swiss hosting - hosting aus der schweiz

was bedeutet «swiss hosting»

«swiss hosting» steht für zwei Versprechen:

Die Daten bleiben in der Schweiz
Der Zugang zu diesen Daten ist für Dritte nur via Schweizer Behörden möglich

Das erste Versprechen können grosse internationale Anbieter mit Standort in der Schweiz einhalten - das zweite Versprechen nicht!

Aussagen, wonach sich Datenschutz gemäss Schweizer Anforderungen durch einen Vertrag durchsetzen lassen, sind falsch. Dafür vier Beispiele:

CLOUD Act: Dieses seit 2018 bestehende US-amerikanische Gesetz erlaubt den Zugriff der US-Behörden auf Daten, die bei US-Unternehmen oder solchen die dem amerikanischen Recht unterliegen gespeichert sind. Der Standort in fremdem Hoheitsgebiet ist dabei unerheblich.
Schrems-II: Lange galt der Privacy Shield als das Abkommen, das den Datenexport aus der EU in die USA nach EU-Standards ermöglichte. Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Privacy Shield durch das Schrems-II-Urteil für ungültig. Das Gericht sah es als erwiesen an, dass amerikanische Unternehmen sich den Zugriffswünschen der heimischen Regierungsorganisationen nicht widersetzen könnten und Daten somit nicht sicher seien. Mit anderen Worten: Hier wurde eine juristische Fiktion aufgelöst. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) schloss sich diesem Urteil kurz darauf an. Damit fiel auch das hierzulande gültige Parallelabkommen. Der EDÖB bezieht dazu explizit Stellung in seiner «Anleitung für die Prüfung der Zulässigkeit von Datenübermittlungen mit Auslandbezug» (Dokument).
Der Fall Crypto AG: Das Schweizer Unternehmen lieferte kryptografische Geräte an Drittregierungen und war heimlich im Besitz der CIA und des BND.
Der alltägliche Umgang mit Daten: Im Juristendeutsch gibt es den sogenannten «doppelten Pflichtennexus». Eine in einem Schweizer Tochter-Unternehmen datenverantwortliche Person muss sich nach den Gesetzen der Schweiz richten, unterliegt aber auch der Weisungspflicht durch ausländische Vorgesetzte. In der Praxis werden Daten (z. B. Kundendaten für Werbemassnahmen) häufig geteilt, auch wenn das nicht dem Datenschutzgesetz (DSG) entspricht. Wo kein Kläger, da kein Richter. Ausserdem haben die wenigsten Personen den Wunsch, das Schicksal der meisten Whistleblower zu teilen.

«swiss hosting» ist ein juristisches Versprechen. Es besagt, dass im Rahmen eines ordentlichen Verfahrens nur Schweizer Behörden Zugriff erhalten und die betroffenen Parteien gemäss Schweizer Recht behandelt werden.

vorteile von «swiss hosting»

Leider wird der «Daten-Standort» Schweiz oft verwendet, um Kunden eine falsche Sicherheit vorzugaukeln. Dabei ist der Standort der Daten allein nicht für deren Schutz ausreichend. Das Label «swiss hosting» sorgt für Transparenz im Cloud-Geschäft. Dank dem Label können Kunden sowohl im B2B- wie auch im B2C-Bereich erkennen bei welchen Dienstleistern und/oder Anwendungen juristisch bindende Datenzugriffe nur über die Schweizer Behörden und nach Schweizer Gesetzen erfolgen dürfen. Sobald die Kontrolle über ein Unternehmen im Ausland liegt, endet die Aufsichtsfunktion der Schweizer Behörden.

«swiss hosting» ist ein juristisches Versprechen – kein technisches. Es macht keine Aussagen über die Qualität der technischen Schutzmassnahmen. Es geht also um Datenschutz, nicht um Datensicherheit.

hintergrund

Der Umzug in die Cloud zusammen mit der Einführung der DSGVO machten klar, dass der Aufbewahrungsort der Daten in Zukunft von immer grösserer Bedeutung sein wird. Insofern machte es Sinn, ein in der Tradition des «swiss made» stehendes Qualitätssiegel zu schaffen.

