Autor dieses Artikels ist François Charlet, Fachanwalt für Datenschutzrecht. Mit dem Artikel sollen die Leserinnen und Leser auf einige juristische Aspekte hingewiesen werden, die zu berücksichtigen sind, wenn persönliche Daten oder Unternehmensdaten von einem externen IT-Dienstleister gehostet werden sollen.
Wer nach einem Anbieter für einen bestimmten Dienst sucht, will stets die beste Leistung zum günstigsten Preis. Dies trifft auf unzählige Bereiche zu – von Mobiltelefonie über Bildung und Sport bis hin zu Handwerkerleistungen. IT-Dienstleistungen verbuchen ein starkes Wachstum, und der entsprechende Markt ist hart umkämpft. Dass dieser Markt gegenwärtig von US-Giganten wie Microsoft und Amazon beherrscht wird, ist kein Geheimnis. Aber auch lokale Anbieter behaupten sich tapfer. Sich für das Angebot grosser ausländischer Unternehmen zu entscheiden, mag eine sehr gute Wahl sein. Es spricht aber auch vieles dafür, auf ein Schweizer Unternehmen zu setzen.
Warum ist der Hosting-Standort von Bedeutung?
Neben wirtschaftlichen Erwägungen oder der Kundenbetreuung (ein Anbieter in geografischer Nähe dürfte kundenfreundlicher und in der Lage sein, einen angepassten, ja sogar massgeschneiderten Service anzubieten) besitzt auch der physische Standort der Datenspeicherung eine gewisse Bedeutung. Der effektive Datenstandort kann mit bestimmten rechtlichen Folgen verbunden sein; so könnten Daten von ausländischen Behörden beschlagnahmt werden. Dieses Risiko fällt bei einer Datenspeicherung in der Schweiz natürlich nicht weg, aber ausländische Behörden müssen in einem solchen Fall internationale Amtshilfe beantragen, während die Schweizer Behörden etwaige Massnahmen dann umsetzen. Ausserdem ist es einfacher, sich im eigenen Land vor Gericht zu verteidigen. Doch hierzu später mehr.
Die Schweiz geniesst auf der Weltbühne, aber auch bei ihren Bürgerinnen und Bürgern hervorragendes Ansehen. Dies sollte genutzt werden. Wenn der Schweizer Bevölkerung in der Schweiz Leistungen angeboten werden, herrscht häufig Verwunderung darüber, dass die Daten – ob personenbezogen oder nicht – nicht im eigenen Land gespeichert werden. Mit Blick auf Nutzerinnen und Nutzer aus anderen Ländern stellt sich die Frage, ob diese eine Informationsspeicherung in der Schweiz aufgrund der rechtlichen und politischen Stabilität und allgemein aufgrund des hohen Ansehens dieses Landes nicht generell begrüssen. Interessantes Detail: Bei bestimmten Firmen befinden sich die Server in ehemaligen Bunkern der Schweizer Armee. Doch ein solcher Hinweis mutet heute eher altmodisch an und stellt für die überwältigende Mehrheit der Kunden wohl kaum ein echtes Werbeargument dar. Ausserdem sind solche Leistungen vor allem bei der Archivierung von Daten und weniger bei täglichen Verarbeitungsvorgängen von Nutzen.
Ein lokaler Anbieter unterliegt lokalem Recht
Der Standort der Daten ist wichtig. Gleiches gilt aber auch für das Recht, an das der Dienstleister gebunden ist. So ist es bei einer – insbesondere zivilrechtlichen – Auseinandersetzung aufgrund unterschiedlicher Auslegung eines Vertrags wesentlich einfacher, ein Verfahren vor den Gerichten anzustrengen, die nach nicht gänzlich unbekannten Mustern verfahren und das Recht anwenden, dem wir tagtäglich unterliegen. Dies setzt natürlich voraus, dass im Dienstleistungsvertrag weder der Gerichtsstand noch das Recht eines anderen Landes festgelegt wurden. Überdies dürfte es unwahrscheinlicher sein, dass eine Rechtsschutzversicherung für ein Verfahren im Ausland aufkommt, wenn dies nicht bereits durch die allgemeinen Bedingungen ausgeschlossen ist.
