Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Datenschutz & DSGVO

Datentransfers zwischen der Schweiz, der EU und darüber hinaus

Angemessenheitsbeschlüsse, Standardvertragsklauseln, das Swiss-US-Framework. Wie man Daten als DACH-SaaS rechtskonform über Grenzen bewegt.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·8 min read
In this article
  1. Warum das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus jetzt zählt
  2. Kernbegriffe, die Sie auseinanderhalten müssen
  3. Praktische Umsetzung: der Weg, den wir empfehlen
  4. Die Fehler, die alle ausbremsen
  5. Was wir intern tatsächlich tun
  6. Der Blick auf den mittelfristigen Horizont
  7. Ihr nächster sinnvoller Schritt

Warum das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus jetzt zählt

Für KMU wird Datenschutz-Compliance oft als Overhead behandelt — etwas, das die Rechts- oder IT-Abteilung besitzt und alle anderen stillschweigend ignorieren. Diese Sichtweise ist unhaltbar geworden. Das Rechenschaftsprinzip nach Art. 5(2) DSGVO und Art. 8 revDSG verlangt dokumentierte, nachweisbare Compliance, und die Kosten, beim Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus zu scheitern, sind im direkten Verhältnis zur Durchsetzungsintensität gestiegen.

Kernbegriffe, die Sie auseinanderhalten müssen

Bevor es an die Umsetzung geht, lohnt es sich, das Vokabular festzulegen. Ein erstaunlicher Teil der praktischen Verwirrung rund um das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus entsteht daraus, dass Menschen dieselben Begriffe unterschiedlich verwenden. Hier sind die Definitionen, mit denen wir intern bei Innopulse arbeiten:

Datentransfer Schweiz — im Kontext des Themas Datentransfers zwischen der Schweiz, der EU und darüber hinaus bezeichnet dies die operative Realität, der die meisten DACH-KMU begegnen, wenn sie von der Theorie zur Umsetzung übergehen. Der Begriff wird in Marketingmaterial locker verwendet; die regulatorischen und praktischen Definitionen sind enger und lohnen die genaue Festlegung.

SCC DSGVO — im Kontext des Themas Datentransfers zwischen der Schweiz, der EU und darüber hinaus bezeichnet dies die operative Realität, der die meisten DACH-KMU begegnen, wenn sie von der Theorie zur Umsetzung übergehen. Der Begriff wird in Marketingmaterial locker verwendet; die regulatorischen und praktischen Definitionen sind enger und lohnen die genaue Festlegung.

Schrems II — im Kontext des Themas Datentransfers zwischen der Schweiz, der EU und darüber hinaus bezeichnet dies die operative Realität, der die meisten DACH-KMU begegnen, wenn sie von der Theorie zur Umsetzung übergehen. Der Begriff wird in Marketingmaterial locker verwendet; die regulatorischen und praktischen Definitionen sind enger und lohnen die genaue Festlegung.

Swiss-US DPF — im Kontext des Themas Datentransfers zwischen der Schweiz, der EU und darüber hinaus bezeichnet dies die operative Realität, der die meisten DACH-KMU begegnen, wenn sie von der Theorie zur Umsetzung übergehen. Der Begriff wird in Marketingmaterial locker verwendet; die regulatorischen und praktischen Definitionen sind enger und lohnen die genaue Festlegung.

Diese Begriffe sauber auseinanderzuhalten ist erstaunlich tragend. In unseren eigenen Beratungsmandaten fliesst mindestens ein Viertel der anfänglichen Discovery-Zeit in das Angleichen des Kundenvokabulars an die regulatorischen oder branchenüblichen Definitionen — und die Einsparungen weiter unten sind erheblich.

Praktische Umsetzung: der Weg, den wir empfehlen

Der Übergang vom Lesen über das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus zur tatsächlichen Umsetzung ist der Punkt, an dem die meisten KMU ins Stocken geraten. Unserer Erfahrung nach liegt die Blockade selten an der Fähigkeit — sie liegt an der Reihenfolge. Alles parallel zu versuchen brennt das kleine verantwortliche Team aus; es in der falschen Reihenfolge zu tun bedeutet, dass frühe Arbeit neu gemacht werden muss.

