Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)
Vertragsparteien
CLOUD-HOSTING-VERTRAG (CLOUD SERVICE AGREEMENT)
Hosting-Anbieter: [Anbieter Name] [Anbieter Adresse] Rechenzentrumsstandort: [Rechenzentrums Standort] Kunde: [Kunde Name] [Kunde Adresse] FINMA-reguliert: [Finma Reguliert] Hosting-Typ: [Hosting Typ] Vertragsbeginn: [Vertrags Beginn]
Leistungsbeschreibung, SLA und Sicherheit
1. Gegenstand und rechtliche Qualifikation Der Anbieter stellt dem Kunden Cloud-Hosting-Leistungen ([Hosting Typ]) bereit. Der Cloud-Hosting-Vertrag Schweiz qualifiziert als gemischter Vertrag: Der Dauerbetrieb der Infrastruktur hat auftragsrechtlichen Charakter nach OR Art. 394 ff. (Sorgfaltspflicht, keine Erfolgsgarantie für den Geschäftserfolg des Kunden); die initiale Einrichtung und Konfiguration kann werkvertraglichen Charakter nach OR Art. 363 ff. aufweisen. Das Bundesgericht (BGer) hat in BGE 130 III 1 ff. die Rechtsnatur von IT-Dienstleistungsverträgen als gemischte Verträge bestätigt. 2. Verfügbarkeit und Service-Level-Agreement (SLA) Der Anbieter garantiert eine monatliche Systemverfügbarkeit von [Verfuegbarkeits S L A], gemessen über alle Minuten des Kalendermonats abzüglich geplanter Wartungsfenster. Geplante Wartungsfenster werden mindestens 72 Stunden im Voraus via E-Mail und Status-Seite angekündigt und in verkehrsarme Zeiten (üblicherweise 02:00-06:00 Uhr) gelegt. Service-Credits bei SLA-Unterschreitung: Unter 99,0 Prozent = 10 Prozent Monatsgebühr; unter 95 Prozent = 25 Prozent Monatsgebühr. Service-Credits werden auf der nächsten Rechnung gutgeschrieben. SLA-Messung: Basierend auf Third-Party-Monitoring (z.B. Pingdom, Datadog), nicht auf anbietereigener Selbstmessung.
2. Datensicherheit und technische Massnahmen (DSG Art. 8; DSV Art. 1-4) Der Anbieter implementiert technische und organisatorische Sicherheitsmassnahmen gemäss DSG Art. 8 und der Datenschutzverordnung (DSV, SR 235.11): Verschlüsselung: [Verschluesselung]. Datensicherung: [Datensicherung]. ISO 27001-Zertifizierung (soweit angegeben im Rechenzentrumsstandort). Zugriffskontrollen: Multi-Faktor-Authentifizierung (MFA) für Admin-Zugang, rollenbasierte Zugriffskontrolle (RBAC), Protokollierung aller privilegierten Zugriffe (Audit-Log). Penetrationstests: Mindestens einmal jährlich durch unabhängige Dritte. Datenpannen-Meldung nach DSG Art. 24: Der Anbieter informiert den Kunden innert 24 Stunden nach Bekanntwerden einer Verletzung der Datensicherheit, damit der Kunde die 72-Stunden-Meldepflicht an den EDÖB erfüllen kann. Datenstandort: [Rechenzentrums Standort]. Datentransfers in Länder ausserhalb der Schweiz und des EWR erfolgen nur auf Basis geeigneter Garantien nach DSG Art. 16 Abs. 2 (EU-Standardvertragsklauseln 2021/914 oder Angemessenheitsentscheid des Bundesrats). Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist zuständige Aufsichtsbehörde.
FINMA-Klauseln, Notfallplanung und Datenschutz
3. FINMA-spezifische Klauseln (nur bei FINMA-regulierten Kunden) Sofern der Kunde ein Finanzinstitut unter FINMA-Aufsicht ist ([Finma Reguliert]), sind gemäss FINMA-Rundschreiben 2018/3 (Outsourcing) und FINMA-Rundschreiben 2023/1 (Operationelle Risiken und Resilienz) folgende Zusatzpflichten vereinbart: a) Auditrecht: Der Anbieter gewährt dem Kunden und der FINMA das Recht, den Anbieter jederzeit — auch unangemeldet — zu auditieren (vor Ort, Remote oder durch beauftragte Dritte). Der Anbieter stellt alle relevanten Dokumente, Logs und Systeme für Audits bereit. b) Business-Continuity-Management (BCM): Der Anbieter legt einen schriftlichen BCM-Plan vor (Recovery Time Objective RTO: max. 4 Stunden; Recovery Point Objective RPO: max. 1 Stunde für kritische Systeme). Jährlicher BCM-Test mit dokumentiertem Ergebnis. Failover zu einem Ausweich-Rechenzentrum innerhalb der Schweiz oder EU/EWR muss gewährleistet sein. c) Exit-Management: Bei Vertragsbeendigung stellt der Anbieter dem Kunden einen Exit-Plan bereit, der den geordneten Übergang aller Kundendaten und -systeme zu einem alternativen Provider innerhalb von 90 Tagen sicherstellt. d) Meldepflichten: Der Anbieter meldet dem Kunden alle operationellen Störungen mit Relevanz für den Finanzmarkt (gemäss FINMA-RS 2023/1 Anhang 3 Meldeschema) innert 24 Stunden. Die Schweizerische Nationalbank (SNB) und FINMA beobachten Cloud-Konzentrationsrisiken (AWS, Azure, Google) als systemisches Risiko im Schweizer Finanzmarkt; der Anbieter informiert über wesentliche Änderungen seiner eigenen Subauftragsverarbeiter-Struktur mit 60 Tagen Vorlauf.
