Wie und wo man sensible Geschäfts- und Mandatsdaten am besten ablegt, beschäftigt Schweizer KMU und Anwaltskanzleien zunehmend. Lange Zeit galt: Cloud-Lösungen sind technisch ausgezeichnet und wirtschaftlich attraktiv. Mittlerweile zeigt sich jedoch, dass Datenschutz und Datensicherheit zwei Paar Schuhe sind und sorgfältig abgewogen werden müssen. Entscheidend bleibt: Die rechtliche Verantwortung für kritische Daten liegt immer beim KMU oder der Kanzlei – selbst wenn ein Drittanbieter die technische Verarbeitung übernimmt.
Im Interview mit Dzenis Delic, Co-Founder und CEO der Livtec AG, erfahren Sie:
• Was unter «kritischen Daten» zu verstehen ist
• Worin sich Datenschutz und Datensicherheit unterscheiden
• Weshalb US-Gesetze wie der Cloud Act auch für Schweizer Daten relevant sind
• Welche Fragen Sie als KMU stellen sollten, um Risiken zu minimieren
Lesen Sie weiter und erfahren Sie, wie Sie Ihre sensiblen Daten optimal und rechtssicher verwalten.
Q: Was sind «kritische Daten» und warum sind sie für KMU und Kanzleien so heikel?
A: Kritische Daten sind Informationen, deren Verlust, unautorisierte Einsicht oder Missbrauch die Geschäftskontinuität, den Ruf oder rechtliche Pflichten erheblich gefährden können. Bei Schweizer KMU und Anwaltskanzleien zählen dazu unter anderem Buchhaltungsunterlagen, Mandats- und Kundendossiers, Personalakten, Geschäftsgeheimnisse sowie Verträge. Diese Daten sind nicht nur wirtschaftlich wertvoll, sondern unterliegen oft speziellen gesetzlichen und berufsethischen Vorgaben (zum Beispiel dem Anwaltsgeheimnis).
Fällt ein solches System einmal aus oder wird kompromittiert, steht nicht mehr nur ein Datenverlust zur Debatte – schnell geht es um die Existenz des Unternehmens und mögliche Haftungsfragen für die Geschäftsleitung.
Q: Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
A: Datenschutz und Datensicherheit ergänzen sich zwar, haben aber unterschiedliche Schwerpunkte:
Datenschutz (rechtlich/organisatorisch)
• Wer darf welche personenbezogenen Daten verarbeiten?
• Wofür ist die Verarbeitung erlaubt?
• Wie und wann müssen Betroffene informiert werden?
• Auf welchen Rechtsgrundlagen basiert das Ganze?
Datensicherheit (technisch/operativ)
• Schutz vor Hackerangriffen
• Absicherung gegen Datenverlust
• Verhinderung unbefugter Zugriffe
• Sicherstellen, dass Daten nicht manipuliert werden
Kurz gesagt: Datenschutz definiert die Spielregeln, Datensicherheit sorgt dafür, dass sie auch technisch eingehalten werden. Eine reine Papier-Compliance nützt wenig, wenn die technische Umsetzung schwächelt. Umgekehrt ist top Verschlüsselung kaum wertvoll, wenn Meldepflichten oder vertragliche Zugriffsrechte ignoriert werden.
Q: Kann ein Unternehmen die Verantwortung auslagern, wenn es seine Daten in eine Cloud gibt?
A: Nein. Die Geschäftsleitung bleibt rechtlich und faktisch dafür verantwortlich, dass alle Verarbeitungsvorgänge rechtskonform und risikogerecht ausgestaltet sind. Selbst wenn die IT ausgelagert wird, entbindet das nicht von Pflichten wie der sorgfältigen Handhabung von Mandatsgeheimnissen oder der Informationspflicht gegenüber Kundinnen und Kunden. Das bedeutet, dass KMU bei der Wahl des Anbieters, der vertraglichen Absicherung mit klaren Service- und Haftungsregelungen, der Prüfung technischer und organisatorischer Massnahmen sowie der laufenden Kontrolle aktiv bleiben oder diese Aufgaben kompetent delegieren müssen. Vertrauen allein genügt nicht – es braucht überprüfbare Nachweise und eine lückenlose, dokumentierte Entscheidungsbasis.
