Müssen meine Server zwingend in der Schweiz stehen, damit ich nDSG-konform bin?

Nein. Das nDSG schreibt keinen Schweizer Server-Standort vor. Massgeblich ist, dass das Empfängerland ein angemessenes Datenschutzniveau bietet oder dass geeignete Garantien (Standardvertragsklauseln, BCR) vorliegen. Deutschland und die übrigen EWR-Staaten sind vom Bundesrat als angemessen anerkannt, ein Hosting bei einem deutschen Rechenzentrumsbetreiber wie Hetzner ist damit ohne Zusatzgarantien zulässig — ebenso wie ein Hosting in der Schweiz selbst.

Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Webhoster?

Ja, sobald der Hoster Personendaten Ihrer Kundinnen und Kunden verarbeitet — was bei jedem Webhosting mit Kontaktformular, Login-Bereich, E-Mail oder Shop der Fall ist. Die DSGVO nennt das «Auftragsverarbeitungsvertrag» (Art. 28 DSGVO), das nDSG spricht von «Auftragsbearbeitung» (Art. 9 nDSG). Inhaltlich sind die Anforderungen sehr ähnlich: Zweckbindung, technische und organisatorische Massnahmen, Unterauftragsverarbeiter, Löschpflichten. Ein seriöser Hoster stellt diesen Vertrag standardmässig zur Verfügung.

Was ändert sich konkret für mein KMU durch das nDSG gegenüber dem alten DSG?

Vier Punkte sind in der Praxis spürbar: Erstens müssen Sie ein Bearbeitungsverzeichnis führen, sofern Sie 250 oder mehr Mitarbeitende haben oder umfangreich besonders schützenswerte Daten bearbeiten. Zweitens sind Datenschutzverletzungen «so rasch als möglich» dem EDÖB zu melden. Drittens ist die Datenschutzerklärung deutlich detaillierter zu formulieren — inklusive Empfängerländer. Viertens drohen Bussen bis CHF 250 000, die sich gegen die verantwortliche natürliche Person richten, nicht gegen das Unternehmen.

Reicht es, wenn ich in meiner Datenschutzerklärung schreibe, dass die Server in Deutschland stehen?

Nicht ganz. Sie sollten den Hoster namentlich nennen, den Standort des Rechenzentrums angeben und auf die Rechtsgrundlage der Übermittlung verweisen (für Deutschland: angemessenes Schutzniveau gemäss Anhang 1 DSV bzw. EU-Angemessenheitsbeschluss). Wer Drittland-Dienste wie Google Analytics, Cloudflare-CDN oder US-Mailprovider einsetzt, muss diese ebenfalls auflisten und die jeweilige Garantie (Standardvertragsklauseln, EU-US Data Privacy Framework) benennen.

Ist Hosting bei US-Anbietern wie AWS, Azure oder Google Cloud rechtlich problematisch?

Nicht per se verboten, aber begründungspflichtig. Seit dem EU-US Data Privacy Framework (Juli 2023) gilt für zertifizierte US-Unternehmen wieder ein angemessenes Schutzniveau — für die Schweiz hat der Bundesrat im September 2024 das Swiss-U.S. Data Privacy Framework anerkannt. Trotzdem bleibt der US-CLOUD-Act ein Restrisiko: US-Behörden können Zugriff auf Daten verlangen, auch wenn diese in einem europäischen Rechenzentrum liegen. Für besonders schützenswerte Daten (Gesundheit, Personalakten) ist ein europäischer oder Schweizer Anbieter daher die saubere Wahl.

Mein Hoster sagt, er sei «DSGVO-konform». Genügt das für die Schweiz?