Die Reihenfolge, die wir empfehlen — und die wir intern im Innopulse-Portfolio und in Kundenmandaten verwendet haben — sieht so aus:

  1. Scope und Discovery. Den tatsächlichen Ist-Zustand kartieren. Nicht annehmen; dokumentieren. Das sind 10–20 % des Gesamtaufwands, und es ist verlockend, es zu überspringen. Tun Sie es nicht. Ein sauberes Inventar dessen, was Sie haben, verhindert 40 % der Nacharbeit, die sonst in der Umsetzungsphase anfällt.\n2. Gap-Analyse gegen den Zielzustand. Wo unterscheidet sich Ihr Ist-Zustand wesentlich vom Geforderten — ob «gefordert» nun «durch die Verordnung», «durch die SEO-Chance» oder «durch den Markt-Benchmark» bedeutet? Erstellen Sie eine kurze, ehrliche Liste. Drei Seiten, nicht dreissig.\n3. Nach risikogewichteter Wirkung priorisieren. Nicht alles ist gleich dringend. Manches ist existenziell (Compliance-Fristen, Sicherheitslücken); anderes nur wichtig (Wachstumschancen). Entsprechend sortieren.\n4. In fokussierten Sprints umsetzen. Zwei- bis vierwöchige Sprints, ein Workstream nach dem anderen, mit Abnahmekriterien, die vor Sprintbeginn definiert werden. Das ist der unspektakuläre Teil, der Projekte, die liefern, von solchen unterscheidet, die treiben.\n5. Operationalisieren. Die laufende Routine aufschreiben — wer macht was, wie oft, mit welchem Dashboard oder welcher Checkliste. Umsetzung ohne Operationalisierung zerfällt innerhalb eines Quartals.

Die meisten Mandate, die wir gewinnen, gewinnen wir, weil der Kunde die Schritte 4 und 5 ohne 1–3 versucht hat, gegen eine Wand lief und die Notwendigkeit einer strengeren Reihenfolge erkannte.

Die Fehler, die alle ausbremsen

Über die von uns durchgeführten Mandate und die Fragen, die uns in der Nutzerbasis unseres eigenen Portfolios gestellt werden, wiederholen sich dieselben Fehlermuster. Die meisten sind nicht technisch; sie sind operativ oder konzeptionell.

Der erste ist Scope Creep, getarnt als Ambition. Ein Projekt, das auf das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus ausgerichtet ist, weitet sich schrittweise aus, um alles Angrenzende mitzuadressieren. Bis zum dritten Monat ist das ursprüngliche Liefergut zwei Quartale entfernt und das Team hat den Fokus verloren. Die Lösung ist gnadenlos: Schreiben Sie auf, was ausserhalb des Scopes liegt, genauso explizit wie das, was drin ist.

Der zweite ist Tool-First-Denken. Teams springen zu «welche Plattform sollen wir kaufen», bevor sie den zugrunde liegenden Prozess verstanden haben. Die Plattform formt dann den Prozess, oft auf unhilfreiche Weise. Wir empfehlen durchgängig, den Prozess zuerst manuell zu definieren — notfalls auf Papier — und erst dann das Werkzeug zu wählen.

Der dritte ist Compliance-Theater. Gerade bei den regulatornahen Themen besteht eine starke Versuchung, Dokumentation zu produzieren, die für einen Auditor compliant aussieht, statt Dokumentation, die die operative Realität abbildet. Kurzfristig fühlt sich das effizient an. Mittelfristig ist es brüchig — das erste ernsthafte Audit oder der erste Vorfall legt die Lücke zwischen dokumentierter und tatsächlicher Praxis offen, und die Kosten dieser Offenlegung sind weit höher, als es gleich richtig zu machen.

Der vierte, besonders im DACH-Kontext, ist das Unterschätzen zweisprachiger Content-Schulden. Wenn das Produkt oder der Content auf Deutsch und Englisch existieren muss, summiert sich jede heute genommene Abkürzung linear in der Sprache, die Sie zurückgestellt haben. Ein sechsmonatiger Rückstand an fehlendem deutschem Content ist viel teurer zu schliessen als sechs Monate zweisprachiger Disziplin von Anfang an.