4. Auftragsverarbeitung nach DSG Art. 9 und Datenmigration Der Anbieter verarbeitet Personendaten des Kunden (Kundendaten, Mitarbeiterdaten, Endbenutzerdaten) als Auftragsverarbeiter nach DSG Art. 9. Der Anbieter handelt ausschliesslich nach dokumentierten Weisungen des Kunden. Subauftragsverarbeiter: Jede wesentliche Änderung der Subauftragsverarbeiter-Struktur wird dem Kunden 30 Tage im Voraus mitgeteilt. Der Kunde kann berechtigte Einwände erheben. Datenmigration bei Leistungsbeginn und -ende: Der Anbieter unterstützt die Migration von Kundendaten bei Vertragsbeginn und -ende. Bei Vertragsende werden alle Kundendaten in einem Standardformat (z.B. VM-Image, Datenbank-Dump, ZIP-Archiv) für mindestens 30 Tage bereitgestellt. Danach erfolgt sichere und unwiederbringliche Löschung aller Kundendaten und -backups auf sämtlichen Systemen des Anbieters; die Löschung wird schriftlich bestätigt. NIS2-Anlehnung: Die EU-Richtlinie NIS2 (2022/2555) tritt für EU-Mitgliedstaaten ab Oktober 2024 in Kraft und enthält Mindestanforderungen an Cybersicherheit für Cloud-Anbieter und ihre Kunden. Schweizer Cloud-Anbieter mit EU-Tätigkeiten oder EU-Kunden sind von NIS2 erfasst. Als Vorabmassnahme implementiert der Anbieter NIS2-konforme Sicherheitsstandards (Incident Management, Business Continuity, Supply Chain Security, Penetrationstests, Sicherheitsschulungen) als Good Practice auch für rein schweizerische Kunden. 6. Preismodell, Haftung und Schlussbestimmungen Monatspreis: Fr. [Monatspreis].- (exkl. MWST 8,1 Prozent). Preisanpassungen: Mindestens 60 Tage Ankündigungsfrist per E-Mail; bei wesentlichen Erhöhungen (mehr als 10 Prozent) hat der Kunde ein ausserordentliches Kündigungsrecht. Vertragsbeginn: [Vertrags Beginn]. Laufzeit: Unbefristet; Kündigung zum Monatsende mit 90 Tagen Frist. Ausserordentliche Kündigung bei schwerwiegenden SLA-Verletzungen, Datensicherheitsvorfällen oder Datenschutzverletzungen nach erfolgloser 14-tägiger Nachfrist. Haftung: Unbeschränkt für Vorsatz und grobe Fahrlässigkeit; Haftung für leichte Fahrlässigkeit auf Jahresgebühr beschränkt (OR Art. 100). Datenpannen-Haftung: Der Anbieter hält den Kunden von Schadenersatzansprüchen frei, die aus Datenpannen resultieren, die auf eine schuldhafte Pflichtverletzung des Anbieters zurückzuführen sind. Schweizer Recht ist anwendbar. Gerichtsstand: [Unterzeichnungsort]. Schweizerisches Bundesgericht (BGer) als letzte Instanz. Ort und Datum: [Unterzeichnungsort], [Unterzeichnungs Datum]
Cloud-Hosting-Anbieter
________________
Signature
Kunde
________________
Signature
Was ist Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)?
Der Cloud-Hosting-Vertrag ist ein in der Schweiz nach Schweizer Obligationenrecht (OR) Art. 394-406 (SR 220) geregeltes rechtsverbindliches schriftliches Dokument. Er regelt die Pflichten der Parteien, die Gegenleistung, die Laufzeit und die Rechte bei Pflichtverletzung.
Der Cloud-Hosting-Vertrag Schweiz unterscheidet drei technische Servicemodelle: Infrastructure as a Service (IaaS) stellt rohe Rechenleistung, Speicher und Netzwerk bereit — der Kunde verwaltet Betriebssystem, Middleware und Applikationen selbst (z.B. AWS EC2, Microsoft Azure Virtual Machines, Exoscale, Nine). Platform as a Service (PaaS) fügt Middleware, Datenbanken und Entwicklungsumgebungen hinzu — der Kunde entwickelt und betreibt eigene Applikationen auf der Plattform (z.B. Heroku, Google App Engine, IBM Cloud Foundry). Bei Colocation (Colo) stellt der Kunde eigene Server-Hardware, der Anbieter liefert Rack-Platz, Strom, Kühlung und Netzwerkanbindung — rechtlich ein Mietvertrag (OR Art. 253 ff.) ergänzt um Dienstleistungselemente.
Seit dem 1. September 2023 gilt das revidierte Datenschutzgesetz (nDSG, DSG SR 235.1). Der Cloud-Hosting-Vertrag Schweiz untersteht zwingend DSG Art. 8 (Datensicherheit), Art. 9 (Auftragsbearbeitung) und Art. 16 (Datentransfer ins Ausland). Verarbeitet der Hosting-Anbieter Personendaten des Kunden — was bei nahezu jedem Business-Hosting-Szenario der Fall ist — muss ein separater Auftragsverarbeitungsvertrag nach DSG Art. 9 abgeschlossen oder dieser direkt in den Cloud-Hosting-Vertrag Schweiz integriert werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zuständige Aufsichtsbehörde und kann bei Verstössen Massnahmen anordnen sowie Bussgelder bis CHF 250'000.- nach DSG Art. 60-66 verhängen.
Für Finanzinstitute unter FINMA-Aufsicht (Banken, Versicherungen, Fintech-Unternehmen mit FINMA-Bewilligung) gelten beim Cloud-Hosting-Vertrag Schweiz verschärfte Anforderungen aus dem FINMA-Rundschreiben 2018/3 (Outsourcing bei Banken und Versicherungen) und FINMA-Rundschreiben 2023/1 (Operationelle Risiken und Resilienz). Pflichtbestandteile eines FINMA-konformen Cloud-Hosting-Vertrags Schweiz: schriftliche FINMA-Audit-Klausel, jährlich getesteter Business-Continuity-Plan (BCP) mit Recovery Time Objective (RTO) und Recovery Point Objective (RPO), Datenlokalisierung in der Schweiz oder EU/EWR, Exit-Management-Plan mit maximal 12-wöchigem Migrationszeitraum, Meldepflicht bei Cyber-Vorfällen innert 24 Stunden an die FINMA nach Art. 29 BankG.
