Angenommen, Sie betreiben eine einfache Firmenwebsite mit Kontaktformular. Kein Onlineshop, keine Registrierung, kein Newsletter. Trotzdem landen Daten auf einem Server: IP-Adressen, Formulareingaben, Server-Logs. Und irgendwo auf der Welt läuft ein Rechenzentrum, das diese Daten speichert.
Die Frage ist: Wissen Sie, wo das ist? Und haben Sie die nötigen Verträge mit Ihrem Hosting-Anbieter abgeschlossen?
Seit dem revidierten Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft getreten ist, sind diese Fragen für Schweizer Unternehmen keine akademische Übung mehr. Sie sind eine rechtliche Anforderung.
Was das DSG mit Ihrer Website zu tun hat
Das DSG regelt den Umgang mit Personendaten natürlicher Personen in der Schweiz. Eine Website, die irgendeine Form von Personendaten verarbeitet, fällt darunter. Das trifft auf nahezu jede professionelle Website zu.
Was gilt als Personendaten in diesem Kontext?
- Namen und E-Mail-Adressen aus Kontaktformularen
- IP-Adressen, die in Server-Logs gespeichert werden
- Cookies, die individuelle Nutzer identifizieren
- Analysedaten, wenn sie Rückschlüsse auf einzelne Personen erlauben
Das bedeutet: Sobald Ihre Website ein Kontaktformular, Google Analytics, ein Cookie-Banner oder ein eingebettetes Video enthält, verarbeiten Sie Personendaten. Und wer Personendaten verarbeitet, trägt Verantwortung für die Infrastruktur, auf der das geschieht.
Was das DSG konkret vom Hosting verlangt
Das Gesetz spricht nicht von "Hosting" als solchem. Es spricht von der Pflicht, durch geeignete technische und organisatorische Massnahmen die Sicherheit der Daten zu gewährleisten. Für Hosting bedeutet das in der Praxis vier Punkte.
Auftragsbearbeitungsvertrag (ABV)
Wenn Sie einen Hosting-Anbieter nutzen, übergeben Sie ihm die Verarbeitung von Personendaten. Der Anbieter ist damit ein Auftragsbearbeiter im Sinne des DSG. Das Gesetz verlangt, dass diese Beziehung schriftlich geregelt ist: mit einem Auftragsbearbeitungsvertrag.
Der ABV legt fest, welche Daten der Anbieter verarbeitet, zu welchem Zweck, mit welchen Schutzmassnahmen und ob er die Daten an Dritte weitergeben darf. Ohne diesen Vertrag fehlt die rechtliche Grundlage für die Datenübergabe an den Anbieter.
Viele Schweizer Unternehmen haben diesen Vertrag nicht. Manche Hosting-Anbieter stellen ihn automatisch zur Verfügung, andere nur auf Anfrage, und wieder andere bieten ihn gar nicht an.
Serverstandort und Drittlandtransfers
Das DSG erlaubt die Übermittlung von Personendaten ins Ausland nur dann ohne besondere Massnahmen, wenn das Zielland ein gleichwertiges Datenschutzniveau bietet. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt eine Liste angemessener Länder. Die EU und der EWR-Raum sind darauf, ebenso einige weitere Staaten.
Die USA sind es nicht, zumindest nicht ohne Zusatzmassnahmen. Wer seinen Webhosting-Server bei einem US-amerikanischen Anbieter betreibt oder bei einem Anbieter, dessen Rechenzentren in den USA stehen, muss sicherstellen, dass die Datenweitergabe auf einer gültigen Rechtsgrundlage beruht. Das Data Privacy Framework zwischen der Schweiz und den USA befindet sich noch in der Aushandlungsphase und ist rechtlich unsicher.
Für Schweizer KMU ist die einfachste und rechtssicherste Lösung: Server in der Schweiz oder mindestens in der EU.
Technische Schutzmassnahmen
Das DSG verlangt "angemessene" technische Massnahmen zum Schutz der Daten. Was angemessen ist, hängt von der Sensibilität der Daten und dem Risiko ab. Für eine typische KMU-Website bedeutet das mindestens:
- HTTPS mit aktuellem TLS-Zertifikat (keine unverschlüsselte Übertragung)
- Regelmässige Backups, extern gespeichert
- Zugangsbeschränkungen zu Server und Verwaltungsoberflächen
- Regelmässige Software-Updates (kein veraltetes WordPress oder PHP)
Ein Hosting-Anbieter, der kein automatisches SSL, keine Backup-Lösung und keine regelmässigen Sicherheits-Updates anbietet, erfüllt diese Anforderungen nicht.
Datenschutzerklärung und Transparenz
Technisch ist das keine Hosting-Anforderung, aber sie hängt direkt damit zusammen. Ihre Datenschutzerklärung muss angeben, auf welchen Servern und in welchem Land die Daten gespeichert werden. Wer seinen Hosting-Anbieter wechselt, muss die Datenschutzerklärung entsprechend anpassen.
