Schweiz & revDSG Datenschutz & Compliance

revDSG & Microsoft 365: Warum Schweizer Unternehmen jetzt handeln müssen

Seit September 2023 gilt das revidierte Schweizer Datenschutzgesetz. Microsoft 365, OneDrive und Teams speichern Ihre Daten auf US-Servern — und das ist unter dem revDSG ein konkretes Haftungsrisiko mit persönlichen Bussen bis 250.000 CHF. Was Sie als Geschäftsführer wissen müssen — und welche Alternativen es gibt.

GM
Giuseppe Marrali Linux-Infrastruktur Architekt · Erdea Solutions
📅 Mai 2026 ⏱ 7 Min. Lesezeit 🇨🇭 Für Schweizer Unternehmen

Was ist das revDSG — und warum ist es anders als die DSGVO?

Das revidierte Datenschutzgesetz der Schweiz (revDSG, auch nFADP) ist seit dem 1. September 2023 in Kraft. Es ist die umfangreichste Reform des Schweizer Datenschutzrechts seit 30 Jahren — und sie hat Zähne.

Im Gegensatz zur EU-DSGVO, bei der Sanktionen gegen Unternehmen verhängt werden, richtet sich das revDSG in erster Linie an natürliche Personen — also Sie als Geschäftsführer, Inhaber oder verantwortliche Person. Die Strafrahmen sind Bussen von bis zu 250.000 CHF persönlich, keine Unternehmensstrafe.

⚠️ Wichtig: Das revDSG gilt nicht nur für Schweizer Unternehmen. Es gilt für jedes Unternehmen weltweit, das Personendaten von Personen in der Schweiz bearbeitet — also auch für deutsche IT-Dienstleister mit Schweizer Kunden.

Das Microsoft-365-Problem für Schweizer Unternehmen

Microsoft 365, Teams, OneDrive und Exchange Online sind in der Schweiz weit verbreitet. Das Problem ist struktureller Natur und hat drei Dimensionen:

1. Der US CLOUD Act

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verpflichtet Microsoft und andere US-Konzerne, US-Behörden auf Anfrage Zugang zu gespeicherten Daten zu gewähren — unabhängig davon, wo die Server physisch stehen. Das bedeutet konkret: Auch wenn Microsoft versichert, Ihre Daten in Schweizer Rechenzentren zu speichern, bleibt der Zugriff durch US-Behörden möglich.

💡 Das Kernproblem: Datensouveränität ist keine Frage des Serverstandorts, sondern der Unternehmensstruktur. Ein US-Unternehmen unterliegt US-Recht — egal wo seine Server stehen.

2. Datenschutzbehörde kritisiert Microsoft 365

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) sowie mehrere europäische Datenschutzbehörden haben Microsoft 365 explizit kritisiert. Die Kritikpunkte: unzureichende Transparenz über Datenflüsse, Telemetriedaten die zu Microsoft übertragen werden, und fehlende Kontrolle über Unterauftragsverarbeiter.

3. Steigende Lizenzkosten als zusätzlicher Druckfaktor

Microsoft hat die Preise für Microsoft 365 in den letzten Jahren mehrfach erhöht. Für ein Schweizer KMU mit 15 Mitarbeitern summieren sich die jährlichen Kosten für Microsoft 365 Business, Exchange und Windows Server-Lizenzen schnell auf 4.000–8.000 CHF pro Jahr — Geld das vollständig eingespart werden kann.

Was bedeutet das konkret für Ihr Unternehmen?

SituationRisikoStatus
Microsoft 365 / OneDrive im EinsatzCLOUD Act, Datenflüsse zu US-ServernRisiko
Keine Datenschutz-FolgenabschätzungVerstoss gegen revDSG Art. 22Risiko
Kein Verzeichnis der BearbeitungstätigkeitenVerstoss gegen revDSG Art. 12Risiko
Nextcloud auf Schweizer ServerDaten in der Schweiz, kein US-ZugriffSicher
Open-Source E-Mail auf eigenem ServerVolle Kontrolle, revDSG-konformSicher
RustDesk Fernwartung auf eigener InfraKein US-Anbieter (kein TeamViewer/AnyDesk)Sicher

Die revDSG-konformen Alternativen zu Microsoft

Die gute Nachricht: Für jede Microsoft-Lösung gibt es eine professionelle Open-Source-Alternative, die revDSG-konform ist und auf Servern in der Schweiz oder Deutschland betrieben werden kann.

