DSG-konforme Cloud: Was bedeutet das?
Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG). Es ändert nicht nur das was Unternehmen mit Personendaten dürfen — sondern auch welche Cloud-Dienste du als Privatperson oder Verein sicher nutzen kannst.
Was ist das revDSG überhaupt?
Das revidierte Datenschutzgesetz ist die Schweizer Antwort auf die europäische DSGVO (GDPR). Es ist nicht identisch, aber inhaltlich sehr ähnlich. Es schreibt unter anderem vor:
- Transparenz: Wer mit deinen Daten was macht, muss erklärt sein
- Datenminimierung: Nur Daten verarbeiten die wirklich nötig sind
- Auskunftsrecht: Du kannst jederzeit wissen, was über dich gespeichert ist
- Datenübertragbarkeit: Du musst deine Daten exportieren können
- Meldepflicht bei Datenpannen: An den EDÖB innert 72h
Wo entstehen typische Cloud-Probleme?
1. Server-Standort vs. Anbieter-Sitz
Ein US-Anbieter mit europäischem Rechenzentrum schützt dich nicht automatisch vor US-Behörden. Der US Cloud Act verpflichtet US-Konzerne, Daten auch aus EU-Rechenzentren auf Anfrage von US-Behörden herauszugeben.
Nur ein Anbieter mit Schweizer Firmensitz UND Schweizer Datenstandort ist wirklich aus US-Rechtsraum heraus.
2. Schrems II — was war das nochmal?
2020 hat der Europäische Gerichtshof den "Privacy Shield" gekippt (Schrems-II-Urteil). Konsequenz: Datenübertragungen in die USA sind heikel und brauchen zusätzliche Schutzmassnahmen (Standardvertragsklauseln, Verschlüsselung, etc.).
Wer als Schweizer Verein, Arzt, Anwalt oder Buchhalter sensible Kundendaten in Google Drive legt, riskiert genau diese Konformitäts-Probleme.
3. Verschlüsselung at rest vs. End-to-End
"Verschlüsselt gespeichert" sagen alle Anbieter. Aber wer hat den Schlüssel?
- Verschlüsselung at rest: Anbieter hat Schlüssel. Schutz nur gegen Disk-Diebstahl im RZ.
- End-to-End-Verschlüsselung (E2EE): Nur du hast den Schlüssel. Schutz auch gegen Anbieter selbst, aber: Wenn du Schlüssel verlierst, sind Daten weg.
Für die meisten Privatpersonen reicht "at rest" — wichtig ist dass der Anbieter keine Inhalte automatisch scannt (KI-Training, Werbe-Auswertung).
Welche Daten sind besonders kritisch?
| Datenkategorie | Risiko bei US-Cloud |
|---|---|
| Familienfotos, Videos | Niedrig (es sei denn, du willst keine KI-Auswertung) |
| Rechnungen, Steuerunterlagen | Mittel (Geschäftsgeheimnis) |
| Patientendaten, Krankenakten | Hoch (Berufsgeheimnis nach StGB Art. 321) |
| Anwaltsakten, Mandanteninformationen | Sehr hoch (Anwaltsgeheimnis) |
| Vereinsmitgliederlisten | Mittel (revDSG-pflichtig) |
| Kundendaten als KMU | Hoch (revDSG + Reputationsrisiko) |
Wie erkennst du einen DSG-konformen Anbieter?
Checkliste:
- ✅ Schweizer Firmensitz mit Schweizer Adresse im Impressum
- ✅ Server physisch in der Schweiz (Adresse vom Anbieter erfragen)
- ✅ Datenschutzerklärung nach revDSG (Verweise auf das Schweizer Gesetz, nicht nur GDPR)
- ✅ Klare AGB mit Eigentumsfrage geklärt (deine Daten = deine Daten)
- ✅ Standard-Protokolle (WebDAV, SFTP) für einfaches Daten-Export
- ✅ 30+ Tage Export-Frist nach Kündigung (kein "alles weg sofort")
- ❌ Keine US-Anbieter mit "EU-Rechenzentrum" → US Cloud Act greift trotzdem
- ❌ Keine Anbieter mit obskurer Schlüsselverwaltung
Brauche ich als Privatperson überhaupt das alles?
Ehrlich: für reine Privatdaten wahrscheinlich nicht zwingend. Google Drive ist für 80% der Privatpersonen "gut genug".
Aber: Sobald du Daten Dritter (Familienmitglieder, Vereinskollegen, Kunden, Patienten, Mandanten) speicherst, wird das relevant. Und je sensibler die Daten, desto wichtiger.
Ein Schweizer Anbieter kostet im Vergleich nicht viel mehr — und du schläfst besser.
DSG-konformer Speicher ab CHF 2.50/Monat
Schweizer Server, Schweizer Anbieter, revDSG-konforme Datenschutzerklärung. Jederzeit kündbar mit 30 Tagen Export-Frist.
▶ Pläne ansehen