DSG vs. DSGVO: Was für wen gilt
Eine häufige Frage: Gilt für Schweizer Unternehmen die DSGVO oder das DSG?
Die Antwort hängt davon ab, wen Sie als Kunden haben. Das DSG gilt für alle Unternehmen mit Sitz in der Schweiz, die Personendaten von Personen in der Schweiz verarbeiten. Die DSGVO gilt für alle Unternehmen weltweit, die Produkte oder Dienstleistungen an Personen in der EU richten oder deren Verhalten in der EU beobachten.
Für ein Schweizer KMU, das ausschliesslich Schweizer Kunden hat, gilt das DSG. Wer aber auch EU-Kunden bedient, fällt zusätzlich unter die DSGVO.
Die gute Nachricht: Die Anforderungen überlappen sich stark. Wer DSG-konform ist und dabei auf EU-Server oder Schweizer Server setzt, ist in den meisten Fällen auch DSGVO-kompatibel. Die DSGVO hat einzelne Anforderungen, die über das DSG hinausgehen, zum Beispiel die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ab einer bestimmten Unternehmensgrösse.
Worauf Sie bei der Wahl des Hosting-Anbieters achten sollten
Serverstandort klar kommuniziert
Der Anbieter sollte explizit angeben, wo seine Rechenzentren stehen. "Europäisches Hosting" ist keine präzise Aussage. Ein Rechenzentrum in Irland, Deutschland oder der Schweiz sind rechtlich unterschiedliche Situationen.
ABV standardmässig verfügbar
Ein seriöser Anbieter stellt den Auftragsbearbeitungsvertrag ohne Aufwand zur Verfügung, idealerweise direkt im Kundenportal oder als ausfüllbares Dokument. Wenn Sie lange suchen müssen oder auf Anfrage vertröstet werden, ist das ein schlechtes Zeichen.
Keine US-Muttergesellschaft ohne klare Regelung
Auch wenn ein Anbieter Server in der Schweiz oder der EU betreibt, kann er dem US Cloud Act unterliegen, wenn seine Muttergesellschaft in den USA sitzt. Der Cloud Act erlaubt US-Behörden unter bestimmten Umständen, auf Daten zuzugreifen, die amerikanische Unternehmen weltweit verwalten, unabhängig vom Serverstandort.
Das betrifft Anbieter wie Microsoft (Azure), Amazon (AWS) und Google (Cloud). Für sensible Daten ist ein Anbieter ohne US-Verbindung vorzuziehen.
SSL, Backups und Updates inklusive
Diese drei Punkte sollten nicht extra kosten. Ein Hosting-Paket ohne automatisches SSL-Zertifikat, ohne Backup-Lösung und ohne Unterstützung aktueller PHP-Versionen erfüllt die DSG-Anforderungen an technische Schutzmassnahmen nicht.
Was Sie heute überprüfen können
Drei Fragen, die Sie sich zu Ihrem aktuellen Hosting stellen sollten:
Wo stehen die Server? Schauen Sie in den Vertragsunterlagen nach oder fragen Sie direkt beim Anbieter. Eine klare Antwort ("Rechenzentrum Zürich" oder "Frankfurt, Deutschland") sollten Sie in wenigen Minuten erhalten.
Haben Sie einen Auftragsbearbeitungsvertrag? Suchen Sie in Ihren Unterlagen oder im Kundenportal des Anbieters. Wenn Sie keinen finden, kontaktieren Sie den Support. Wenn der Anbieter keinen ausstellt, ist das ein ernstes Problem.
Ist Ihr SSL-Zertifikat aktuell? Öffnen Sie Ihre Website im Browser und prüfen Sie das Schloss-Symbol in der Adresszeile. Ein rotes Schloss oder eine Warnung bedeutet, dass HTTPS nicht korrekt konfiguriert ist. Das ist nicht nur ein DSG-Problem, es schadet auch dem Suchmaschinen-Ranking.
Wer alle drei Fragen klar und positiv beantworten kann, hat die wichtigsten Grundlagen eines DSG-konformen Hostings bereits erfüllt.
Eine Schlussbemerkung zur Verhältnismässigkeit
Das DSG ist kein Gesetz, das primär auf Bussen aus ist. Es richtet sich an den Schutz von Personendaten. Für ein KMU mit einer einfachen Firmenwebsite bedeutet DSG-Konformität keine aufwändigen Systeme, sondern vor allem: einen seriösen Hosting-Anbieter mit klarem Serverstandort, einen schriftlichen Vertrag und eine aktuelle Datenschutzerklärung. Das ist in den meisten Fällen mit wenig Aufwand erreichbar, erfordert aber die bewusste Entscheidung dafür.
