Warum echte Datensouveränität nicht vom Serverstandort abhängt
Viele Unternehmen entscheiden sich für grosse Cloud-Anbieter, weil diese Rechenzentren „in der Schweiz“ oder „in Europa“ betreiben. Der Eindruck: Wer seine Daten lokal speichert, ist auch rechtlich auf der sicheren Seite.
Diese Annahme ist jedoch trügerisch – und kann für Schweizer Unternehmen erhebliche rechtliche und reputative Risiken mit sich bringen.
Eine klare Aussage vor dem französischen Senat
Am 10. Juni 2025 bestätigte Anton Carniaux, Chefjustiziar von Microsoft France, vor dem französischen Senat, was Datenschutzexperten seit Jahren betonen:
Der physische Standort eines Rechenzentrums eines US-Anbieters schützt nicht vor dem Zugriff US-amerikanischer Behörden.
Auf die direkte Frage, ob Daten des französischen Staates bei Microsoft vor einer Weitergabe an US-Behörden sicher seien, lautete die Antwort unmissverständlich: Nein.
Diese Aussage ist keine politische Meinung, sondern die logische Folge geltenden US-Rechts.
Der US CLOUD Act: Wer der Anbieter ist, ist entscheidend
US-Unternehmen wie Microsoft, Amazon Web Services (AWS) oder Google Cloud unterliegen dem sogenannten US CLOUD Act. Dieser verpflichtet US-Unternehmen dazu, Daten an US-Behörden herauszugeben – unabhängig davon, wo sich die Daten physisch befinden.
- Datenherausgabe kann auch bei Speicherung ausserhalb der USA verlangt werden
- Eine Information oder Zustimmung des betroffenen Kunden ist nicht zwingend erforderlich
- Entscheidend ist die rechtliche Zugehörigkeit und Kontrolle des Anbieters, nicht die Flagge am Rechenzentrum
„So etwas ist noch nie passiert“ – warum dieses Argument nicht trägt
Häufig wird argumentiert, ein solcher Zugriff habe „noch nie stattgefunden“. Dieses Argument ist aus rechtlicher Sicht nicht belastbar:
- Entsprechende Anordnungen können strikten Geheimhaltungspflichten unterliegen
- Anbieter dürfen betroffene Kunden unter Umständen nicht informieren
- Es existiert keine verlässliche, kundenseitige Prüfbarkeit
Ob Daten herausgegeben wurden, wissen im Zweifel ausschliesslich der Anbieter und die anfragenden Behörden – nicht aber das betroffene Unternehmen.
Die Konsequenzen für Schweizer Unternehmen
Rechtliche Verantwortung bleibt beim Kunden
Das revidierte Schweizer Datenschutzgesetz (revDSG) verpflichtet Unternehmen dazu, Personendaten vor unbefugtem Zugriff durch Dritte – auch durch ausländische Behörden – zu schützen. Ein Zugriff ohne Schweizer Rechtsgrundlage kann zu Datenschutz-, Vertrags- sowie Reputationsrisiken führen, selbst dann, wenn das Unternehmen davon keine Kenntnis hatte.
Besonders betroffen sind sensible Branchen
Das Thema ist besonders relevant für Organisationen, die mit vertraulichen oder besonders schützenswerten Informationen arbeiten, z.B.:
- KMU mit Kunden- und Vertragsdaten
- Treuhänder und Beratungsunternehmen
- Anwaltskanzleien und Notariate
- Arztpraxen und medizinische Dienstleister
- Vereine, Stiftungen und Bildungsinstitutionen
Warum „Schweizer Rechenzentrum“ allein nicht genügt
Begriffe wie „Hosting in der Schweiz“, „DSG-konform“, „ISO-zertifiziert“ oder „EU-Standardvertragsklauseln“ sind wichtig und sinnvoll. Sie lösen jedoch das Kernproblem nicht, solange der Anbieter US-Recht untersteht. Solche Massnahmen verbessern die Compliance, verhindern aber keinen Zugriff nach dem CLOUD Act.
Der Unterschied bei CURIAWEB
CURIAWEB verfolgt bewusst einen anderen Ansatz. Für viele Unternehmen zählt nicht nur technische Sicherheit, sondern auch die Frage: Wer ist im Ernstfall rechtlich zuständig?
- Firmensitz ausschliesslich in der Schweiz
- Schweizer Recht als alleiniger Gerichtsstand
- Keine US-Muttergesellschaft
- Keine ausländische Konzernstruktur
- Serverstandorte in der Schweiz
- Datenzugriff nur nach Schweizer Recht
Damit unterliegen Kundendaten bei CURIAWEB nicht dem US CLOUD Act und nicht der extraterritorialen Zugriffsmöglichkeit fremder Behörden.
Fazit: Datensicherheit beginnt beim Anbieter
Der physische Standort eines Servers ist wichtig – aber nicht ausreichend. Wer wissen will, wer im Ernstfall Zugriff auf Daten erhalten kann, muss sich fragen:
Unter welchem Recht steht mein Anbieter?
Für Schweizer Unternehmen, die Wert auf Datenschutz, Verlässlichkeit und rechtliche Klarheit legen, ist Schweizer Hosting kein Luxus, sondern eine bewusste, strategische Entscheidung.
Nächste Schritte mit CURIAWEB
Wenn Sie Ihre Datenhaltung konsequent in der Schweiz verankern möchten, finden Sie hier passende Angebote:
- Webhosting in der Schweiz: curiaweb.ch/webhosting
- Domains (CH & international): curiaweb.ch/domains
- WordPress Hosting: curiaweb.ch/wordpress-hosting
Wenn Sie unsicher sind, welche Lösung zu Ihrem Unternehmen passt, beraten wir Sie gerne transparent und pragmatisch – mit Fokus auf Datensouveränität, Performance und Betriebssicherheit.