In den meisten Fällen ja, weil das nDSG inhaltlich stark an die DSGVO angelehnt ist. Ein DSGVO-konformer Hoster mit Standort EU/EWR erfüllt die zentralen Anforderungen — Auftragsbearbeitungsvertrag, technische Massnahmen, Datenübermittlung — auch nach Schweizer Recht. Was Sie zusätzlich brauchen: eine nDSG-spezifische Datenschutzerklärung auf Ihrer Website und gegebenenfalls ein nDSG-Bearbeitungsverzeichnis in Ihrem Unternehmen.

Was passiert bei einem Datenleck — wer haftet, wer meldet?

Verantwortlich bleibt immer Sie als Inhaber der Website (Verantwortlicher im Sinne des Gesetzes). Der Hoster ist Auftragsbearbeiter und unterstützt Sie. Bei einer Verletzung der Datensicherheit, die zu einem hohen Risiko führt, müssen Sie den EDÖB so rasch als möglich informieren und unter Umständen die betroffenen Personen. Ein guter Hoster meldet Sicherheitsvorfälle in seiner Infrastruktur unverzüglich und liefert die technischen Details, die Sie für Ihre Meldung brauchen.

Brauche ich als KMU einen Datenschutzbeauftragten?

Nach nDSG ist ein interner Datenschutzberater freiwillig, aber empfohlen. Eine Pflicht zur Bestellung besteht nur in engen Fällen (umfangreiche Bearbeitung besonders schützenswerter Daten, systematische Überwachung). Anders die DSGVO: Sobald Sie EU-Bürger systematisch profilen oder besonders sensible Daten in grossem Umfang bearbeiten, wird ein DSB Pflicht. Für ein typisches KMU mit Website, Newsletter und Shop genügt meist eine intern benannte verantwortliche Person.

Wie lange darf ich Server-Logfiles speichern?

Es gibt keine starre Frist, aber den Grundsatz der Datenminimierung. Üblich und akzeptiert sind 7 bis 30 Tage für allgemeine Webserver-Logs, sofern sie der Sicherheit und Fehlersuche dienen. Längere Speicherung — etwa für Statistiken — erfordert IP-Anonymisierung oder eine Einwilligung. Backup-Daten dürfen länger aufbewahrt werden, wenn sie ausschliesslich der Wiederherstellung dienen und nicht aktiv ausgewertet werden.

Ich nutze ein Kontaktformular auf meiner Website — was muss ich rechtlich abdecken?

Drei Dinge. Erstens eine Rechtsgrundlage: meist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder ein berechtigtes Interesse. Zweitens ein Hinweis in der Datenschutzerklärung, welche Felder verarbeitet werden, an wen die Daten gehen und wie lange sie gespeichert bleiben. Drittens eine technische Absicherung: SSL/TLS-Verschlüsselung, Spam- und Bot-Schutz, sichere Übertragung an Ihr Postfach. Wenn der Hoster den E-Mail-Versand übernimmt, gehört auch das in den Auftragsbearbeitungsvertrag.

Was kostet ein nDSG-konformes Webhosting im Vergleich zu einem «Billig-Hoster»?

Der Aufpreis ist überschaubar. Seriöse europäische und Schweizer Hoster bieten konformes Webhosting ab rund CHF 5 bis 25 pro Monat — Preisklassen, die sich kaum von «Billig-Anbietern» unterscheiden. Was sich unterscheidet, sind Vertragsdokumente (AVV vorhanden), Transparenz über Standort und Sub-Auftragnehmer, Backup-Konzept und erreichbarer Support. Wer beim Hosting jährlich 50 Franken spart und im Schadensfall eine fünfstellige Busse riskiert, kalkuliert falsch.

Was ist der Unterschied zwischen «Daten in der Schweiz» und «Schweizer Anbieter»?

Beides ist nicht zwingend identisch. Ein Schweizer Anbieter kann seine Infrastruktur in Deutschland oder Frankreich betreiben — das ist rechtlich zulässig, solange die Datenübermittlung sauber dokumentiert ist. Umgekehrt gibt es ausländische Anbieter mit Rechenzentren in der Schweiz, die aber dem Recht ihres Mutterkonzerns unterliegen. Für KMU am wichtigsten: Vertragspartner mit Schweizer Sitz vereinfacht Gerichtsstand und Kommunikation, der Server-Standort entscheidet über das anwendbare Datenschutzregime.