Ende 2018 eingeführt, erfreute sich das neue Label schnell grosser Beliebtheit – zunächst als «hosted in switzerland». In kurzer Zeit entschieden sich über 100 Firmen, die neue Variante zu verwenden, und swiss made software erhielt überaus positive Rückmeldungen. Darunter auch den Wunsch, «hosted in switzerland» separat anzubieten.

verhältnis zu «swiss made» und zum label swiss made software

«swiss hosting» wurde vom Label swiss made software entwickelt und wird dessen Trägern exklusiv angeboten. Da die Cloud ein noch sehr junges Konzept ist, gab es bisher dafür keinen Bezug zur Swissness. So wurde «swiss hosting» mit dem Ziel entwickelt, ein vergleichbares Gütesiegel zu schaffen. Um dies zu gewährleisten, wurde in enger Absprache mit den Label-Trägern ein Vertrag entwickelt, der für den rechtlichen Rahmen massgeblich ist. Teil des Vertrags sind auch Sanktionsmöglichkeiten im Missbrauchsfall, was von den Label-Trägern klar gefordert wurde.

«swiss hosting» kann, aber muss nicht in Kombination mit «swiss made software» und/oder «swiss digital services» eingesetzt werden. Die Unternehmen müssen allerdings die gewünschte Verwendung deklarieren und sich mit den relevanten Bedingungen einverstanden erklären.

>Label beitreten

voraussetzung für die nutzung des labels

Damit Dienstleistungen mit dem Logo als «swiss hosting» bezeichnet werden dürfen, müssen folgende Bedingungen erfüllt sein:

Der Geschäftssitz und der Ort der tatsächlichen Verwaltung der Lizenznehmerin müssen sich in der Schweiz befinden (vgl. Art. 49 Abs. 1 MSchG).
Das Hosting von
- angebotenen Applikationen
- von Personendaten
- von Sachdaten (Geschäftsinformationen, Finanzdaten, - Forschungsergebnisse, etc.)
muss in einem Rechenzentrum in der Schweiz stattfinden. Datenschutz und Datensicherheit müssen schweizerischem Recht unterstehen.
Handelt es sich beim ausgezeichneten Produkt um eine «Software as a Service» (SaaS), dürfen nur Angebote mit «swiss hosting» ausgezeichnet werden, bei denen auch der Hoster die vorliegend genannten Anforderungen erfüllt. Die Lizenznehmerin lässt sich dies durch den Hoster schriftlich zusichern.
Zugriff aus dem Ausland auf das Hosting Environment und/oder die Daten für den Betrieb und die Administration durch den Hoster sind so zu schützen, dass die Daten weiterhin vollständig in der Schweiz bleiben und weder direkt noch indirekt von einer ausländischen Organisation oder Regierung eingesehen oder eingefordert werden können. Dies gilt auch für ausländische Konzerngesellschaften.
Bei gemischten Angeboten (Hosting sowohl im Inland wie Ausland möglich) darf das Logo nur bei Angeboten verwendet werden, welche die Kriterien vollständig erfüllen. Es muss für die Adressaten klar ersichtlich sein, welche Angebote die Kriterien erfüllen und welche nicht.

praktisches

SaaS-Anbieter müssen den «swiss hosting»-Vertrag unterschreiben und sich schriftlich von ihrem Hosting-Partner bestätigen lassen, dass die Rahmenbedingungen für die gewählte Dienstleistung erfüllt sind. Dafür steht das Dokument «Vertrag für Hoster/Cloud-Partner, die nicht bei swiss made software angeschlossen sind» zur Verfügung. Ist der Hoster bereits Träger von «swiss hosting», entfällt dieser Schritt. Der SaaS-Anbieter sollte sich dennoch vergewissern, dass die von ihm bezogene Dienstleistung, die Kriterien erfüllt, da nicht alle Hoster, die bei «swiss hosting» angeschlossen sind nur Dienstleistungen anbieten, die diese erfüllen (in diesem Fall sollten die einzelnen Dienstleistungen individuell ausgezeichnet sein).

>Den Vertrag für SaaS-Anbieter finden sie hier

>Den Vertrag für Hoster/Cloud-Partner finden sie hier

>Den Vertrag für Hoster/Cloud-Partner, die nicht bei swiss made software angeschlossen sind, finden sie hier

Wichtig: Mit dem Relaunch können ausländische Hoster/Cloud-Provider nicht mehr in Kombination mit «swiss hosting» eingesetzt werden (Ali Baba, Amazon, Azure, Google, sowie Schweizer Firmen in Dritthand). Klären sie dies mit ihrem Partner und dem bereitgestellten Formular.

hosting partner von «swiss hosting»

Die hier aufgeführten Hoster, Hosting Provider, Webhosting Provider und/oder Cloud-Anbieter sind direkt Partner bei «swiss hosting», garantieren also, dass die Rahmenbedingungen eingehalten werden. Einige Anbieter verwenden «swiss hosting» nur für einen Teil ihres Angebots. Diese Produkte und Dienstleistungen sind entsprechend ausgezeichnet.

