Datensouveränität in der Schweiz und der EU: Definition und Compliance

Datensouveränität bezieht sich auf den Grundsatz, dass Daten den Gesetzen des Landes unterliegen, in dem sie gespeichert, verarbeitet oder abgerufen werden. Für Unternehmen, die in der Schweiz und der Europäischen Union tätig sind, bedeutet dies, dass personenbezogene und sensible Geschäftsdaten den lokalen Datenschutzgesetzen entsprechen müssen – auch wenn sie in Cloud-Umgebungen gespeichert sind, die von internationalen Anbietern betrieben werden. In grenzüberschreitenden Geschäftsumgebungen ist Datensouveränität nicht nur ein rechtliches Konzept, sondern hat auch direkte Auswirkungen auf die Cloud-Strategie, die Auswahl von Anbietern, das Risikomanagement und die Einhaltung gesetzlicher Vorschriften.

→ Erfahren Sie, wie GRAVITY bei der Datensouveränität hilft.

GRAVITY – Eine Digital-Adoption-Platform für Datensouveränität
Wenn Ihr Unternehmen nach nDSG oder DSGVO arbeitet, muss Ihre Digital-Adoption-Platform (DAP) dieselben Standards erfüllen wie der Rest Ihres Stacks. GRAVITY wird auf einer unabhängigen Schweizer Infrastruktur mit Single-Tenant-Architektur, verschlüsseltem Speicher und vollständigen Prüfpfaden gehostet. Keine ausländische Gerichtsbarkeit. Keine Abhängigkeit von Hyperscalern. Nur eine DAP, die nach den Compliance-Standards entwickelt wurde, die von den in der Schweiz und der EU regulierten Branchen tatsächlich gefordert werden.

Warum Datensouveränität für Schweizer und EU-Unternehmen wichtig ist

Da Unternehmen zunehmend globale Cloud-Infrastrukturen nutzen, werden Daten zunehmend über mehrere Gerichtsbarkeiten hinweg verarbeitet – oft ohne dass explizite Governance-Entscheidungen getroffen werden. Dies führt zu einer Gefährdung durch ausländische Rechtszugriffsanfragen, widersprüchliche regulatorische Anforderungen und Überwachungsgesetze, die unabhängig vom physischen Speicherort der Daten gelten.

Nach dem US CLOUD Act können beispielsweise US-Behörden amerikanische Cloud-Anbieter zur Offenlegung von Kundendaten zwingen, die irgendwo auf der Welt gespeichert sind, wodurch vertragliche Schutzbestimmungen der Schweiz oder der EU möglicherweise ausser Kraft gesetzt werden.

Für Organisationen, die Kunden-, Finanz-, Gesundheits- oder Regierungsdaten verarbeiten, kann eine unzureichende Souveränitäts-Governance folgende Folgen haben:

  • Regulatorische Geldstrafen: Bis zu 250’000 CHF pro verantwortlicher Person gemäss nDSG; 20 Mio. € oder 4 % des weltweiten Jahresumsatzes gemäss DSGVO
  • Vertragsverletzungen: Insbesondere wenn Datenverarbeitungsvereinbarungen oder Kundenverträge ausdrückliche Lokalisierungs- oder Vertraulichkeitsanforderungen enthalten
  • Reputationsschäden: Insbesondere in Branchen, in denen das Vertrauen der Kunden ein zentraler Wert ist, wie z. B. im Bankwesen, im Versicherungswesen und im Gesundheitswesen
  • Betriebsstörungen: Erzwungene Datenmigration, Aussetzung von Dienstleistungen oder Verlust von Betriebslizenzen in regulierten Märkten

Branchenspezifische Verpflichtungen erhöhen die Komplexität zusätzlich. Schweizer Finanzinstitute unterliegen den FINMA-Richtlinien zu Outsourcing und Cloud-Nutzung. Gesundheitsdienstleister müssen neben nDSG auch die kantonalen Gesetze zum Schutz von Patientendaten einhalten. Organisationen des öffentlichen Sektors unterliegen den strengsten Lokalisierungsanforderungen, wobei einige Kantone verlangen, dass Daten vollständig auf Schweizer Boden verbleiben.