Wissen

Stefan Kellenberger Stand 14. Mai 2026

DSGVO/nDSG-Hosting in der Schweiz: Was KMU 2026 wissen müssen

Praxisleitfaden für Schweizer KMU: nDSG, DSGVO, Auftragsverarbeitung und Server-Standort — was wirklich rechtssicher ist.

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG), parallel dazu wirkt die EU-DSGVO auf jedes Schweizer Unternehmen, das Daten von EU-Bürgern verarbeitet. Für KMU bedeutet das: Hosting-Entscheidungen sind nicht mehr nur eine Frage von Preis und Performance, sondern eine rechtliche Weichenstellung. Dieser Leitfaden ordnet die wichtigsten Begriffe ein, erklärt, warum der Server-Standort allein nicht entscheidet — und worauf Sie bei der Wahl eines Hosters wirklich achten sollten.

nDSG und DSGVO: Zwei Gesetze, ein gemeinsamer Rahmen

Das revidierte Schweizer Datenschutzgesetz ist seit dem 1. September 2023 in Kraft. Es löst das DSG von 1992 ab und richtet die Schweiz konzeptionell an der Europäischen Datenschutz-Grundverordnung aus, ohne diese eins zu eins zu übernehmen. Für die Praxis bedeutet das: Wer DSGVO-konform aufgestellt ist, erfüllt einen Grossteil der nDSG-Anforderungen automatisch — und umgekehrt. Die Unterschiede liegen im Detail, etwa beim persönlichen Anwendungsbereich (das nDSG schützt nur natürliche Personen, die DSGVO ursprünglich auch juristische), bei der Schwelle für ein Bearbeitungsverzeichnis oder bei der Höhe der Bussen.

Für Schweizer KMU ist die Situation oft doppelt relevant. Sobald eine Website auch nur einen einzigen Kunden aus der EU bedient, ein Newsletter EU-Empfänger erreicht oder ein Webshop nach Deutschland liefert, gilt zusätzlich zur nDSG die DSGVO. Eine saubere Lösung erfüllt beide Regime gleichzeitig — was technisch und rechtlich keine besondere Hürde darstellt, sofern Sie Hosting und Datenflüsse von Anfang an richtig wählen.

Wer ist Verantwortlicher, wer ist Auftragsbearbeiter?

Sie als Inhaber der Website sind «Verantwortlicher» — Sie entscheiden, welche Daten zu welchem Zweck verarbeitet werden. Der Hoster ist «Auftragsbearbeiter» (nDSG) beziehungsweise «Auftragsverarbeiter» (DSGVO): Er stellt die technische Infrastruktur bereit, hat aber kein eigenes Interesse an den Daten und folgt Ihren Weisungen. Diese Rollenverteilung ist nicht akademisch, sie hat konkrete Folgen: Im Schadensfall haften Sie als Verantwortlicher gegenüber den Betroffenen und dem EDÖB. Der Hoster haftet Ihnen gegenüber im Rahmen des Auftragsbearbeitungsvertrags. Wer ohne solchen Vertrag arbeitet, bewegt sich seit September 2023 in einem rechtlich schwierigen Bereich.

Der Server-Standort: Warum «Schweiz» nicht automatisch besser ist

Eine der häufigsten Fragen im Beratungsgespräch lautet: «Müssen meine Daten in der Schweiz liegen?» Die kurze Antwort: Nein. Das nDSG enthält keine geografische Pflicht. Massgeblich ist Art. 16 nDSG, der die Bekanntgabe von Personendaten ins Ausland regelt. Eine Übermittlung ist zulässig, wenn der Bundesrat festgestellt hat, dass der Zielstaat ein angemessenes Schutzniveau gewährleistet. Die Liste der anerkannten Staaten findet sich in Anhang 1 der Datenschutzverordnung (DSV) — sie umfasst alle EWR-Staaten, also auch Deutschland.

