Cloud Computing ist das Fundament moderner Unternehmens-IT. Bereits 53 Prozent der Schweizer KMU nutzen Cloud-Technologien – und der Trend beschleunigt sich. Doch die Wahl des falschen Anbieters oder Modells kann rechtliche Risiken, versteckte Kosten und Sicherheitslücken mitbringen. Dieser Leitfaden erklärt die wichtigsten Cloud-Konzepte, beleuchtet Vorteile und Risiken und zeigt, was Schweizer KMU beim Thema Datenschutz (revDSG), Datensouveränität und Anbieterauswahl wissen müssen.
| → KEY TAKEAWAYS
• Cloud Computing ist die Bereitstellung von IT-Ressourcen (Speicher, Rechenleistung, Software) über das Internet – statt auf eigener Hardware. Pay-as-you-go statt Kapitalinvestition. • 53 % der Schweizer KMU nutzen Cloud-Technologien (FHNW). Der Umstieg ist kein Trend mehr, sondern Basis moderner IT-Infrastruktur. • Das revDSG (seit September 2023) verpflichtet alle Unternehmen zum sorgfältigen Umgang mit Personendaten – auch in der Cloud. Entscheidend ist die vertragliche und technische Absicherung der Datenbearbeitung, nicht allein der Serverstandort. • CLOUD Act: US-amerikanische Anbieter (AWS, Azure, Google) können von US-Behörden verpflichtet werden, Daten herauszugeben – auch wenn die Server in der Schweiz stehen. • Swiss-Cloud-Anbieter bieten volle Datensouveränität, sind jedoch häufig teurer und haben ein kleineres Produktportfolio. • Das grösste Sicherheitsrisiko ist nicht der Cloud-Anbieter, sondern die fehlerhafte Konfiguration durch das KMU. Shared Responsibility: Was der Anbieter sichert und was das KMU selbst absichern muss, müssen klar sein. |
KENNZAHLEN — Cloud Computing in der Schweiz
Aktuelle Zahlen auf einen Blick
| 53%
Schweizer KMU nutzen Cloud-Technologien (FHNW, 2’590 Befragte) |
99.9%
Verfügbarkeit versprechen führende Cloud-Anbieter (SLA) |
CHF 11.2 Mrd.
Wert CH-IKT-Markt 2018 50 % durch Outsourcing + Cloud |
3 Modelle
Public / Private / Hybrid Cloud – je nach Bedarf |
Sep. 2023
Inkrafttreten des revDSG – relevant für alle Cloud-Nutzer |
> 62’000
Gemeldete Cybervorfälle BACS 2. Halbjahr 2024 in der Schweiz |
01 — Was ist Cloud Computing?
Was ist Cloud Computing? Grundlagen und Definition
Cloud Computing bezeichnet die Bereitstellung von IT-Ressourcen – Rechenkraft, Speicher, Datenbanken, Netzwerke, Software – über das Internet durch externe Anbieter. Statt eigene Server zu kaufen, zu warten und zu erneuern, mietet das Unternehmen die benötigte Infrastruktur oder Software auf Abruf.
Das Grundprinzip ist Pay-as-you-go: Man bezahlt für das, was man tatsächlich nutzt – keine Investition in Hardware im Voraus, kein Verschrotten veralteter Server, keine Rücklagen für Lizenzerneuerung. Cloud Computing ist damit nicht eine neue Technologie, sondern eine neue Art, bekannte IT-Ressourcen zu beziehen und zu bezahlen.
| DIE FÜNF KERNMERKMALE VON CLOUD COMPUTING (NACH NIST)
1. On-Demand Self-Service: Ressourcen können selbständig und sofort bereitgestellt werden, ohne manuellen Eingriff des Anbieters. 2. Broad Network Access: Zugriff über das Internet von jedem Gerät (PC, Tablet, Smartphone). 3. Resource Pooling: Anbieter bündeln Ressourcen für viele Kunden, um Skaleneffekte zu erzielen. 4. Rapid Elasticity: Kapazitäten können schnell erhöht oder reduziert werden. 5. Measured Service: Verbrauch wird gemessen und nur genutztes wird verrechnet. |
02 — Die drei Service-Modelle
IaaS, PaaS, SaaS: Die drei Service-Modelle erklärt
Cloud Computing wird in drei grundlegende Service-Modelle eingeteilt. Sie unterscheiden sich darin, wie viel des IT-Stacks der Anbieter betreibt und wie viel das Unternehmen selbst verantwortet. Für die meisten Schweizer KMU ist SaaS die relevanteste Kategorie.
