Die Schweiz ist nicht in der EU. Großbritannien auch nicht mehr. Norwegen gehört zum EWR, aber nicht zur EU. Und trotzdem werben Anbieter aus diesen Ländern mit „europäischem Datenschutz“. Was stimmt – und wo lauern Fallstricke?
Die rechtliche Grauzone beginnt an der EU-Grenze
Die DSGVO erlaubt Datenübermittlung in Drittstaaten nur, wenn diese ein „angemessenes Schutzniveau“ bieten. Die EU-Kommission prüft das und erlässt sogenannte Angemessenheitsbeschlüsse. Die Schweiz hat einen seit 2000, erneuert 2023. Großbritannien bekam einen 2021 nach dem Brexit. Norwegen, Island und Liechtenstein sind über das EWR-Abkommen abgedeckt, die DSGVO gilt dort praktisch eins zu eins.
Das klingt beruhigend. Aber ein Angemessenheitsbeschluss ist keine Ewigkeitsgarantie. Er kann widerrufen werden, wenn sich die Rechtslage ändert. Genau das macht UK zum Risikofaktor.
Schweiz: Der sichere Hafen mit kleinen Abstrichen
Die Schweiz gilt als Goldstandard für Datenschutz. Das revidierte Schweizer Datenschutzgesetz, das am 1. September 2023 in Kraft trat, orientiert sich stark an der DSGVO. Schweizer Unternehmen unterliegen nicht dem Cloud Act. Die Datenschutztradition ist stark, geprägt von Bankgeheimnis und Neutralität. Der EU-Angemessenheitsbeschluss wurde 2023 problemlos erneuert.
Aber es gibt einen Haken: Das Schweizer Datenschutzgesetz ist nicht identisch mit der DSGVO. Die Bußgelder sind niedriger, einige Definitionen weichen ab. Bei Rechtskonflikten sind Schweizer Gerichte zuständig, nicht EU-Gerichte. Für die meisten Unternehmen spielt das keine Rolle. Für hochsensible Bereiche wie Anwaltskanzleien oder Steuerberater ist ein EU-Anbieter formal sicherer, auch wenn der Unterschied marginal ist.
Konkrete Beispiele: Proton AG aus Genf betreibt ProtonMail und ProtonVPN mit Servern in der Schweiz. Tresorit bietet Ende-zu-Ende-Verschlüsselung. Legartis entwickelt Legal-Tech unter Schweizer Recht. Diese Anbieter sind für die meisten Zwecke praktisch gleichwertig zu EU-Anbietern. Der Vorteil: Die Schweiz ist politisch stabil, wirtschaftlich stark und hat keine Ambitionen, von EU-Standards abzuweichen.
UK: Post-Brexit-Unsicherheit mit Ablaufdatum
Großbritannien ist komplizierter. Nach dem Brexit entwickelte das Land eine eigene UK GDPR, die weitgehend identisch mit der EU-Version ist. Die EU-Kommission erteilte 2021 einen Angemessenheitsbeschluss für vier Jahre. Er läuft 2025 aus und muss erneuert werden. Ob das geschieht, ist offen.
Das Problem heißt Investigatory Powers Act 2016. Dieses Gesetz ermöglicht britischen Geheimdiensten weitreichende Überwachung, ähnlich dem US-Cloud Act. Die EU-Kommission hat das 2021 kritisch geprüft, den Angemessenheitsbeschluss aber trotzdem erteilt. Die Europäische Datenschutzbeauftragte warnte damals: „Der Investigatory Powers Act birgt Risiken für die Rechte europäischer Bürger. Die Kommission muss die Lage kontinuierlich überwachen.“
Hinzu kommt die politische Unsicherheit. Großbritannien kann jederzeit eigene Gesetze erlassen, die von der DSGVO abweichen. Die konservative Regierung hat mehrfach angekündigt, Datenschutzregeln zu lockern, um die Wirtschaft zu stärken. Passiert das, fällt der Angemessenheitsbeschluss. Dann müssen alle Verträge mit UK-Anbietern nachverhandelt werden – Standard Contractual Clauses, Transfer Impact Assessments, zusätzliche Schutzmaßnahmen.
Für Unternehmen bedeutet das: UK-Anbieter sind kurzfristig sicher, langfristig ein Risiko. Luminance, ein Legal-Tech-Unternehmen aus Cambridge, oder Darktrace, spezialisiert auf Cybersecurity mit KI, sind aktuell DSGVO-konform. Aber niemand weiß, was 2026 gilt. Für kritische Anwendungen nicht empfohlen.
Norwegen: Faktisch EU ohne Mitgliedschaft
Die EWR-Staaten Norwegen, Island und Liechtenstein haben die DSGVO über das EWR-Abkommen übernommen. Sie gilt dort unmittelbar, genauso wie in Deutschland oder Frankreich. Die Datenschutzbehörden dieser Länder sind über das European Data Protection Board koordiniert. Es gibt keinen Cloud Act, keine US-Zugriffsmöglichkeiten, keine politische Unsicherheit.
Rechtlich sind norwegische Anbieter identisch mit deutschen oder französischen. Es gibt nur wenige KI-Anbieter aus Norwegen, aber zahlreiche Cloud-Provider. Island hat sich auf Rechenzentren spezialisiert – das kalte Klima senkt die Kühlkosten. Für Compliance-Zwecke sind EWR-Anbieter genauso sicher wie EU-Anbieter.
Die entscheidende Frage: Wem gehört das Unternehmen?
Der Serverstandort ist zweitrangig. Entscheidend ist der Mutterkonzern. DeepMind sitzt in London, gehört aber zu Google. Folge: Das Unternehmen unterliegt dem Cloud Act, trotz UK-Sitz. Eine Schweizer Tochter von Microsoft unterliegt dem Cloud Act. Eine norwegische Tochter von Amazon unterliegt dem Cloud Act.
Die Faustregel: Prüfen Sie nicht nur, wo der Anbieter sitzt, sondern wem er gehört. Ein Schweizer Unternehmen mit Schweizer Mutterkonzern ist sicher. Ein Schweizer Unternehmen mit US-Mutterkonzern ist es nicht.
Fazit: Nicht alle Nicht-EU-Länder sind gleich
Die Schweiz ist für die meisten Zwecke gleichwertig zur EU, rechtlich stabil und politisch verlässlich. Norwegen, Island und Liechtenstein sind faktisch EU-Mitglieder ohne Stimmrecht – rechtlich identisch. Großbritannien ist kurzfristig sicher, langfristig ein Risiko. Der Angemessenheitsbeschluss läuft 2025 aus, der Investigatory Powers Act bleibt bestehen.
Für Unternehmen, die auf Rechtssicherheit angewiesen sind, lautet die Empfehlung: Schweiz und EWR sind unbedenklich. UK ist ein Wackelkandidat. Und wenn der Mutterkonzern in den USA sitzt, hilft auch die schönste Schweizer Postadresse nichts.