Der Cloud-Hosting-Vertrag Schweiz ist ausserdem im Kontext der globalen NIS2-Richtlinie der EU (Richtlinie EU 2022/2555, in Kraft ab Oktober 2024) zu betrachten: Zwar gilt NIS2 formal nur für EU-Mitgliedsstaaten, jedoch sind Schweizer Hosting-Anbieter, die EU-Kunden oder kritische Infrastruktur betreuen, faktisch von NIS2 betroffen. Die Schweizer Behörden haben im Rahmen der Revision des Informationssicherheitsgesetzes (ISG) und des Bundesgesetzes über die Informationssicherheit beim Bund (ISG SR 128) vergleichbare Anforderungen implementiert. Die Meldepflicht für kritische Infrastrukturen bei Cyberangriffen nach ISG Art. 74a gilt ab 2025. forms-legal.com stellt den Cloud-Hosting-Vertrag Schweiz und den separaten Auftragsverarbeitungsvertrag als kostenlose Mustervorlagen zum Download bereit. Aus steuerrechtlicher Sicht sind Hosting-Abonnements beim Kunden als laufende Betriebsausgaben nach DBG Art. 27 (SR 642.11) abzugsfähig und unterliegen der MWST von 8,1 Prozent (Normalsatz seit 2024). ESTV-Merkblatt Nr. 06 regelt die MWST-Behandlung elektronischer Dienstleistungen für Schweizer Unternehmen.
Wann brauchen Sie Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)?
Der Cloud-Hosting-Vertrag Schweiz wird in folgenden typischen Situationen benötigt:
Erste Situation: Bezug von Server-Infrastruktur beim Hosting-Anbieter. Mietet ein Schweizer Unternehmen virtuelle Server (VPS), Dedicated Server oder Speicherkapazität bei einem Schweizer Hosting-Anbieter (z.B. Hostpoint, Metanet, Infomaniak, Nine, Exoscale, Green.ch) oder bei internationalen Hyperscalern (AWS, Microsoft Azure, Google Cloud Platform, Hetzner), liegt ein Cloud-Hosting-Vertrag Schweiz vor. In der Praxis klicken sich viele KMU durch Online-Registrierungsflows ohne den Hosting-Vertrag inhaltlich zu prüfen. Die Standard-AGB der Anbieter enthalten oft einseitige Haftungsausschlüsse, unpräzise SLA-Definitionen und unklare Regelungen zur Datenlokalisierung und zur Exit-Prozedur — rechtlich problematisch im Lichte des nDSG und der FINMA-Anforderungen.
Zweite Situation: Outsourcing von IT-Infrastruktur durch Finanzinstitute. Banken, Versicherungen, Wertpapierhäuser und Fintech-Unternehmen mit FINMA-Bewilligung müssen IT-Outsourcing-Verträge den Anforderungen des FINMA-Rundschreibens 2018/3 entsprechend gestalten. Der FINMA-konforme Cloud-Hosting-Vertrag Schweiz enthält Pflichtklauseln: FINMA-Auditrecht ohne Vorankündigung, Unterauftragnehmerliste mit schriftlicher Genehmigungspflicht, Business-Continuity-Plan mit definierten RTO- und RPO-Werten, Datenlokalisierungsgarantie für kritische Kundendaten, Exit-Management-Plan mit konkretem Zeitplan für die Datenmigration.
Dritte Situation: Aufbau eines eigenen Rechenzentrums oder Colocation-Lösung. Lagert ein Unternehmen eigene Server-Hardware in ein externes Rechenzentrum (Colo) aus, regelt der Cloud-Hosting-Vertrag Schweiz die Bedingungen für Rack-Platz, Strom- und Kühlungsversorgung, Netzwerkanbindung, physischen Zugang zum Rechenzentrum und Service-Level für Strom-Redundanz und Netzwerk-Uptime. Colocation-Verträge haben zusätzliche mietvertragliche Elemente nach OR Art. 253 ff., die sorgfältig mit den Hosting-Dienstleistungsklauseln zu koordinieren sind.
Vierte Situation: Backup und Disaster-Recovery als Sekundär-Hosting. Unternehmen, die für ihre Hauptinfrastruktur einen primären Cloud-Hosting-Vertrag Schweiz haben, schliessen häufig einen separaten Vertrag für Backup-Hosting und Disaster-Recovery-Kapazität ab. Dieser Sekundärvertrag regelt Recovery Time Objective (RTO), Recovery Point Objective (RPO) und den Failover-Prozess. Nach ISG Art. 74a und FINMA-RS 2023/1 müssen Finanzinstitute Disaster-Recovery-Tests mindestens einmal jährlich mit dem Hosting-Anbieter durchführen und dokumentieren.
Fünfte Situation: Migration von On-Premise zu Cloud-Hosting. Stellt ein Unternehmen seine bisher selbst betriebene IT-Infrastruktur auf Cloud-Hosting um (sog. Cloud-Migration oder Cloud-Lift-and-Shift), muss der Cloud-Hosting-Vertrag Schweiz die Migrationspflichten des Anbieters, das Zeitfenster für den Parallelbetrieb, die Abnahmekriterien und das Vorgehen bei Migrationsproblemen klar definieren. Aus datenschutzrechtlicher Sicht muss die Migration nach DSG Art. 8 und Art. 9 (nDSG) sorgfältig geplant werden: Datenübermittlungswege müssen verschlüsselt sein (TLS 1.3 / AES-256), und bei internationaler Datenspeicherung sind die Voraussetzungen von DSG Art. 16 (angemessenes Schutzniveau oder Standardvertragsklauseln) einzuhalten.
Was gehört in Ihr Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)?
Ein wirksamer Cloud-Hosting-Vertrag Schweiz muss folgende Kernelemente enthalten:
Genaue Leistungsbeschreibung und Servicemodell: Klare Definition, ob es sich um IaaS, PaaS oder Colocation handelt. Technische Spezifikationen: Anzahl vCPUs, RAM in GB, SSD/HDD-Speicher in GB/TB, Bandbreite (Mbps oder Gbps), Netzwerk-Transit-Volumen pro Monat, IP-Adressen-Zuteilung. Bei Colocation: Rack-Einheiten (HE), Strom-Anschlussleistung in kW, Strom-Redundanz (N+1, 2N), Netzwerk-Redundanz (Dual-Homed). Backup-Turnus und -Aufbewahrung: täglich/wöchentlich/monatlich, geografisch getrennte Backup-Standorte (Site A und Site B), Aufbewahrungsdauer (z.B. 30 Tage Daily, 12 Monate Monthly). Support-Reaktionszeiten nach Prioritätsstufen (P1 Critical: 15 Min. Reaktion, 2 h Lösungszeit; P2 High: 2 h Reaktion, 8 h Lösungszeit; P3 Normal: 8 h Reaktion, 48 h Lösungszeit).