Das gilt auch mit Blick auf das Strafrecht. In diesem Zusammenhang dürften der berühmt-berüchtigte CLOUD Act und die in diesem Zusammenhang kolportierten Unwahrheiten dem ein oder anderen nicht unbekannt sein. Aufgrund dieses Gesetzes werden US-Anbieter häufig gemieden. Und doch besteht ein ähnliches Rechtsinstrument, das insbesondere in Europa und der Schweiz Anwendung findet – die Budapester Konvention zur Cyberkriminalität. Mutmassen beispielsweise französische, deutsche oder US-amerikanische Behörden, dass Informationen zu einem Verbrechen auf einem im Schweizer Hoheitsgebiet befindlichen Server gespeichert sind, können die Schweizer Behörden den IT-Dienstleister zwingen, den ausländischen Behörden die Daten zuzuspielen, die sich in seinem Besitz befinden bzw. seiner Kontrolle unterliegen. Analog dazu kann ein in der Schweiz ansässiger Anbieter, der Daten im Ausland speichert, nach Schweizer Recht von Schweizer Behörden zur Übermittlung dieser Informationen aufgefordert werden.
Hosting in der Schweiz mit Datenübermittlung ins Ausland
Verträge enthalten häufig eine Klausel, die „vorübergehende Übermittlungen“ von Daten (personenbezogen oder nicht) betreffen. Auch wenn Daten in der Schweiz gespeichert werden, ist es nicht unüblich, dass diese für verschiedene Verarbeitungen über ausländische Server geleitet werden müssen, bevor sie für die erneute Speicherung wieder auf die Schweizer Server gelangen. Eine solche Konstellation ist häufig bei global agierenden IT-Dienstleistern gegeben, bei lokalen Akteuren jedoch seltener.
Dieser Aspekt ist von Bedeutung, denn wenn der Kunde personenbezogene Daten vom IT-Dienstleister verarbeiten lässt und diese Daten ins Ausland übermittelt werden (selbst ohne dort gespeichert zu werden), hat sich der Kunde kraft des (neuen) Bundesgesetzes über den Datenschutz (DSG) und der Datenschutz-Grundverordnung (DSGVO) der Rechtmässigkeit dieser Übertragung zu versichern und die betroffenen Personen über diese Übermittlung zu unterrichten. Gemäss dem neuen DSG haben diese Informationen den Namen des Staates bzw. der Staaten zu umfassen, in den / die die personenbezogenen Daten übermittelt werden.
Neues DSG
Im Web und den Medien wird immer wieder der in der Schweiz äusserst sichere Rechtsrahmen für personenbezogene Daten angepriesen. Natürliche und juristische Personen werden ermutigt, ihre Daten in der Schweiz hosten zu lassen. Doch seit die DSGVO in der Europäischen Union in Kraft getreten ist und die Auflagen gegenüber Unternehmen weltweit, die ihre Dienstleistungen in Europa anbieten oder als Unterauftragnehmer europäischer Unternehmen agieren, drastisch gestiegen sind, sind derartige Äusserungen verstummt.
Doch Letzere werden wieder ertönen, wenn auch etwas leiser. Das im Herbst 2020 angenommene DSG, dessen Datum des Inkrafttretens noch unbekannt ist, bringt einige Neuerungen mit sich und erlegt Schweizer Unternehmen mehr Verantwortlichkeiten auf, insbesondere mit Blick auf Transparenz und Governance. Hierdurch wird das Argument, wonach personenbezogene Daten in Europa besser geschützt sind als in der Schweiz, seine Daseinsberechtigung verlieren. Denn alle Schweizer IT-Dienstleister, die bis dato (gesetzlich oder vertraglich) nicht an die DSGVO gebunden waren, unterliegen künftig der strengeren Regelung des neuen DSG.
Mit dem Gesetz wird insbesondere die Transparenzpflicht der für die Verarbeitung Verantwortlichen gestärkt. Ausserdem werden die Anwendung der Grundsätze „Privacy by Design“ und „Privacy by Default“ und Folgeabschätzungen verbindlich, während Datenschutzverstösse einem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gemeldet werden können.
Anbieter mit eigener Entwicklung von Lösungen
Ein IT-Dienstleister, der einen Hosting-Dienst anbietet, gewährt seinen Kunden häufig technische Unterstützung bei der Installation eines CMS oder bestimmte Hilfen, um dies beispielsweise unter Anleitung und automatisiert zu bewerkstelligen. Dabei angebotene IT-Lösungen stammen zumeist von Drittanbietern, die für Wartung, Updates und Sicherheit ihrer Lösungen verantwortlich zeichnen. Weil der Hosting-Anbieter hieran unbeteiligt ist, kann er seinen Kunden nicht helfen, Bugs, Fehler oder Sicherheitslücken dieser Lösungen zu beheben.
Umgekehrt kommen Kunden in den Genuss eines über die einfache Hosting-Leistung hinausgehenden Service, wenn der Hosting-Anbieter ebenfalls IT-Lösungen entwickelt und diese seinen Kunden anbietet. Auch wenn der IT-Anbieter in einem solchen Fall mehr Verantwortung gegenüber seinen Kunden wahrnimmt, ist er vorab in der Lage, den wachsenden Kundenanforderungen an die angebotenen Leistungen Rechnung zu tragen. Der Anbieter fängt bei der Entwicklung seiner eigenen Tools nicht unbedingt bei Null an („from scratch“), sondern greift häufig auf Open-Source-Lösungen zurück, die er an seine IT-Systeme, die Bedürfnisse seiner Kunden und das von ihm geplante Leistungsangebot anpasst. Auf diese Weise profitiert der Anbieter von Weiterentwicklungen des Open-Source-Codes der Community (und kann hierzu selbst beitragen), behält aber gleichzeitig die Kontrolle über seine angebotene Lösung. Auch das Recht im Spionagebereich, dem ein lokaler Anbieter unterliegt, spricht für die Wahl eines lokalen Anbieters, der seine eigenen Tools entwickelt. Werden proprietäre, im Ausland entwickelte Lösungen genutzt, lässt sich eine Exposition gegenüber sogenannten „Backdoors“, die auf Verlangen einer ausländischen Behörde installiert werden, nicht ganz ausschliessen (siehe hierzu diese Reportage von RTS). Da der lokale Dienstleister in der Regel jedoch keine andere Wahl hat, als im Ausland entwickelte und hergestellte IT-Technologien und
-Infrastrukturen zu nutzen (Server, Betriebssysteme usw.), verliert das vorgenannte Argument zwar an Gewicht, bleibt aber von Bedeutung. Selbstverständlich gibt es Ausnahmen.
Schlussbetrachtung
Die vorstehenden Ausführungen zeigen, dass ein lokaler IT-Dienstleister eine stärkere Unabhängigkeit besitzt und generell eine stärkere Kontrolle der Daten, die ihm seine Kunden anvertrauen, von sich verlangt. Dabei kann er vor bestimmten Cyberangriffen geschützt sein, die auf massenhaft genutzte Infrastrukturen und Lösungen abzielen. Je nach den von ihm genutzten Unterauftragnehmern kann er häufig gewährleisten, dass Daten seiner Kunden weder ins Ausland übermittelt werden noch im Ausland befindlichen Personen zugänglich sind. Bei einem Rechtsstreit nutzt der Kunde prinzipiell einen Gerichtsstand in der Schweiz, während Schweizer Recht Anwendung findet. Dies bedeutet de facto eine Garantie für ein faires Verfahren und eine bürgernahe Rechtsprechung.
Der Autor dieses Artikels ist unabhängig und wurde von Infomaniak network SA, zu dessen Kunden er zählt, weder beeinflusst noch unter Druck gesetzt.
Vous aimerez aussi...
kDrive: Microsoft Word-, Excel- und PowerPoint-Dokumente gemeinsam online bearbeiten
Donnerstag 13 Oktober 2022
Dreamscape und Infomaniak schliessen sich zusammen und machen Ticketverkaufserlebnis immersiver
Donnerstag 25 August 2022
Auch interessant...
kDrive: Microsoft Word-, Excel- und PowerPoint-Dokumente gemeinsam online bearbeiten
Donnerstag 13 Oktober 2022
Dreamscape und Infomaniak schliessen sich zusammen und machen Ticketverkaufserlebnis immersiver
Donnerstag 25 August 2022
Wir belasten die Umwelt, auch wenn wir unsere CO2-Emissionen zu 200% kompensieren
Freitag 17 Dezember 2021
Octree nutzt Public Cloud von Infomaniak, um die Umsetzung von E-Partizipation zu beschleunigen
Freitag 19 November 2021
Disaster-Recovery-Plan im IT-Bereich: Lösungen für den Schutz vor Cyberangriffen
Freitag 12 November 2021
Interview: Welche Vorteile hat die OpenStack-Technologie für die eigene Public Cloud?
Donnerstag 14 Oktober 2021
Fallstudie: Deeplink migriert seine KI-Plattform von AWS zur Public Cloud von Infomaniak
Freitag 1 Oktober 2021
Infomaniak entwickelt eine eigene KI, um die Produktivität von Unternehmen zu erhöhen
Freitag 27 August 2021
Event-Streaming: Das Théâtre Confiture wird zum Innovationslabor für Infomaniak Tickets
Donnerstag 8 Juli 2021
Ein 100% unabhängiges Webmail: Infomaniak bietet eine herausragende Alternative zu GAFAM
Donnerstag 20 Mai 2021
kMeet : die lokale Alternative zu Microsoft Teams und Zoom wird leistungsfähiger
Dienstag 11 Mai 2021
Sicherheit im Rechenzentrum: Wie schützt sich Infomaniak vor den schlimmsten Szenarien?
Donnerstag 18 März 2021
Roadmap 2021: Infomaniak beschleunigt Entwicklung seiner unabhängigen Technologie
Dienstag 8 Dezember 2020
ik.me: Eine lebenslang kostenlose E-Mail-Adresse, die in der Schweiz entwickelt und gehostet wird
Dienstag 10 November 2020
Ingenieure, Whistleblower oder ethische Hacker… so schützt Infomaniak Ihre Daten
Montag 9 November 2020
kPaste: ein kostenloser Service für die sichere Übertragung vertraulicher Daten
Freitag 11 September 2020
Swiss Made Software: Eine technologische Alternative im Herzen Europas schaffen
Mittwoch 26 August 2020
KMU: 5 Methoden, um mit Ihrem Blog qualifizierte potenzielle Neukunden anzulocken
Montag 10 August 2020
3 wesentliche Massnahmen zur Sicherung und zum Schutz Ihrer WordPress-Website
Donnerstag 23 Januar 2020
kDrive, die erste Schweizer Collaboration-Speicherlösung für KMU und Privatnutzer, ist da!
Freitag 20 Dezember 2019
Webhosting mit DIVI: kostenloser Zugang zu allen Elegant Themes der WordPress-Themes
Donnerstag 27 Juni 2019
Sicherung von Unternehmensdaten in der Schweiz mit dem Backup-Service von Infomaniak
Donnerstag 28 März 2019
Swiss Backup, die Schweizer Backup-Lösung für Windows, Mac, Linux, iOS und Android
Donnerstag 29 November 2018
Infomaniak Sync: Die Android-App zur Synchronisation der Workspace-Kontakte und -Kalender
Freitag 9 November 2018
DebConf18 in Taiwan: Infomaniak trägt auf höchstem Niveau zur Open-Source-Community bei
Dienstag 16 Oktober 2018
Workspace 3: Die neue Generation des Schweizer Webmailers trägt Nutzerwünschen Rechnung
Freitag 14 September 2018
Infomaniak führt Jelastic Cloud ein, die Schweizer PaaS-Plattform für Entwickler und Unternehmen
Dienstag 4 September 2018
ISO 27001: Infomaniak zeichnet sich durch optimales IT-Sicherheitsmanagement aus
Freitag 3 August 2018
So erstellen Sie ein VPN in der Schweiz mit einem bei Infomaniak gehosteten Synology-NAS
Donnerstag 15 März 2018
Whois-Spamfilter: Infomaniak schützt die E-Mail-Adressen der Domains vor SPAM
Donnerstag 30 November 2017
Die Erstellung einer beeindruckenden WordPress-Website mit Divi war noch nie so einfach
Donnerstag 31 August 2017
Einrichtung Ihres Synology-NAS für die Sicherung Ihres Macs mit Time Machine
Donnerstag 17 August 2017
Fünf einfache konkrete Tipps zur Verbesserung der Öffnungsrate – E-Mail-Marketing
Freitag 28 April 2017
Der Veranstalter des Rolex Grand Slam verbreitet seine Newsletter mit Infomaniak: Interview
Donnerstag 24 November 2016
Im Handumdrehen einen Domainname reservieren und eine Seite veröffentlichen
Donnerstag 19 November 2015
Zwei Tipps, wie Sie unsere neue Verwaltungskonsole noch produktiver einsetzen
Freitag 18 September 2015
Installation von Joomla, ownCloud, phpBB… mit ein paar Klicks in Infomaniak-Hostings
Freitag 23 Januar 2015
Die Erweiterung .fr zu einem unschlagbar günstigen Preis: 5,90 € (inkl. MwSt)!
