auf eine komplexe Frage
Die nDSG-Compliance erfordert nicht zwingend eine komplette Neuausrichtung der IT. Für viele Schweizer KMU ist die einfachste und robusteste Lösung, ihre Daten bei einem unabhängigen schweizerischen Betreiber zu hosten — in einem physisch in der Schweiz befindlichen Rechenzentrum, unter schweizerischer Jurisdiktion, ohne Abhängigkeit von ausländischen Konzernen, die ausserterritorialen Rechtsvorschriften unterliegen. Das ist keine absolute Garantie für Compliance — Sie müssen Ihre Bearbeitungen weiterhin dokumentieren und Ihre Teams schulen — aber es ist eine solide Basis, die Ihre Compliance erheblich vereinfacht.
Zusammenfassung
Das nDSG beschränkt sich nicht auf Formulare oder Datenschutzerklärungen. Es betrifft direkt Ihre IT-Infrastrukturentscheidungen. Zu wissen, wo Ihre Daten liegen, unter welcher Jurisdiktion und mit welchen Garantien, ist zu einer gesetzlichen Verpflichtung geworden, nicht nur eine Frage guter Praxis.
AlpineDC verfügt über dedizierte Räumlichkeiten in Lausanne und Crissier, mit einem autonomen Netzwerk AS198385 und Multi-Carrier-Konnektivität. Unsere Infrastrukturen befinden sich ausschliesslich in der Schweiz und werden von einem lokalen Team betrieben.