| Modell | Kürzel | Was der Anbieter bereitstellt | Was das KMU verwaltet | Beispiele |
| Infrastructure as a Service | IaaS | Server, Netzwerk, Speicher, Virtualisierung | Betriebssystem, Middleware, Apps, Daten | AWS EC2, Azure VMs, Google Compute |
| Platform as a Service | PaaS | Alles bis Betriebssystem inkl. Middleware | Anwendungen und Daten | Heroku, Azure App Service, Google App Engine |
| Software as a Service | SaaS | Vollständige Applikation, sofort nutzbar | Nur Konfiguration und Daten | Microsoft 365, Bexio, Salesforce, Zoom |
| Backup as a Service | BaaS | Automatische Datensicherung in der Cloud | Backup-Richtlinien, Wiederherstellung | Acronis, Veeam, AWS Backup |
| Security as a Service | SECaaS | Sicherheitsüberwachung, Firewall, Virenschutz | Systemkonfiguration | Cloudflare, Cisco Umbrella, Crowdstrike |
Für die meisten KMU beginnt die Cloud-Nutzung mit SaaS-Applikationen: Microsoft 365, Buchhaltungssoftware wie Bexio oder Abacus, CRM-Systeme. Das ist der einfachste Einstieg mit dem niedrigsten Verwaltungsaufwand und sofortiger Nutzbarkeit.
03 — Public, Private, Hybrid, Swiss und Multi-Cloud
Fünf Deployment-Modelle: Welche Cloud passt zu welchem KMU?
Neben den Service-Modellen unterscheidet man, wo und wie die Cloud-Infrastruktur betrieben wird. Diese Entscheidung ist für Schweizer KMU besonders relevant, weil sie unmittelbar die Datensouveränität und die revDSG-Konformität beeinflusst.
| Cloud-Typ | Infrastruktur | Vorteile | Nachteile / Risiken | Geeignet für |
| Public Cloud | Geteilt, beim Anbieter (AWS, Azure, Google) | Günstig, sofort verfügbar, hoch skalierbar, wenig IT-Aufwand | Datenlage unklar; US-Recht (CLOUD Act) bei US-Anbietern; Abhängigkeit | Start-ups, wachstumsstarke KMU, unkritische Workloads |
| Private Cloud | Dediziert, im eigenen RZ oder bei Partner | Maximale Kontrolle, höchste Sicherheit, individuelle Konfiguration | Hohe Kosten, eigene IT-Ressourcen nötig, weniger flexibel | Finanzbranche, Gesundheit, Industrie mit sensiblen Daten |
| Hybrid Cloud | Mix aus Public und Private | Kritische Daten privat, skalierbare Workloads public; Flexibilität | Komplexität erhöht; Integration aufwendig | KMU mit gemischten Anforderungen, Wachstumsstrategie |
| Swiss Cloud | Ausschliesslich CH-Rechenzentren, CH-Anbieter | Volle Datensouveränität, revDSG-konform, kein ausländischer Zugriff | Höherer Preis, kleineres Angebot | Regulierte Branchen, Behörden, datensensitive KMU |
| Multi- Cloud | Mehrere Anbieter parallel | Kein Vendor Lock-in, Redundanz, beste Lösung je Workload | Komplexes Management, höhere Kosten | Grössere KMU, IT-affine Unternehmen mit kl. IT-Team |
„Die Wahl der richtigen Cloud-Strategie ist für Schweizer Unternehmen zu einer zentralen IT- und Geschäftsentscheidung geworden. Zwischen globalen Hyperscalern, privaten Infrastrukturen und spezialisierten Swiss-Cloud-Anbietern gilt es, regulatorische Vorgaben, Datenschutz, Kosten und Innovationsfähigkeit sorgfältig abzuwägen.“
– digitaljournal.ch, Cloud-Strategien in der Schweiz, März 2026
04 — Vorteile und Risiken
Vorteile und Risiken von Cloud Computing: Die vollständige Übersicht
Cloud Computing bietet erhebliche Chancen – aber auch reale Risiken, die bei der Anbieterwahl und Konfiguration bedacht werden müssen. Die folgende Tabelle gibt einen strukturierten Überblick nach Dimension.