Spiegelbildlich erkennt die EU die Schweiz seit dem Angemessenheitsbeschluss vom Juli 2000 als sicheren Drittstaat an. Datenflüsse zwischen Schweiz und EU sind damit aus Datenschutzsicht ohne weitere Garantien zulässig — vorausgesetzt, der jeweilige Anbieter erfüllt die übrigen Anforderungen wie Auftragsbearbeitungsvertrag, technische Massnahmen und Transparenz.

Was «angemessenes Schutzniveau» konkret bedeutet

Der Begriff bezeichnet das rechtliche Schutzniveau eines Staates für Personendaten, gemessen am Schweizer (bzw. EU-) Standard. Ein Land mit angemessenem Schutzniveau hat unabhängige Datenschutzaufsichtsbehörden, einklagbare Betroffenenrechte, klare Eingrenzungen behördlicher Zugriffe und ähnliche Bearbeitungsgrundsätze wie das nDSG. Die Liste umfasst neben dem EWR unter anderem Grossbritannien, Kanada, Japan, Südkorea und Israel. Für die USA gilt seit September 2024 ein Schweizer Angemessenheitsbeschluss, der allerdings nur Unternehmen erfasst, die unter dem Swiss-U.S. Data Privacy Framework zertifiziert sind.

Für ein Hosting in Deutschland heisst das praktisch: Sie brauchen keine Standardvertragsklauseln, keine zusätzlichen Garantien und keine Risikoabwägung im Einzelfall. Der Datenfluss ist rechtlich gleichgestellt mit einem Hosting innerhalb der Schweiz. Das ist auch der Grund, warum viele Schweizer Hoster — Cyberdine Systems eingeschlossen — ihre Infrastruktur in deutschen Rechenzentren betreiben: höchste Energie- und Betriebsstandards, redundante Anbindung und ein vollständig konformer Datenschutzrahmen.

Auftragsbearbeitung in der Praxis

Der Auftragsbearbeitungsvertrag — kurz AVV oder AVB — ist das zentrale Dokument zwischen Ihnen und dem Hoster. Er regelt verbindlich, wie der Hoster mit den Daten Ihrer Kundinnen und Kunden umgeht. Folgende Punkte gehören zwingend hinein:

Gegenstand und Zweck: Beschreibung der Bearbeitungstätigkeiten (Webhosting, E-Mail, Backup), Dauer (Vertragslaufzeit), Art der Personendaten (Stammdaten, Kommunikationsdaten, Inhaltsdaten) und Kategorien betroffener Personen (Kundinnen, Interessenten, Mitarbeitende).

Weisungsgebundenheit: Der Hoster handelt ausschliesslich auf Ihre dokumentierten Weisungen. Eigene Auswertungen, Profilbildungen oder Datenverkäufe sind ausgeschlossen.

Technische und organisatorische Massnahmen (TOMs): Verschlüsselung im Transport (TLS) und Ruhezustand, Zugriffskontrollen, Backup-Konzept, Notfallwiederherstellung, physische Sicherheit der Rechenzentren.

Unterauftragsbearbeiter: Liste aller Sub-Dienstleister mit Sitz und Bearbeitungszweck — typischerweise das Rechenzentrum, der Backup-Anbieter und allenfalls ein DDoS-Schutz-Provider.

Betroffenenrechte und Löschung: Wie unterstützt Sie der Hoster bei Auskunfts-, Berichtigungs- und Löschbegehren? Was geschieht mit den Daten am Vertragsende?

