KMU-Magazin Nr. 4/5, April/Mai 2026 Cloud-Lösungen: Das ist rechtlich entscheidend

Cloud-Lösungen sind aus dem Geschäftsalltag von Schweizer KMU kaum mehr wegzudenken. Doch gerade weil sie so selbstverständlich und unverzichtbar geworden sind, tauchen immer wieder praktische und rechtliche Fragen auf. Wir geben einen Überblick über die rechtlichen Grundlagen und zeigen, was bei der Auswahl und Nutzung zu beachten ist.

Cloud Computing beschreibt ein Modell der flexiblen, bedarfsorientierten Nutzung von IT-Ressourcen, etwa in Form von Servern, Datenspeichern oder Applikationen über ein (meist öffentliches) Netzwerk, oft das Internet. Die eigene IT-Infrastruktur wird durch externe Anbieter ergänzt oder je nach Modell sogar ersetzt, was geringere Betriebskosten, den Wegfall von Wartungsaufwand und eine hohe Skalierbarkeit ermöglicht.

Cloud-Modelle

Cloud-Dienste werden in verschiedenen Modellen angeboten. Eines der gängigsten Cloud-Modelle ist «Software as a Service» (SaaS). Hierbei beziehen Unternehmen fertige Softwareanwendungen (z. B. für Buchhaltung, CRM oder Office) direkt vom Anbieter, müssen keine Installation vornehmen und erhalten regelmässige Updates sowie Support. Die Software wird in der Regel webbasiert bereitgestellt, der Anbieter ist für Betrieb und Wartung verantwortlich. Ein Untertyp davon ist das Modell «Desktop as a Service» (DaaS). Hierbei stellt der Anbieter virtuelle Desktop-Arbeitsplätze aus der Cloud bereit. Der Nutzer erhält einen kompletten Desktop, der auf dem Server des Anbieters läuft. Auch beim Modell DaaS trägt der Anbieter die gesamte Infrastrukturverantwortung. Eine dritte Möglichkeit ist das Modell «Infrastructure as a Service» (IaaS). Hierbei mietet das Unternehmen Serverkapazitäten, Speicherplatz oder Netzwerkinfrastruktur und kann darauf eigene Software betreiben. Die Verantwortung für die physische Infrastruktur, Ausfallsicherheit und grundlegende Datensicherheit liegt beim Anbieter. Das Unternehmen bleibt, im Gegensatz zu den anderen Modellen, jedoch für das Betriebssystem und die Anwendungsebene zuständig.

Rechtlich wird Cloud Computing vor allem dann bedeutsam, wenn Personendaten, wie etwa Kundendaten, Personaldossiers, Gesundheitsinformationen oder andere besonders schützenswerte Personendaten, bearbeitet werden. Bereits das Speichern solcher Daten in der Cloud gilt als Bearbeitung und ist den Vorgaben des Bundesgesetzes über den Datenschutz (DSG) unterstellt. Das DSG schreibt unter anderem vor, dass Personendaten transparent, zweckgebunden und verhältnismässig zu bearbeiten und durch angemessene technische und organisatorische Massnahmen zu schützen sind.

Wichtig zu wissen: Unternehmen bleiben auch dann verantwortlich für die Einhaltung der Bestimmungen des DSG, wenn sie die Daten in die Cloud auslagern und technische Aufgaben dem Anbieter überlassen. Deshalb ist bei der Auswahl des Anbieters besondere Sorgfalt geboten.

Kriterien für die Anbieterwahl

Schweizer Unternehmen können aus der Vielzahl von Anbietern gezielt die passendsten herausfiltern, indem sie neben Konditionen und Leistungsumfang auch datenschutz- und berufsgeheimnisrelevante Aspekte berücksichtigen. Der Standort der Datenbearbeitung ist ein zentrales Kriterium: Es empfiehlt sich, Anbieter zu wählen, deren Daten in Schweizer Rechenzentren oder in Staaten mit vergleichbarem Datenschutzniveau bearbeitet werden. Gerade bei internationalen Anbietern sollte geprüft werden, ob Backend oder Support aus Drittstaaten (Nicht-EU-Staaten) erfolgt, da dies Risiken mit sich bringen kann. Nachweisbare Sicherheitsstandards wie Zertifikate (z. B. ISO/ IEC 27001), Audits und unabhängige Prüfberichte können zusätzliche Sicherheit geben. Transparenz bezüglich aller Subunternehmer und Supportstrukturen sowie vertragliche Regelungen zur Zustimmung bei Subaufträgen sind ebenfalls entscheidend, um Kontrolle und Vertrauen zu schaffen.