| Dimension | Vorteile / Chancen | Risiken / Herausforderungen |
| Kosten | Keine Vorabinvestitionen in Hardware. Pay-as-you-go senkt Einstiegshürde. Betriebskosten durch Standardisierung tiefer. | Laufende Mietkosten können on-premise übersteigen. Vendor Lock-in erschwert Anbieterwechsel. |
| Skalierbarkeit | Ressourcen in Echtzeit anpassbar. Saisonale Spitzen problemlos abfangbar. Kein Überdimensionieren von Infrastruktur. | Unerwartete Nutzungsspitzen können zu hohen Kosten führen. Budgetplanung erfordert Monitoring. |
| Verfügbarkeit | SLA-garantierte Verfügbarkeit bis 99,9 %. Automatische Redundanz. Keine Abhängigkeit von eigener Hardware. | Internetausfall = kein Zugriff. Anbieterausfälle (AWS-Ausfälle 2023/24) betreffen viele Kunden gleichzeitig. |
| Remote Work | Zugriff auf Daten und Apps von überall. Enables Home Office und standortübergreifende Teams. Bessere Kollaboration. | Abhängigkeit von stabiler Internetverbindung. BYOD-Sicherheitsrisiken. |
| Sicherheit | Hyperscaler investieren Milliarden in Sicherheit. Professionelle Security oft besser als KMU-intern. Verschlüsselung, MFA, DDoS-Schutz. | KMU bleibt verantwortlich für Konfiguration. Falsch konfigurierte Cloud = grösste Sicherheitslücke. Shared-Responsibility-Modell verstehen! |
| Datenschutz | Schweizer Anbieter: revDSG-konform, kein ausländischer Zugriff. EU-Anbieter mit Standardvertragsklauseln: ggf. DSGVO-konform. | US-Anbieter: CLOUD Act ermöglicht US-Behörden Datenzugriff, auch auf CH-Server. Datensouveränität muss aktiv gesichert werden. |
| IT-Entlastung | Kein eigenes IT-Team für Infrastrukturpflege nötig. Updates, Patches, Backups automatisch. | Abhängigkeit vom Anbieter. Support-Qualität grosser Anbieter für KMU oft unzureichend. |
| Nachhaltigkeit | Hyperscaler nutzen Ressourcen effizienter als viele KMU-Server. Grössere RZ nutzen mehr Erneuerbare Energie. | Energieverbrauch globaler Rechenzentren steigt. Transportökobilanz von Rechenzentrumsstandorten beachten. |
05 — Datenschutz in der Cloud: Das revDSG
Datenschutz in der Cloud: Das revidierte Schweizer Datenschutzgesetz
Seit dem 1. September 2023 gilt das revidierte Schweizer Datenschutzgesetz (revDSG, auch nDSG genannt). Es bringt das Schweizer Datenschutzniveau auf das Niveau der europäischen DSGVO. Für Cloud-Nutzer bedeutet das: Wer Personendaten in der Cloud verarbeitet, muss rechtlich absichern, wie diese Daten geschützt sind.
| REVDSG UND CLOUD: DIE WICHTIGSTEN PFLICHTEN FÜR KMU
Privacy by Design (Art. 7 revDSG): Datenschutz muss von Anfang an in Systeme und Prozesse integriert sein. Betrifft die Wahl des Cloud-Anbieters und dessen Konfiguration. Privacy by Default: Standardeinstellungen müssen das höchste Datenschutzniveau bieten. Cloud-Dienste müssen entsprechend konfiguriert sein. Informationspflicht (Art. 19 revDSG): Betroffene müssen informiert werden, wenn ihre Personendaten erhoben werden – auch über Cloud-Dienste. Auftragsdatenverarbeitung: Wer einen Cloud-Anbieter nutzt, der Personendaten verarbeitet, muss einen Datenverarbeitungsvertrag (AVV) abschliessen. Bearbeitungsverzeichnis (Art. 12 revDSG): Pflicht für grössere Unternehmen. KMU unter 250 Mitarbeitende sind ausgenommen, sofern sie kein risikoreiches Profiling betreiben. Datenpannenmeldung (Art. 24 revDSG): Bei Sicherheitsverletzungen mit erhöhtem Risiko muss der EDÖB rasch informiert werden. |
Wichtig: Das revDSG gilt unabhängig vom Serverstandort. Entscheidend ist, wer die Daten verarbeitet und ob dies rechtlich und technisch ausreichend abgesichert ist. Laut Artikel 16 revDSG ist die Bekanntgabe von Personendaten ins Ausland nur zulässig, wenn der Empfängerstaat ein adäquates Datenschutzniveau bietet oder spezifische Garantien bestehen.