Was viele KMU übersehen: das Bearbeitungsverzeichnis

Nach Art. 12 nDSG müssen Verantwortliche und Auftragsbearbeiter ein Verzeichnis der Bearbeitungstätigkeiten führen. Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Bearbeitung nur ein geringes Risiko für die Betroffenen darstellt. Diese Ausnahme klingt grosszügig, sie greift in der Praxis aber seltener als gedacht: Sobald Sie regelmässig Gesundheitsdaten, Finanzdaten oder Bewerberunterlagen bearbeiten, fallen Sie aus der Ausnahme heraus. Ein Bearbeitungsverzeichnis lässt sich in wenigen Stunden erstellen und ist im Streitfall ein wichtiger Entlastungsbeweis.

EDÖB und Sanktionen: Was bei Verstössen passiert

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die Aufsichtsbehörde des Bundes. Er kann seit dem nDSG eigenständig Untersuchungen einleiten, Massnahmen verfügen und Verfahren an die kantonalen Strafbehörden überweisen. Die Bussen nach Art. 60 ff. nDSG betragen bis zu CHF 250 000 — und richten sich, anders als bei der DSGVO, primär gegen natürliche Personen, also gegen Geschäftsführer, IT-Verantwortliche oder Datenschutzverantwortliche im Unternehmen.

Bussfähig sind unter anderem: Verstösse gegen Informationspflichten, Verstösse gegen Auskunftspflichten, Verletzung der Sorgfaltspflichten bei der Bekanntgabe ins Ausland, Verstösse gegen Schweigepflichten. In der Praxis sind die Bussen bisher selten verhängt worden — die Funktion des Gesetzes ist primär verhaltenslenkend. Wer aber wiederholt nicht reagiert oder grobfahrlässig handelt, riskiert echte Konsequenzen.

Meldepflicht bei Datenpannen

Art. 24 nDSG verlangt, dass Sie eine Verletzung der Datensicherheit «so rasch als möglich» dem EDÖB melden, sofern sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt. Die DSGVO ist konkreter (72 Stunden), in der Praxis orientieren sich Schweizer Unternehmen ebenfalls an dieser Frist. Eine gut dokumentierte Pannen-Reaktion — Meldung an den Hoster, technische Untersuchung, Benachrichtigung des EDÖB, Information der Betroffenen — gehört zum Pflichtprogramm jedes verantwortlich geführten KMU.

Checkliste: Wie wählen Sie einen konformen Hoster?

Die folgenden Punkte trennen einen seriösen Anbieter von einem reinen Preis-Discounter:

Vertragspartner mit Sitz im EWR oder in der Schweiz. Ein Schweizer Hoster mit Sitz im Kanton ist im Streitfall einfacher zu erreichen und unterliegt direkt dem Schweizer Recht. Das macht Kommunikation und allenfalls Rechtsdurchsetzung erheblich einfacher als bei einem US-Konzern.

Server-Standort transparent ausgewiesen. Der Hoster nennt das Rechenzentrum (z. B. Hetzner Falkenstein, Interxion Zürich) und macht klar, ob auch Sub-Dienstleister beteiligt sind.

Auftragsbearbeitungsvertrag verfügbar. Idealerweise als Standarddokument zum Download oder mit der Bestellung mitgeliefert — nicht erst auf Nachfrage und nicht gegen Aufpreis.

Backups und Wiederherstellung. Wie häufig wird gesichert? Wo liegen die Backups? Wie lange werden sie aufbewahrt? Wie schnell ist eine Wiederherstellung möglich?

SSL/TLS-Zertifikate inklusive. Let's-Encrypt-Zertifikate sollten heute Standard sein. Eine unverschlüsselte Website ist nach nDSG faktisch nicht mehr zulässig, sobald sie Formulare oder Logins enthält.

Erreichbarer Support in deutscher Sprache. Im Pannenfall müssen Sie den Hoster schnell erreichen. Ein 24/7-Telefonsupport in englischer Sprache hilft Ihnen wenig, wenn Sie Fakten für die EDÖB-Meldung brauchen.