Die folgende Anbieter-Liste ist nicht abschliessend. Detaillierte Produkt- und Service-Angebote sind hier. Die Liste alles swiss hosting-Träger inklusive SaaS-Angeboten ist hier.

-AlpHosting - TiZoo Gmbh

-Sileo Information Management AG

Sind sie bereits «swiss hosting»-Partner (Level 2 mit Hosting-, Cloud-Angeboten für Dritte, wie z. B. SaaS-Anbieter) aber nicht auf der Liste, nehmen sie bitte Kontakt mit uns auf.

faq

Hinweise für die praktische Umsetzung der Vertrages.

systemzugriff aus dem ausland Detail anzeigen Detail verbergen

Mitarbeiter im Urlaub/Geschäftsreise – der Systemzugriff aus dem Ausland ist erlaubt, sofern technische Massnahmen zum Schutz ergriffen werden (Passwort, Verschlüsselung, VPN, etc.). Diese Massnahmen müssen technisch auf der Höhe der Zeit sein und begrenzen sich nicht auf die hier aufgeführten Beispiele.
Temporärer Zugriff für Dritte – Thema Wartung, Einspielen von Updates, etc.: Der Systemzugriff ist erlaubt sofern sichergestellt wird, dass der Zugriff nicht auf Root-Ebene stattfindet, bzw. keine Möglichkeit besteht Kundendaten zu kopieren oder abzusaugen.
Support im Rahmen von 24-Std-Pikett: Der Systemzugriff ist erlaubt sofern die Mitarbeiter im Ausland direkt bei der Mutter in der Schweiz oder bei der Tochter, die im alleinigen Besitz der Mutter ist, angestellt sind. Drittfirmen dürfen nicht zu diesem Zweck beauftragt werden. Tochtergesellschaften dürfen keinen rechtlichen Anspruch auf die Daten haben. Es muss auf organisatorischer Ebene sichergestellt sein, dass keine Daten abgesaugt oder kopiert werden dürfen. Gleichzeitig müssen technische Massnahmen auf Höhe der Zeit vorhanden sein wie bei Punkt 1.

übergangsregelung «hosted in switzerland» Detail anzeigen Detail verbergen

«hosted in switzerland», der Vorgänger von «swiss hosting», darf bis Ende 2020 weiter verwendet werden. Danach hat «hosted in switzerland» keine Bedeutung mehr und muss von allen Firmen, die es noch verwenden, entfernt werden. Ab dem 01.01.2021 gilt nur noch «swiss hosting» in Verbindung mit dem unterzeichneten Rahmenvertrag.

vortrag - die juristischen aspekte von swiss hosting Detail anzeigen Detail verbergen

Ein Vortrag von Prof. Dr. Simon Schlauri (Rechtsanwalt, Prof. Universität Zürich), der auch an der Entwicklung des «swiss hosting»-Vertrags beteiligt war: Die juristischen Aspekte von «swiss hosting». Hier werden die juristischen Feinheiten im Zusammenspiel zwischen DSG und «swiss hosting» kompakt und anschaulich erklärt.

grenzen von «swiss hosting» Detail anzeigen Detail verbergen

Die Welt ist komplex - deswegen reicht «swiss hosting» allein nicht aus, um die Kontrolle über die eigenen Daten zu garantieren. Einige Beispiele:

Sie setzen auf eine «swiss hosting»-Applikation, exportieren aber die Daten, um sie per Mail zu verschicken - dies vielleicht sogar im Austausch mit Ihrem Applikations-Dienstleister. Welchen Mail-Dienst verwenden Sie?
Sie verwenden gängige Office-Produkte, um Daten aus «swiss hosting»-Applikationen zu bearbeiten und/oder zu verschicken. Hier müssen Sie prüfen, ob ein automatisches Speichern in der Cloud aktiviert ist oder ob Ihr Dienstleister diese Dienste isoliert vom Anbieter betreiben kann.
Sie verwenden gängige Messenger-Dienste, um Daten aus «swiss hosting»-Applikationen zu bearbeiten und/oder zu verschicken.

payment providers Detail anzeigen Detail verbergen

Zulässig ist die Verwendung des Logos auch bei Angeboten, bei denen Bezahlfunktionen nur unter Beizug ausländischer Anbieter implementiert werden können, sofern die Anforderungen für die Verwendung des Logos aber im Übrigen erfüllt werden. Die Kooperation mit ausländischen Anbietern für Bezahlfunktionen bleibt also zulässig. Dieser Umstand muss für den Nutzer aber transparent deklariert werden.

Dies da es gegenwärtig nicht klar ist, ob eine Schweizer Lösung existiert, welche die Anforderungen von swiss hosting erfüllt. Dies ist in Abklärung.