06 — Datensouveränität: Der CLOUD Act
Der CLOUD Act: Was US-Anbieter von Schweizer KMU trennt
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ist ein amerikanisches Gesetz, das US-Technologieunternehmen verpflichtet, US-Behörden auf Anfrage Zugang zu gespeicherten Daten zu gewähren – unabhängig davon, wo diese Daten physisch gespeichert sind. Das bedeutet: Auch Daten in AWS-Rechenzentren in Zürich können unter bestimmten Umständen von US-Behörden abgerufen werden.
„Wenn man eine amerikanische Firma wie Google, Amazon oder ähnliche beauftragt, hat die US-Regierung das Recht auf Einsicht in alles, was auf deren gesamten Servern gespeichert ist.“
– Marcel Graf, Professor für Cloud Computing, HEIG-VD, kmu.admin.ch
Für Schweizer KMU bedeutet das: Die Wahl des Cloud-Anbieters ist auch eine rechtliche Risikoentscheidung. Wer hochsensible Geschäftsdaten, Kundendaten, Gesundheitsinformationen oder Verfahrensgeheimnisse in der Cloud speichert, sollte die Konsequenzen des CLOUD Acts kennen und bewusst entscheiden. So wird der Cloud Act oft auch bei CRM Lösungen vernachlässigt in der Beurteilung der Optionen.
| CLOUD ACT: PRAXISFOLGEN FÜR SCHWEIZER KMU
Betroffen: AWS, Microsoft Azure, Salesforce, Hubspot, Google Cloud – alle US-amerikanischen Anbieter, auch mit CH-Rechenzentren. Nicht betroffen: Swiss-Cloud-Anbieter ohne US-Eigentum (z.B. Exoscale, Nine.ch, Init7, Metanet). Europäische Cloudanbieter wie Zoho, Saleaway usw. Übersicht der Alternativen. Was zu tun ist: Sensible Daten (Kunden-Personendaten, Vertragsgeheimnisse, Gesundheitsdaten) bevorzugt bei Swiss-Cloud-Anbietern speichern. Weniger sensible Workloads können bei Hyperscalern liegen. Hybridstrategie: Kritische Daten bei Swiss Cloud, skalierbare Workloads bei Hyperscalern – das ist die gängigste Empfehlung für Schweizer KMU. |
07 — Anbieter im Überblick
Globale Hyperscaler vs. Swiss Cloud: Anbieter-Übersicht
Im Schweizer Markt stehen globale Hyperscaler und spezialisierte Schweizer Anbieter in direktem Wettbewerb. Beide haben ihre Berechtigung – je nach Anforderungsprofil des KMU.
| Anbieter | Typ | Datenspeicherort | revDSG-Konformität | Besonderheit für CH-KMU |
| AWS (Amazon) | Public Hyperscaler | Rechenzentrum Zürich möglich (eu-central-2) | Bedingt (Vertragsgestaltung) | CLOUD Act: US-Behörden-Zugriff möglich; grosse SaaS-Plattform |
| Microsoft Azure | Public Hyperscaler | Schweizer Rechenzentren verfügbar (Azure CH North) | Bedingt | Microsoft 365 weitverbreitet; Compliance-Tools vorhanden |
| Google Cloud | Public Hyperscaler | Rechenzentrum Zürich (europe-west6) | Bedingt | KI-Infrastruktur stark; CLOUD Act gilt trotz CH-Standort |
| Exoscale (CH) | Swiss Cloud | Ausschliesslich CH und AT | Ja (vollständig) | 100 % CH-Eigentum; Datensouveränität garantiert |
| Nine.ch (CH) | Swiss Cloud | Ausschliesslich Schweiz | Ja (vollständig) | ISO 27001; starker KMU-Fokus; Schweizer Support |
| Bexio Cloud | Swiss SaaS | Schweiz | Ja | Buchhaltung/ERP speziell für Schweizer KMU; QR-Rechnung (via QRModul.ch) |
Praxistipp aus der Branche (dpstudio.ch, 2026): „Im Schweizer Markt geht es beim Thema Cloud nicht nur um Technologie, sondern um Souveränität, Transparenz und Vertrauen. Viele KMU legen Wert darauf, dass ihre Daten in der Schweiz gespeichert werden, dass die Anbieter vor Ort präsent sind und dass der Support in der eigenen Sprache erfolgt.“
08 — Das Shared-Responsibility-Modell
Shared Responsibility: Wer sichert was in der Cloud?