Mindestvertragslaufzeit und Kündigungsrechte. Faire Konditionen erlauben Ihnen den Wechsel, falls sich Anforderungen ändern. Lebenslange Vertragsbindungen sind ein Warnsignal.

Cyberdine Systems: Hosting nach nDSG und DSGVO

Wir betreiben unsere Hosting-Infrastruktur seit Jahren in den deutschen Rechenzentren von Hetzner — primär an den Standorten Falkenstein und Nürnberg. Damit gilt für jeden Datenfluss, der über unsere Server läuft, automatisch das deutsche und europäische Datenschutzrecht (DSGVO, BDSG). Da Deutschland im Anhang 1 der Schweizer Datenschutzverordnung als Staat mit angemessenem Schutzniveau geführt wird, ist die Datenübermittlung aus der Schweiz nach Art. 16 nDSG ohne Zusatzgarantien zulässig.

Unser Vertragssitz liegt in Au (SG), die Vertragssprache ist Deutsch, der Gerichtsstand Schweiz. Den Auftragsbearbeitungsvertrag stellen wir auf Wunsch als unterzeichnetes PDF zur Verfügung — angepasst an Ihre konkrete Bearbeitungssituation. Wir verarbeiten ausschliesslich auf Weisung, geben Daten weder weiter noch werten sie für eigene Zwecke aus. Backups laufen täglich, werden 7 Tage rotierend gehalten und liegen ebenfalls innerhalb des EWR.

Wichtiger Hinweis

Dieser Leitfaden bietet eine Übersicht zu rechtlichen Rahmenbedingungen, ersetzt aber keine individuelle Rechtsberatung. Datenschutz ist immer kontext- und einzelfallabhängig: Ihre konkrete Branche, die Art der bearbeiteten Daten und Ihre Geschäftsprozesse beeinflussen, welche Pflichten tatsächlich gelten. Für eine verbindliche rechtliche Würdigung wenden Sie sich an eine spezialisierte Anwaltskanzlei oder einen externen Datenschutzberater. Wir unterstützen Sie gerne mit technischen Auskünften zu unserer Infrastruktur und stellen alle Dokumente bereit, die Sie für Ihre eigene Datenschutz-Dokumentation benötigen.

Fazit: Konformes Hosting ist kein Hexenwerk

Die rechtlichen Anforderungen an Hosting in der Schweiz sind klar, erfüllbar und kein Privileg grosser Konzerne. Ein KMU mit Website, Webshop und Newsletter erreicht volle nDSG- und DSGVO-Konformität mit einem überschaubaren Aufwand: ein seriöser Hoster im EWR oder in der Schweiz, ein unterzeichneter Auftragsbearbeitungsvertrag, eine sorgfältig formulierte Datenschutzerklärung und — bei wachsendem Unternehmen — ein Bearbeitungsverzeichnis. Der Server-Standort allein ist dabei nicht entscheidend; entscheidend ist, dass die rechtlichen, vertraglichen und technischen Bausteine aufeinander abgestimmt sind.

Wer beim Hosting auf Transparenz, klare Verträge und einen erreichbaren Ansprechpartner achtet, ist im Streitfall deutlich besser aufgestellt als jemand, der den günstigsten Anbieter ohne AVV gebucht hat. Datenschutz ist 2026 kein lästiges Compliance-Thema mehr, sondern ein Qualitätsmerkmal — sowohl gegenüber dem EDÖB als auch gegenüber den eigenen Kundinnen und Kunden.

FAQ

Häufige Fragen

Müssen meine Server zwingend in der Schweiz stehen, damit ich nDSG-konform bin?