Verfügbarkeits-SLA und Service-Credits: Das Service-Level-Agreement (SLA) definiert die garantierte monatliche Systemverfügbarkeit in Prozent. Gängige SLA-Stufen im Schweizer Markt: 99,0% (zulässige Ausfallzeit: 7,3 h/Monat), 99,5% (3,65 h/Monat), 99,9% (44 Minuten/Monat), 99,99% (4,4 Minuten/Monat). Geplante Wartungsfenster (Maintenance Windows) sind abzuziehen und müssen mindestens 72 Stunden im Voraus angekündigt werden. Bei Unterschreitung der garantierten Verfügbarkeit erhält der Kunde Service-Credits (z.B. 5% der Monatsgebühr pro 0,1%-Punkt Unterschreitung, maximal 25% der Monatsgebühr). Service-Credits sind kein Schadensersatz, sondern eine pauschalisierte Gutschrift. Wichtig: Der Cloud-Hosting-Vertrag Schweiz muss klarstellen, ob Service-Credits die alleinige Rechtsfolge bei SLA-Unterschreitung sind (Ausschluss des OR-Haftungsrechts) oder ob der Kunde zusätzlich Schadensersatz nach OR Art. 97 ff. verlangen kann.
Rechenzentrumsstandort und DSG Art. 16 (Datentransfer): Der Cloud-Hosting-Vertrag Schweiz muss den genauen physischen Standort des primären Rechenzentrums und des Backup-Rechenzentrums nennen. Liegt das Rechenzentrum in der Schweiz, untersteht die Datenbearbeitung vollständig dem nDSG (DSG SR 235.1). Bei Rechenzentrum im EU/EWR-Raum ist die Übermittlung zulässig, wenn das Drittland ein angemessenes Schutzniveau nach DSG Art. 16 Abs. 1 bietet (Schweizer Angemessenheitsbeschlüsse für alle EU-Mitgliedsstaaten bestehen). Bei Rechenzentrum in den USA muss der Anbieter EU-Standardvertragsklauseln (SCC, DSG Art. 16 Abs. 2) oder gleichwertige Garantien bereitstellen. Der EDÖB veröffentlicht eine aktuelle Länderliste mit Angemessenheitsbeurteilungen. FINMA-regulierte Institute dürfen kritische Kundendaten nur in der Schweiz oder EU/EWR speichern.
FINMA-Outsourcing-Klauseln (für Finanzinstitute): Der Cloud-Hosting-Vertrag Schweiz für FINMA-regulierte Kunden enthält Pflichtklauseln nach FINMA-RS 2018/3: (1) Auditrecht: Der Hosting-Anbieter gewährt dem Finanzinstitut, externen Prüfern und der FINMA das Recht zu unangekündigten oder angekündigten Vor-Ort-Audits; (2) BCM: Jährlich getesteter Business-Continuity-Plan mit Recovery Time Objective (RTO) maximal 4 Stunden und Recovery Point Objective (RPO) maximal 1 Stunde für kritische Systeme; (3) Exit-Management: Geordnete Rückübertragung aller Kundendaten in einem maschinell lesbaren Format (JSON, CSV, SQL-Dump) innerhalb von maximal 12 Wochen nach Vertragsende; (4) Unterauftragnehmerliste: Schriftliche Vorabzustimmung des Kunden für jeden Unterauftragnehmer (Sub-Processor) erforderlich; (5) Meldepflicht bei Sicherheitsvorfällen: Innert 24 Stunden an das Finanzinstitut, das seinerseits nach Art. 29 BankG die FINMA informiert.
Sicherheitsmassnahmen und Verschlüsselung: Der Cloud-Hosting-Vertrag Schweiz muss konkrete technische und organisatorische Massnahmen nach DSG Art. 8 und DSV Art. 1-4 definieren: Verschlüsselung gespeicherter Daten (AES-256 oder gleichwertig), Verschlüsselung der Datenübertragung (TLS 1.3), Netzwerksegmentierung (VLAN, Firewall, IDS/IPS), Zugangskontrolle zum Rechenzentrum (Multi-Faktor-Authentifizierung, Protokollierung), regelmässige Penetrationstests (mindestens jährlich), ISO 27001-Zertifizierung des Rechenzentrums (international anerkannter Standard für Informationssicherheits-Management-Systeme). forms-legal.com stellt den vollständigen Cloud-Hosting-Vertrag Schweiz als kostenlose Mustervorlage bereit, die sämtliche FINMA- und nDSG-Anforderungen berücksichtigt.
Preis, Laufzeit und Kündigung: Monatspreis in CHF (Fr.) exkl. MWST 8,1%. Automatische Verlängerung um jeweils ein Jahr bei Jahresvertrag (Achtung: Kündigungsfristen beachten). Recht auf ausserordentliche Kündigung bei wiederholter SLA-Unterschreitung (mehr als 3 Monate in 12 Monaten), bei schwerwiegender Datenschutzverletzung des Anbieters, bei Insolvenz des Anbieters oder bei wesentlicher Änderung der Eigentümerstruktur (Change-of-Control-Klausel). Preisanpassungsklausel: Preiserhöhungen mit mindestens 60 Tagen Vorankündigungsfrist und Sonderkündigungsrecht des Kunden innert 30 Tagen nach Preiserhöhungsankündigung.
