DSGVO, DSG, ISO 27001 — was bedeuten diese Buchstaben für deine Mitarbeiterdaten? Eine pragmatische Erklärung für Unternehmer:innen.
Wenn ein Anbieter «hosted in der Schweiz» wirbt — was bedeutet das konkret? Und warum sollte es dir als Geschäftsleitung egal sein, ob deine Mitarbeiterdaten in Zürich oder Frankfurt liegen? Hier die Antwort.
Seit 2023 gilt in der Schweiz das neue DSG (Datenschutzgesetz). Es ist stark an die EU-DSGVO angelehnt, aber mit Schweizer Besonderheiten:
Bei Cuberion heisst das: alle Mitarbeiterdaten liegen auf Microsoft Azure Schweiz, in Rechenzentren in Zürich und Genf. Daten verlassen die Schweiz nicht. Backup-Server ebenfalls in der Schweiz.
Wichtiger Unterschied: viele «Schweizer» Anbieter haben Server in Frankfurt oder Dublin — das ist EU, aber nicht Schweiz. Bei einem Behördenzugriff nach US-Recht (Cloud Act) sind diese Daten möglicherweise nicht geschützt.
| 🇨🇭 Schweiz (Azure CH) | 🇪🇺 EU (Frankfurt, Dublin) | 🇺🇸 USA / US-Hosting | |
|---|---|---|---|
| DSG-konform | Vollständig | Über Adäquanzbeschluss | Nicht direkt |
| DSGVO-konform | Über Adäquanzbeschluss | Native | Nur mit Standardvertragsklauseln |
| US Cloud Act Zugriff | Nicht anwendbar | Bei US-Mutterkonzern möglich | Anwendbar |
| Schweizer Behörden zuständig | EDÖB direkt | EU-Behörden | Nein |
| Datenexport nötig | Nie | Bei Backup oder Support | Standardmässig |
| Spital / öff. Sektor freigegeben | Standardmässig | Einzelfallprüfung | Meist ausgeschlossen |
Cuberion hostet auf Azure Schweiz (Rechenzentren ZH und GE). Mehr Kosten, mehr Sicherheit — bei Mitarbeiterdaten keine Kompromisse.
ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme. Wer zertifiziert ist, hat nachgewiesen, dass er:
Cuberion ist seit 2023 ISO 27001 zertifiziert. Bedeutet konkret: kein Cuberion-Mitarbeitender kann ohne Audit-Trail auf Kundendaten zugreifen. Schon das ist Gold wert.
Strikt rechtlich: nie. Auch die DSGVO erlaubt EU-Hosting für Schweizer Daten. Praktisch aber:
Wir hosten in der Schweiz, weil's für unsere Kunden besser ist — nicht weil's billiger wäre (es ist teurer). Microsoft Azure Schweiz kostet uns mehr als Frankfurt. Wir tragen die Differenz, weil's bei Mitarbeiterdaten keinen Kompromiss geben sollte.
«Hosted in der Schweiz» klingt nach Marketing, ist aber bei sensiblen Daten substanziell. Frag deinen Anbieter konkret: wo liegen die Daten physisch? Wer hat Zugriff? Wie ist die Zertifizierung? Wer das transparent beantwortet, hat nichts zu verbergen.