Skip to main content
Hosting

DSG-konformes Hosting in der Schweiz: Anbieter im Check

Das revidierte DSG stellt klare Anforderungen, aber wo müssen Daten wirklich liegen? Ein nüchterner Überblick über Hosting-Optionen für Schweizer KMU, zwischen Schweizer Rechenzentren, EU-Anbietern und der Frage, was tatsächlich verlangt wird.

Daniel Müller10 Min. Lesezeit
DSG-konformes Hosting in der Schweiz: Anbieter im Check

Kaum ein Thema verursacht bei Schweizer KMU so viel Unsicherheit wie die Frage, wo ihre Daten liegen dürfen. Seit dem Inkrafttreten des revidierten Datenschutzgesetzes kursieren viele Halbwahrheiten. Die häufigste lautet, alle Daten müssten zwingend in der Schweiz gespeichert werden. Das ist so nicht korrekt, und genau diese Unschärfe führt zu teuren Fehlentscheidungen.

Dieser Artikel räumt mit Mythen auf und ordnet die realen Anforderungen ein. Vorweg ein wichtiger Hinweis: Was hier steht, ist eine praxisnahe Orientierung aus der Sicht eines Digitalpartners, der seit Jahren Hosting für Schweizer Unternehmen begleitet, keine Rechtsberatung. Bei konkreten, heiklen Fällen gehört eine Fachperson für Datenschutzrecht hinzu.

Was das revidierte DSG wirklich verlangt

Das Missverständnis beginnt beim Wort Datenstandort. Das DSG schreibt nicht vor, dass Personendaten physisch in der Schweiz liegen müssen. Es regelt etwas anderes: unter welchen Bedingungen Daten überhaupt ins Ausland bekanntgegeben werden dürfen.

Der Kerngedanke ist Angemessenheit. Daten dürfen in ein Land übermittelt werden, das einen angemessenen Schutz bietet. Der Bundesrat führt eine Liste solcher Länder, und die EU-Staaten gehören dazu. Das bedeutet in der Praxis: Hosting bei einem deutschen Rechenzentrum ist für die meisten Schweizer KMU rechtlich unproblematisch, solange die übrigen Pflichten erfüllt sind.

Anders sieht es bei Ländern ohne anerkanntes Schutzniveau aus. Dort braucht es zusätzliche Garantien, etwa vertragliche Klauseln, die das Schutzniveau herstellen. Genau diese Konstellation betrifft viele grosse US-Plattformen, weshalb sie eine sorgfältigere Prüfung erfordern.

Die drei realistischen Optionen

Für ein KMU lassen sich die Möglichkeiten auf drei Grundpfade reduzieren, jeder mit eigenen Vor- und Nachteilen.

Der erste Pfad ist ein Schweizer Rechenzentrum. Hier liegen die Daten physisch in der Schweiz, unterstehen schweizerischem Recht und sind dem Zugriff ausländischer Behörden weitgehend entzogen. Das ist die ruhigste Variante, gerade für besonders sensible Branchen wie Gesundheit, Recht oder Finanzen. Der Preis dafür ist meist höher als bei internationalen Anbietern.

Der zweite Pfad ist ein EU-Anbieter. Rechenzentren in Deutschland oder anderen EU-Ländern bieten ein anerkannt angemessenes Schutzniveau, hervorragende Technik und oft ein deutlich besseres Preis-Leistungs-Verhältnis. Für die grosse Mehrheit der KMU ist das eine pragmatische und zulässige Wahl.

Der dritte Pfad sind grosse US-Plattformen. Sie bieten Komfort und Reichweite, bringen aber die Komplikation des möglichen Behördenzugriffs mit. Wer sie nutzt, sollte genau prüfen, welche Daten dort landen und ob geeignete Garantien vorliegen.

Ein konkretes Beispiel: Hetzner

Stellvertretend für die EU-Option lohnt ein Blick auf einen Anbieter, der bei technisch versierten Schweizer Teams sehr beliebt ist. Hetzner betreibt Rechenzentren in Deutschland und Finnland und bietet Server zu Konditionen, mit denen die grossen Hyperscaler kaum mithalten.

Europäische Server mit einem kaum zu schlagenden Preis-Leistungs-Verhältnis

4.6Kostenpflichtig
Ansehen

Die EU-Standorte bedeuten ein anerkanntes Schutzniveau, und in Kombination mit einer selbstgehosteten Plattform behält ein KMU die volle Kontrolle über seine Daten. Wichtig bleibt die ehrliche Einordnung: Hetzner liefert die Infrastruktur, nicht die Compliance. Auftragsbearbeitungsvertrag, Sicherheitsmassnahmen und Backups bleiben deine Verantwortung. Für strenge Datenresidenz-Vorgaben innerhalb der Schweiz ist ein EU-Standort zudem genau zu prüfen.

Worauf es bei der Auswahl ankommt

Unabhängig vom Anbieter gibt es eine Handvoll Prüfpunkte, die über DSG-Konformität entscheiden. Wer sie abarbeitet, ist auf der sicheren Seite.