Nein. Das nDSG schreibt keinen Schweizer Server-Standort vor. Massgeblich ist, dass das Empfängerland ein angemessenes Datenschutzniveau bietet oder dass geeignete Garantien (Standardvertragsklauseln, BCR) vorliegen. Deutschland und die übrigen EWR-Staaten sind vom Bundesrat als angemessen anerkannt, ein Hosting bei einem deutschen Rechenzentrumsbetreiber wie Hetzner ist damit ohne Zusatzgarantien zulässig — ebenso wie ein Hosting in der Schweiz selbst.
Brauche ich einen Auftragsverarbeitungsvertrag mit meinem Webhoster?

Ja, sobald der Hoster Personendaten Ihrer Kundinnen und Kunden verarbeitet — was bei jedem Webhosting mit Kontaktformular, Login-Bereich, E-Mail oder Shop der Fall ist. Die DSGVO nennt das «Auftragsverarbeitungsvertrag» (Art. 28 DSGVO), das nDSG spricht von «Auftragsbearbeitung» (Art. 9 nDSG). Inhaltlich sind die Anforderungen sehr ähnlich: Zweckbindung, technische und organisatorische Massnahmen, Unterauftragsverarbeiter, Löschpflichten. Ein seriöser Hoster stellt diesen Vertrag standardmässig zur Verfügung.
Was ändert sich konkret für mein KMU durch das nDSG gegenüber dem alten DSG?

Vier Punkte sind in der Praxis spürbar: Erstens müssen Sie ein Bearbeitungsverzeichnis führen, sofern Sie 250 oder mehr Mitarbeitende haben oder umfangreich besonders schützenswerte Daten bearbeiten. Zweitens sind Datenschutzverletzungen «so rasch als möglich» dem EDÖB zu melden. Drittens ist die Datenschutzerklärung deutlich detaillierter zu formulieren — inklusive Empfängerländer. Viertens drohen Bussen bis CHF 250 000, die sich gegen die verantwortliche natürliche Person richten, nicht gegen das Unternehmen.
Reicht es, wenn ich in meiner Datenschutzerklärung schreibe, dass die Server in Deutschland stehen?

Nicht ganz. Sie sollten den Hoster namentlich nennen, den Standort des Rechenzentrums angeben und auf die Rechtsgrundlage der Übermittlung verweisen (für Deutschland: angemessenes Schutzniveau gemäss Anhang 1 DSV bzw. EU-Angemessenheitsbeschluss). Wer Drittland-Dienste wie Google Analytics, Cloudflare-CDN oder US-Mailprovider einsetzt, muss diese ebenfalls auflisten und die jeweilige Garantie (Standardvertragsklauseln, EU-US Data Privacy Framework) benennen.
Ist Hosting bei US-Anbietern wie AWS, Azure oder Google Cloud rechtlich problematisch?

Nicht per se verboten, aber begründungspflichtig. Seit dem EU-US Data Privacy Framework (Juli 2023) gilt für zertifizierte US-Unternehmen wieder ein angemessenes Schutzniveau — für die Schweiz hat der Bundesrat im September 2024 das Swiss-U.S. Data Privacy Framework anerkannt. Trotzdem bleibt der US-CLOUD-Act ein Restrisiko: US-Behörden können Zugriff auf Daten verlangen, auch wenn diese in einem europäischen Rechenzentrum liegen. Für besonders schützenswerte Daten (Gesundheit, Personalakten) ist ein europäischer oder Schweizer Anbieter daher die saubere Wahl.
Mein Hoster sagt, er sei «DSGVO-konform». Genügt das für die Schweiz?

In den meisten Fällen ja, weil das nDSG inhaltlich stark an die DSGVO angelehnt ist. Ein DSGVO-konformer Hoster mit Standort EU/EWR erfüllt die zentralen Anforderungen — Auftragsbearbeitungsvertrag, technische Massnahmen, Datenübermittlung — auch nach Schweizer Recht. Was Sie zusätzlich brauchen: eine nDSG-spezifische Datenschutzerklärung auf Ihrer Website und gegebenenfalls ein nDSG-Bearbeitungsverzeichnis in Ihrem Unternehmen.
Was passiert bei einem Datenleck — wer haftet, wer meldet?

