Was ist die Kurzantwort für Schweizer Unternehmen?
US-Clouds sind in der Schweiz nicht pauschal verboten, können aber bei sensiblen Personendaten ein erhebliches Compliance-Risiko darstellen.
Der Hauptgrund ist nicht primär Technik, sondern Recht: Der US CLOUD Act kann Zugriffe auf Daten ermöglichen, selbst wenn diese ausserhalb der USA gespeichert sind.
Wer nDSG-konforme Datenerfassung aufbauen will, sollte Hosting-Gerichtsstand und Verschlüsselungsarchitektur von Anfang an als Kernkriterien behandeln.
Warum sind US-Clouds nach dem nDSG problematisch?
Das Kernproblem liegt weniger in der technischen Sicherheit grosser Cloud-Anbieter, sondern in der Rechtslage. Der US CLOUD Act verpflichtet US-Unternehmen, Behördenzugriffe auf gespeicherte Daten zu ermöglichen.
Entscheidend ist die extraterritoriale Wirkung: Das kann auch Daten betreffen, die ausserhalb der USA gespeichert sind.
Für Schweizer Organisationen entsteht dadurch ein Spannungsfeld zum nDSG, insbesondere bei Kontrolle, Transparenz und Nachvollziehbarkeit gegenüber betroffenen Personen.
Darf ich für Kundendaten weiterhin amerikanische Online-Formulare nutzen?
Ja, technisch ist das möglich. Aus Compliance-Sicht kann es je nach Datenkategorie jedoch kritisch sein.
Das Risiko entsteht oft bereits beim Einstieg in den Prozess: bei Formularen für Bewerbungen, Kundenanfragen oder medizinische Angaben.
Wenn dort besonders schützenswerte Personendaten erfasst werden, sollten Unternehmen die rechtliche und technische Architektur besonders sorgfältig prüfen.
Welche zwei Kriterien machen Datenerfassung wirklich nDSG-tauglich?
Erstens: der Gerichtsstand der Infrastruktur. Lokales Hosting ohne US-Bezug reduziert das Risiko externer Rechtszugriffe deutlich.
Zweitens: die Qualität der Verschlüsselung. Vertraulichkeit sollte nicht nur organisatorisch, sondern auch kryptografisch abgesichert sein.
Je sensibler die Daten, desto wichtiger ist ein Modell, das Rohdatenzugriffe technisch begrenzt.
Wie setzt Formsly diese Anforderungen technisch um?
Formsly wurde dafür entwickelt, regulatorische Anforderungen für Schweizer Organisationen technisch abzubilden, ohne die Bedienbarkeit moderner SaaS-Workflows zu verlieren.
Die Plattform läuft auf dedizierter Schweizer Infrastruktur (Exoscale, Zürich) und verzichtet für Formulardaten auf US-Cloud-Abhängigkeiten. Im Standardbetrieb schützt Application-Level Encryption sensible Inhalte bei Speicherung und Verarbeitung. Für besonders hohe Vertraulichkeitsanforderungen ist im Pro-Plan eine echte Ende-zu-Ende-Verschlüsselung (E2EE) verfügbar, bei der Inhalte bereits im Browser verschlüsselt werden.
Was bedeutet das konkret für die Praxis?
Die Wahl der Hosting- und Sicherheitsarchitektur ist keine rein technische Detailfrage mehr, sondern Teil der Compliance-Strategie.
Schweizer Organisationen, die bei der Datenerfassung auf lokale und rechtlich unabhängige Lösungen setzen, reduzieren Haftungsrisiken und stärken gleichzeitig das Vertrauen von Kunden, Mitarbeitenden und Partnern.
FAQ