In Zeiten, in denen Datenschutz, Datensicherheit und die digitale Selbstbestimmung immer mehr an Bedeutung gewinnen, wird die Wahl des Anbieters und des richtigen Standorts für das Hosting einer Software-as-a-Service-Lösung (SaaS) entscheidend. Die Schweiz bietet hierbei entscheidende Vorteile, die sie von anderen Ländern abhebt.

Die Schweizer Datenschutzgesetzgebung hat ihren Ursprung in Art. 13 der Bundesverfassung und wurde mit der Revision des Bundesgesetzes über den Datenschutz (DSG), der Datenschutzverordnung (DSV) und der Verordnung über Datenschutzzertifizierungen (VDSZ) am 1. September 2023 aktualisiert. Diese Regelungen modernisieren und stärken den Datenschutz und passen ihn internationalen Gesetzgebungen wie die der Datenschutz-­Grundverordnung der EU (DSGVO) an.

Die DSGVO stellt hohe Anforderungen an den Schutz personenbezogener Daten. Dennoch kann die Schweizer Datenschutzgesetzgebung hier mithalten, denn sie ist von der EU als Land mit einem angemessenen Datenschutzniveau anerkannt.

Transparenz und Sicherheit

Für Nutzerinnen und Nutzer bedeutet dies Transparenz darüber, wohin die eigenen, wertvollen Daten gelangen, was zudem dabei helfen kann, die damit einhergehenden Risiken zu erkennen und zu minimieren. So kann es für Nutzerinnen und Nutzer von schweizerischen SaaS-Lösungen, insbesondere im Zeitalter der künstlichen Intelligenz (KI), ein entscheidender Vorteil sein, Daten im Inland zu halten und nicht ins Ausland zu übermitteln. Denn der US-amerikanische Cloud Act (Clarifying Lawful Overseas Use of Data Act) erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen in den USA, aber auch von ihren Tochtergesellschaften im Ausland gespeichert werden. Dies stellt ein erhebliches Risiko für die Datenhoheit dar, insbesondere wenn die Daten in den USA oder von US-Tochterunternehmen im Inland gehostet werden.

In der Schweiz gehostete Lösungen von Schweizer Unternehmen sind von diesem Gesetz nicht direkt betroffen, was einen entscheidenden Vorteil für diejenigen Unternehmen darstellt, die ihre Daten vor einem solchen Zugriff schützen und selbst bestimmen möchten, wo ihre Daten verarbeitet werden.

Die aktuelle politische Lage in den USA trägt zur Verunsicherung hinsichtlich des Datenschutzes bei. Die Verschärfung der Überwachungsgesetze und die Unsicherheit über zukünftige regulatorische Änderungen, wie den Fortbestand des Data Privacy Frameworks, machen die richtige Wahl des Hosting-Standorts umso wichtiger. Die Schweiz mit ihren Anbietern bietet hier Stabilität und Verlässlichkeit, was sie zu einem attraktiven Standort für das Hosting von Schweizer SaaS-Lösungen macht.

Zusammenfassend lässt sich festhalten, dass eine in der Schweiz gehostete SaaS-Lösung eines Schweizer Anbieters zahlreiche Vorteile bietet. Sie gewährleistet hohe Datenschutz- und Sicherheitsstandards und erfüllt die Anforderungen des DSG, das im Vergleich zur DSGVO als angemessen erscheint. Zudem schützt sie vor den Risiken des Cloud Acts.

Es ist ratsam, dass Unternehmen ihre Wahl in Bezug auf Datensouveränität überdenken und eine SaaS-Lösung in Betracht ziehen, bei der sie die Datensouveränität behalten.

« Unternehmen sollten die Daten­verarbeitungen im Detail kennen »

Die Wahl des Hosting-Anbieters kann für Unternehmen stark von internationalen Rechtssystemen und deren Einfluss auf Datenzugriffe abhängig sein. Wie sie Risiken bei der Nutzung von US-Cloud-Diensten minimieren können, erklärt Tom Roorda, CISO bei Deepcloud. Interview: Tanja Mettauer

Wie stark sollten Unternehmen die unterschiedlichen Rechtssysteme und deren Einfluss auf Datenzugriffe bei der Wahl ­ihres Hosting-Anbieters gewichten?

Tom Roorda: Unternehmen sind gut beraten, zu prüfen, ob bei einer möglichen Wahl eines Hosting-Anbieters im In- und Ausland Datenzugriffe ausländischer Behörden zu befürchten sind. Bei der erforderlichen Risikoabschätzung eines Cloud-Anbieters im In- und Ausland sollte auch dieser Punkt berücksichtigt werden. Schweizer Anbieter wie Deepcloud bieten eine Alternative mit Diensten wie Deepbox und Deepsign, die vollständig in der Schweiz gehostet werden und helfen, Unsicherheiten im Zusammenhang mit ausländischen Rechtssystemen zu verringern.
 