Der grösste Irrtum bei der Cloud-Sicherheit: Viele KMU glauben, mit dem Wechsel in die Cloud sei die IT-Sicherheit automatisch beim Anbieter. Das ist falsch. Cloud-Anbieter folgen dem Shared-Responsibility-Modell: Anbieter und Kunde teilen die Sicherheitsverantwortung.
Was der Cloud-Anbieter sichert:
- Physische Sicherheit der Rechenzentren (Zugang, Strom, Kühlung)
- Netzwerkinfrastruktur und Hardware
- Hypervisor und Virtualisierungsschicht
- Grundlegende DDoS-Mitigation auf Infrastrukturebene
- Verfügbarkeit gemäss SLA
Was das KMU selbst sichern muss:
- Benutzerkonten: Zugriffsrechte, 2-Faktor-Authentifizierung, Passwortsicherheit
- Konfiguration: Fehlkonfigurierte S3-Buckets und Datenbanken sind eine Hauptursache von Cloud-Datenlecks
- Verschlüsselung: Sensible Daten im Ruhezustand und über Verbindungen verschlüsseln
- Backup und Recovery: Auch in der Cloud: eigene Backupstrategie, nicht nur Anbieter-Snapshots
- Monitoring: Logs überwachen, Anomalien erkennen, Incident-Response-Plan haben
- Datenschutz: Konfiguration der Privacy-Einstellungen, Auftragsverarbeitungsverträge
Fazit: Cloud ist sicher, wenn sie richtig konfiguriert und überwacht wird. Die häufigste Ursache von Cloud-Datenpannen ist nicht ein Angriff auf den Anbieter, sondern eine versehentlich öffentlich zugängliche Datenbank oder ein nicht gesichertes Administrator-Konto beim Kunden.
09 — Was Cloud wirklich kostet
Kosten im Blick: Was Cloud Computing für KMU wirklich kostet
Cloud Computing ist günstig – stimmt das? Ja und nein. Der Einstieg ist günstig. Aber die Gesamtkosten (Total Cost of Ownership, TCO) über mehrere Jahre können in manchen Szenarien höher sein als On-Premise-Lösungen. Eine ehrliche TCO-Analyse ist Pflicht.
Direkte Kosten
- SaaS-Abonnements: CHF 5–50 pro User/Monat je nach Applikation (z.B. Microsoft 365 Business Basic: ab CHF 6 pro User/Monat)
- IaaS / PaaS: Pay-as-you-go nach Rechenleistung, Speicher, Datenvolumen
- Lizenzkosten für spezifische Cloud-Services (z.B. Datenbank-as-a-Service)
- Bandbreite: Ausgehender Datenverkehr (Egress) wird bei Hyperscalern separat berechnet
Versteckte Kosten
- Migrations-Aufwand: IT-Beratung, Datenmigration, Testing – oft grösster Einmalaufwand
- Schulung der Mitarbeitenden
- Integrations-Kosten: API-Verbindungen zwischen Cloud-Services
- Vendor Lock-in: Ausstieg aus einem Cloud-Ökosystem kann teuer und aufwendig sein
- Compliance-Kosten: revDSG-konforme Konfiguration, Datenschutz-Folgenabschätzungen
kmu-magazin.ch warnt: Namhafte Cloud-Anbieter suggerieren eine Scheinsicherheit und versprechen 99,9 Prozent Verfügbarkeit und freie Skalierbarkeit, vernachlässigen aber das finanzielle Risiko, welches bei Liquiditätsengpässen in der eigenen Unternehmung entsteht. Laufende Abonnement-Kosten sind fix – auch wenn der Umsatz schwankt.
10 — Der Weg in die Cloud
Cloud-Migration: So gelingt der Umstieg
Der Umstieg in die Cloud ist für die meisten KMU kein grosses Transformationsprojekt, sondern ein schrittweiser Prozess – beginnend mit SaaS-Applikationen und endend bei einer vollständig cloud-basierten IT-Infrastruktur.