In diesem Umfeld ist Datensouveränität eine Frage der Unternehmensführung auf Vorstandsebene – und keine Entscheidung über die IT-Konfiguration.

Rechtlicher Rahmen: Schweiz vs. EU

Die Datensouveränität in Europa wird in erster Linie durch die Datenschutz-Grundverordnung (DSGVO) geregelt. Die Schweiz unterliegt dem revidierten Bundesgesetz über den Datenschutz (nDSG, „neues Datenschutzgesetz“), das seit dem 1. September 2023 in Kraft ist.

Vergleich der wichtigsten rechtlichen Grundlagen:

Thema Schweiz Europäische Union
Kernverordnung nDSG DSGVO
Aufsichtsbehörde Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Nationale Datenschutzbehörden und Europäischer Datenschutzausschuss (EDPB)
Territorialer Geltungsbereich Gilt für Verarbeitungen, die Personen in der Schweiz betreffen Gilt für alle Verarbeitungen von Daten betroffener Personen aus der EU, unabhängig vom Standort des Verarbeiters
Rechte des Einzelnen Gleiche Grundrechte; das Recht auf Datenübertragbarkeit ist enger gefasst als in der DSGVO Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch
Grenzüberschreitende Übermittlungen Ähnlicher Rahmen auf der Grundlage der Angemessenheit; Liste der angemessenen Länder wird vom FDPIC geführt Zulässig durch Angemessenheitsbeschlüsse, SCCs oder andere Garantien
Datenfluss zwischen der EU und der Schweiz Ermöglicht einen relativ nahtlosen Datenaustausch mit Unternehmen in der EU/im EWR Die Schweiz wird von der EU als angemessen anerkannt
Meldung von Datenschutzverletzungen „So schnell wie möglich“ an das EDÖB; keine feste Frist Innerhalb von 72 Stunden an die Aufsichtsbehörde
Sanktionen / Durchsetzung Geldbussen bis zu 250’000 CHF – wichtig ist, dass diese gegen die verantwortlichen Personen und nicht gegen das Unternehmen verhängt werden Geldstrafen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Die Schweiz ist kein EU-Mitgliedstaat, wird jedoch von der EU als Land mit einem angemessenen Datenschutzniveau anerkannt, was einen relativ nahtlosen grenzüberschreitenden Datenfluss zwischen den beiden Rechtsordnungen ermöglicht.

Der Angemessenheitsstatus hebt jedoch extraterritoriale Zugriffsgesetze nicht auf. Unternehmen, die Cloud-Anbieter mit Sitz in den USA nutzen, unterliegen weiterhin potenziell dem US CLOUD Act, unabhängig davon, wo die Daten physisch gespeichert sind oder welches lokale Recht für den Vertrag gilt. Die Einhaltung von nDSG oder DSGVO schützt allein nicht vor Zugriffsanfragen ausländischer Regierungen, die sich an die in den USA eingetragene Muttergesellschaft eines Anbieters richten.

Datensouveränität vs. verwandte Konzepte

Diese Begriffe werden oft verwechselt, haben jedoch unterschiedliche Bedeutungen:

Begriff Bedeutung Rechtliche Auswirkungen
Datensouveränität Daten unterliegen den Gesetzen der jeweiligen Gerichtsbarkeit Bestimmt, welche Landesgesetze gelten
Datenresidenz Daten, die an einem bestimmten geografischen Ort gespeichert sind Anforderungen an die physische Speicherung
Datenlokalisierung Daten müssen innerhalb der Landesgrenzen verbleiben Gesetzliche Verpflichtung zur Speicherung im Inland
Datenschutz Rechte von Personen über ihre personenbezogenen Daten Geregelt durch nDSG (CH) / DSGVO (EU)
Datenübertragbarkeit Möglichkeit der Übertragung von Daten zwischen Systemen oder Anbietern Relevant gemäss DSGVO Art. 20; Auswirkungen auf das Risiko der Anbieterabhängigkeit
Digitale Souveränität Kontrolle eines Landes oder einer Organisation über seine bzw. ihre gesamte digitale Infrastruktur Gestaltet die nationale Cloud- und KI-Politik (z. B. Strategie Digitale Schweiz)

Ein Unternehmen kann Daten in der Schweiz hosten (Datenresidenz), aber dennoch Souveränitätsrisiken ausgesetzt sein, wenn sein Cloud-Anbieter ausländischen Zugriffsgesetzen unterliegt – wie beispielsweise dem US CLOUD Act. Umgekehrt kann ein Unternehmen die Anforderungen an die Datenlokalisierung erfüllen und dennoch gegen Datenschutzverpflichtungen verstossen, wenn personenbezogene Daten ohne gültige Rechtsgrundlage gemäss nDSG oder DSGVO verarbeitet werden.

Auswirkungen auf die Cloud-Strategie von Unternehmen

Für Schweizer und EU-Unternehmen hat die Datensouveränität direkten Einfluss auf Infrastrukturentscheidungen und Compliance-Governance. Die folgenden Kriterien sollten bei der Bewertung von Cloud-Anbietern berücksichtigt werden:

Bereich Wichtige Fragen
Gerichtsbarkeit des Cloud-Anbieters Ist der Anbieter nach US-Recht gegründet oder unterliegt er diesem? Gemäss dem US CLOUD Act (2018) können US-Behörden amerikanische Cloud-Anbieter dazu zwingen, weltweit gespeicherte Daten – einschliesslich Server in der Schweiz oder der EU – offenzulegen, ohne die betroffene Person darüber zu informieren.
Datenstandort Wo werden Primär- und Sicherungsdaten gespeichert? Befinden sich diese Speicherorte in der Schweiz, der EU/dem EWR oder in Ländern mit gleichwertigen Schutzbestimmungen?
Verschlüsselung Werden die Verschlüsselungsschlüssel vom Kunden kontrolliert (BYOK/HYOK)? Schlüssel, die sich im Besitz des Anbieters befinden, können für den Anbieter zugänglich sein – und damit auch für die für ihn zuständigen Behörden.
Zugriffskontrolle Wer kann unter welcher rechtlichen Befugnis auf die Daten zugreifen? Sind Zugriffsprotokolle für Audits verfügbar? Unterliegen privilegierte Zugriffsanfragen der Zustimmung des Kunden?
Vertragliche Sicherheitsvorkehrungen Gibt es Standardvertragsklauseln (SCCs) oder eine Datenverarbeitungsvereinbarung (DPA)? Beachten Sie, dass SCCs allein widersprüchliche nationale Gesetze wie den US CLOUD Act nicht ausser Kraft setzen.

In regulierten Branchen – Finanzwesen, Gesundheitswesen und öffentliche Verwaltung – können die Aufsichtsbehörden zusätzliche Unterlagen, Überprüfbarkeit und strenge Lokalisierungskontrollen verlangen.

Praktische Compliance-Massnahmen

Sobald die oben genannte Bewertung Lücken identifiziert hat, reagieren Unternehmen in der Regel auf drei Ebenen:

Rechtlich und vertraglich

  • Datenverarbeitungsvereinbarungen (DPAs): Gemäss nDSG und DSGVO bei der Beauftragung von Auftragsverarbeitern obligatorisch; müssen den Verarbeitungszweck, die Datenkategorien, die Aufbewahrungsfristen und die Pflichten der Unterauftragsverarbeiter festlegen.
  • Transfer-Auswirkungsanalysen (TIAs): Erforderlich für Übermittlungen in Drittländer; die Kernfrage ist, ob die Gesetze der Zielgerichtsbarkeit den Schutz auf dem Papier praktisch untergraben
  • Standardvertragsklauseln (SCCs): Der primäre Transfermechanismus in nicht angemessene Länder, jedoch eher eine Untergrenze als eine Obergrenze; immer prüfen, was rechtlich darüber hinausgeht

Technisch

  • Verschlüsselung mit vom Kunden kontrollierten Schlüsseln (BYOK/HYOK): Die wirksamste technische Massnahme gegen die erzwungene Offenlegung; wenn der Anbieter die Daten nicht lesen kann, bringt eine gerichtliche Anordnung zur Herausgabe nichts
  • Zugriffsprotokollierung und Prüfpfade: Unverzichtbar sowohl für behördliche Audits als auch für die Erkennung von unbefugten oder staatlich erzwungenen Zugriffen.
  • Datenminimierung und Pseudonymisierung: Reduzieren Sie die Auswirkungen von Vorfällen im Zusammenhang mit der Souveränität, indem Sie die offengelegten Daten begrenzen

Betrieb

  • Risikobewertung von Anbietern: Gehen Sie über Zertifizierungen hinaus; bewerten Sie die Gerichtsbarkeit, die endgültige Unternehmenszugehörigkeit, die Standorte von Unterauftragsverarbeitern und veröffentlichte Statistiken zu Zugriffsanfragen von Behörden.
  • Verfahren zur Reaktion auf Vorfälle: Fügen Sie explizite Protokolle für Zugriffsanfragen ausländischer Regierungen hinzu, einschliesslich der Verpflichtung zur Benachrichtigung der Kunden, sofern dies gesetzlich zulässig ist.

Souveräne Cloud-Architektur

Souveräne Cloud-Angebote von AWS, Microsoft und Google – Umgebungen, die von lokalen Unternehmen nach lokalem Recht betrieben werden – können das Betriebsrisiko verringern. Da alle drei jedoch weiterhin in den USA ansässig sind, unterliegen sie unabhängig von ihrer lokalen Struktur möglicherweise dem US CLOUD Act. Eine operative Trennung kann den praktischen Zugang einschränken, ist jedoch kein garantierter Rechtsschutz und erfordert eine unabhängige rechtliche Prüfung, bevor sie als Compliance-Massnahme herangezogen werden kann.

Für besonders sensible Workloads – öffentliche Verwaltung, kritische Infrastruktur, regulierte Finanzdienstleistungen – bleiben in der Schweiz gehostete Private Clouds oder lokale Bereitstellungen die am besten zu verteidigende Architektur.

Häufig gestellte Fragen

Ist die Schweiz Teil des DSGVO-Rahmens?

Nein. Die Schweiz ist nicht Teil der EU und wendet die DSGVO nicht direkt an. Das revidierte Bundesgesetz über den Datenschutz ist jedoch eng an die Grundsätze der DSGVO angelehnt. Unternehmen, die in beiden Rechtsräumen tätig sind, halten sich häufig gleichzeitig an beide Rahmenwerke.

Garantiert die Speicherung von Daten in der Schweiz vollständige Datensouveränität?

Nicht automatisch. Während das Hosting in der Schweiz die lokale Gerichtsbarkeit über die Speicherung gewährleistet, können Souveränitätsrisiken bestehen bleiben, wenn der Cloud-Anbieter seinen Hauptsitz in einem Drittland hat, dessen Gesetze einen extraterritorialen Zugriff erlauben. Die Gerichtsbarkeit des Anbieters ist ebenso wichtig wie der physische Speicherort.

Warum wurden die EU-Datenübertragungsvorschriften in den letzten Jahren verschärft?