So füllen Sie Ihr Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3) aus
Den Cloud-Hosting-Vertrag Schweiz füllen Sie am besten in fünf Schritten aus:
Schritt 1 — Anbieter und Rechenzentrumsstandort bestimmen: Erfassen Sie die vollständige Firma des Hosting-Anbieters gemäss Handelsregisterauszug (UID-Nummer CHE-xxx.xxx.xxx) und wählen Sie den Rechenzentrumsstandort (Schweiz ISO-27001-zertifiziert / EU-EWR / USA mit SCC). Dieser Punkt ist datenschutzrechtlich entscheidend für die Anwendbarkeit von DSG Art. 16. Bei FINMA-regulierten Kunden: Wählen Sie zwingend Rechenzentrum in der Schweiz oder EU/EWR.
Schritt 2 — Kundendaten eintragen: Vollständige Firma oder Name des Kunden, UID-Nummer, Adresse, Kontaktperson und E-Mail-Adresse für technische Meldungen. Falls der Kunde ein FINMA-reguliertes Institut ist (Bank, Versicherung, Wertschriftenhaus), aktivieren Sie die FINMA-Klauseln (Auditrecht, BCP/RTO/RPO, Exit-Management) im Vertrag.
Schritt 3 — Leistungsparameter festlegen: Wählen Sie das Servicemodell (IaaS, PaaS oder dedizierter Server), tragen Sie Verfügbarkeits-SLA (99,0%, 99,5%, 99,9% oder 99,99%) und Datensicherungsturnus (täglich/wöchentlich) ein. Definieren Sie Datensicherungsaufbewahrung (z.B. 30 Tage), Verschlüsselungsstandard (AES-256 + TLS 1.3 empfohlen) und Reaktionszeiten des Support nach Störungspriorität.
Schritt 4 — Vertragsbedingungen klären: Tragen Sie Monatspreis in CHF, Vertragsbeginn (DD.MM.YYYY), Mindestlaufzeit und Kündigungsfrist ein. Klären Sie, ob eine automatische Verlängerung (Auto-Renewal) mit Sonderkündigungsrecht vereinbart wird. Legen Sie den Unterzeichnungsort und das Datum der Vertragsunterzeichnung fest.
Schritt 5 — Anhänge vorbereiten: Bei FINMA-regulierten Kunden: Unterauftragnehmer-Liste als Anhang zum Vertrag; Business-Continuity-Plan-Zusammenfassung; jährlicher Testplan. Für alle Kunden empfehlenswert: Technische Leistungsbeschreibung (Service Description) als separater Anhang, Auftragsverarbeitungsvertrag (DPA) nach DSG Art. 9 als separater Anhang oder als Bestandteil des Cloud-Hosting-Vertrags Schweiz. Prüfen Sie bei internationalen Anbietern (AWS, Azure, Google), ob deren Standardvertragsklauseln (SCC) den Anforderungen des DSG entsprechen — in der Regel ja, sobald das neueste DPA des Anbieters unterzeichnet ist.
Schritt-für-Schritt-Anleitung mit Validierungsprüfung: Nach Erstellung des Dokuments empfiehlt sich eine Endkontrolle durch eine zweite Person — bei Unternehmen idealerweise durch die Personalabteilung, die Treuhandstelle oder den HR-Verantwortlichen, bei Privatpersonen durch einen Notar des Kantons oder einen Rechtsbeistand. Die zentralen Schritte umfassen: Identifikation der Vertragsparteien mit vollständigen Adressen und gegebenenfalls Handelsregisternummer (Zefix-Nummer abrufbar unter www.zefix.ch), präzise Beschreibung der Leistung mit messbaren Kriterien, klare Regelung von Vergütung in Schweizer Franken (CHF) mit Mehrwertsteuer (MWST 8.1% gemäss MWSTG seit 1.1.2024), Vereinbarung von Fristen nach DD.MM.YYYY-Format, sowie Kündigungs- und Streitbeilegungsmechanismen. Vor der Unterschrift sollten beide Parteien den finalen Wortlaut sorgfältig durchlesen und gegebenenfalls Anpassungen vornehmen. Die elektronische Signatur nach ZertES (SR 943.03) ist der handschriftlichen Unterschrift gleichgestellt, sofern sie qualifizierte elektronische Signatur (QES) ist.
Rechtliche Anforderungen für Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)
Der Cloud-Hosting-Vertrag Schweiz untersteht einer Vielzahl rechtlicher Anforderungen:
OR Art. 394-406 (Auftrag): Cloud-Hosting wird primär als Auftragsrecht qualifiziert. Der Hosting-Anbieter schuldet Sorgfalt (OR Art. 398), nicht Erfolg. Bei Verschulden haftet der Anbieter nach OR Art. 97 ff. Haftungsbeschränkungen auf den Jahres-Abonnementbetrag sind in B2B-Verhältnissen gültig, sofern kein Vorsatz vorliegt (OR Art. 100 Abs. 1 schränkt Ausschluss bei grobem Verschulden nur im Deliktsrecht ein; im Vertragsrecht gilt weitgehende Freiheit). Bei B2C-Verhältnissen sind Haftungsbeschränkungen gegenüber Konsumenten eingeschränkt (OR Art. 100 Abs. 2 i.V.m. KKG).
DSG Art. 8, 9, 16 (nDSG SR 235.1): Pflicht des Hosting-Anbieters zu technischen und organisatorischen Datensicherheitsmassnahmen (DSG Art. 8); Auftragsverarbeitungsvertrag bei Bearbeitung von Personendaten (DSG Art. 9); Datentransfer ins Ausland nur mit angemessenem Schutzniveau oder Standardvertragsklauseln (DSG Art. 16). Verstösse: Bussgelder bis CHF 250'000.- nach DSG Art. 60-66.
FINMA-Rundschreiben 2018/3 und 2023/1: Für FINMA-regulierte Institute (Banken, Versicherungen, Wertpapierhäuser) sind Cloud-Hosting-Verträge Pflichtbestandteil der Outsourcing-Dokumentation nach FINMA-RS 2018/3. FINMA-RS 2023/1 (Operationelle Risiken und Resilienz, in Kraft ab 1.1.2024) ergänzt diese Anforderungen um Anforderungen an Cyber-Resilienz, Recovery-Tests und Meldepflichten bei Sicherheitsvorfällen (Art. 29 BankG innerhalb von 24 Stunden).
ISG (SR 128) und ISG Art. 74a: Das Bundesgesetz über die Informationssicherheit beim Bund (ISG) regelt die Anforderungen an Informationssicherheit für Bundesorgane und Betreiber kritischer Infrastrukturen. Die neue Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (ISG Art. 74a, in Kraft ab 2025) gilt für Betreiber kritischer Infrastruktur wie Energie, Wasser, Telekommunikation, Finanzen und Gesundheit. Cloud-Hosting-Anbieter für diese Sektoren müssen Sicherheitsvorfälle dem Bundesamt für Cybersicherheit (BACS) melden.
MWST: Cloud-Hosting-Dienstleistungen unterliegen der MWST von 8,1 Prozent (Normalsatz seit 2024 nach MWSTG SR 641.20). Bei grenzüberschreitenden Hosting-Dienstleistungen von Auslandanbietern an Schweizer Kunden gilt das Empfängerortprinzip: Auslandsanbieter mit Schweizer Umsatz über CHF 100'000.- müssen sich bei der ESTV für die Schweizer MWST registrieren und die MWST auf Schweizer Kunden abführen (MWSTG Art. 10 und Art. 45a).
Die rechtlichen Anforderungen ergeben sich primär aus dem Schweizer Obligationenrecht (OR, SR 220) sowie aus spezialgesetzlichen Vorschriften wie dem Bundesgesetz über den Datenschutz (DSG, SR 235.1) in der Fassung vom 1.9.2023, dem Bundesgesetz über die Information und Mitsprache der Arbeitnehmer (MitwG) und gegebenenfalls dem Arbeitsgesetz (ArG, SR 822.11). Die Beweislast für die Einhaltung richtet sich nach Art. 8 ZGB (Beweislastverteilung). Die Schriftform ist nach Art. 11 ff. OR zu wahren, wobei einfache Schriftform die Unterschrift aller Verpflichteten verlangt. Für bestimmte Geschäfte (Grundstückkauf, Erbvertrag, Ehegütervertrag) gilt nach Art. 657 ZGB bzw. Art. 512 ZGB die öffentliche Beurkundung als Gültigkeitsvoraussetzung. Forms-legal.com weist darauf hin, dass diese Vorlage als Ausgangspunkt dient und im Einzelfall durch einen zugelassenen Schweizer Notar oder Rechtsanwalt zu prüfen ist.
Häufige Fehler bei Ihrem Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3)
Häufige Fehler beim Cloud-Hosting-Vertrag Schweiz und wie Sie diese vermeiden:
Fehler 1 — SLA-Verfügbarkeit ohne Service-Credit-Mechanismus: Viele Hosting-AGB nennen eine Verfügbarkeitsgarantie, ohne die Rechtsfolge bei Unterschreitung zu regeln. Ohne Service-Credit-Klausel muss der Kunde bei SLA-Unterschreitung den Schadensersatznachweis nach OR Art. 97 führen — was in der Praxis kaum gelingt. Lösung: Expliziten Service-Credit-Mechanismus mit Staffeltabelle im Cloud-Hosting-Vertrag Schweiz vereinbaren.
Fehler 2 — Kein Auftragsverarbeitungsvertrag nach DSG Art. 9: Sobald der Hosting-Anbieter Personendaten des Kunden (Kontaktdaten, Transaktionsdaten, Mitarbeiterdaten) bearbeitet, ist ein schriftlicher Auftragsverarbeitungsvertrag nach DSG Art. 9 (nDSG) gesetzlich zwingend. Fehlt dieser, drohen Bussgelder bis CHF 250'000.- und Aufsichtsmassnahmen des EDÖB. Lösung: DPA immer zusammen mit dem Cloud-Hosting-Vertrag Schweiz unterzeichnen.
Fehler 3 — Fehlende FINMA-Klauseln bei Finanzinstituten: Schliessen FINMA-regulierte Institute Cloud-Hosting-Verträge ohne die Pflichtklauseln nach FINMA-RS 2018/3 ab, riskieren sie FINMA-Aufsichtsmassnahmen und -bussgelder. Typische Fehler: fehlendes Auditrecht, kein Exit-Management-Plan, keine RTO/RPO-Definitionen. Lösung: FINMA-konforme Vorlage verwenden und Anforderungen vorab mit dem Compliance-Team abklären.
Fehler 4 — Unklare Regelung zur Datenlokalisierung: Viele Standard-Cloud-Hosting-Verträge erlauben dem Anbieter, Daten weltweit zu speichern. Für Schweizer Unternehmen, die dem nDSG unterliegen, ist eine präzise Datenlokalisierungsklausel (Schweiz oder EU/EWR mit Angemessenheitsbeschluss) unabdingbar. Lösung: Vertragliche Festlegung des Rechenzentrumsstandorts mit Änderungsvorbehalt nur mit schriftlicher Kundenzustimmung.
Fehler 5 — Keine Exit-Klausel und Datenrückgabepflicht: Bei Vertragsende oder Anbieterwechsel müssen alle Kundendaten vollständig und in einem maschinell lesbaren Format (JSON, SQL-Dump, CSV) zurückgegeben werden. Ohne explizite Exit-Klausel im Cloud-Hosting-Vertrag Schweiz kann der Anbieter Daten einbehalten oder übermässige Exitgebühren verlangen. Lösung: Mindestens 30 Tage kostenloser Datenexport nach Vertragsende, Löschbestätigung in Schriftform.
Häufige Fehlerquellen in der Praxis sind: Verwendung deutscher (nicht schweizerischer) Rechtsbegriffe — etwa BGB-Paragraphen statt OR-Artikel, falsche Schreibweise von 'ss' (in der Schweiz ohne Eszett 'ß'), Vergessen der MWST-Position bei vergütungspflichtigen Leistungen, fehlende Angabe der Schweizer Sozialversicherungsnummer (AHV-Nummer im Format 756.XXXX.XXXX.XX), Verwechslung von Kündigungsterminen mit Kündigungsfristen nach Art. 335c OR, sowie unklare Gerichtsstandsklauseln. Vermeiden Sie unbedingt das Kopieren ausländischer Musterverträge ohne Anpassung an Schweizer Recht. Bei elektronischer Signatur achten Sie darauf, dass nur eine qualifizierte elektronische Signatur (QES) nach ZertES (SR 943.03) der handschriftlichen Unterschrift rechtlich gleichgestellt ist — fortgeschrittene oder einfache elektronische Signaturen genügen nicht für Geschäfte mit Schriftform-Erfordernis.
Quellen und Zitate
Gesetzliche Zitate verlinken auf offizielle Regierungsquellen.
- OR Art. 253CH official
- OR Art. 97CH official
- OR Art. 394CH official
- OR Art. 398CH official
- OR Art. 100CH official
- Art. 335c ORCH official
- Art. 8 ZGBCH official
- Art. 657 ZGBCH official
- Art. 512 ZGBCH official
Diese Seite zitieren
Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:
Forms Legal. (2026). Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3) (Schweiz) [Legal document template]. Forms Legal. https://forms-legal.com/de/switzerland/business/contracts/cloud-hosting-vertrag-schweiz
"Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3) (Schweiz)." Forms Legal, 2026, https://forms-legal.com/de/switzerland/business/contracts/cloud-hosting-vertrag-schweiz.
@misc{formslegal-cloud-hosting-vertrag-schweiz,
author = {{Forms Legal}},
title = {Cloud-Hosting-Vertrag Schweiz (OR Art. 394; DSG; FINMA-RS 18/3) (Schweiz)},
year = {2026},
howpublished = {\url{https://forms-legal.com/de/switzerland/business/contracts/cloud-hosting-vertrag-schweiz}},
note = {Free legal document template}
}Häufig gestellte Fragen
Ein Cloud-Hosting-Vertrag Schweiz regelt die Bereitstellung von IT-Infrastruktur (Server, Speicher, Netzwerk) durch den Anbieter, auf der der Kunde eigene Software und Daten betreibt — rechtlich ein Auftragsvertrag nach OR Art. 394-406 (SR 220). Ein SaaS-Vertrag (Software as a Service) hingegen regelt den Zugang zu einer fertigen Software-Applikation des Anbieters, die auf dessen Infrastruktur läuft. Beim Cloud-Hosting-Vertrag Schweiz trägt der Kunde die Verantwortung für Betriebssystem, Middleware und Applikation; beim SaaS-Vertrag trägt der Anbieter diese Verantwortung vollständig. Beide Vertragstypen erfordern eine Auftragsverarbeitungsklausel nach DSG Art. 9 (nDSG), wenn Personendaten des Kunden verarbeitet werden. Der Cloud-Hosting-Vertrag Schweiz ist typischerweise flexibler und technisch komplexer, erfordert aber auch höheres IT-Know-how beim Kunden.
Ja, grundsätzlich schon. Sobald der Hosting-Anbieter im Rahmen des Cloud-Hosting-Vertrags Schweiz Personendaten des Kunden bearbeitet — was bei nahezu jedem Business-Hosting der Fall ist (Kundendaten, Mitarbeiterdaten, Transaktionsdaten) — schreibt DSG Art. 9 (nDSG SR 235.1, in Kraft seit 1.9.2023) einen schriftlichen Auftragsverarbeitungsvertrag (DPA) vor. Der DPA muss Bearbeitungszweck, Datenkategorien, Sicherheitsmassnahmen, Unterauftragnehmer-Regelung und Datenpannenmeldepflicht regeln. Viele professionelle Hosting-Anbieter stellen ein Standard-DPA bereit; prüfen Sie dieses auf Vollständigkeit. Fehlt ein DPA, können Bussgelder bis CHF 250'000.- (DSG Art. 60-66) und Aufsichtsmassnahmen des EDÖB drohen. forms-legal.com stellt eine Mustervorlage für den Auftragsverarbeitungsvertrag Schweiz kostenlos zum Download bereit.
FINMA-regulierte Institute (Banken, Versicherungen, Wertpapierhäuser, Fintech-Unternehmen mit FINMA-Bewilligung) müssen Cloud-Hosting-Verträge nach den Anforderungen des FINMA-Rundschreibens 2018/3 (Outsourcing bei Banken und Versicherungen) und FINMA-Rundschreibens 2023/1 (Operationelle Risiken und Resilienz, in Kraft ab 1.1.2024) gestalten. Pflichtbestandteile des FINMA-konformen Cloud-Hosting-Vertrags Schweiz: (1) FINMA-Auditrecht ohne Vorankündigung; (2) Business-Continuity-Plan (BCP) mit jährlichem Test, RTO maximal 4 Stunden, RPO maximal 1 Stunde; (3) Exit-Management-Plan mit maximal 12-wöchigem Migrationszeitraum; (4) Datenlokalisierung in Schweiz oder EU/EWR; (5) Unterauftragnehmerliste mit Vorabgenehmigungspflicht; (6) Meldepflicht bei Sicherheitsvorfällen innert 24 Stunden an das Finanzinstitut. Ein Standard-Hosting-Vertrag ohne diese Klauseln genügt den FINMA-Anforderungen nicht.
Die angemessene SLA-Verfügbarkeit im Cloud-Hosting-Vertrag Schweiz hängt vom Verwendungszweck ab: Für Business-kritische Applikationen (E-Commerce, Online-Banking, ERP-Systeme, Produktionssysteme) sind mindestens 99,9% Verfügbarkeit pro Monat Standard — das entspricht maximal 44 Minuten Ausfallzeit pro Monat. Für hochkritische Systeme (Zahlungsinfrastruktur, Notfallsysteme) sind 99,99% erforderlich (maximal 4,4 Minuten Ausfallzeit). Für weniger kritische Systeme (Test-Umgebungen, interne Tools) sind 99,0% oder 99,5% ausreichend. Wichtig: Der Cloud-Hosting-Vertrag Schweiz muss klarstellen, wie geplante Wartungsfenster von der Verfügbarkeitsberechnung ausgenommen werden und welche Service-Credits bei SLA-Unterschreitung fällig werden. Vergleichen Sie auch, ob das SLA auf Third-Party-Monitoring (unabhängig und objektiv) oder auf anbietereigenem Monitoring basiert.