Q: Warum ist es ein Problem, wenn ein US‑Anbieter Daten verarbeitet — selbst wenn die Server in Europa oder der Schweiz stehen?
A: Problematisch ist, dass US-Gesetze (wie der sogenannte Cloud Act) amerikanischen Behörden Zugriff auf Daten von US-Unternehmen gewähren – und zwar ohne Rücksicht auf den physischen Standort der Server. Ein amerikanischer Hyperscaler (Amazon AWS, Microsoft Azure, Google Cloud, etc.) mit Rechenzentren in Europa bleibt weiterhin diesen Vorschriften unterworfen. Behörden können Daten anfordern, während der Grad der Transparenz über solche Zugriffe oft unklar bleibt. Für die Schweiz und die EU führt das zu einem Konflikt zwischen nationalem Berufsrecht (etwa dem Anwaltsgeheimnis), den hiesigen Datenschutzanforderungen und den ausländischen Auskunftspflichten. Deshalb garantiert allein der Verweis auf einen Schweizer Datenstandort keine rechtliche Souveränität.
Q: Weshalb sorgt dieses Thema jetzt vermehrt für Aufruhr, obwohl die gesetzlichen Grundlagen nicht ganz neu sind?
A: Die grundsätzlichen Mechanismen sind zwar nicht neu, doch die öffentliche Debatte hat deutlich an Schärfe gewonnen. Inzwischen gibt es konkrete Vorkommnisse, behördliche Empfehlungen, Gerichtsurteile und zahlreiche mediale Berichte, die belegen, dass Zugriffe tatsächlich stattfinden und technische oder vertragliche Garantien nicht immer greifen. Hinzu kommt, dass schweizerische Behörden und Datenschützer mittlerweile dringend davon abraten, Behördenlösungen mit sensiblen Daten auf fremden Hyperscalern zu betreiben. Diese Kombination aus handfesten Fällen, offiziellen Hinweisen und wachsender Sensibilität bei Verwaltungen und Banken führt dazu, dass auch KMU und Kanzleien ihre bisherigen Default-Entscheide im Bereich Cloud-Hosting und Datenmanagement neu überdenken.
Q: Bedeutet das, dass DSG (Schweizer Datenschutzgesetz) und Anwaltsgeheimnis nicht mehr gewährleistet sind, wenn US‑Giganten Zugriff haben könnten?
A: Der rechtliche Schutzauftrag gemäss DSG und den berufsrechtlichen Vorgaben bleibt unverändert bestehen. In der Praxis entsteht jedoch eine grosse Unsicherheit, sobald ein Anbieter gesetzlich verpflichtet werden kann, Dritten Zugriff auf Daten zu gewähren. Ob solche Daten oder Beweismittel vor Schweizer Gerichten verwertbar wären, ist eine eigene juristische Frage. Unabhängig davon führt der daraus resultierende Vertrauensverlust gegenüber dem Dienstleister zu erheblichen Bedenken. Für Kanzleien und KMU ist es deshalb entscheidend, dieses Risiko bereits bei der Auswahl des Providers und in den vertraglichen Zusicherungen sorgfältig zu berücksichtigen.
Q: Hilft es, wenn ein Anbieter «alle» Compliance‑Nachweise und Zertifikate vorlegt?
A: Zertifikate und Compliance-Nachweise sind zwar wichtig, doch sie bieten keine absolute Sicherheit. Meist dokumentieren sie vor allem, dass Prozesse formal definiert und Kontrollen eingerichtet wurden. Wirklich entscheidend ist jedoch die Praxis: Wie verhält sich der Anbieter im Ernstfall? Wer erhält Zugriff, auf welcher rechtlichen Grundlage und mit welcher Transparenz? Eine wirksame Prüfung verknüpft technische, organisatorische und rechtliche Aspekte und stellt sicher, dass Drittzugriffe nicht im Dunkeln passieren können.
Q: Was bleibt von der Datensicherheit zu sagen — reicht es, den Anbieter zu wechseln?