Phase 1: Inventar und Analyse
- Alle eingesetzten IT-Systeme und Applikationen auflisten.
- Kategorisierung: Welche Daten sind sensibel? Welche Prozesse sind kritisch?
- Anforderungen definieren: Datenschutz, Compliance, Verfügbarkeit, Kosten.
- Cloud-Strategie-Entscheid: Public / Private / Swiss / Hybrid.
Phase 2: Anbieterwahl und Pilotprojekt
- 2–3 Anbieter evaluieren (inkl. Schweizer Anbieter vergleichen).
- Pilot: Nicht-kritisches System zuerst migrieren (z.B. E-Mail-System, Dokumentenablage).
- Auftragsverarbeitungsvertrag (AVV) abschliessen.
- Mitarbeitende schulen.
Phase 3: Migration und Go-live
- Datenmigration mit Backup und Fallback-Plan.
- Parallelbetrieb: Alt-System noch kurz aktiv halten.
- Monitoring einrichten: Logs, Kosten, Performance.
- Review nach 3 Monaten: Kosten, Nutzen, Sicherheit.
11 — Cloud-Sicherheit: Die wichtigsten Massnahmen
Cloud-Sicherheit: Die 10 wichtigsten Massnahmen für KMU
- 2-Faktor-Authentifizierung (2FA/MFA) für alle Cloud-Accounts – besonders Admin-Zugange.
- Prinzip der minimalen Rechte: Jeder Mitarbeitende erhält nur die Rechte, die er benötigt.
- Verschlüsselung: Daten im Ruhezustand (at rest) und über Übertragungsstrecken (in transit).
- Regelmässige Backups: Cloud-Backup ist kein Ersatz für eigene Datensicherung. 3-2-1-Regel.
- Security-Updates: Cloud-Software automatisch aktuell halten.
- Konfigurationsmanägement: Öffentliche Daten-Buckets und ungesicherte Datenbanken vermeiden.
- Incident-Response-Plan: Was passiert im Ernstfall? Kontakte, Ablauffähigkeit, Kommunikation.
- Auftragsverarbeitungsvertrag (AVV) mit Cloud-Anbietern abschliessen (revDSG-Pflicht).
- Passwortmanager für alle Mitarbeitenden: 1Password, Bitwarden oder ähnliches.
- Mitarbeitende sensibilisieren: Phishing, Social Engineering, BYOD-Regeln.
12 — Die Cloud-Entscheidungsmatrix
Entscheidungshilfe: Welche Cloud passt zu welchem Schweizer KMU?
Die richtige Cloud-Strategie hängt von der Branche, der Datensensitivität, dem Budget und der internen IT-Kapazität ab. Die folgende Entscheidungshilfe orientiert sich an der digitaljournal.ch-Analyse von März 2026.
| CLOUD-ENTSCHEIDUNGSMATRIX FÜR SCHWEIZER KMU
Wenige Mitarbeitende, unkritische Daten, kein IT-Team → Public SaaS (Microsoft 365, Google Workspace, Bexio). Einfachster Einstieg, tiefste Kosten, sofort verfügbar. Wachsendes KMU mit Kundendaten, B2B-Ausrichtung, DSGVO-relevant → Schweizer SaaS oder Swiss Cloud bevorzugen. Hybridstrategie für skalierbare Workloads. Branche mit sensiblen Daten (Gesundheit, Finanz, Recht, Industrie) → Swiss Cloud oder Private Cloud. revDSG und CLOUD Act haben direkte Relevanz. IT-affines KMU mit Entwicklungsteam → Hybrid/Multi-Cloud. AWS oder Azure für Entwicklung und Test, Swiss Cloud für Produktivdaten. Start-up mit globalem Wachstum → Public Cloud (AWS, Azure, GCP). Niedrige Einstiegshürde, globale Skalierbarkeit. Datenschutz-Compliance aktiv einplanen. Kriterium übergreifend: Nie Cloud-Anbieter ohne Auftragsverarbeitungsvertrag (AVV) nutzen. Nie sensible Daten unverschlüsselt in der Cloud ablegen. |
13 — Häufige Fragen (FAQ)
FAQ: Cloud Computing für Schweizer KMU
Was ist der Unterschied zwischen Public Cloud, Private Cloud und Swiss Cloud?
