Compliance

Ihre Kundendaten in der Schweiz — warum das wichtig ist und was es wirklich kostet

Die meisten Schweizer KMU machen sich erst Gedanken über den Datenstandort, wenn ein Kunde oder ein Anwalt fragt, wo die Daten gespeichert sind. Hier erfahren Sie, was das DSG und die DSGVO tatsächlich verlangen — und was es kostet, es falsch zu machen.

Die meisten KMU denken erst über den Datenstandort nach, wenn ein Kunde fragt: "Wo sind meine Daten gespeichert?" oder wenn ein Anwalt bei einer Vertragsprüfung das DSG ins Spiel bringt. Spätestens dann ist eine Verlagerung der Dateninfrastruktur teuer, störend und meist unter Zeitdruck nötig — also genau nicht unter den Bedingungen, die man sich für einen so wichtigen Entscheid wünscht.

Was das Schweizer DSG tatsächlich verlangt

Das revidierte Schweizer Datenschutzgesetz (DSG / nDSG), in Kraft seit September 2023, legt Pflichten für jedes Unternehmen fest, das Personendaten von Personen in der Schweiz bearbeitet. Wenn Ihr Unternehmen Kundendaten, Mitarbeiterdaten oder andere Personendaten von Schweizer Einwohnerinnen und Einwohnern verarbeitet, müssen Sie wissen — und nachweisen können —, wo diese Daten liegen und wer darauf zugreifen kann.

Das ist keine abstrakte rechtliche Formalität. Es hat konkrete Auswirkungen auf Entscheide: welchen Cloud-Anbieter Sie nutzen, wo dessen Server physisch stehen und ob Ihr Anbieter garantieren kann, dass Daten nicht ohne Ihr Wissen ausserhalb der Schweiz bearbeitet oder eingesehen werden.

Die Überschneidung mit der DSGVO

Wenn Ihr Unternehmen auch nur gelegentlich Kundinnen und Kunden in der EU betreut, unterliegen Sie neben dem DSG wahrscheinlich auch der DSGVO. Das bedeutet doppelte Compliance: die schweizerischen Anforderungen für Daten von Schweizer Einwohnerinnen und Einwohnern sowie die DSGVO-Anforderungen für Daten von EU-Personen — manchmal sogar für dieselbe Kundenbeziehung, wenn der Kunde in beiden Regionen tätig ist.

Ein Fehler ist hier kein einmaliges Papierproblem. Er bleibt jedes Mal ein Risiko, wenn Sie Personendaten speichern oder übermitteln.

Wohin Ihre Daten mit Microsoft und Google tatsächlich gehen

Das überrascht viele KMU-Inhaber: Standardmässig speichern Microsoft 365 und Google Workspace Daten in Rechenzentren, die nicht zwingend in der Schweiz stehen — oft in den USA oder dort, wo die regionale Infrastruktur des Anbieters gerade angesiedelt ist. Beide Unternehmen bieten Add-ons für EU-basierte Datenresidenz für Unternehmenskunden an, aber zwei Punkte sollten klar benannt werden:

  • Die EU ist nicht die Schweiz. Auch wenn Sie für EU-Datenresidenz extra bezahlen, erfüllt das einen anderen Rechtsrahmen als das Schweizer DSG. Ihre Daten befinden sich damit weiterhin nicht in einer Schweizer Jurisdiktion.
  • Diese Add-ons erfordern oft Enterprise-Tarife, die für die meisten KMU zu teuer sind oder individuelle Vertragsverhandlungen voraussetzen, für die ein Unternehmen mit 15 Mitarbeitenden kaum Verhandlungsspielraum hat.

Der Standardzustand für die meisten KMU mit normalen M365- oder Google-Workspace-Tarifen ist also: Die Personendaten Ihrer Kundinnen und Kunden werden ausserhalb der Schweiz gespeichert, möglicherweise sogar ausserhalb der EU, ohne dass jemand im Unternehmen diesen Entscheid bewusst getroffen hat. Es war einfach die Voreinstellung, die niemand geändert hat.