Wie können Unternehmen gegenüber Kunden und Partnern maximale Transparenz bezüglich Datenverarbeitung und ­Hosting-Standort gewährleisten?

Zum einen sollte das Unternehmen die stattfindenden Datenverarbeitungen im Detail kennen, damit hierüber transparent in der unternehmenseigenen Datenschutzerklärung informiert werden kann. Diese Datenschutzerklärung sollte unter anderem Informationen darüber enthalten, welche Daten, zu welchem Zweck und auf Basis welcher Rechtsgrundlage erhoben werden, sowie ob bei den Datenverarbeitungen Drittanbieter einbezogen werden und an welchen Orten die dabei relevanten Datenverarbeitungen stattfinden. Unternehmen, die im Auftrag für einen Verantwort­lichen Daten verarbeiten, müssen über die technisch und organisatorisch getroffenen Massnahmen informieren, damit der Verantwortliche die Datensicherheit überprüfen kann.
 

Was können Unternehmen tun, um Risiken aus dem US Cloud Act zu minimieren, wenn sie Dienste von US-Cloud-Anbietern nutzen?

Kritische oder sensible Informationen sollten nach Möglichkeit in eigenen Rechenzentren oder bei europäischen Dienstleistern gespeichert werden. Bei Letzteren sollte wiederum darauf geachtet werden, dass dort keine Rechenzentren von den US-Hyperscalern genutzt werden. Falls dies kein gangbarer Weg ist, wäre beispielsweise eine Verschlüsselung mit einem eigenen Schlüssel – Bring your own Key – eine Option, damit ein Zugriff nicht möglich ist. Unternehmen sollten sich eine Exit-Strategie überlegen, um bei rechtlichen oder politischen Veränderungen allenfalls auf andere Anbieter wechseln zu können.
 

Was raten Sie einem Unternehmen, das bereits US-Cloud-Anbieter nutzt, aber aus Compliance-Gründen über Alternativen nachdenkt?

Die aktuelle politische Unsicherheit über mögliche Änderungen im Data Privacy Framework und Risiken des Cloud Act sollten Unternehmen dazu veranlassen, eine Risikoanalyse durchzuführen. Dazu sollten sie Alternativen von Schweizer oder europäischen Unternehmen überprüfen, die keine Tochtergesellschaft US-amerikanischer Unternehmen oder Gesellschaften ist. Als Sofortmassnahme sollte ausserdem geprüft werden, ob der bestehende Cloud-Anbieter unter den US Cloud Act fällt und falls ja, gegebenenfalls technische Massnahmen zum Schutz vor Zugriff akzeptiert. Unternehmen sollten Lösungen von Schweizer Anbietern in Betracht ziehen. Deepcloud bietet beispielsweise eine sichere Lösung zur Verarbeitung, Speicherung und zum Austausch von Daten an. Mit einem digitalen Signaturdienst lassen sich Verträge ausserdem online und rechtskonform unterzeichnen, wobei ein zertifizierter Vertrauensdienstanbieter eingebunden ist. Die angebotenen Services wurden in der Schweiz entwickelt und werden auf eigenen Servern betrieben – mit einem konsequenten Fokus auf Sicherheit.
 

In welchen Punkten unterscheidet sich die Schweizer Gesetzgebung im Bereich Datenschutz und Datensicherheit von der EU-DSGVO – und was bedeutet das konkret für die Praxis?

Der grösste Unterschied ist wohl der Bussgeldrahmen, der in der EU verhängt wird und um ein Vielfaches höher sein kann. Die Aufsichtsbehörden scheuen sich auch nicht, Bussgelder zu verhängen. In der Schweiz ist man da eher zurückhaltend. Ausserdem obliegen den Verantwortlichen nach DSGVO umfangreiche Dokumentationspflichten. Solche bestehen nach DSG nicht im selben Umfang, was sehr sympathisch ist; das Einhalten des Datenschutzes in der Schweiz wird nicht durch weitere, zusätzliche formalistische Arbeiten bürokratisiert. In der Schweiz ist eine Datenverarbeitung grundsätzlich erlaubt, ausser sie ist explizit verboten oder verletzt die Persönlichkeit einer betroffenen Person. In der EU wiederum ist die Datenverarbeitung grundsätzlich verboten, ausser sie wird durch eine Rechtsgrundlage gerechtfertigt. Nach beiden Gesetzgebungen müssen aber die Grundsätze der Datenverarbeitung wie Transparenz, Zweckgebundenheit und Verhältnismässigkeit beachtet werden. Hinsichtlich der Datensicherheit müssen nach beiden Gesetzgebungen die erwähnten technischen und organisatorischen Massnahmen getroffen werden, die dem Risiko bei einer solchen Datenverarbeitung angemessen sind. Hier ergeben sich weniger Unterschiede in der praktischen Umsetzung der Datensicherheit.