Besonders wichtig ist die Anbieterwahl bei sensiblen oder besonders schützenswerten Personendaten wie Gesundheitsdaten, Angaben zu Religion oder Ethnie oder Daten, die einem Berufs- oder Amtsgeheimnis unterliegen. Unternehmen haben dann umso mehr sicherzustellen, dass technische und organisatorische Schutzmassnahmen wie starke Verschlüsselungen und ein konsequentes Zugriffskonzept tatsächlich umgesetzt sind und auch die berufsrechtlichen Vorgaben eingehalten werden.

Service-Level-Agreements

Nach der Auswahl eines passenden Anbieters geht es in einem nächsten Schritt darum, die wichtigsten Vertragsinhalte gezielt zu regeln. Im Zentrum steht zunächst die Leistungsbeschreibung: Sie hält Arten, Umfang, Verfügbarkeit und Performance der vom Anbieter zu erbringenden Leistungen fest. Ebenso ist darauf zu achten, dass sämtliche fixen und variablen Kostenpositionen, wie Speichererweiterungen oder spezielle Supportleistungen, transparent und eindeutig dargestellt sind, um Überraschungen bei den Gesamtkosten zu vermeiden.

Für geschäftskritische Cloud-Dienste ist sodann der Abschluss eines Service-Level-Agreements (SLA) dringend zu empfehlen. Ein SLA kann als Teil des Hauptvertrags oder separat vereinbart werden und regelt detailliert Verfügbarkeitszusagen, Reaktionszeiten sowie die Bearbeitung von Störungen oder Ausfällen. Dadurch kann das Risiko eines Betriebsunterbruchs aufgrund Ausfalls eines Cloud-Dienstes verringert werden.

Ferner sind Haftung und Gewährleistung klar und ausgewogen zu regulieren. Zu beachten ist, dass Standardverträge von Anbietern oftmals Haftungsbeschränkungen zulasten des Kunden vorsehen, hier ist besondere Vorsicht und gegebenenfalls Nachverhandlung geboten.

Die Regelung der Beendigung des Vertrags und des Datenrückgabeprozesses stellt einen weiteren zentralen Vertragsbestandteil dar: Es sind dabei Kündigungsfristen, das Verfahren für einen reibungslosen und vollständigen Datenexport sowie die gründliche Löschung sämtlicher Datensicherungen (Back-ups) verbindlich festzuhalten. Zugleich muss die Portabilität und Interoperabilität von Daten gewährleistet werden, sodass ein Wechsel zu einem anderen Anbieter oder System ohne Betriebsunterbruch möglich bleibt.

Besondere Pflichten

Schliesslich sind auch datenschutzrechtliche Verpflichtungen zu vereinbaren: Der Anbieter sowie sämtliche Subunternehmer müssen sich vertraglich zu vollständiger Einhaltung der geltenden Datenschutzgesetze verpflichten. Dazu gehören unter anderem Meldepflichten des Anbieters bei Datenschutzverstössen sowie die Unterstützung des Kunden bei der Erfüllung behördlicher Auskunfts- und Mitwirkungspflichten.

Besonders für Unternehmen und Personen, die dem Berufsgeheimnis gemäss Art. 321 StGB unterstehen (z. B. Anwälte oder Ärzte), gelten im Umgang mit Cloud-Diensten erhöhte Anforderungen: Bereits die technische Möglichkeit des Zugriffs durch den Anbieter auf unverschlüsselte Daten kann eine tatbestandsmässige Offenbarung darstellen. Vertraglich ist daher sicherzustellen, dass Anbieter und Subunternehmer einer Geheimhaltungspflicht unterliegen, die dem Berufsgeheimnis entspricht. Zudem wird empfohlen, die Zulässigkeit der Datenauslagerung vorab mit der zuständigen Aufsichtsbehörde oder dem Berufsverband abzuklären oder deren Weisungen zu konsultieren. Unter Umständen ist es erforderlich, mit dem Cloud-Anbieter spezifische Zusatzverträge betreffend das Berufsgeheimnis abzuschliessen, um den gesetzlichen Anforderungen zu genügen. Gewisse Anbieter stellen solche Zusatzvereinbarungen bereits standardmässig zur Verfügung.

