Daten in der Schweiz hosten?
Warum sollte meine Kanzlei ihre Daten in der Schweiz hosten?
Das World Wide Web ist in keinem geringeren Land geboren als der Schweiz. 1991 wurde es am Kernforschungszentrum CERN von Tim Berners-Lee ins Leben gerufen. Entsprechend war die Schweiz stets ein Vorreiter, wenn es um Internettechnologie geht
Schweizerinnen und Schweizer denken digital – in keinem anderen europäischen Land ausser Norwegen, Dänemark und Luxemburg nutzt ein grösserer Anteil der Bevölkerung das Internet. Aktuell sind es 96 Prozent. Zum Vergleich: In Österreich liegt der Wert bei 93 Prozent, in Deutschland bei 91 Prozent.
In den letzten Jahren hat der Umsatz der IT-Branche in der Schweiz noch einmal zugelegt. Im Jahr 2020 erwirtschaftete die Branche einen Umsatz von 37,68 Milliarden Schweizer Franken.
Sicheres Land mit weltweit gutem Ruf
Die Schweiz ist als Land politisch stabil wie kaum ein anderes auf der Welt. Aufgrund seiner Neutralität war die Schweiz seit 1815 nicht mehr in kriegerische Handlungen verwickelt. Im Global Peace Index 2022 belegt die Schweiz Platz Eins, weit vor Ländern wie Deutschland oder dem für Server-farmen beliebten Niederlanden. Auch Unruhen oder Ausschreitungen erlebt man in der Schweiz nicht.
Die Schweiz ist auch ein sehr sicheres Land. Während es in Nachbarländern wie Deutschland, Frankreich und Spanien in den letzten Jahren immer wieder Terroranschläge gegeben hat, ist die Wahrscheinlichkeit gering, dass die Schweiz Ziel eines Terroranschlags wird.
Und wenn man als Anwalt seinen Host einmal persönlich vor Ort besuchen muss, dann ist die Schweiz seit jeher auch eines der sichersten Reiseländer. Einer Studie zufolge ist die Schweiz der sicherste Ort in Europa. Nicht nur das Risiko von Naturkatastrophen ist in der Schweiz sehr gering, auch die Korruptionswahrnehmung ist eine der niedrigsten in ganz Europa. Selbstständigkeit, Sicherheit und Stabilität zählen zu den offiziellen Tugenden der Eidgenossenschaft.
Die Alpenland geniesst weltweit ein hohes Ansehen und steht bei Produkten für hohe Qualität und Zuverlässigkeit. Mit „Gehostet in der Schweiz“ kann man als Anwalt ruhigen Gewissens vor einen Mandanten treten. Manche Hostings Unternehmen haben ihre Server in ehemaligen Bunkern der Schweizer Armee stehen. Diese Gebäude sind bestens gegen Angriffe geschützt und Schweizer Personal gilt als gut ausgebildet.
Kanzleidaten in der Schweiz hosten-Datenschutz à la Schweiz
Obwohl die Schweiz nicht Mitglied der Europäischen Union ist, ist der grenzüberschreitende Wirtschaftsverkehr mit der Schweiz im IT-Bereich keinen grundlegenden Einschränkungen unterworfen. Es bestehen bilaterale Abkommen zwischen der EU und der Schweiz, die Märkte sind gegenseitig geöffnet.
In der Europäischen Union sorgt die 2018 eingeführte Datenschutz-Grundverordnung (DSGVO) für ein hohes Datenschutzniveau. Doch wenn es um Datenschutz geht, steht die Schweiz dem grundsätzlich in nichts nach. Das neue Schweizer Bundesgesetz über den Datenschutz orientiert sich an der DSGVO. Das total revidierte Datenschutzgesetz des Bundes soll im September 2023 in Kraft treten. Es wird damit technologischen Neuerungen, die seit Inkrafttreten des alten Gesetzes aufgekommen sind und die von cloudbasierter Anwaltssoftware über Big Data bis hin zum Internet der Dinge reichen, voll Rechnung tragen.
Vorteile durch Zertifizierung
Der Schweizer Bundesrat hob in einer Botschaft hervor, dass das revidierte Datenschutzgesetz die Selbstregulierung fördere, da Mitglieder von Branchen, die einen verbindlichen Verhaltenskodex erlassen, darin von bestimmten Pflichten entbunden werden.
Nach Art. 13 des neuen Datenschutzgesetzes können nicht nur wie bislang Betreiber von Datenverarbeitungssystemen oder -programmen, sondern auch deren Hersteller ihre Systeme zertifizieren lassen. Auf diese Weise können Unternehmen nachweisen, dass sie über ein adäquates Datenschutzsystem verfügen. Private Verantwortliche, die ihr System oder ihr Produkt zertifiziert haben, können von der Erstellung einer Datenschutz-Folgeabschätzung absehen.
Wenn es um die Weitergabe von Personendaten ins Ausland geht, so ist diese nach Art. 16 des neuen Datenschutzgesetzes möglich, wenn in dem Drittstaat ein angemessener Schutz gewährleistet ist oder dieser auf andere Weise sichergestellt ist. Dies kann etwa geschehen über Datenschutzklauseln, die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) mitzuteilen sind. Der Vorteil, was die Schweiz betrifft: Standardklauseln, die bereits im Rahmen der DSGVO von der Europäischen Kommission genehmigt wurden, werden vom EDÖB anerkannt.
