Warum wir in der Schweiz und in der EU hosten

Der CLOUD Act, digitale Souveränität und was „Swiss made“ beim Hosting wirklich bedeutet.

Veröffentlicht am 28 Apr 2026 von Gabriel Tanguay

Wenn ein Schweizer Kunde uns Patientendaten, Finanzdaten oder Audit-Logs anvertraut, ist die Frage wichtig, wo diese Daten gespeichert sind. Die schwierigere Frage ist, wer Zugriff darauf erzwingen kann. Diese zweite Frage, nicht der Preis, nicht die Funktionen, ist der Grund, warum Luzid sein produktives Hosting bei Infomaniak in der Schweiz und Hetzner in Deutschland betreibt statt bei einem US-kontrollierten Cloud-Anbieter.

Unser Hosting-Setup

Lange Zeit war die Standardwahl für jedes Engineering-Team, das eine Cloud auswählt, einer der grossen US-Hyperscaler. Azure, AWS, Google Cloud. Die Argumentation ist konsistent: Managed Services, die Option auf ein regionales Rechenzentrum, ausgereiftes Tooling. Es ist der gleiche Standard, den viele europäische Unternehmen weiterhin wählen.

Wir haben für unsere eigene Plattform anders entschieden. Das produktive Hosting läuft auf Infomaniak, einem in Genf ansässigen Schweizer Familienunternehmen, und auf Hetzner, einem deutschen Unternehmen mit Sitz in der Nähe von Nürnberg. Microsoft 365 bleibt im Spiel, aber nur für unsere interne E-Mail und Dokumenten-Zusammenarbeit. Es laufen keine produktiven Kundendaten darüber.

Der Grund ist nicht technisch. Es ist eine Frage der Rechtsordnung.

Der CLOUD Act in einem Absatz

2018 haben die Vereinigten Staaten ein Gesetz mit dem Namen CLOUD Act verabschiedet. Es macht im Wesentlichen eines: Es erlaubt US-Behörden, jedes Unternehmen mit Hauptsitz in den USA dazu zu zwingen, Kundendaten herauszugeben, unabhängig davon, wo auf der Welt diese Daten physisch gespeichert sind. Microsoft, Amazon und Google haben alle ihren Hauptsitz in den USA. Wenn also ein US-Staatsanwalt oder eine US-Behörde eine gültige CLOUD-Act-Anordnung erlässt, sind diese Unternehmen zur Mitwirkung verpflichtet, auch für Daten, die auf einem Server in Zürich, Frankfurt oder Genf liegen. Die Kundin oder der Kunde erfährt oft nichts davon.

Das ist keine Spekulation. Am 18. Juni 2025 hat Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten von Microsoft France, vor einer Untersuchungskommission des französischen Senats unter Eid erklärt, dass Microsoft nicht garantieren kann, dass Daten französischer Bürgerinnen und Bürger unter dem CLOUD Act nicht an die US-Regierung übermittelt werden. Die offizielle CLOUD-Act-Seite von AWS verpflichtet das Unternehmen dazu, ‘Anfragen anzufechten, die gegen das Gesetz verstossen, zu weit gefasst oder anderweitig unangemessen sind’ - ein Kampf, keine Garantie. Die veröffentlichte Position von Google Cloud ist vergleichbar: legalem Verfahren folgen, Kunden informieren, wo zulässig, Anfragen anfechten, die als unbegründet erscheinen. Das Versprechen, das alle drei europäischen Kunden geben, lautet ‘wir wehren uns gegen das, was wir für unangemessen halten’, nicht ‘Ihre Daten sind unerreichbar’.

Bei vielen Workloads ist das ein Kompromiss, mit dem man leben kann. Bei Kundendaten, die uns anvertraut werden, insbesondere im Gesundheitswesen, in der Finanzbranche und im öffentlichen Sektor, wurde das zu einem Kompromiss, den wir nicht länger eingehen wollten.