Cloud und Datenschutz

Das bereits im Rahmen der Anbieterwahl sowie der Vertragsgestaltung angesprochene Thema Datenschutz ist beim Cloud Computing zentral. Nachfolgend werden die wesentlichen datenschutzrechtlichen Herausforderungen nochmals erläutert. Im Verhältnis von Unternehmen und deren Cloud-Anbietern gilt grundsätzlich das Unternehmen als Verantwortlicher nach DSG, da es über Zweck und Mittel der Datenbearbeitung entscheidet. Der Cloud-Anbieter hingegen wird regelmässig als Auftragsbearbeiter tätig und darf Personendaten ausschliesslich auf Weisung des Verantwortlichen bearbeiten. Eine klare und vertraglich festgelegte Abgrenzung dieser Rollen ist essenziell, sowohl hinsichtlich der Haftung als auch der Kontrollrechte. Regelmässig erfolgt diese Festlegung durch einen separaten Auftragsdatenbearbeitungsvertrag, dessen Abschluss für sämtliche Outsourcing-Projekte mit Personendaten nachdrücklich empfohlen wird. Werden besonders schützenswerte Personendaten bearbeitet, sind verschärfte Anforderungen zu beachten: Eine Subdelegation an weitere Bearbeiter sollte nicht oder nur eingeschränkt zulässig sein, die Haftung darf nicht ausgeschlossen oder reduziert werden, und es muss insbesondere bei SaaS Lösungen technisch sichergestellt werden, dass dem Anbieter der Zugriff auf sensible Inhalte, etwa durch Verschlüsselung oder lokale Datenspeicherung, verwehrt bleibt. Für die Übermittlung von Personendaten ins Ausland, was je nach Anbieter notwendig sein kann, ist stets zu prüfen, ob das Empfängerland ein angemessenes Datenschutzniveau aufweist. Der Bundesrat führt eine entsprechende Liste. Für die EU und US-Unternehmen mit Zertifizierung unter dem Swiss-U.S. Data Privacy Framework gilt ein adäquater Schutz. Andernfalls sind ergänzende vertragliche Garantien vorzusehen.

Darauf kommt es an

Cloud Computing hat sich im Schweizer Geschäftsalltag als unverzichtbare Technologie etabliert. Die vielfältigen Vorteile, von erhöhter Flexibilität und Skalierbarkeit bis hin zu erheblichen Effizienzgewinnen, sind für Unternehmen längst Realität. Gleichzeitig stellt die rechtssichere Nutzung von Cloud-Diensten hohe Ansprüche an die Organisation und erfordert eine sorgfältige Auswahl vertrauenswürdiger Anbieter, eine transparente Vertragsgestaltung sowie konsequente Berücksichtigung datenschutz- und berufsrechtlicher Vorgaben. Gerade bei der Bearbeitung von sensiblen oder besonders schützenswerten Personendaten sind Kontrollmechanismen, klare Verantwortlichkeiten und technische Sicherheitsmassnahmen essenziell. Wer diese Aspekte beherzigt, kann das Potenzial von Cloud-Lösungen optimal nutzen und gleichzeitig Risiken zuverlässig minimieren.