Verantwortlich bleibt immer Sie als Inhaber der Website (Verantwortlicher im Sinne des Gesetzes). Der Hoster ist Auftragsbearbeiter und unterstützt Sie. Bei einer Verletzung der Datensicherheit, die zu einem hohen Risiko führt, müssen Sie den EDÖB so rasch als möglich informieren und unter Umständen die betroffenen Personen. Ein guter Hoster meldet Sicherheitsvorfälle in seiner Infrastruktur unverzüglich und liefert die technischen Details, die Sie für Ihre Meldung brauchen.
Brauche ich als KMU einen Datenschutzbeauftragten?

Nach nDSG ist ein interner Datenschutzberater freiwillig, aber empfohlen. Eine Pflicht zur Bestellung besteht nur in engen Fällen (umfangreiche Bearbeitung besonders schützenswerter Daten, systematische Überwachung). Anders die DSGVO: Sobald Sie EU-Bürger systematisch profilen oder besonders sensible Daten in grossem Umfang bearbeiten, wird ein DSB Pflicht. Für ein typisches KMU mit Website, Newsletter und Shop genügt meist eine intern benannte verantwortliche Person.
Wie lange darf ich Server-Logfiles speichern?

Es gibt keine starre Frist, aber den Grundsatz der Datenminimierung. Üblich und akzeptiert sind 7 bis 30 Tage für allgemeine Webserver-Logs, sofern sie der Sicherheit und Fehlersuche dienen. Längere Speicherung — etwa für Statistiken — erfordert IP-Anonymisierung oder eine Einwilligung. Backup-Daten dürfen länger aufbewahrt werden, wenn sie ausschliesslich der Wiederherstellung dienen und nicht aktiv ausgewertet werden.
Ich nutze ein Kontaktformular auf meiner Website — was muss ich rechtlich abdecken?

Drei Dinge. Erstens eine Rechtsgrundlage: meist Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) oder ein berechtigtes Interesse. Zweitens ein Hinweis in der Datenschutzerklärung, welche Felder verarbeitet werden, an wen die Daten gehen und wie lange sie gespeichert bleiben. Drittens eine technische Absicherung: SSL/TLS-Verschlüsselung, Spam- und Bot-Schutz, sichere Übertragung an Ihr Postfach. Wenn der Hoster den E-Mail-Versand übernimmt, gehört auch das in den Auftragsbearbeitungsvertrag.
Was kostet ein nDSG-konformes Webhosting im Vergleich zu einem «Billig-Hoster»?

Der Aufpreis ist überschaubar. Seriöse europäische und Schweizer Hoster bieten konformes Webhosting ab rund CHF 5 bis 25 pro Monat — Preisklassen, die sich kaum von «Billig-Anbietern» unterscheiden. Was sich unterscheidet, sind Vertragsdokumente (AVV vorhanden), Transparenz über Standort und Sub-Auftragnehmer, Backup-Konzept und erreichbarer Support. Wer beim Hosting jährlich 50 Franken spart und im Schadensfall eine fünfstellige Busse riskiert, kalkuliert falsch.
Was ist der Unterschied zwischen «Daten in der Schweiz» und «Schweizer Anbieter»?

Beides ist nicht zwingend identisch. Ein Schweizer Anbieter kann seine Infrastruktur in Deutschland oder Frankreich betreiben — das ist rechtlich zulässig, solange die Datenübermittlung sauber dokumentiert ist. Umgekehrt gibt es ausländische Anbieter mit Rechenzentren in der Schweiz, die aber dem Recht ihres Mutterkonzerns unterliegen. Für KMU am wichtigsten: Vertragspartner mit Schweizer Sitz vereinfacht Gerichtsstand und Kommunikation, der Server-Standort entscheidet über das anwendbare Datenschutzregime.

Zur Wissens-Übersicht Fragen zum Thema? Schreiben Sie uns