Schweizer Datensouveränität

Wenn Organisationen ein Formular-Tool bewerten, ist "Datenhosting" meist eine Fussnote — wenn es überhaupt auftaucht. Die meisten Käufer behandeln es als Infrastrukturdetail, das vielleicht das IT-Team im Einkaufsformular prüft. Das ist es nicht. Das Land, in dem Ihre Formulardaten physisch liegen, bestimmt, welche Gesetze für sie gelten, welche Behörden darauf zugreifen können und welche Zusicherungen Sie den Menschen ehrlich geben können, die Ihre Formulare ausfüllen.

In diesem Artikel erklären wir, warum Schweizer Datensouveränität mehr als Marketing ist, wie sie sich zum EU- und US-Hosting verhält, was der CLOUD Act tatsächlich tut und wann "in der Schweiz gehostet" die Antwort auf "Wer kann meine Daten lesen?" substantiell ändert.

Datensouveränität sind drei Dinge, nicht eines

"Datensouveränität" wird oft als Kurzform für "in Land X gehostet" verwendet. Das ist unvollständig. In der Praxis umfasst das Konzept drei gestaffelte Fragen, die zusammen beantwortet werden müssen, nicht gegeneinander ausgetauscht.

• Datenstandort — wo die Bytes physisch auf der Festplatte ruhen
• Datenschutzrecht — welches rechtliche Rahmenwerk die Bearbeitung, den Verantwortlichen und die Rechte der Betroffenen regelt
• Rechtlicher Zugriff und extraterritoriale Reichweite — welche Regierungen den Anbieter rechtlich zwingen können, Daten herauszugeben, unabhängig vom Speicherort

Diese drei können auseinanderfallen. Ein Server physisch in Frankfurt, betrieben von einem US-amerikanischen Unternehmen, fällt für die Verarbeitungsbeziehung unter deutsches Datenschutzrecht, kann aber dennoch von einer CLOUD-Act-Anordnung gegen die Muttergesellschaft erreicht werden. Daten in der EU zu speichern, bringt sie nicht automatisch ausserhalb der Reichweite des US-Rechts. Schweizer Souveränität ist genau die Kombination: Standort, anwendbares Recht und Unternehmensstruktur alle auf die Schweizer Jurisdiktion ausgerichtet.

Was das Schweizer Recht tatsächlich bietet

Die Schweiz hat einen besonderen und datenschutzrechtlich günstigen Rechtsrahmen. Vier Elemente sind in der Praxis am wichtigsten.

Das nDSG, in Kraft seit September 2023

Das revidierte Bundesgesetz über den Datenschutz hat das Schweizer Datenschutzrecht modernisiert und auf einen Standard gehoben, der grösstenteils mit der EU-DSGVO übereinstimmt — in manchen Aspekten strenger. Es anerkennt Verschlüsselung als technische Schutzmassnahme, erlegt Verantwortlichen Meldepflichten bei Datenschutzverletzungen auf und sieht, bedeutsam für Entscheidungsträger, strafrechtliche Sanktionen bis CHF 250'000 gegen verantwortliche Personen bei vorsätzlichen Verstössen vor.

Ein EU-Angemessenheitsbeschluss

Die Europäische Kommission hat die Schweiz formell als Land mit angemessenem Datenschutzniveau anerkannt. Praktisch bedeutet das: Personenbezogene Daten können ohne zusätzliche Schutzmassnahmen wie Standardvertragsklauseln aus der EU in die Schweiz fliessen. Für viele EU-Unternehmen ist Schweizer Hosting daher rechtlich einfacher als US-Hosting, nicht komplexer.

Verfassungsrechtlicher Datenschutz

Artikel 13 der Schweizer Bundesverfassung verankert das Recht auf Privatsphäre und Schutz personenbezogener Daten — ein seltener verfassungsmässiger Schutz. Die Bundes-Datenschutzaufsicht liegt beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), einer unabhängigen Behörde.

Grenzen extraterritorialen Zugriffs

Die Schweiz ist nicht Mitglied der EU und unterliegt weder dem CLOUD Act noch ähnlichen extraterritorialen US-Offenlegungsregelungen. Schweizer Recht verlangt formelle internationale Rechtshilfeverfahren, bevor ausländische Behörden auf in der Schweiz gehostete Daten zugreifen können — ein Prozess, der langsam, dokumentiert und gerichtlich überprüfbar ist.