Beitrag veröffentlicht am
16. Juni 2026

Andrea Meule
Kaufmann Rüedi Rechtsanwälte AG
Partnerin, Rechtsanwältin, Notarin
Alle Beiträge von Andrea Meule

Yanick Schmid
Kaufmann Rüedi Rechtsanwälte AG
Rechtsanwalt
Alle Beiträge von Yanick Schmid

Stichworte in diesem Beitrag

Diesen Beitrag teilen

Weitere Beiträge

IT ICT Datenschutz
IT/ICT und Datenschutz
13.03.2026

Elektronische Signaturen und digitale Verträge: Rechtliche Grundlagen und praktische Hinweise

Digitale Geschäftsprozesse bestimmen heute die Vertragsabwicklung in fast allen Branchen. Elektronische Signaturen sind ein zentrales Instrument für Effizienz und Flexibilität, doch die rechtlichen Rahmenbedingungen sind komplex und werfen praktische Fragen auf. Der folgende Beitrag gibt einen Überblick über gesetzliche Vorgaben und praxisrelevante Stolpersteine bei der Nutzung elektronischer Signaturen in der Schweiz.

Beitrag lesen
22.01.2026

Gesetzliche Neuerungen 2026

Mit dem Beginn des Jahres 2026 treten in der Schweiz erneut zahlreiche Gesetzesänderungen in Kraft. Viele dieser Neuerungen betreffen alltägliche Lebensbereiche wie Wohnen, Finanzen, Gesundheit und Energieversorgung. Der Beitrag fasst die wichtigsten Änderungen für das Jahr 2026 zusammen und zeigt, was sich konkret ändert.

Beitrag lesen
Schiedsgerichtsbarkeit / Mediation
04.11.2025

Internationale Schiedsgerichtsbarkeit - Stolpersteine bei der Vertragsgestaltung

Im internationalen Wirtschaftsverkehr entscheiden sich zahlreiche Unternehmen gezielt für die Schiedsgerichtsbarkeit. Sie bietet Vertraulichkeit, Flexibilität und oft Vorteile bei der internationalen Vollstreckbarkeit. Damit diese Vorteile im Streitfall tatsächlich zum Tragen kommen, ist eine sorgfältige Vertragsgestaltung unerlässlich. Vor allem der Schiedsklausel sollte besondere Beachtung geschenkt werden. Widersprüche, Unklarheiten oder Lücken können dazu führen, dass Verfahren erheblich verzögert oder sogar ganz verhindert werden. Dieser Beitrag beleuchtet zentrale Stolpersteine bei der Ausgestaltung von Schiedsvereinbarungen in grenzüberschreitenden Verträgen.

Beitrag lesen
Alle zeigen

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Ausserdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben.

Details in unserer Datenschutzerklärung   

Einstellungen
Essentielle Dienste und Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

In diesem Cookie werden die von Ihnen selbst vorgenommenen Einstellungen, wie z.B. Ihre bevorzugte Sprache für die Nutzung des Angebots gespeichert.

Google reCAPTCHA

Wir verwenden auf unserer Website das Cookie NID des Computerprogrammes reCAPTCHA, das von der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) betrieben wird. Sinn und Zweck ist es, zu unterscheiden, ob eine Handlung im Internet von einem Menschen oder einem Computerprogramm bzw. Bot vorgenommen wird. In diesem Zusammenhang wird beim Besuch der Website Ihr Verhalten (IP-Adresse, Verweildauer, Mausbewegungen etc.) erfasst, pseudonomysiert und an Google weitergeleitet. Die Speicherdauer beträgt 6 Monate. Die Speicherung erfolgt auf Servern in den USA. Näheres über die weitere Verwendung der pseudonymisierten Daten durch Google entnehmen Sie bitte den unter https://policies.google.com/privacy?hl=de abrufbaren Informationen.

Statistik und Nutzungsmessung

Statistik-Cookies dienen dem Website-Betreiber zu verstehen, wie Nutzer mit der Website interagieren, indem Informationen anonym gesammelt und gemeldet werden.

Nutzungsmessung mit Matomo

Wir verwenden Matomo zur datenschutzfreundlichen Webanalyse. Die anonymisierten Daten liegen auf unseren Servern und werden nicht an Dritte weitergegeben.

Externe Dienste

Inhalte von Videoplattformen, Social-Media-Plattformen oder anderen externen Diensten sind standardmässig blockiert. Wenn Cookies von externen Medien akzeptiert werden, bedarf der Zugriff auf diese Inhalte keiner einzelnen manuellen Zustimmung mehr.

Geographische Karten von OpenStreetMaps

OpenStreetMaps dient der Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben.

Details in unserer Datenschutzerklärung