Grundsätzlich ja, aber unter Auflagen des nDSG (DSG SR 235.1, in Kraft seit 1.9.2023): Datentransfers ins Ausland sind nach DSG Art. 16 zulässig, wenn (a) das Drittland ein angemessenes Datenschutzniveau bietet (alle EU-Mitgliedsstaaten, einige weitere Länder gemäss EDÖB-Länderliste), oder (b) der Anbieter geeignete Garantien bereitstellt, insbesondere EU-Standardvertragsklauseln (SCC). USA: Datenspeicherung in den USA ist nach dem EU-US Data Privacy Framework und dem Schweizer Äquivalent mit SCC zulässig — das DSG erlaubt dies, verlangt aber entsprechende vertragliche Absicherung. Für FINMA-regulierte Institute gelten strengere Regeln: Kritische Kundendaten müssen in der Schweiz oder EU/EWR bleiben. Der Cloud-Hosting-Vertrag Schweiz muss den Rechenzentrumsstandort präzise benennen und Änderungen der Datenlokalisierung von der schriftlichen Kundenzustimmung abhängig machen.
Der Cloud-Hosting-Vertrag Schweiz ist ein Vertragsdokument, das Sie auf forms-legal.com kostenlos erstellen und herunterladen können. Die Kosten für die eigentliche Hosting-Dienstleistung variieren stark nach Leistungsumfang: Ein einfacher VPS (Virtual Private Server) bei Schweizer Anbietern wie Infomaniak oder Hostpoint kostet CHF 5.- bis 30.- pro Monat. Ein managed Server mit ISO-Zertifizierung und Business-SLA kostet CHF 100.- bis 500.- pro Monat. Enterprise-Cloud-Lösungen mit FINMA-konformen Klauseln (ISO 27001, BCM, Auditrecht) bei Anbietern wie Nine, Exoscale oder AeroSol kosten CHF 500.- bis mehrere Tausend CHF pro Monat. Zu den Hosting-Kosten kommt die MWST von 8,1 Prozent (Normalsatz seit 2024). Die rechtliche Gestaltung eines massgeschneiderten Cloud-Hosting-Vertrags Schweiz durch eine IT-Anwaltskanzlei kostet CHF 2'000.- bis 8'000.- — die Mustervorlage von forms-legal.com bietet eine kostengünstige Alternative für KMU.
Der Cloud-Hosting-Vertrag Schweiz muss explizit regeln, was mit den Kundendaten nach Vertragsende geschieht. Eine rechtskonforme Exit-Klausel enthält: (1) Datenexport-Recht: Der Hosting-Anbieter stellt alle Kundendaten für mindestens 30 Tage nach Vertragsende in einem maschinell lesbaren Format (JSON, CSV, SQL-Dump, ZIP-Archiv) zum Export bereit. (2) Datenlöschpflicht: Nach Ablauf der Export-Frist löscht der Anbieter alle Kundendaten unwiderruflich von seinen Systemen — einschliesslich Backups. (3) Löschbestätigung: Der Anbieter bestätigt die vollständige Datenlöschung schriftlich. Diese Exit-Klausel ist nicht nur vertragsrechtlich sinnvoll, sondern nach DSG Art. 9 Abs. 2 lit. g (nDSG) auch datenschutzrechtlich zwingend, wenn der Cloud-Hosting-Vertrag Schweiz Personendaten umfasst. Fehlt eine Exit-Klausel, kann der Anbieter Daten einbehalten oder übermässige Exitgebühren verlangen — ein klassischer Vendor-Lock-in.
Das Bundesgesetz über die Informationssicherheit beim Bund (ISG SR 128) und die neue Meldepflicht nach ISG Art. 74a (in Kraft ab 2025) gilt für Betreiber kritischer Infrastrukturen in der Schweiz: Energie, Wasser, Telekommunikation, Finanzdienstleistungen, Gesundheitswesen, Bundesbehörden und weitere nach BABS-Verordnung bestimmte Bereiche. Cloud-Hosting-Anbieter, die solche kritische Infrastruktur betreiben oder betreuen, müssen erhebliche Cyberangriffe dem Bundesamt für Cybersicherheit (BACS) innert 24 Stunden melden. Der Cloud-Hosting-Vertrag Schweiz sollte eine entsprechende Meldepflicht-Klausel enthalten: Der Hosting-Anbieter verpflichtet sich, Sicherheitsvorfälle, die den Kunden betreffen, unverzüglich (innert 24 Stunden) schriftlich zu melden. Für FINMA-regulierte Institute gilt zusätzlich die Meldepflicht nach Art. 29 BankG gegenüber der FINMA.
Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss
Fehler gefunden? Sagen Sie uns BescheidVerwandte Dokumente
Diese Dokumente könnten ebenfalls nützlich sein:
SaaS-Vertrag Schweiz (Software-as-a-Service)
SaaS-Vertrag für die Schweiz nach OR Art. 363 und 394 sowie DSG Art. 9 — mit Verfügbarkeits-SLA, Datenschutzklauseln (nDSG), Kundendatenrechten und Kündigung. Kostenlose Mustervorlage zum Download.
Auftragsverarbeitungsvertrag (DPA) Schweiz
Auftragsverarbeitungsvertrag (DPA) für die Schweiz nach DSG Art. 9 und nDSG 2023 — mit Datenkategorien, Subverarbeitern, Datenpannenmeldung, DSFA und Datenlöschung. Kostenlose Mustervorlage zum Download.
IT-Dienstleistungsvertrag Schweiz
IT-Dienstleistungsvertrag für die Schweiz nach OR Art. 363-379 und DSG Art. 9 — mit SLA, Datenschutzklauseln, Vergütungsmodell und Geheimhaltungspflichten. Kostenlose Mustervorlage zum Download.
Datenschutzerklarung Schweiz (nDSG)
Datenschutzerklaerung Schweiz — konform mit dem revidierten Datenschutzgesetz (nDSG) in Kraft seit 1. September 2023. Deckt Informationspflicht (Art. 19 nDSG), Bearbeitungsgrundsaetze (Art. 6 nDSG) und Betroffenenrechte ab.