  • OneDrive / SharePoint → Nextcloud oder OpenCloud auf Infomaniak-Servern in Genf
  • Exchange Online / Outlook → Eigener E-Mail-Server mit ISPConfig + Postfix auf CH/DE-Servern
  • Windows → Ubuntu LTS oder Linux Mint — für KMU vollständig geeignet
  • Microsoft 365 Office → LibreOffice öffnet und speichert alle Word/Excel/PowerPoint-Dateien
  • Teams → Jitsi Meet auf eigener Infrastruktur
  • TeamViewer / AnyDesk → RustDesk auf eigener Infrastruktur — kein US-Anbieter

Mehr dazu auf unserer Seite Microsoft Alternative Schweiz.

Was sollten Sie jetzt tun?

Die wichtigsten ersten Schritte für Schweizer Unternehmen:

  • Schritt 1: Inventarisieren Sie welche US-Cloud-Dienste Sie einsetzen (Microsoft, Google, Dropbox, Zoom etc.)
  • Schritt 2: Erstellen Sie ein Verzeichnis der Bearbeitungstätigkeiten (revDSG Art. 12)
  • Schritt 3: Bewerten Sie für jeden Dienst das Risiko unter dem CLOUD Act
  • Schritt 4: Prüfen Sie Open-Source-Alternativen für die kritischsten Dienste
  • Schritt 5: Planen Sie eine schrittweise Migration — nicht alles auf einmal

💡 Unser Ansatz: Wir empfehlen keine überstürzten Komplettmigrationen. Ein realistischer Zeithorizont von 3–6 Monaten für ein KMU mit 10–20 Mitarbeitern erlaubt eine geordnete, unterbrechungsfreie Umstellung.

Häufig gestellte Fragen zum revDSG

Gilt das revDSG auch für mein kleines Unternehmen mit 5 Mitarbeitern? +
Ja. Das revDSG kennt keine Ausnahmen für kleine Unternehmen bezüglich der Grundpflichten. Einzelne Erleichterungen gibt es beim Verzeichnis der Bearbeitungstätigkeiten für kleine Unternehmen, aber der grundsätzliche Datenschutz gilt für alle. Als KMU mit Schweizer Kunden oder Mitarbeitern sind Sie betroffen.
Hat Microsoft keine Massnahmen ergriffen um revDSG-konform zu werden? +
Microsoft bietet Vertragszusätze und Standardvertragsklauseln an, die helfen sollen. Das grundlegende Problem bleibt aber bestehen: Als US-Unternehmen unterliegt Microsoft dem CLOUD Act. Vertragliche Zusicherungen können US-Behördenanfragen nicht verhindern — sie können nur die zivilrechtliche Haftung zwischen Microsoft und dem Kunden regeln.
Wurde bisher jemand in der Schweiz wegen revDSG-Verstössen gebüsst? +
Das Gesetz ist seit September 2023 in Kraft. Erste Untersuchungen durch den EDÖB laufen. Erfahrungsgemäss dauert es 2–3 Jahre bis Behörden flächendeckend Bussen aussprechen — aber das ist kein Grund zu warten. Die Pflichten gelten jetzt, und wer nachweislich nichts unternommen hat, hat bei einer Untersuchung schlechte Karten.
Können wir Microsoft und Open Source parallel betreiben während wir migrieren? +
Ja, das ist sogar empfohlen. Wir richten zuerst die neuen Systeme ein, migrieren die Daten, testen parallel und schalten erst dann die alten Dienste ab. So hat Ihr Betrieb zu keinem Zeitpunkt einen Ausfall. Eine typische Migration dauert 4–8 Wochen — je nach Grösse des Unternehmens.

Kostenlose revDSG-Analyse für Ihr Unternehmen

Wir prüfen Ihre aktuelle IT-Infrastruktur auf revDSG-Konformität und zeigen konkrete Massnahmen — persönlich vor Ort in der Schweiz. Kein Verkaufsdruck, ehrliche Einschätzung.

Kostenloses Erstgespräch anfragen ›
Themen
revDSG Microsoft 365 CLOUD Act Datenschutz Open Source Nextcloud Schweiz