Was wir intern tatsächlich tun

Eines der Dinge, die wir bei Innopulse versuchen, ist, keine Ratschläge zu geben, die wir nicht im Feld getestet haben. Das Portfolio unserer eigenen SaaS-Produkte dient unter anderem als Realitätscheck für jede Empfehlung, die wir Kunden geben.

Speziell zum Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus hat sich unsere interne Praxis seit unserem Start 2022 erheblich weiterentwickelt. Die frühe Version war manuell, fehleranfällig und skalierte nicht über drei Produkte hinaus. Die aktuelle Version ist teilautomatisiert, in Runbooks dokumentiert und übersteht das Hinzufügen neuer Produkte ohne Qualitätsverlust.

Die konkreten Dinge, auf denen wir intern inzwischen bestehen und die wir Kunden empfehlen, wenn die Situation passt:

  • Schreiben Sie das Runbook, bevor Sie es brauchen. Die Disziplin, «was wir tun, wann, durch wen, mit welchem Nachweis» aufzuschreiben, verwandelt Ad-hoc-Praxis in ein dauerhaftes Betriebs-Asset. Sie legt auch Lücken offen, von denen Sie nicht wussten, dass Sie sie hatten.\n- Messen Sie, was zählt; ignorieren Sie Vanity-Signale. Jeder Prozess, den wir betreiben, hat zwei oder drei Kennzahlen, die an echte Ergebnisse gebunden sind. Alles andere wird aus Dashboards entfernt, denn Rauschen in einem Dashboard ist schlimmer als kein Dashboard.\n- Quartalsweise prüfen, nicht laufend. Ständiges Justieren von Betriebsprozessen erzeugt die Illusion von Verbesserung, während es leise die Prozessstabilität zerstört, die ihn funktionieren lässt. Setzen Sie einen Quartals-Review-Termin; ansonsten lassen Sie den Prozess in Ruhe.\n- Dokumentieren Sie für den Nachfolger, nicht für sich selbst. Unsere Runbooks sind so geschrieben, als hätte die lesende Person das System nie zuvor gesehen. Das kostet vorne mehr Aufwand und senkt die Kosten des Onboardings von Partnern, Auftragnehmern oder — irgendwann — neuen Kernteam-Mitgliedern drastisch.

Keine dieser Ideen ist neu. Neu ist, sie tatsächlich konsequent zu tun, über mehrere Produkte hinweg, über mehrere Jahre.

Der Blick auf den mittelfristigen Horizont

Wenn man vom unmittelbaren operativen Bild zurücktritt, weist das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus auf einige breitere Verschiebungen hin, wie Schweizer und DACH-Firmen in den nächsten 24–36 Monaten arbeiten werden.

Die regulatorische Verschärfung, die wir über Datenschutz, KI, Produktsicherheit und Finanzdienstleistungen sehen, wird sich kaum umkehren. Die Richtung der EU- und Schweizer Regulierung geht zu mehr expliziter Betreiber-Verantwortung, mehr dokumentierten Prozessen und intrusiveren Audit-Praktiken. Firmen, die jetzt den operativen Muskel aufbauen, kommen schneller durch den nächsten Zyklus; Firmen, die reaktiv bleiben, verbringen die nächsten fünf Jahre im ewigen Aufholen.

Gleichzeitig sind die technischen Kosten, das Richtige zu tun, stark gesunken. Was früher dedizierte Compliance-Berater, massgeschneiderte Software und sechsstellige Budgets erforderte, ist heute über eine Kombination aus modernen SaaS-Werkzeugen, vernünftigen internen Prozessen und selektiver externer Beratung zugänglich. Die Kluft zwischen gut und schlecht geführten Firmen auf diesen Dimensionen wächst, und die Kosten, sie zu schliessen, sinken — aber nur für Firmen, die aktiv daran arbeiten.