Zwei Urteile des EuGH – zur Aufhebung von Safe Harbor (2015) und Privacy Shield (2020, „Schrems II“) – haben aufeinanderfolgende Rahmenwerke für den Datenaustausch zwischen der EU und den USA für ungültig erklärt, da beide Male festgestellt wurde, dass die Überwachungspraktiken der USA zu weitreichend waren und EU-Bürgern keine angemessenen Rechtsbehelfe zur Verfügung standen.

Das aktuelle EU-US-Datenschutzrahmenwerk („Data Privacy Framework“, DPF), das im Juli 2023 verabschiedet wurde, hat seine erste rechtliche Anfechtung im Jahr 2025 überstanden, steht aber weiterhin unter Beobachtung. Unternehmen sollten keinen Transfermechanismus als dauerhafte Sicherheitsmassnahme betrachten – Transfer-Folgenabschätzungen und sorgfältige Überprüfungen der Gerichtsbarkeit von Anbietern sind nach wie vor unerlässlich.

Was ist eine souveräne Cloud?

Eine souveräne Cloud ist eine Infrastruktur, die darauf ausgelegt ist, Daten unter der rechtlichen Kontrolle einer bestimmten Gerichtsbarkeit zu halten – in der Regel durch lokales Hosting, lokale juristische Personen und eingeschränkten Zugriff aus dem Ausland. In Europa zielen Initiativen wie Gaia-X darauf ab, diese Standards zu formalisieren.

Souveräne Cloud-Angebote von US-amerikanischen Hyperscalern – AWS, Microsoft und Google – unterliegen jedoch unabhängig von der lokalen Struktur weiterhin potenziell dem US CLOUD Act. Eine operative Trennung reduziert das Risiko in der Praxis, ist jedoch kein garantierter rechtlicher Schutz. Wahre Souveränität erfordert eine Infrastruktur, die nicht von US-Unternehmen abhängig ist.

Wie wirkt sich eine Digital-Adoption-Platform auf die Datensouveränität aus?

Eine Digital-Adoption-Platform kann Daten zur Benutzerinteraktion verarbeiten, um In-App-Anleitungen und Analysen bereitzustellen. Unternehmen müssen prüfen, wo diese Daten gespeichert werden, welcher Gerichtsbarkeit der Anbieter unterliegt und ob gemäss der DSGVO oder dem Schweizer Recht Schutzmassnahmen für grenzüberschreitende Datenübertragungen erforderlich sind.

GRAVITY ist die einzige DAP, bei der die Antwort auf die Frage „Wo befinden sich meine Daten?“ einfach lautet: in der Schweiz. Buchen Sie eine Demo!

Warum ist Datensouveränität bei der digitalen Transformation wichtig?

Die digitale Transformation umfasst häufig die Migration in die Cloud und globale SaaS-Anbieter. Ohne Souveränitätsplanung riskieren Unternehmen nicht konforme Datenübertragungen oder die Auslieferung an ausländische Gerichtsbarkeiten. Die Souveränität muss bei der Auswahl der Infrastruktur und der Anbieter berücksichtigt werden.

Welche Rolle spielt das Änderungsmanagement bei der Datensouveränität?

Die Einhaltung der Datensouveränität erfordert aktualisierte Richtlinien, Lieferantenüberprüfungen und Zugriffskontrollen. Ein effektives Veränderungsmanagement stellt sicher, dass diese Governance-Massnahmen team- und abteilungsübergreifend konsequent umgesetzt werden.

Zugang zu Benutzergruppen. Verbessern Sie Ihre Fähigkeiten mit dem GRAVITY Netzwerk von Experten und Redakteuren.
Aktualisierungen. Erfahren Sie zuerst alle allgemeinen und technischen Neuigkeiten von Gravity Global AG.
Bleiben Sie auf dem Laufenden. Exklusive GRAVITY-Updates, Einblicke und ein Blick hinter die Kulissen.

Die Updates zur digitalen Adoption, die Sie nicht verpassen dürfen – jetzt abonnieren!