An erster Stelle steht der Auftragsbearbeitungsvertrag. Sobald ein Hosting-Anbieter Personendaten in deinem Auftrag verarbeitet, braucht es eine vertragliche Grundlage, die Pflichten und Verantwortlichkeiten regelt. Seriöse Anbieter stellen einen solchen Vertrag standardmässig bereit.

An zweiter Stelle stehen technische und organisatorische Sicherheitsmassnahmen. Verschlüsselung, Zugriffskontrollen und ein durchdachtes Berechtigungskonzept gehören dazu. Das DSG verlangt einen angemessenen Schutz, und der entsteht nicht durch den Standort allein, sondern durch konkrete Massnahmen.

An dritter Stelle steht die Transparenz über den Zugriff. Du musst wissen und dokumentieren können, wer auf die Daten zugreifen kann, auch aufseiten des Anbieters und seiner Subunternehmer. Gerade bei internationalen Diensten ist diese Kette oft länger als gedacht.

Der Standort allein schützt nicht

Ein Schweizer Server macht eine Anwendung nicht automatisch datenschutzkonform. Wenn die App selbst Daten ungesichert speichert, zu viele Berechtigungen vergibt oder unverschlüsselt überträgt, hilft der Standort wenig. Datenschutz entsteht aus dem Zusammenspiel von Standort, Vertrag und sauberer technischer Umsetzung.

Die Erfahrung aus der Praxis

In der Begleitung Schweizer KMU zeigt sich ein wiederkehrendes Muster. Viele Unternehmen überschätzen die Standortfrage und unterschätzen die Umsetzungsfrage. Sie investieren in ein teures Schweizer Rechenzentrum und bauen darauf eine App, die intern schlampig mit Daten umgeht. Das ist die teuerste Art, das eigentliche Risiko zu verfehlen.

Sinnvoller ist eine ehrliche Risikobetrachtung. Welche Daten verarbeitet die Anwendung wirklich? Handelt es sich um harmlose Kontaktformulare oder um besonders schützenswerte Gesundheits- oder Finanzdaten? Aus dieser Einordnung folgt die passende Hosting-Strategie, nicht aus einem pauschalen Reflex.

Für die meisten KMU mit überschaubarer Datensensibilität ist ein gut konfigurierter EU-Anbieter mit sauberem Vertrag und solider technischer Umsetzung eine zulässige und wirtschaftliche Wahl. Wer mit hochsensiblen Daten arbeitet, fährt mit einem Schweizer Rechenzentrum ruhiger. Beides ist legitim, solange es bewusst und dokumentiert entschieden wird.

Fazit: Bewusst entscheiden statt pauschal fürchten

DSG-konformes Hosting ist keine Frage eines einzelnen richtigen Anbieters, sondern eines durchdachten Gesamtbilds. Der Standort ist ein Baustein, aber nicht der einzige und oft nicht der wichtigste. Vertrag, Sicherheitsmassnahmen und Transparenz über den Zugriff wiegen mindestens so schwer.

Die wichtigste Empfehlung lautet deshalb: Entscheide bewusst und dokumentiere die Entscheidung. Halte fest, welche Daten du verarbeitest, warum du dich für einen bestimmten Anbieter entschieden hast und welche Massnahmen du getroffen hast. Diese Nachvollziehbarkeit ist im Ernstfall mehr wert als jeder Standortvorteil, und sie verwandelt eine diffuse Angst vor dem DSG in eine kontrollierte Geschäftsentscheidung.

Häufige Fragen

Müssen Daten von Schweizer Firmen in der Schweiz liegen?+

Nein, das revidierte DSG verlangt keinen zwingenden Datenstandort in der Schweiz. Entscheidend ist, dass die Bekanntgabe ins Ausland an Länder mit angemessenem Datenschutz erfolgt oder durch geeignete Garantien abgesichert ist. Für besonders sensible Daten kann ein Schweizer Standort dennoch sinnvoll oder vertraglich gefordert sein.

Ist Hosting in der EU für Schweizer KMU erlaubt?+

Ja. Die EU gilt für die Schweiz als Land mit angemessenem Datenschutzniveau, weshalb Hosting bei einem EU-Anbieter wie einem deutschen Rechenzentrum in den meisten Fällen DSG-konform ist. Bei besonders schützenswerten Daten lohnt sich trotzdem eine sorgfältige Einzelfallprüfung.

Worauf muss ich bei DSG-konformem Hosting achten?+

Achte auf den Standort der Rechenzentren, einen Auftragsbearbeitungsvertrag mit dem Anbieter, geeignete technische und organisatorische Sicherheitsmassnahmen sowie Transparenz darüber, wer Zugriff auf die Daten hat. Bei US-Anbietern ist zusätzlich die Frage des Behördenzugriffs relevant.

Über den Autor

Daniel Müller

Senior Developer & SEO-Stratege

Daniel Müller ist Senior Developer und SEO-Stratege bei DLM Digital in Zürich. Mit über 10 Jahren Erfahrung in Webentwicklung, SEO, GEO/AEO und KI-Integration begleitet er Schweizer KMU bei der digitalen Transformation. Im DLM Magazin schreibt er über KI, Vibe Coding und moderne Suchmaschinen-Sichtbarkeit.

Weiterlesen