Rocky Cloud Hub: Jedes Byte auf Schweizer Boden

Rocky Cloud Hub wurde nach einem einfachen Grundsatz aufgebaut: Jedes Byte an Daten wird in Schweizer Rechenzentren gespeichert, ohne Ausnahme. Nicht als Add-on, nicht als Enterprise-Upgrade — sondern als Standard und einzige Option. Schweizer Recht regelt die Bearbeitung dieser Daten, und es gibt keine ausländischen Unterauftragsbearbeiter in der Kette. Wenn ein Kunde fragt, wo seine Daten gespeichert sind, ist die Antwort eindeutig.

Das ist besonders wichtig für Unternehmen, die sensible Datenkategorien verarbeiten: juristische Dokumente, Finanzunterlagen, gesundheitsnahe Informationen oder alles, bei dem die eigenen Compliance-Pflichten des Kunden auf Sie als Dienstleister übergehen.

Praktisches Beispiel: Ein Vertrieb für Medizintechnik

Ein Medizintechnik-Vertrieb, mit dem wir gearbeitet haben, hatte eine klare, harte Vorgabe: patientennahe Dokumente — Bestellunterlagen im Zusammenhang mit medizinischen Geräten, die in der Patientenversorgung eingesetzt werden — durften ihre Compliance-Anforderungen zufolge die Schweiz nicht verlassen. Diese Vorgabe allein schloss Standard-Deployments mit Microsoft Teams und SharePoint aus, weil die Garantie einer ausschliesslich schweizerischen Datenresidenz eine Enterprise-Verhandlung erfordert hätte, für die das Unternehmen weder kostenmässig noch hinsichtlich der Vertragskomplexität aufgestellt war.

Rocky war für das Team innerhalb von 24 Stunden eingerichtet, mit garantierter Datenresidenz per Standard statt als Sonderfall verhandelt. Kein Enterprise-Sales-Zyklus, kein zusätzlicher Datenverarbeitungsanhang zum Entwerfen und Prüfen — die Compliance-Anforderung war durch die Plattform-Architektur bereits erfüllt.

Der Preis der Compliance vs. der Preis eines Verstosses

Hier lohnt es sich, mit echten Zahlen zu rechnen. Nach dem Schweizer DSG können Verstösse — etwa wenn Sicherheits- oder Informationspflichten im Zusammenhang mit Personendaten nicht eingehalten werden — mit bis zu CHF 250'000 pro Vorfall geahndet werden, und zwar gegen die verantwortliche Person und nicht nur gegen das Unternehmen. Das ist noch vor dem Reputationsschaden, wenn ein Kunde erfährt, dass seine Daten nicht so behandelt wurden, wie er es angenommen hat, oder vor den Kosten einer Notmigration unter regulatorischem Druck.

Vergleichen Sie das mit den Kosten einer von Anfang an in der Schweiz gehosteten Infrastruktur: kein zusätzlicher Posten, keine Enterprise-Verhandlung, einfach eine Plattform, die Daten standardmässig dort speichert, wo Sie es brauchen.

Nicht nur Compliance — Vertrauen

Abgesehen vom rechtlichen Risiko gibt es ein einfacheres kommerzielles Argument. Einem Kunden klar und ohne Einschränkungen sagen zu können: "Ihre Daten verlassen die Schweiz nie" ist ein Vertrauenssignal, das im B2B-Vertrieb immer wichtiger wird — besonders bei Kunden aus Finanzwesen, Gesundheitswesen, Rechtsdienstleistungen oder dem öffentlichen Sektor, wo Fragen zur Datenbearbeitung früh in Beschaffungs- und Verkaufsgesprächen auftauchen.

Es zu sagen und auch so zu meinen — weil die Infrastruktur es tatsächlich garantiert und nicht, weil es ein Sales-Vertreter gesagt hat — ist etwas anderes, als zu hoffen, dass die Frage gar nicht erst aufkommt.

Bereit, Rocky Cloud Hub zu testen?

Zusammenarbeit mit Schweizer Hosting — Dateien, Chat, Aufgaben, Suche. Einrichtung in 24h.

Kostenlose Demo buchen →