Public Cloud: Geteilt bei einem globalen Anbieter (AWS, Azure, Google). Günstig, flexibel, aber Datensouveränität eingeschränkt. Private Cloud: Dedizierte Infrastruktur, maximale Kontrolle. Swiss Cloud: Daten ausschliesslich in Schweizer Rechenzentren unter Schweizer Recht. Für KMU mit sensiblen Daten oder Compliance-Anforderungen besonders relevant.
Was bedeutet der CLOUD Act für Schweizer KMU?
US-amerikanische Cloud-Anbieter (AWS, Microsoft, Google) können von US-Behörden verpflichtet werden, Kundendaten herauszugeben – auch wenn die Server in der Schweiz stehen. Für Daten ohne besondere Schutzbedürftigkeit ist das oft kein Problem. Für sensible Kunden-, Gesundheits- oder Geschäftsdaten sollten Schweizer KMU Swiss-Cloud-Anbieter bevorzugen oder eine Hybridstrategie verfolgen.
Was ist das revDSG und was bedeutet es für Cloud-Nutzer?
Das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit September 2023) schreibt vor, dass Personendaten sicher verarbeitet werden müssen – unabhängig vom Serverstandort. Für Cloud-Nutzer bedeutet das: Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, datenschutzkonforme Konfiguration, Informationspflicht gegenüber Betroffenen. KMU unter 250 Mitarbeitende sind von einigen Pflichten ausgenommen, sofern kein risikoreiches Profiling stattfindet.
Ist Cloud Computing wirklich günstiger als eigene Server?
Im Einstieg ja – keine Vorabinvestition, geringe Anfangskosten. Langfristig müssen Abonnementkosten, Migrations- und Schulungsaufwand, versteckte Kosten (Egress-Bandbreite, Integrations-Aufwand, Compliance) einkalkuliert werden. Für viele KMU überwiegen die Vorteile, aber eine ehrliche TCO-Analyse über 3–5 Jahre lohnt sich vor dem Umstieg.
Was ist SaaS und ist es das Richtige für mein KMU?
SaaS (Software as a Service) bedeutet, dass eine vollständige Applikation als Dienst genutzt wird – keine Installation, automatische Updates, Zahlung pro Nutzer und Monat. Beispiele: Microsoft 365, Bexio, Salesforce, Zoom. Für die meisten KMU ist SaaS der optimale Cloud-Einstieg: geringer IT-Aufwand, sofortige Nutzbarkeit, professionelle Sicherheit.
Wer ist für die Sicherheit meiner Cloud-Daten verantwortlich?
Shared Responsibility: Der Cloud-Anbieter sichert die Infrastruktur (Rechenzentrum, Hardware, Netzwerk, Hypervisor). Das KMU ist verantwortlich für: Benutzerkonten (2FA!), Konfiguration, Datenverschlüsselung, Zugriffsrechte, eigene Backups und Compliance-Konfiguration. Die häufigste Ursache von Cloud-Datenpannen ist fehlerhafte Konfiguration durch den Nutzer, nicht ein Angriff auf den Anbieter.
Welche Schweizer Cloud-Anbieter gibt es?
Bekannte Swiss-Cloud-Anbieter: Exoscale (Infrastructure, 100 % CH-Eigentum), Nine.ch (Hosting, Managed Services), Init7 (Netzwerk und Hosting), Metanet, Infomaniak (besonders für Westschweiz). Für Buchhaltungs- und ERP-SaaS: Bexio (Buchhaltung), Abacus (ERP). Diese Anbieter garantieren Datenhaltung in der Schweiz ohne US-CLOUD-Act-Risiko.
Quellen: kmu.admin.ch (Bund – Cloud Computing, revDSG), digitaljournal.ch (Cloud-Strategien Schweiz, März 2026), dpstudio.ch (Cloud für KMU 2026), ncloud.swiss (Swiss Cloud, Datensouveränität), FHNW (KMU-Digitalisierungsstudie, 2’590 Befragte), kmu-magazin.ch (Chancen und Risiken Cloud), nexova.ch (revDSG-Überblick), BACS Halbjahresbericht 2024. Stand März 2026. Alle Angaben ohne Gewähr. Rechtliche Entscheidungen erfordern individuelle Beratung.