Speziell für DACH-KMU ist die Wettbewerbsimplikation interessant. Schweizer Firmen geniessen historisch einen Ruf für Qualität, Diskretion und Verlässlichkeit; deutsche für Engineering-Tiefe und Gründlichkeit; österreichische für tiefe Expertise in engeren Nischen. Alle drei Reputationen hängen von operativer Disziplin ab, die früher schwer erarbeitet war und heute expliziter kodifiziert ist. Die Firmen, die Compliance, Engineering und Content als Betriebsdisziplinen behandeln — nicht als einmalige Projekte — verdichten den regionalen Ruf zu dauerhaften Marktvorteilen.

Ihr nächster sinnvoller Schritt

Wenn Sie dies lesen, weil Sie ein laufendes Projekt rund um das Thema Datentransfers zwischen der Schweiz, der EU und darüber hinaus haben, finden Sie hier die nächsten Schritte, die wir vorschlagen würden — basierend darauf, wo die meisten KMU, mit denen wir arbeiten, starten.

Beginnen Sie mit einem einseitigen Ist-Zustand-Dokument. Schreiben Sie in eigenen Worten auf, was Ihre Organisation heute zu diesem Thema tatsächlich tut. Nicht anstreben; beschreiben. Wenn Sie keine Seite füllen können, ist das Ihr Befund. Wenn Sie zehn füllen können, kondensieren Sie gnadenlos auf eine.

Schreiben Sie als Nächstes ein einseitiges Ziel-Zustand-Dokument. Wie sähe «fertig» konkret aus? Welche der Dinge auf der Ist-Zustand-Seite wären anders? Welche neuen Punkte gäbe es? Welche bestehenden würden entfernt?

Die Lücke zwischen diesen beiden Dokumenten ist Ihr Plan. Er muss nicht elegant sein; er muss explizit sein. Von dort aus ist die Arbeit Reihenfolge, Tempo und Verantwortlichkeit — Arbeit, die jedes disziplinierte KMU ohne externe Hilfe leisten kann.

Wo externe Hilfe echten Mehrwert schafft, sind zwei Stellen: (1) die anfängliche Gap-Analyse selbst, wo eine Aussenperspektive wertvoll ist, weil sie Fragen stellt, die das eigene Team sich schwer selbst stellen kann, und (2) die spezialisierte Umsetzung, bei der die zugrunde liegende Fähigkeit eine Vollzeitanstellung nicht lohnt.

Wenn Sie in einer dieser beiden Situationen sind, finden Sie unsere Kontaktdaten unten. Wenn nicht, und Sie dennoch versucht sind, externe Hilfe zu holen, um sich gegen interne Politik abzusichern — das ist auch ein legitimer Grund, aber es lohnt sich, ihn offen zu benennen, statt ihn als technischen Bedarf zu verkleiden.

So oder so: Wählen Sie Ihren ersten Schritt, setzen Sie ein Datum in den Kalender und legen Sie los.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
datentransfer schweizscc dsgvoschrems iiswiss us dpf
Keep reading

Related insights.

Datenschutz & DSGVO

DSGVO vs. revDSG: Wo sie auseinandergehen

Das revidierte Schweizer Datenschutzgesetz sieht wie die DSGVO aus, unterscheidet sich aber in wichtigen praktischen Punkten. Ein Vergleich für DACH-fokussierte Unternehmen.

Leutrim·8 min
Datenschutz & DSGVO

Newsletter und DSGVO: Double-Opt-in rechtssicher umsetzen

Wie Sie E-Mail-Newsletter DSGVO-konform aufbauen: Double-Opt-in, Einwilligungsnachweis, Gestaltung des Anmeldeformulars und Abmeldung — praxisnah erklärt.

Doruntina·3 min
Datenschutz & DSGVO

Videoüberwachung und DSGVO: zulässig, dokumentiert, verhältnismässig

Wann Videoüberwachung nach DSGVO und revDSG zulässig ist, welche Pflichten gelten — von Hinweisschild über DSFA bis Löschfrist — und wie Sie sie rechtssicher betreiben.

Leutrim·3 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch