Digitale Souveränität für Schweizer Unternehmen - Zwischen EU-Regulierung und lokalen Anforderungen

Der Weckruf kam 2020

Juli 2020. Der Europäische Gerichtshof kippt das Privacy Shield. Über Nacht werden Millionen von Datentransfers in die USA rechtswidrig.

"Aber wir sind in der Schweiz", sagst du. "Das betrifft uns nicht."

Falsch.

Wenn du EU-Kunden hast, EU-Daten verarbeitest, oder mit EU-Partnern arbeitest - dann betrifft dich das direkt.

Was ist digitale Souveränität wirklich?

Der Begriff wird inflationär benutzt. Manche verstehen darunter: Alles selbst hosten, Clouds meiden, zurück zum eigenen Server-Raum.

Das ist Quatsch.

Digitale Souveränität bedeutet: Bewusst kontrollieren, wer Zugriff auf deine Daten hat - ohne dein Geschäft lahmzulegen.

Es geht nicht um Autarkie. Es geht um bewusste Abhängigkeit.

Du kannst Cloud nutzen. Du sollst sogar. Aber du solltest wissen:

- Wo liegen deine Daten physisch?

- Wer kann darauf zugreifen - und unter welchem Recht?

- Was passiert, wenn sich Gesetze ändern?

Das sind keine paranoiden Fragen. Das sind Business-Fragen.

Das Problem mit US-Cloud-Providern

AWS, Azure, Google Cloud - alle drei sind US-Konzerne. Und hier kommt der Cloud Act ins Spiel.

Der US Cloud Act erlaubt amerikanischen Behörden, auf Daten zuzugreifen - egal wo sie physisch liegen. Ein Rechenzentrum in Frankfurt, betrieben von Microsoft? US-Behörden können trotzdem anklopfen.

Das ist nicht Theorie. Das ist geltendes Recht.

Für dich als Schweizer Unternehmen heisst das: Wenn du einen US-Cloud-Provider nutzt, hast du ein potentielles Rechtsrisiko. Nicht heute. Vielleicht nicht morgen. Aber irgendwann könnte ein EU-Kunde fragen. Oder eine Aufsichtsbehörde.

Die Schrems-II-Falle

Das Schrems-II-Urteil hat ein Loch in die Standard Contractual Clauses (SCCs) gerissen. Das waren die Vertragsklauseln, mit denen Unternehmen Datentransfers in die USA legitimiert haben.

Das Problem: SCCs allein reichen nicht mehr. Du brauchst zusätzliche Massnahmen - Verschlüsselung, bei der nur du den Schlüssel hast, technische Garantien, dass US-Behörden keinen Zugriff bekommen.

Viele Unternehmen machen weiter wie bisher und hoffen, dass niemand genau hinschaut.

Das funktioniert. Bis es nicht mehr funktioniert.

(Ein Unternehmen, das wir kennen, hat gerade eine Due Diligence für einen M&A-Deal verloren. Der Grund? Ihre Cloud-Infrastruktur war "nicht Schrems-II-konform". Der Deal war tot.)

Vier Wege zur Souveränität

Okay, genug Problembeschreibung. Was kannst du tun?

Weg 1: Schweizer Cloud

Es gibt zig Schweizer Anbieter, welche für die meisten Anwendungsfälle von Unternehmen die gleiche Abdeckung und Qualität wie Big Tech liefern. Daten bleiben in der Schweiz. Kein US Cloud Act.

Die Realität: Kleinerer Feature-Umfang als die Hyperscaler. Teurer pro Gigabyte. Aber: Direkter Support, verständliche Verträge, echte Mitsprache.

Ein KMU, das wir begleitet haben, hat gewechselt. Es hat in diesem Fall kurzzeitigen Mehrkosten geführt (Da der US-Marketingzustupf nicht kam). Nachdem der erste EU-Kunde des KMUs nach expliziter Schweizer Datenhaltung gefragt hat, hat sich das Thema erübrigt. Natürlich nach vorgängiger ToC-Bewertung und Business Case.

Weg 2: Europäische Cloud-Anbieter

OVHcloud, Scaleway, IONOS, Hetzner – europäische Alternativen mit EU-Mutterkonzern. Kein US Cloud Act, GDPR-konform by Design.

Die Realität: Feature-mässig nicht auf dem Level der Hyperscalern. Grosse Rechenzentrumskapazitäten, was bedeutet, dass zumindest die einfachsten Use Cases abgedeckt sind.

Für viele Schweizer Unternehmen der pragmatische Mittelweg – besonders wenn EU-Kunden die Hauptzielgruppe sind. Ein deutscher Mutterkonzern ist für EU-Kunden oft vertrauenswürdiger als ein US-Provider mit EU-Rechenzentrum.

Weg 3: Hyperscaler mit EU-Regionen

Du bleibst bei den Hyperscalern, aber exklusiv in EU-Rechenzentren. Mit zusätzlichen Verträgen, zusätzlicher Verschlüsselung, zusätzlichen Garantien - wenn möglich natürlich. Oftmals gelingt dies aber leider nur den ganz grossen Unternehmen. Hyperscaler machen keine Zusatzverträge mit KMUs…

Es ist aber ein Kompromis. Der US-Mutterkonzern bleibt ein Restrisiko. Aber mit den richtigen technischen Massnahmen lässt sich einiges einrichten.

Weg 4: Hybrid

Kritische Daten in der Schweiz. Alles andere bei den Hyperscalern.

Kundendaten, Patientenakten, Finanzdaten → Schweizer Cloud Analytics

Marketing, Public Content → Rechenzentrum eines Hyperscalers in Europa

Das ist aufwändiger. Aber es gibt dir das Beste aus beiden Welten: Souveränität für das Sensible, Skalierung für den Rest.

Die fünf häufigsten Fehler

1. "Souveränität = alles selbst hosten"

Falsch. Ein Server im Keller macht dich nicht souverän. Er macht dich nur langsam und verwundbar. Souveränität heisst Kontrolle, nicht Autarkie.

2. "Daten in der Schweiz = Problem gelöst"

Falsch. Wenn der Cloud-Provider ein US-Konzern ist, ändert der Standort wenig am Rechtsrisiko.

3. "Wir haben Verträge, also ist alles legal"

Falsch. Verträge geben dir keine Kontrolle und Sicherheit. Technische Massnahmen sind es, wenn überhaupt möglich.

4. "Das betrifft uns nicht, wir sind in der Schweiz"

Falsch. Sobald du EU-Kunden oder EU-Daten hast, gelten EU-Regeln. Punkt.

5. "Einmal einrichten, dann fertig"

Falsch. Die Rechtslage ändert sich. NIS2 ist da. Neue Urteile kommen. Die Geopolitische Lage wechselt. Souveränität ist ein Prozess, kein Projekt.

Der Punkt

Digitale Souveränität ist kein Tech-Thema. Es ist ein Business-Thema und es ist Risikomanagement.

Es geht nicht darum, Clouds zu meiden oder alles selbst zu hosten. Es geht darum, bewusste Entscheidungen zu treffen. Zu wissen, wo deine Daten sind. Zu kontrollieren, wer Zugriff hat.

Die Unternehmen, die das ernst nehmen, gewinnen EU-Kunden. Sie bestehen Due-Diligence-Prüfungen. Sie schlafen besser.

Die anderen? Die hoffen, dass niemand genau hinschaut.

(Spoiler: Irgendwann schaut jemand genau hin.)