Der US CLOUD Act, klar erklärt

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 2018 erlassen, ist die wirkungsstärkste US-Gesetzgebung für Nicht-US-Daten. Er ermächtigt US-Behörden, US-Anbieter zu zwingen, Daten unter ihrem "Besitz, Gewahrsam oder ihrer Kontrolle" herauszugeben — unabhängig davon, wo auf der Welt die Daten physisch liegen.

Die praktische Implikation für Formulardaten ist schärfer, als die meisten Käufer annehmen:

• Ist Ihr Formular-Anbieter ein US-Unternehmen — oder dessen Tochter — und hält er Entschlüsselungsschlüssel, können Ihre Daten von einer US-Behörde erzwungen werden, selbst wenn der Server physisch in Frankfurt, Dublin oder Zürich steht
• Der Anbieter darf möglicherweise nicht benachrichtigen, dass eine Anfrage erfolgt ist (eine Schweigepflicht ist die Regel)
• DSGVO-Pflichten des Anbieters heben die CLOUD-Act-Pflichten nicht auf; sie koexistieren, und US-Anbieter halten in der Regel zuerst US-Recht ein
• Verschlüsselung im Ruhezustand auf dem Server besiegt den CLOUD Act nicht, wenn der Anbieter die Schlüssel kontrolliert — er gibt die Daten samt Entschlüsselungsmitteln heraus

EU-Hosting ist keine Universalantwort

"In der EU gehostet" ist zur Kurzform für "sicher vor ausländischem Rechtszugriff" geworden. Ein nützlicher Ausgangspunkt, aber unvollständig. Drei ehrliche Reibungspunkte:

• Das Schrems-II-Urteil (2020) hat den EU-US Privacy Shield für ungültig erklärt. Das Data Privacy Framework 2023 stellt einen Transferweg wieder her, steht aber verfassungsrechtlich in Frage und hat eine weniger stabile Grundlage, als viele Käufer annehmen
• Der CLOUD Act gilt für US-Unternehmen unabhängig davon, wo ihre EU-Rechenzentren stehen. Grosse US-Cloud-Anbieter mit EU-Regionen bleiben rechtlich erreichbar
• Intra-EU-Transfers zwischen Mitgliedsstaaten erfolgen unter der DSGVO, sind aber dennoch Transfers. Länderspezifische Regeln (deutsches IT-Sicherheitsgesetz, französisches SecNumCloud) fügen weitere Schichten hinzu, die eine einfache "EU-gehostet"-Aussage nicht erfasst

Das bedeutet nicht, dass EU-Hosting schlecht ist. Es bedeutet, dass "EU-Hosting" keine einheitliche Kategorie ist und das Problem extraterritorialen Zugriffs nicht automatisch löst. Für Käufer, die eine klare, verteidigbare Position wollen, ist die Schweiz — ausserhalb der EU, nach EU-Recht angemessen, nicht CLOUD-Act-unterworfen — oft sauberer als das Verfolgen von Unterschieden zwischen EU-Mitgliedsstaaten.

Was Schweizer Hosting tatsächlich löst — Bedrohung für Bedrohung

Was Schweizer Hosting allein nicht löst

Hosting ist eine Schicht. Es ist für bestimmte Garantien notwendig, aber für den vollen Satz nicht ausreichend. Eine ehrliche Beschreibung seiner Grenzen:

• Schweizer Hosting ohne Verschlüsselung lässt Ihre Daten für Anbieter-Mitarbeiter — und damit für jeden, der den Anbieter kompromittiert — lesbar
• Ein Schweizer Rechenzentrum eines US-Cloud-Anbieters kann weiterhin in Reichweite des CLOUD Act sein — relevant ist Unternehmenskontrolle, nicht nur physischer Standort
• Schweizer Hosting schützt nicht vor Schwachstellen auf Anwendungsebene im Formular-Tool selbst
• Rechtshilfe existiert. Sie ist langsam, dokumentiert und gerichtlich überprüft — aber ein realer Kanal, über den ausländische Behörden in geeigneten Fällen Daten erhalten können
• Schweizer Hosting ist vor allem für die Speicherschicht relevant. Werden Daten per Integration an US-gehostete Dienste (CRMs, E-Mail-Tools, Analytik) exportiert, gilt der Souveränitätsanspruch nur bis zu diesem Sprung

Deshalb kombiniert Schweizerform Schweizer Hosting mit Zero-Knowledge-Ende-zu-Ende-Verschlüsselung. Die beiden Eigenschaften ergänzen sich: Schweizer Hosting adressiert die Jurisdiktionsfrage, und Zero-Knowledge adressiert, was selbst ein rechtlich gezwungener Anbieter überhaupt offenlegen könnte. Keine allein ist so stark wie beide zusammen.

