Compliance 28.03.2026 9 Min. Lesezeit

DSGVO-konforme Fernwartung in der Schweiz: Der Praxis-Guide

Was die DSGVO und das revidierte Schweizer DSG für Remote-Desktop-Tools bedeuten — von Datenstandort über AVV bis zu Audit-Trail. Praxis-Checkliste.

Was DSGVO und revDSG fordern

Die EU-DSGVO und das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 2023) regeln den Umgang mit personenbezogenen Daten. Für Remote-Wartung relevant sind:

  1. Verarbeitungsverzeichnis (Art. 30 DSGVO / Art. 12 revDSG): Sie müssen dokumentieren, wer wann auf welche Daten zugegriffen hat.
  2. Auftragsverarbeitungsvertrag (Art. 28 DSGVO / Art. 9 revDSG): Wenn ein externer IT-Dienstleister auf personenbezogene Daten zugreift (auch nur «sehen» reicht), braucht’s einen AVV.
  3. Datensicherheit (Art. 32 DSGVO / Art. 8 revDSG): Verschlüsselung, Zugriffskontrolle, Audit-Trail.
  4. Datenstandort: EU oder anerkannte Drittländer (Schweiz ist anerkannt).

Die häufigsten Stolperfallen

Fallback auf einen US-Cloud-Server. Sie nutzen ein P2P-Tool, aber bei Symmetric NAT springt ein TURN-Relay ein — und der ist in den USA. Datenfluss durch US-Infrastruktur unterliegt dem CLOUD Act. Lösung: Tool mit Schweizer/EU-Relay wählen.

Kein AVV mit dem Tool-Anbieter. Wenn Sie als IT-Dienstleister Remote-Sessions auf Kunden-Geräten führen, sind Sie Auftragsverarbeiter für die Kundendaten. Der Tool-Anbieter ist Sub-Auftragsverarbeiter. Beide AVVs müssen vorliegen.

Kein Audit-Trail. Bei einem DSGVO-Audit müssen Sie nachweisen können, wer wann welche Session geführt hat. Manche Tools loggen nur «Sessions diesen Monat: 47» — das ist zu wenig. Gefordert: pro Session der Techniker-Name, Zielgerät, Dauer, Datei-Übertragungen.

Session-Aufzeichnung ohne Einwilligung. Wenn Sie Sessions aufzeichnen (z.B. für Compliance), brauchen Sie die ausdrückliche Einwilligung des Endnutzers am Host-Gerät. Ohne Einwilligung: Verstoss.

Die Schweizer Vorteile

Wenn Sie als Schweizer IT-Dienstleister einen Schweizer Anbieter wählen:

  • Kein CLOUD Act. Schweizer GmbHs ohne US-Mutter können nicht zur Datenherausgabe an US-Behörden gezwungen werden.
  • Kürzere Rechtshilfe. Streitigkeiten bei einem Schweizer Anbieter werden vor einem Schweizer Gericht ausgetragen — keine Multi-Jurisdiktions-Komplexität.
  • EDÖB als Anlaufstelle. Beschwerden gehen zum Eidgenössischen Datenschutzbeauftragten — pragmatisch und auf Schweizer Recht spezialisiert.

Praxis-Checkliste

Bevor Sie ein Remote-Tool für regulierte Kunden einsetzen:

  1. Datenstandort dokumentiert? Server in Schweiz oder EU.
  2. AVV vorhanden? Standard-AVV des Anbieters durchgelesen + abgespeichert.
  3. Verschlüsselung E2E? AES-256 oder vergleichbar, dokumentiert.
  4. Audit-Trail aktiviert? Per Session: wer/wann/was, exportierbar als CSV.
  5. Rollen + Berechtigungen? Nicht jeder Techniker auf alles. Prinzip der minimalen Berechtigung.
  6. Einwilligung für Aufzeichnung? Wenn Sessions aufgezeichnet werden.
  7. Tool-Anbieter ohne CLOUD-Act-Abhängigkeit? Bei sensiblen Daten (Gesundheit, Finanz, Anwalt) hart relevant.
  8. Tracking-Konfiguration explizit gesetzt? Kein anonymes «über alles erzählt der Anbieter alles seinem Marketing».

Wo WinDesk hier steht

WinDesk wurde explizit für den Schweizer Compliance-Kontext gebaut:

  • Server in Schweiz und EU, kein US-Cloud-Hop
  • Lightnet Multimedia GmbH ist Schweizer GmbH ohne US-Mutter — kein CLOUD Act
  • AES-256-GCM E2E pro Session, ephemerer Schlüssel
  • Audit-Trail per Default, CSV-Export, Filter nach Benutzer/Zeitraum/Gerät
  • Standard-AVV im Portal verfügbar
  • Rollen: Admin / Supporter / Read-only
  • Optionale Session-Aufzeichnung kommt 2026 mit Einwilligungs-Workflow

Sicherheits-Page mit Detail-Belegen. Bei AVV-Fragen: info@windesk.ch.

WinDesk in 30 Sekunden ausprobieren

Free-Plan ohne Konto, ohne Kreditkarte. Cross-Platform Windows + Mac + Linux + Pi.

Jetzt herunterladen Mehr Artikel