Alle Artikel
Datensouveränität3. Juli 20268 Min. Lesezeit

Schweizer Hosting für KMU: Warum Ihre Daten in die Schweiz gehören

Der komplette Leitfaden zu Schweizer Hosting und Datensouveränität für KMU: was revDSG verlangt, warum EU-Server nicht reichen und wie die Migration abläuft – mit realistischen Kosten.

Schweizer Hosting für KMU: Warum Ihre Daten in die Schweiz gehören

Die meisten Schweizer KMU wissen nicht, in welchem Land ihre Kundendaten tatsächlich liegen. Website bei einem US-Anbieter, App auf AWS, Kundendatenbank in Firebase, Dateien in Google Drive – gewachsen, praktisch, aber datenschutzrechtlich ein blinder Fleck. Mit dem revidierten Datenschutzgesetz (revDSG) ist das kein theoretisches Problem mehr, sondern ein reales Haftungsrisiko. Dieser Leitfaden erklärt, warum Datensouveränität zählt, was «Schweizer Hosting» wirklich bedeutet und wie ein Umzug abläuft.

Was bedeutet Datensouveränität überhaupt?

Datensouveränität heisst: Ihre Daten unterstehen ausschliesslich Schweizer Recht, und keine ausländische Behörde kann darauf zugreifen. Entscheidend ist dabei nicht nur, wo der Server physisch steht, sondern wem der Anbieter gehört und welchem Recht er untersteht.

Genau hier liegt der grösste Irrtum: Viele glauben, ein Server «in Europa» sei automatisch sicher. Das stimmt nicht.

Warum ein Server in der EU nicht ausreicht

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen, Daten auf Anforderung von US-Behörden herauszugeben – unabhängig davon, wo die Daten gespeichert sind. Das betrifft die grossen Anbieter, auf denen die meisten KMU unbemerkt sitzen:

  • Amazon Web Services (AWS) – auch die Region Frankfurt
  • Microsoft Azure – auch Schweizer Rechenzentren
  • Google Cloud / Firebase / Google Workspace
  • Vercel, Netlify und viele weitere Hosting-Plattformen

Selbst wenn diese Anbieter einen Serverstandort in Zürich oder Frankfurt anbieten: Solange die Muttergesellschaft in den USA sitzt, gilt der CLOUD Act. Ein EU- oder sogar CH-Standort löst das Problem nicht – nur ein Anbieter unter Schweizer Recht tut das.

Was verlangt das revDSG von Ihrem Betrieb?

Das revDSG (in Kraft seit September 2023) orientiert sich an der DSGVO, setzt aber eigene Schweizer Massstäbe. Für KMU besonders relevant:

1. Bearbeitungsverzeichnis (Art. 12): Sie müssen dokumentieren, welche Personendaten Sie bearbeiten und wo.

2. Auftragsbearbeitung (Art. 9): Wenn ein Dienstleister Daten für Sie verarbeitet (z.B. ein Hoster), braucht es einen Auftragsbearbeitungsvertrag (AVV/DPA).

3. Informationspflicht: Ihre Datenschutzerklärung muss offenlegen, wo und durch wen Daten bearbeitet werden.

4. Besonders schützenswerte Daten: Gesundheits-, Rechts- und Finanzdaten unterliegen strengeren Anforderungen.

Verstösse können mit Bussen bis zu CHF 250'000 geahndet werden – und diese richten sich gegen die verantwortliche natürliche Person, nicht nur gegen die Firma. Das ist der entscheidende Unterschied zur DSGVO und der Grund, warum das Thema Chefsache ist.

Wer ist besonders betroffen?

Grundsätzlich jeder Betrieb, der Personendaten verarbeitet. Besonders exponiert sind aber:

  • Treuhänder und Buchhaltungsbüros – Mandantendaten, Löhne, Abschlüsse
  • Arzt- und Zahnarztpraxen – Gesundheitsdaten sind besonders schützenswert
  • Anwaltskanzleien – zusätzlich durch das Berufsgeheimnis gebunden
  • Immobilienverwaltungen – grosse Mengen an Mieter- und Eigentümerdaten
  • HR-, Payroll- und Vermittlungsfirmen – sensible Mitarbeiterdaten
  • Versicherungsbroker – Kunden- und Vertragsdaten

Wie sieht die Schweizer Alternative aus?

Die gute Nachricht: Es gibt einen reifen, zertifizierten Schweizer Anbietermarkt. Rechenzentren ausschliesslich in der Schweiz, ISO-27001-zertifiziert, unter Schweizer Recht. Darauf lassen sich moderne Anwendungen genauso betreiben wie auf US-Clouds – nur eben datensouverän.

Der praktische Weg für ein KMU besteht nicht darin, selbst ein DevOps-Team aufzubauen, sondern die bestehende Website, App und Datenbank auf diese Infrastruktur zu migrieren und den Betrieb betreuen zu lassen. Genau das bietet Swiss Hosting von logixc.

Wie läuft eine Migration in die Schweiz ab?

Ein typischer Umzug dauert 2–4 Wochen und folgt vier Schritten:

1. Audit – Wir erfassen, wo Ihre Daten heute liegen, und identifizieren das konkrete CLOUD-Act-Risiko.

2. Migration – App, Datenbank und Dateien ziehen auf Schweizer Infrastruktur um. Umgeschaltet wird erst, wenn das neue System getestet ist – praktisch ohne Ausfallzeit.

3. Compliance – AVV, Bearbeitungsverzeichnis und angepasste Datenschutzerklärung werden aufgesetzt.

4. Betrieb – Backups, Monitoring und Updates laufen betreut weiter.

Was kostet Schweizer Hosting?

Datensouveränität ist günstiger, als viele annehmen. Bei einem betreuten Modell fallen eine einmalige Migrationspauschale und eine fixe monatliche Betreuung an – für die meisten KMU im Bereich von einigen hundert Franken pro Monat. Zum Vergleich:

  • Eigene DevOps- und Datenschutz-Fachkraft: CHF 90'000–130'000 pro Jahr
  • Klassische IT-Agentur: CHF 5'000–12'000 pro Monat
  • Betreutes Swiss Hosting: ab wenigen hundert Franken pro Monat

Der versteckte Vorteil: ein Verkaufsargument

Datensouveränität ist nicht nur Pflicht, sondern auch ein Verkaufsargument. Immer mehr Kunden – gerade im B2B – fragen aktiv, wo ihre Daten liegen. Ein sichtbares «Daten 100% in der Schweiz» wird so vom Kostenpunkt zum Vertrauens- und Marketingvorteil.

Fazit

Die Frage ist nicht, ob Ihre Daten in die Schweiz gehören, sondern wie schnell Sie sie dorthin holen. Das revDSG macht Datensouveränität zur Führungsaufgabe, der CLOUD Act macht EU-Server zur Scheinlösung, und der reife Schweizer Anbietermarkt macht die Umsetzung realistisch.

Projekt besprechen?

logixc berät KMUs in Basel, Zürich, Bern, Luzern, Zug und der ganzen Deutschschweiz.