Warum eine ‘Schweizer Region’ nicht dasselbe ist wie Schweizer Rechtsordnung

Das häufigste Missverständnis lautet sinngemäss so: ‘Wir haben die Schweizer Region auf Azure gewählt, also liegen unsere Daten in der Schweiz, also gilt Schweizer Recht.’

Die erste Hälfte stimmt. Die zweite nicht.

Die Rechtsordnung folgt nicht den GPS-Koordinaten des Rechenzentrums. Sie folgt der juristischen Person, die den Dienst betreibt. Die Schweizer Region von Azure wird von Microsoft betrieben, einem US-Unternehmen. Die Steuerebene, die Konzernmutter und die Behörde, die Offenlegung erzwingen kann, sind alle amerikanisch. Die Schweizer Region kauft Ihnen Daten-Residenz. Sie kauft Ihnen keine Schweizer Rechtsordnung.

Ergänzend: 2020 hat der Europäische Gerichtshof in einem Verfahren namens Schrems II entschieden, dass US-Überwachungsrecht mit europäischen Datenschutzanforderungen unvereinbar ist. Europäische Gerichte tun nicht mehr so, als wäre die Lücke nur theoretisch.

Was ‘Swiss made’ beim Hosting bedeutet

Luzid ist Swiss Made Software zertifiziert. Historisch hat dieses Label bedeutet ‘die Software wurde in der Schweiz konzipiert und entwickelt’. Die Diskussion in der Branche hat sich verschoben. Zunehmend wird ‘Swiss made’ so verstanden, dass es auch betrieben in der Schweiz heisst, durchgehend, inklusive der Hosting-Schicht. Eine in der Schweiz gebaute Anwendung, die auf einer US-kontrollierten Cloud läuft, hat eine schweizerische Vordertür und eine ausländische Hintertür.

Der Verein Swiss Made Software hat klar Stellung bezogen, dass Mitglieder Hosting-Anbieter bevorzugen sollen, die nicht direkt oder indirekt unter ausländischer Kontrolle stehen. Wir teilen diese Position. Es ist die einzige Lesart von ‘Swiss made’, die einer ernsthaften Audit-Diskussion über Datenzugriff standhält.

Warum Infomaniak (Schweiz)

Infomaniak ist schweizerisch besessen, familiengeführt, mit Sitz in Genf und allen Rechenzentren in der Schweiz. Sie veröffentlichen einen Transparenzbericht zu Rechtsanfragen. Sie sind nach ISO 27001 zertifiziert. Sie sind auf das neue Schweizer Datenschutzgesetz (revDSG) ausgerichtet.

Bei Workloads, in denen die Rechtsordnung Schweizerisch ist, in denen die betroffene Person Schweizerin oder Schweizer ist, in denen die Aufsichtsbehörde schweizerisch ist und das Audit schweizerisch, gibt Infomaniak die sauberste Antwort. Es gibt keine ausländische juristische Person in der Kette. Es gibt kein extraterritoriales Gesetz, das den Kundenvertrag überstimmt.

Warum Hetzner (Deutschland / EU)

Hetzner ist deutsch besessen, mit Rechenzentren in Deutschland und Finnland. Keine US-Mutter, keine US-Holding, keine CLOUD-Act-Exposition. Für Workloads, in denen die Rechtsordnung europäisch ist statt spezifisch schweizerisch, in denen die betroffene Person EU-Bürgerin und die DSGVO das massgebliche Recht ist, ist Hetzner das richtige Zuhause. Daten bleiben innerhalb der EU-Rechtsordnung, für die die Verordnung geschrieben wurde.

Was das für unsere Kunden bedeutet

Konkret bieten wir vier Hosting-Formen - und die Wahl fällt projekt-für-projekt, getrieben von Anforderungen und Budget, nicht per Voreinstellung:

  • Vollständig Schweizer Rechtsordnung: alles auf Infomaniak. Für Schweizer Patientendaten, Finanzdaten oder Behörden-Workloads, bei denen jede ausländische rechtliche Exposition inakzeptabel ist.
  • Vollständig EU-Rechtsordnung: alles auf Hetzner. Für Daten von EU-Bürgerinnen und EU-Bürgern, die unter die DSGVO fallen.
  • Hybrid (Schweiz + EU): die sensibelsten Daten auf Infomaniak in der Schweiz, der Rest der Workload auf Hetzner. Wir gehen nur dann hybrid, wenn ein Projekt sowohl Schweizer Souveränität für einen Teil der Daten als auch EU-Ökonomie für den Rest wirklich braucht - es bringt operative Komplexität mit sich und ist deshalb keine Voreinstellung.
  • Individuell / vom Kunden definiert: eine ganz andere Form, auf Infrastruktur, die der Kunde bereits besitzt oder vorgibt. Wir helfen, sie nach denselben Souveränitätsstandards zu konzipieren und zu betreiben, die wir auf unserer eigenen Plattform anwenden.

Wir legen die Form mit jedem Kunden im Voraus fest. Jede:r Kund:in, den/die wir hosten, weiss, ob sie zu 100 % in Schweizer Rechtsordnung, 100 % EU, hybrid oder auf einer individuell definierten Form stehen - und was diese Wahl für die Kosten pro Ressource und für die Audit-Story bedeutet.

In allen vier Formen bleiben unsere internen E-Mails, Kalender und Dokumenten-Zusammenarbeit auf Microsoft 365. Wir sind darüber in unserer Datenschutzerklärung ehrlich. Auch deshalb landen produktive Kundendaten dort nie.

Die Kompromisse, die wir akzeptiert haben

Azure bietet mehr Managed Services als die anderen. Managed Postgres mit allem eingeschaltet. Managed Kubernetes. Eingebaute Observability. Wir haben einen Teil davon aufgegeben. Auf Infomaniak und Hetzner betreiben wir mehr vom Stack selbst: eigene Kubernetes-Cluster, eigene Postgres-Instanzen, eigene Loki- und Grafana-Setups für Logs und Metriken.

Wir konnten das akzeptieren, weil operatives Handwerk eine der Säulen ist, an denen wir uns ohnehin orientieren. Wir betreiben anderswo missionskritische Infrastruktur für Kunden; das hier zu betreiben ist konsequent, nicht überraschend. Das Ergebnis ist mehr Code, den wir pflegen, aber ein Setup, das wir durchgehend kontrollieren.

Warum wir das aufgeschrieben haben

Für Kundinnen und Kunden, die sich Ausfall nie leisten können, verdient die Frage ‘wohin kann mein Datensatz gezwungen werden zu fliessen?’ eine architektonische Antwort, keine Marketing-Antwort. Souveränes Schweizer und EU-Hosting war diese Antwort für unsere eigene Plattform. Wenn dieselbe Frage auf Ihrer Audit-Checkliste steht, helfen wir Ihnen, sie auch für Ihre zu beantworten.

Souveränität ist ein Arbeitsstandard, kein Marketing-Versprechen

Hosting bei einem US-kontrollierten Anbieter, selbst in einer Schweizer Region, macht Kundendaten für US-Rechtsverfahren zugänglich. Für regulierte Schweizer Kunden ist das ein strukturelles Risiko, kein theoretisches.

Infomaniak (schweizerisch im Besitz, schweizerisch betrieben) und Hetzner (in EU-Besitz, EU-betrieben) stellen Daten unter Rechtsordnungen, in denen Schweizer und europäisches Recht den Zugriff durchgehend regeln.

map[Wenn Sie im Gesundheitswesen, in der Finanzbranche oder in einem Bereich tätig sind, in dem ein Audit fragt:„Könnte eine ausländische Behörde darauf zugreifen?“, helfen wir Ihnen, eine Hosting- und Datenarchitektur zu entwerfen, die mit einem klaren „Nein“ antwortet.]

von

Gabriel Tanguay

Gabriel Tanguay

Software Engineering Berater

Lassen Sie uns sprechen.

Unsicher, wo Ihre Datensouveränität steht, oder müssen Sie sensible Workloads zügig von einer US-kontrollierten Cloud wegbringen? Sprechen Sie mit einem Luzid-Experten. Wir antworten innerhalb eines Werktags.

Sprechen Sie mit uns