Dienstag 16 September 2014
We also suggest...
kDrive: Microsoft Word-, Excel- und PowerPoint-Dokumente gemeinsam online bearbeiten
Donnerstag 13 Oktober 2022
Dreamscape und Infomaniak schliessen sich zusammen und machen Ticketverkaufserlebnis immersiver
Donnerstag 25 August 2022
Wir belasten die Umwelt, auch wenn wir unsere CO2-Emissionen zu 200% kompensieren
Freitag 17 Dezember 2021
Octree nutzt Public Cloud von Infomaniak, um die Umsetzung von E-Partizipation zu beschleunigen
Freitag 19 November 2021
Disaster-Recovery-Plan im IT-Bereich: Lösungen für den Schutz vor Cyberangriffen
Freitag 12 November 2021
Interview: Welche Vorteile hat die OpenStack-Technologie für die eigene Public Cloud?
Donnerstag 14 Oktober 2021
Fallstudie: Deeplink migriert seine KI-Plattform von AWS zur Public Cloud von Infomaniak
Freitag 1 Oktober 2021
Infomaniak entwickelt eine eigene KI, um die Produktivität von Unternehmen zu erhöhen
Freitag 27 August 2021
Event-Streaming: Das Théâtre Confiture wird zum Innovationslabor für Infomaniak Tickets
Donnerstag 8 Juli 2021
Ein 100% unabhängiges Webmail: Infomaniak bietet eine herausragende Alternative zu GAFAM
Donnerstag 20 Mai 2021
kMeet : die lokale Alternative zu Microsoft Teams und Zoom wird leistungsfähiger
Dienstag 11 Mai 2021
Sicherheit im Rechenzentrum: Wie schützt sich Infomaniak vor den schlimmsten Szenarien?
Donnerstag 18 März 2021
Roadmap 2021: Infomaniak beschleunigt Entwicklung seiner unabhängigen Technologie
Dienstag 8 Dezember 2020
ik.me: Eine lebenslang kostenlose E-Mail-Adresse, die in der Schweiz entwickelt und gehostet wird
Dienstag 10 November 2020
Ingenieure, Whistleblower oder ethische Hacker… so schützt Infomaniak Ihre Daten
Montag 9 November 2020
kPaste: ein kostenloser Service für die sichere Übertragung vertraulicher Daten
Freitag 11 September 2020
Swiss Made Software: Eine technologische Alternative im Herzen Europas schaffen
Mittwoch 26 August 2020
KMU: 5 Methoden, um mit Ihrem Blog qualifizierte potenzielle Neukunden anzulocken
Montag 10 August 2020
3 wesentliche Massnahmen zur Sicherung und zum Schutz Ihrer WordPress-Website
Donnerstag 23 Januar 2020
kDrive, die erste Schweizer Collaboration-Speicherlösung für KMU und Privatnutzer, ist da!
Freitag 20 Dezember 2019
Webhosting mit DIVI: kostenloser Zugang zu allen Elegant Themes der WordPress-Themes
Donnerstag 27 Juni 2019
Sicherung von Unternehmensdaten in der Schweiz mit dem Backup-Service von Infomaniak
Donnerstag 28 März 2019
Swiss Backup, die Schweizer Backup-Lösung für Windows, Mac, Linux, iOS und Android
Donnerstag 29 November 2018
Infomaniak Sync: Die Android-App zur Synchronisation der Workspace-Kontakte und -Kalender
Freitag 9 November 2018
DebConf18 in Taiwan: Infomaniak trägt auf höchstem Niveau zur Open-Source-Community bei
Dienstag 16 Oktober 2018
Workspace 3: Die neue Generation des Schweizer Webmailers trägt Nutzerwünschen Rechnung
Freitag 14 September 2018
Infomaniak führt Jelastic Cloud ein, die Schweizer PaaS-Plattform für Entwickler und Unternehmen
Dienstag 4 September 2018
ISO 27001: Infomaniak zeichnet sich durch optimales IT-Sicherheitsmanagement aus
Freitag 3 August 2018
So erstellen Sie ein VPN in der Schweiz mit einem bei Infomaniak gehosteten Synology-NAS
Donnerstag 15 März 2018
Whois-Spamfilter: Infomaniak schützt die E-Mail-Adressen der Domains vor SPAM
Donnerstag 30 November 2017
Die Erstellung einer beeindruckenden WordPress-Website mit Divi war noch nie so einfach
Donnerstag 31 August 2017
Einrichtung Ihres Synology-NAS für die Sicherung Ihres Macs mit Time Machine
Donnerstag 17 August 2017
Fünf einfache konkrete Tipps zur Verbesserung der Öffnungsrate – E-Mail-Marketing
Freitag 28 April 2017
Der Veranstalter des Rolex Grand Slam verbreitet seine Newsletter mit Infomaniak: Interview
Donnerstag 24 November 2016