Weniger drakonische Strafen als bei der DSGVO
Jeder Hoster sollte das Bestreben haben, alle Datenschutzregeln einzuhalten. Doch in der modernen Datenwelt können Datenpannen auch unbeabsichtigt leicht eintreten, zum Beispiel durch einen erfolgreichen Hackerangriff auf ein gut geschütztes IT-System. Dann drohen unter Umständen Bussgelder. Das neue Schweizer Datenschutzgesetz ist hier etwas moderater als die DSGVO. Während nach der DSGVO Geldbussen „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt“ werden können, drohen privaten Personen im neuen Datenschutzgesetz nur Geldbussen bis zu 250.000 Schweizer Franken.
Die Missachtung von Informations-, Auskunfts- und Meldepflichten und die Verletzung von Sorgfaltspflichten sowie der Schweigepflicht wird beim Schweizer Datenschutzgesetz nur auf Antrag bestraft. Anders als bei der DSGVO hat der EDÖB auch keine Sanktionsbefugnis. Unternehmen droht im Datenschutzgesetz eine Geldbusse bis maximal 50.000 Schweizer Franken und das nur dann, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens unverhältnismässigen Untersuchungsaufwand nach sich ziehen würde. Da gerade bei kleineren Kanzleien eine hohe Geldbusse existenzbedrohend oder gar -vernichtend sein kann, ist das Sanktionsregime des Schweizer Datenschutzgesetzes von Vorteil, entscheidet man sich als Rechtsanwältin oder Rechtsanwalt für ein Hosting in der Schweiz.
Keine Meldefrist bei Datenschutzproblemen
Nach der DSGVO sind Datenpannen zu melden, wenn zu befürchten ist, dass ein Risiko für personenbezogene Daten entsteht. In der Schweiz liegt die Schwelle höher: Es ist nur dann zu melden, wenn ein hohes Risiko besteht. Gerade wenn das Ausmass eines Datenschutzproblems noch nicht abschliessend geklärt ist, können Fristen für ein Unternehmen zu einem rein zeitlichen Problem werden. Das Datenschutzgesetz sieht, anders als die DSGVO mit ihrer sehr kurzen 72-Stunden-Frist, keine konkrete Meldefrist vor, zu melden ist nach dem Datenschutzgesetz so schnell wie möglich.
Weniger Bürokratie und weniger Informationspflichten
Es gibt aus Unternehmersicht weitere Vorteile des Datenschutzgesetzes gegenüber der DSGVO, die mit Blick auf Hosting in der Schweiz relevant sind: So ist ein Datenschutzbeauftragter für private Unternehmen nach dem neuen Datenschutzgesetz nicht verpflichtend, bei der DSGVO ist ein Datenschutzbeauftragter vorgeschrieben. Entscheidet sich ein privates Unternehmen in der Schweiz dennoch, einen Datenschutzbeauftragten zu benennen, so kann dessen interne Beratung eine Stellungnahme des EDÖB im Fall einer Datenverarbeitung mit hohem Risiko für Daten von Betroffenen ersetzen, wenn eine Datenschutz-Folgenabschätzung durchgeführt wird.
Weitere Unterschiede: Bei Datenschutzerklärungen zu personenbezogenen Daten und postalischen Werbemailings ist eine Information und eine Kenntnis des Betroffenen beziehungsweise eine Information des Betroffenen erforderlich – kein Opt-In bzw. keine aktive Einwilligung wie bei der DSGVO. Bei E-Mail-Newslettern ist kein Double-Opt-In mit anschliessender Bestätigungs-E-Mail erforderlich, es reicht ein Confirmed Opt-In, also ohne eine Bestätigungs-E-Mail. Es wird unter Fachleuten ausserdem erwartet, dass es einfacher sein wird, in der Schweiz Targeting durchzuführen. Weiterhin verlangt das neue Schweizer Datenschutzgesetz, wenn es dann in Kraft tritt, keine detaillierten Cookie-Übersichten.
Berufsgeheimnisse besser geschützt
Die Unterschiede in der Gesetzgebung bedeuten nicht unbedingt ein generell niedrigeres Datenschutzniveau in der Schweiz. Vielmehr sind sie Ausprägung unterschiedlicher Gewichtungen der Gesetzgeber.
Besonders interessant für Berufsgeheimnisträger wie Rechtsanwältinnen und Rechtsanwälte: Im neuen Datenschutzgesetz ist die berufliche Schweigepflicht in Art. 62 gesondert geschützt geregelt und deutlich strenger als in der DSGVO geregelt. Wer geheime Personendaten offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes als Rechtanwältin oder Rechtsanwalt Kenntnis erlangt hat, dem droht eine Geldbusse von „bis zu 250000 Franken“. Besser lässt sich mit der Schweiz als Hosting-Standort nicht werben.
Daniel N. Solenthaler – dank seiner mehr als 30-jährigen Erfahrung in der Softwarebranche, mit Schwerpunkt auf Kanzleisoftware, sowie einem Abschluss in Betriebswirtschaft der Universität St.Gallen ist Daniel N. Solenthaler ein ausgewiesener Experte für die Digitalisierung von Anwaltskanzleien. Durch die Betreuung von Hunderten von Kanzleien verfügt er über ein umfassendes Verständnis für die Bedürfnisse der Branche und erkennt schnell Verbesserungspotenziale. Mit gezielten Prozessoptimierungen hilft er Kanzleien, effizienter, rentabler und dynamischer zu werden.