Sechs Fragen zur tatsächlichen Souveränitätsposition eines Anbieters

Der schnellste Weg, Marketing-Texte zu durchschneiden, sind spezifische Fragen. "In der Schweiz gehostet" kann vieles bedeuten — die folgenden Fragen erzwingen Präzision.

1. Wo genau sind die Daten physisch gespeichert — Stadt und Rechenzentrumsbetreiber?
2. Welche juristische Person betreibt den Dienst, wo hat sie ihren Sitz, und gehört sie einer Muttergesellschaft in einer anderen Jurisdiktion?
3. Unterliegt Ihr Dienst aufgrund der Unternehmensstruktur dem US CLOUD Act oder ähnlichen extraterritorialen Anordnungen?
4. Halten Sie Entschlüsselungsschlüssel zu Kundendaten? Wenn ja, wo werden diese Schlüssel gespeichert und unter welcher Jurisdiktion?
5. Welche Subunternehmer nutzen Sie (CDN, E-Mail, SMS, Backups), wo befinden sie sich, und unter welchen Vereinbarungen?
6. Wie ist Ihr Prozess bei einer rechtmässigen Anfrage einer Nicht-Schweizer Behörde, und würden Sie den betroffenen Kunden benachrichtigen?

Wer Schweizer Hosting wirklich braucht

Nicht jedes Formular rechtfertigt Schweizer Hosting. Für eine öffentliche RSVP oder eine unkritische Umfrage ist es überdimensioniert. Aber für mehrere Datenklassen ist es nahezu der einzig sinnvolle Standard:

• Schweizer regulierte Branchen — Banken, Versicherungen, Gesundheitswesen, Recht — wo Aufsichtsbehörden Datenstandort erwarten
• Schweizer öffentlicher Sektor und Bildungseinrichtungen, die bundes- oder kantonsrechtlichen Datenstandortregeln unterliegen
• Organisationen, die Daten von Schweizer Einwohnern mit nDSG-Kategorien besonders schützenswerter Daten (Gesundheit, Religion, Biometrie) erfassen
• Journalismus und NGOs mit Quellen- oder Empfängerdaten, die politisch sensibel sein können
• Anwaltskanzleien, wo das Anwaltsgeheimnis nicht ausländischen Rechtsprozessen ausgesetzt werden darf
• Internationale Organisationen und diplomatische Vertretungen, die Schweizer Neutralität erwarten
• Jedes Unternehmen, das Kunden oder Ausschreibungspanels zeigen will, dass seine Compliance-Kette in der Schweiz endet

Wo Schweizerform steht

Schweizerform ist eine Schweizer Einheit mit Schweizer Infrastruktur. Die Kombination ist kein Upsell und kein Premium-Add-on — sie ist die Basis:

• Formulardaten werden in Schweizer Rechenzentren gespeichert, in allen Tarifen einschliesslich dem kostenlosen
• Die Betreibergesellschaft ist Schweizerisch und ist nicht Tochter eines nicht-schweizerischen Mutterunternehmens — CLOUD-Act-Reichweite greift nicht via Unternehmensstruktur
• Die Architektur ist Zero-Knowledge: Eine rechtmässige Schweizer Behördenanfrage ergäbe nur Chiffretext, weil wir keine Entschlüsselungsschlüssel halten
• Subunternehmer werden minimiert und ihre Jurisdiktionen offengelegt
• Befragte — Ihre Nutzer — profitieren von denselben Souveränitätsgarantien, unabhängig davon, aus welchem Land sie das Formular ausfüllen

Das Fazit

Wo Ihre Formulardaten leben, ist keine Zeile auf einer Compliance-Checkliste. Es bestimmt, welche Gesetze, welche Behörden und welche Unternehmensstrukturen zwischen einer rechtmässigen Anfrage und den Informationen Ihrer Befragten stehen. Schweizer Hosting — in Kombination mit Zero-Knowledge-Verschlüsselung und einer Schweizer Betreibergesellschaft — ist heute eine der saubersten verfügbaren Antworten: rechtlich, operativ und hinsichtlich des Vertrauenssignals.

Für die meisten lockeren Formulare spielt es keine Rolle. Für alle Daten, die bei Offenlegung Schaden anrichten würden — medizinisch, juristisch, finanziell, HR, Whistleblower — ist die jurisdiktionale Kette kein Detail. Sie ist der eigentliche Punkt.