A: Datenschutz und Datensicherheit gehören zusammen, dürfen aber nicht gegeneinander ausgespielt werden. Ein Anbieter in der Schweiz ist kein Selbstläufer, wenn er nicht über die nötigen Sicherheitsressourcen verfügt. Datensicherheit umfasst heute weit mehr als Antivirus-Software: Moderne Abwehrmechanismen, kontinuierliches Monitoring im Security Operations Center, lückenlose Protokollführung, systematisches Schwachstellenmanagement, Multi-Faktor-Authentifizierung, segmentierte Zugriffsrechte und getestete Wiederherstellungsprozesse sind Pflicht.
Für Anwaltskanzleien bedeutet das konkret, dass alle Daten verschlüsselt gespeichert werden und die Schlüsselverwaltung klar geregelt ist. Ebenso unverzichtbar sind dedizierte Backups und ein klar definiertes Vorgehen für den Ernstfall. Solche Massnahmen sind technisch anspruchsvoll und erfordern spezialisiertes Know-how.
Q: Kann Verschlüsselung und Key‑Management Dritten zuverlässig den Zugriff verunmöglichen (wie Bring-Your-Own-Key bei Azure)?
A: Rein technisch lässt sich der Zugriff Dritter dank moderner Verschlüsselungs- und Key-Management-Modelle stark einschränken. In der Praxis erweist sich die Umsetzung jedoch als anspruchsvoll: Die Integration in Produktivdienste wie Teams, SharePoint oder andere kollaborative Tools limitiert oft die verfügbaren Optionen, und die korrekte Verwaltung von Schlüsseln und Notfallzugängen ist besonders kritisch. Für viele KMU ist deshalb eine sichere Implementierung dieser Modelle nur mit erfahrenen Partnern realisierbar. Entscheidend bleibt eine durchdachte Architektur, die sowohl den betrieblichen Anforderungen als auch den rechtlichen Vorgaben vollumfänglich gerecht wird.
Q: Sind wir Zeugen einer strukturellen Abkehr von grossen Hyperscalern wie Azure, oder handelt es sich um Einzelfälle?
A: Man darf nicht glauben, Hyperscaler würden einfach verschwinden – ihre Dienste sind allgegenwärtig und entwickeln sich stetig weiter. Gleichzeitig zeichnet sich aber ein klarer Trend ab: Immer mehr Organisationen suchen nach regionalen, souverän kontrollierbaren Lösungen. Gerade bei wirklich kritischen Daten wird künftig differenzierter entschieden, denn nicht jede Arbeitslast gehört zwangsläufig in dieselbe Cloud. Hybride Modelle oder regionale Lösungen gewinnen deshalb an Bedeutung. Ob das eine Rückkehr zur klassischen On-Premises-IT bedeutet oder eher ein pragmatischer Mix unterschiedlicher Ansätze bleibt, hängt letzten Endes von Branche, Risikoprofil und den geltenden Vorgaben ab.
Schlussfolgerung und Tipps für KMU und Kanzleien
Für KMU und Kanzleien bedeutet der Umzug in die Cloud keineswegs, dass Sie Ihre Verantwortung abgeben. Treffen Sie Ihre Entscheidungen stets datenschutz- und risikobewusst, trennen Sie klar zwischen Datenschutz (rechtliche Zulässigkeit und Transparenz) und Datensicherheit (technischer Schutz und Betriebsorganisation) und verlangen Sie von Ihren Anbietern nicht nur Dokumente, sondern nachvollziehbare und überprüfbare Antworten für den Ernstfall. Ein pragmatischer, praxisorientierter Einstieg erleichtert dabei den Start.
Wir haben für Schweizer KMU und Kanzleien eine einfach aufgebaute Checkliste entwickelt, die Ihnen hilft, die richtigen Fragen zu stellen und die wichtigsten Risiken zu erkennen – kein aufwändiges Audit, sondern ein unkompliziertes Werkzeug. Gerne stellen wir Ihnen diese Checkliste zur Verfügung oder gehen die Punkte in einem kurzen Austausch mit Ihnen durch.
Interessante Quellen passend zum Artikel:

