Cloud, On-Premise und Hybrid: Datenspeicherung im Family Office

Warum Datenspeicherung zur Chefsache geworden ist

Lange Zeit behandelten Family Offices die Dateninfrastruktur als reine Back-Office-Angelegenheit – delegiert an einen IT-Verantwortlichen oder vollständig ausgelagert an den Technologie-Stack eines Vermögensverwalters. Diese Haltung ist nicht mehr haltbar. Das Zusammenwirken dreier Entwicklungen – extraterritoriale Datenzugriffsgesetze, verschärfte Datenschutzanforderungen in der EU und der Schweiz sowie die Zunahme multinational strukturierter Familienvermögen – macht den physischen Speicherort von Finanz-, Rechts- und Personendaten zur Frage mit unmittelbaren rechtlichen, reputationsbezogenen und in Einzelfällen auch persönlichen Sicherheitskonsequenzen für die Principals.

Eine Umfrage eines europäischen Family-Office-Verbands aus dem Jahr 2023 ergab, dass 61 Prozent der Single-Family-Offices mit einem Vermögen von mehr als EUR 500 Millionen in den vorangegangenen 24 Monaten keine formale Beurteilung ihres Datenspeicherungskonzepts vorgenommen hatten. Diese Lücke wächst, während regulatorische Pflichten zunehmen. Die Frage lautet nicht mehr, ob man sich mit dem Thema befassen soll, sondern wie eine Infrastrukturstrategie gestaltet werden muss, die gleichzeitig operativ tragbar und rechtlich vertretbar ist – über mehrere Heimatjurisdiktionen hinweg.

Die Architekturoptionen und ihre tatsächlichen Zielkonflikte

On-Premise: Kontrolle zum Preis hoher Kosten

On-Premise-Infrastruktur bedeutet, dass das Family Office physische Server besitzt oder mietet – typischerweise in einem dedizierten Colocation-Rechenzentrum, seltener im eigenen Bürogebäude. Der zentrale Vorteil liegt in der absoluten Kontrolle über Datenspeicherort und Zugriff: Es gibt keinen externen Cloud-Anbieter, der auf eine ausländische Behördenanfrage reagieren könnte, da kein Dritter als Datentreuhänder fungiert. Für Familien mit erhöhten Sicherheitsanforderungen oder solche, die sich in der Nähe von Sanktionsrisiken bewegen, kann dieses Mass an Kontrolle den Preis rechtfertigen.

Der Preis ist allerdings erheblich. Ein konservativ dimensionierter On-Premise-Betrieb für ein mittelgrosses Single-Family-Office – umfassend Portfolio-Management, konsolidiertes Reporting, Dokumentenverwaltung und sichere Kommunikation – erfordert typischerweise CHF 400'000 bis CHF 800'000 an initialen Investitionskosten sowie jährliche Betriebskosten von CHF 150'000 bis CHF 300'000, sobald Personal, Patch-Management, Hardware-Erneuerungszyklen und Disaster-Recovery-Replikation eingerechnet werden. Diese Zahlen setzen ein Schweizer oder deutsches Colocation-Rechenzentrum mit ISO-27001-Zertifizierung voraus. Für Family Offices mit einem verwalteten Vermögen unter USD 300 Millionen ist das Kosten-Nutzen-Verhältnis eines vollständigen On-Premise-Betriebs nur schwer zu rechtfertigen – es sei denn, eine spezifische Bedrohungsanalyse verlangt ihn ausdrücklich.

Cloud: Komfort mit jurisdiktionellen Risiken

Public-Cloud-Infrastruktur bietet Family Offices Möglichkeiten, die On-Premise-Lösungen kaum erreichen: elastischer Speicher, nahezu sofortige Disaster Recovery und Kollaborationswerkzeuge, die über die Zeitzonen hinweg funktionieren, die eine multinational aufgestellte Familie zwangsläufig überbrückt. Die operativen Einsparungen sind real. Ein Family Office, das sein Dokumentenmanagement und Reporting in eine europäische Region eines grossen Cloud-Anbieters verlagert, kann die Infrastruktur-Betriebskosten laut Analysen europäischer Technologieberatungen aus den Jahren 2021 bis 2023 typischerweise um 40 bis 60 Prozent gegenüber einer vergleichbaren On-Premise-Lösung senken.

Das jurisdiktionelle Risiko ist jedoch erheblich und wird häufig missverstanden. Die dominanten Hyperscale-Cloud-Anbieter sind in den Vereinigten Staaten inkorporiert. Diese gesellschaftsrechtliche Heimat hat unter dem Clarifying Lawful Overseas Use of Data Act – dem CLOUD Act, verabschiedet im März 2018 – weitreichende Konsequenzen. Der CLOUD Act ermächtigt US-Strafverfolgungsbehörden, einen in den USA ansässigen Cloud-Anbieter zur Herausgabe von Daten zu zwingen, die auf beliebigen Servern in beliebigen Ländern gespeichert sind – sofern der Anbieter ausreichende Kontrolle über diese Daten ausübt. Entscheidend: Der Anbieter muss die betroffene Person nicht benachrichtigen, und das Vorliegen eines Datenschutzvertrags – einschliesslich EU-Standard-Vertragsklauseln – stellt keinen gültigen Einwand gegen eine Herausgabeanordnung dar.

Standard-Vertragsklauseln bieten sinnvollen Schutz gegen kommerziellen Datenmissbrauch. Gegen eine CLOUD-Act-Anordnung gegenüber einem in den USA domizilierten Anbieter bieten sie keinen Schutz. Es handelt sich um unterschiedliche Rechtsinstrumente, die unterschiedliche Bedrohungsszenarien adressieren.

Für eine europäische Familie ohne US-Bezug mag dies theoretisch erscheinen. In der Praxis ist der Anknüpfungspunkt oft vorhanden: ein US-amerikanischer Trustee einer liechtensteinischen Stiftung, ein Familienmitglied mit US-Green-Card, eine Delaware-Holdinggesellschaft in der Beteiligungsstruktur oder schlicht die Nutzung eines US-amerikanischen Kommunikations- oder Kollaborationstools durch das Family Office selbst. All dies kann jurisdiktionelle Anknüpfungspunkte schaffen, die ein CLOUD-Act-Risiko konkret und nicht mehr nur theoretisch werden lassen.

Hybride Architektur: der pragmatische Mittelweg

Hybride Architektur – sensible Personen- und Finanzdaten auf kontrollierten Systemen, Cloud-Dienste für Prozesse mit geringerem Schutzbedarf – ist das Modell, das Data-Governance-Berater für Family Offices am häufigsten empfehlen. Die praktische Umsetzung setzt als Fundament einen konsequenten Datenklassifizierungsrahmen voraus. Ohne einen solchen bleibt die hybride Architektur eine informelle Vereinbarung, bei der sensible Daten der Bequemlichkeit halber in Cloud-Umgebungen wandern und die theoretische Kontrolle durch On-Premise-Speicherung in der Praxis untergraben wird.

Ein praxistaugliches Vier-Stufen-Modell für Family-Office-Daten könnte wie folgt aussehen: Stufe 1 umfasst Identitäts-, wirtschaftliche Eigentümer- und biometrische Daten mit dem höchsten Schutzbedarf; Stufe 2 betrifft Jahresabschlüsse, Treuhandstrukturen und Nachlassplanungsdokumente, die eine Speicherung in kontrollierten Umgebungen erfordern; Stufe 3 schliesslich Investment-Research, Marktdaten und Counterparty-Kommunikation, die für private oder Sovereign-Cloud-Infrastruktur geeignet sind; und Stufe 4 allgemeine Korrespondenz, Terminplanung und öffentlich zugängliche Materialien, für die Standard-Cloud-Dienste angemessen sind. Die entscheidende Disziplin liegt darin, diese Grenzen durch technische Kontrollen durchzusetzen – und nicht auf das Verhalten der Mitarbeitenden zu vertrauen.

Der regulatorische Rahmen: DSGVO, revDSG und ihr Zusammenspiel

Datenspeicherungspflichten unter der DSGVO

Die EU-Datenschutz-Grundverordnung, in Kraft seit Mai 2018, verbietet grenzüberschreitende Datentransfers nicht grundsätzlich – sie schränkt sie ein. Kapitel V der DSGVO verlangt, dass Personendaten, die ausserhalb des Europäischen Wirtschaftsraums übermittelt werden, nur in Länder mit Angemessenheitsbeschluss oder unter geeigneten Garantien transferiert werden dürfen – Standard-Vertragsklauseln, Binding Corporate Rules oder die neueren Ausnahmetatbestände des Europäischen Datenschutzausschusses. Für Family Offices bedeutet das: Personendaten über EU-ansässige Familienmitglieder, Angestellte oder Dienstleister dürfen nicht ohne aktive Rechtsgrundlage in US-Cloud-Infrastruktur gespeichert werden.

Das Schrems-II-Urteil des Gerichtshofs der Europäischen Union vom Juli 2020 hat das EU-US-Privacy-Shield-Rahmenwerk für ungültig erklärt und den Prüfmassstab für Standard-Vertragsklauseln erhöht: Datenexporteure müssen vor deren Anwendung eine Transfer Impact Assessment durchführen. Viele Family Offices haben ihre Transferrechtsgrundlagen seit Schrems II nicht aktualisiert – ihre aktuellen Cloud-Arrangements könnten damit bereits nicht mehr rechtskonform sein. Das neu eingeführte EU-US-Datenschutzrahmenabkommen, angenommen im Juli 2023, stellt für zertifizierte US-Empfänger wieder einen Angemessenheitsmechanismus bereit, seine rechtliche Beständigkeit ist jedoch umstritten – eine erneute Schrems-Klage wird allgemein erwartet.

Das revidierte Schweizer DSG: ähnliche Grundsätze, eigenständige Pflichten

Das revidierte Bundesgesetz über den Datenschutz (revDSG) ist am 1. September 2023 in Kraft getreten und ersetzt ein Gesetz aus dem Jahr 1992. Das revDSG orientiert sich in seinen Grundsätzen – Rechenschaftspflicht, Datensparsamkeit, Zweckbindung und Erfordernis einer Rechtsgrundlage für die Bearbeitung – weitgehend an der DSGVO. Es gibt jedoch materielle Unterschiede, die Family Offices mit Schweizer Domizil nicht mit EU-Recht verwechseln dürfen.

Das revDSG führt insbesondere obligatorische Datenschutz-Folgenabschätzungen für hochriskante Bearbeitungstätigkeiten ein und empfiehlt die Bestellung eines Datenschutzberaters – ohne Pflicht, aber mit Safe-Harbour-Wirkung. Bei grenzüberschreitenden Datentransfers bestehen eigenständige Meldepflichten gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), wenn Daten in Länder ohne angemessenes Schutzniveau übermittelt werden. Die Schweizer Liste der Länder mit angemessenem Datenschutz wird unabhängig von der EU-Angemessenheitsliste geführt – beide Listen sind weitgehend deckungsgleich, aber nicht identisch. Die USA figurieren auf der Schweizer Liste ohne spezifischen Transfermechanismus nicht als Land mit angemessenem Schutz.

Für Genfer und Zürcher Family Offices, die EU-ansässige Principals betreuen, ergibt sich daraus eine parallele Compliance-Pflicht: DSGVO und revDSG müssen gleichzeitig erfüllt werden. Das ist machbar, setzt aber eine bewusst gestaltete Data-Governance-Architektur voraus – und nicht die Annahme, DSGVO-Konformität sei ausreichend.

Das CLOUD-Act-Problem für europäische Familien: ein struktureller Konflikt

Der CLOUD Act schafft für europäische Family Offices einen strukturellen Rechtskonflikt ohne saubere Lösung. Artikel 48 DSGVO bestimmt, dass Urteile, Entscheidungen und Anordnungen von Gerichten oder Behörden eines Drittstaats, die einen Verantwortlichen oder Auftragsverarbeiter zur Übermittlung oder Offenlegung von Personendaten verpflichten, nur anerkannt oder vollstreckt werden dürfen, wenn sie auf einem in Kraft befindlichen internationalen Abkommen zwischen dem ersuchenden Drittstaat und der EU beruhen. Im Klartext: Die DSGVO sieht vor, dass EU-Daten nur über formelle Rechtshilfekanäle an US-Behörden weitergegeben werden. Der CLOUD Act hingegen erlaubt US-Behörden, diese Kanäle zu umgehen, indem sie ihre Anordnungen direkt an den in den USA domizilierten Anbieter richten – nicht an den europäischen Datenverantwortlichen.

Der Anbieter, der sich im Spannungsfeld beider Rechtsordnungen befindet, muss zwischen US-amerikanischem und europäischem Recht wählen – und angesichts der asymmetrischen Durchsetzungsrisiken wird er typischerweise der US-Anordnung Folge leisten, während er Kunden nur in dem Umfang informiert, den US-Recht erlaubt. Für ein Family Office bedeutet das: Finanzdaten, wirtschaftliche Eigentümerinformationen und persönliche Kommunikation, die bei einem US-amerikanischen Anbieter gespeichert sind, könnten grundsätzlich an US-Strafverfolgungsbehörden herausgegeben werden – ohne Wissen der Familie, in einem Kontext, in dem die Familie keinen US-rechtlichen Anknüpfungspunkt hat und davon ausgeht, ihre Daten seien durch EU- oder Schweizer Recht geschützt.

Die praktischen Gegenmassnahmen sind begrenzt, aber nicht bedeutungslos. Erstens: Die Nutzung von Cloud-Infrastruktur, die von ausserhalb der USA inkorporierten Anbietern betrieben wird – EU- oder Schweizer Anbieter mit eigener Infrastruktur –, beseitigt für diese Daten den CLOUD-Act-Anknüpfungspunkt. Allerdings sollte die gesamte Beteiligungskette sorgfältig geprüft werden, da mehrere nominell europäische Cloud-Anbieter Tochtergesellschaften US-amerikanischer Muttergesellschaften sind. Zweitens: Ende-zu-Ende-Verschlüsselung mit familienseitig verwalteten Schlüsseln bedeutet, dass selbst bei einer CLOUD-Act-Herausgabe nur unlesbares Material übermittelt wird – vorausgesetzt, die Verschlüsselungsschlüssel liegen nicht beim US-verbundenen Anbieter. Drittens: Vertragsarchitektur, die sicherstellt, dass der US-verbundene Anbieter nur anonymisierte oder aggregierte Daten hält, während identifizierende Informationen ausschliesslich auf nicht-US-amerikanischer Infrastruktur verbleiben, reduziert – ohne es zu eliminieren – das Risiko.

Der CLOUD Act setzt nicht voraus, dass eine US-verbundene Familie das Ziel ist. Er setzt nur voraus, dass der Datentreuhänder eine US-amerikanische Einheit ist. Für Familien, die glauben, ihre europäischen Gesellschaftsstrukturen schützten sie vor US-amerikanischem Rechtszugriff, ist der Domizilort des Cloud-Anbieters – nicht ihr eigener – die massgebliche Risikovariable.

Einen rechtlich belastbaren Datenspeicherungsrahmen aufbauen

Ausgangspunkt: die Datenkartierung

Kein Infrastrukturentscheid ist vertretbar, ohne zu wissen, welche Daten das Family Office hält, in welcher Form, auf welcher Rechtsgrundlage und wo sie sich derzeit befinden. Eine formale Datenkartierung – strukturierte Erfassung von Daten nach Typ, Sensibilitätsstufe, Betroffenenkategorie, Bearbeitungsrechtsgrundlage, aktuellem Speicherort und massgebendem Regulierungsregime – sollte jedem Infrastrukturentscheid vorausgehen. Diese Übung ist zudem durch Artikel 30 DSGVO für Organisationen, die Daten in nennenswertem Umfang verarbeiten, vorgeschrieben sowie durch die Rechenschaftspflichten des revDSG. Family Offices, die seit 2021 keine solche Kartierung vorgenommen haben, sollten dies angesichts der seither eingetretenen regulatorischen Veränderungen als überfällig betrachten.

Speicherortanforderungen nach Datenkategorie – nicht nach System – definieren

Der häufigste Fehler in der Family-Office-Data-Governance besteht darin, Infrastrukturentscheide auf Systemebene zu treffen – ein Portfolio-Management-System auszuwählen und erst dann zu fragen, wo es Daten speichert –, statt von der Datenkategorie auszugehen. Die richtige Reihenfolge: Für jede Sensibilitätsstufe zunächst bestimmen, in welchen Jurisdiktionen die Daten rechtmässig gespeichert werden dürfen und welche Stellen rechtmässig darauf zugreifen dürfen – dann Infrastruktur auswählen oder aufbauen, die diesen Anforderungen entspricht. Für Tier-1-Daten EU-ansässiger Principals beschränkt sich die zulässige Speicherung typischerweise auf EWR- oder Schweizer Infrastruktur, die von nicht-US-amerikanischen Anbietern betrieben wird, mit lückenloser Zugriffsprotokollierung.

Vor jeder Infrastrukturentscheidung: rechtliche Beratung in allen relevanten Jurisdiktionen

Die Datenspeicherungspflichten einer Familie mit Mitgliedern in Frankreich, der Schweiz, den USA und Singapur berühren DSGVO, revDSG, CLOUD Act, den Singapore Personal Data Protection Act und potenziell den US Foreign Intelligence Surveillance Act. Kein einzelner Berater verfügt gleichzeitig über Kompetenz in all diesen Rechtsgebieten. Family Offices sollten vor der Festlegung ihrer Infrastrukturarchitektur eine koordinierte, multijurisdiktionelle Rechtsüberprüfung in Auftrag geben – mit besonderem Augenmerk auf das CLOUD-Act-Risiko, das von europäischen Beratern ohne Kenntnisse des US-amerikanischen Überwachungsrechts häufig untergewichtet wird. Die Kosten für eine solche Überprüfung – typischerweise EUR 30'000 bis EUR 80'000 für ein angemessen dimensioniertes Mandat – sind gemessen an den potenziellen Konsequenzen eines Datenvorfalls mit wirtschaftlichen Eigentümerinformationen eines Principals bescheiden.

Datenspeicherung ist letztlich eine Governance-Frage, die zufällig eine technische Antwort hat. Die Infrastrukturentscheide – Cloud, On-Premise oder Hybrid – sind Mittel zum Zweck, der durch die rechtlichen Pflichten, das Bedrohungsmodell und die Datenschutzprioritäten der Familie definiert wird. Eine fundierte Analyse setzt voraus, diese Faktoren als primär zu betrachten – und die Technologie als nachgeordnet.