Wer Daten kontrolliert, hat Macht. Die souveräne Cloud verspricht Unabhängigkeit, Sicherheit und Compliance – auch für Schweizer Unternehmen und Behörden ein zunehmend zentrales Thema.
Der Ruf nach digitaler Souveränität hat in den letzten Jahren deutlich an Dynamik gewonnen.
(Quelle: Shutterstock/JL Stock)
Cloud Computing ist aus der digitalen Infrastruktur moderner Unternehmen nicht mehr wegzudenken. Doch mit der wachsenden Abhängigkeit von globalen Hyperscalern stellt sich zunehmend die Frage nach der digitalen Souveränität. Wer kontrolliert die Daten? Wer kann – rechtlich oder technisch – auf sie zugreifen? Und was bedeutet es für Unternehmen, Behörden und kritische Infrastrukturen, wenn zentrale IT-Komponenten ausserhalb nationaler oder europäischer Hoheit liegen? Die Forderung nach einer «souveränen Cloud» ist keine technologische Modeerscheinung, sondern Ausdruck eines tiefgreifenden Paradigmenwechsels. Es geht um mehr als nur Speicherorte oder Compliance: Es geht um Kontrolle, Vertrauen und die Fähigkeit, in einer vernetzten Welt eigenständig zu handeln. Gerade in Zeiten geopolitischer Spannungen und wachsender Regulierungsdichte wird digitale Souveränität zum strategischen Faktor – auch für die Schweiz.
Warum eine souveräne Cloud?
Cloud-Dienste gelten als Rückgrat der digitalen Transformation – flexibel, skalierbar und effizient. Doch genau diese Vorteile können zum Risiko werden, wenn zentrale Daten, Anwendungen und Systeme ausserhalb des eigenen rechtlichen oder geopolitischen Einflussbereichs liegen. Die Diskussion um eine «souveräne Cloud» ist deshalb vor allem eine über Vertrauen, Kontrolle und Abhängigkeiten.
Im Kern geht es um die Frage: Wer hat im Fall der Fälle das letzte Wort über Datenzugriffe, -verarbeitung und -speicherung? Gerade Unternehmen, die sensible Kundendaten verarbeiten, oder Behörden mit kritischen Infrastrukturen, stehen unter wachsendem Druck, Transparenz und Nachvollziehbarkeit sicherzustellen. Der US Cloud Act, der auch auf Daten europäischer Nutzer zugreifen kann, hat zusätzlich zur Sensibilisierung beigetragen – ebenso wie die Diskussionen um Schrems II oder der zunehmende Protektionismus in der globalen Digitalwirtschaft.
Souveränität bedeutet in diesem Zusammenhang nicht Autarkie, sondern Selbstbestimmung: die Fähigkeit, technologische und regulatorische Entscheidungen im eigenen Interesse zu treffen.
Für viele Organisationen wird das zunehmend zu einem Wettbewerbsfaktor – sei es im Umgang mit regulatorischen Vorgaben, in der Vertrauensbildung bei Kunden oder bei der Absicherung strategischer Datenbestände.
Snowden lässt grüssen
Der Ruf nach digitaler Souveränität ist kein neues Phänomen, hat aber in den letzten Jahren deutlich an Dynamik gewonnen. Ein Wendepunkt war zweifellos die Enthüllung weltweiter Überwachungsprogramme durch Edward Snowden im Jahr 2013. Damals wurde vielen europäischen Unternehmen und Regierungen bewusst, wie tiefgreifend ausländische Geheimdienste auf digitale Infrastrukturen zugreifen können – oft auch unter legalen Vorwänden.
“Souveränität bedeutet nicht Autarkie, sondern Selbstbestimmung.„
Janis Schultmann
Ein weiterer Meilenstein war die Einführung des US Cloud Act im Jahr 2018, der amerikanischen Behörden erlaubt, auf Daten von US-Cloud-Anbietern zuzugreifen – selbst wenn diese physisch in Europa gespeichert sind. Für europäische Datenschutzbehörden war dies ein Weckruf: Die physische Datenhaltung in der EU reicht nicht aus, wenn die Anbieter ausländischer Jurisdiktion unterliegen. In Reaktion darauf entstanden politische und technologische Initiativen wie GAIA-X – ein europäisches Projekt, das gemeinsame Standards für eine vertrauenswürdige, föderierte Cloud-Infrastruktur schaffen soll. Auch die EU-Kommission forciert mit dem Konzept der «Datenräume» eine europäische Antwort auf die Dominanz amerikanischer und chinesischer Plattformen.
GAIA-X
GAIA-X ist eine europäische Initiative zur Entwicklung einer vertrauenswürdigen und interoperablen Cloud-Infrastruktur. Das Projekt wurde 2019 von Deutschland und Frankreich ins Leben gerufen, um eine Alternative zu den marktbeherrschenden US- und chinesischen Cloud-Anbietern zu schaffen.
Ziele von GAIA-X:
Datenhoheit und Transparenz über Datenflüsse und -nutzung
Offene Standards und Interoperabilität zwischen Anbietern
Förderung eines föderierten Ökosystems, in dem Dienste vernetzt, aber dezentral bleiben
Unterstützung von Datenräumen für spezifische Branchen wie Gesundheit, Industrie oder Mobilität
GAIA-X ist kein Cloud-Anbieter, sondern ein Rahmenwerk: Es definiert Regeln, Schnittstellen und Zertifizierungsanforderungen, die Cloud-Dienste erfüllen müssen, um als «GAIA-X-konform» zu gelten. Das Projekt wird von der gemeinnützigen GAIA-X Association mit Sitz in Brüssel koordiniert und zählt heute über 300 Mitglieder, darunter Tech-Unternehmen, Forschungsinstitute und Regierungsorganisationen. Auch die Schweiz hat einen eigenen Hub, welcher von der Swiss Data Alliance betrieben wird.
Während Europa auf Transparenz, Offenheit und Datenschutz setzt, verfolgen andere Länder teils gegenteilige Strategien: China baut ein stark reguliertes, staatlich kontrolliertes Internet-Ökosystem auf, während die USA weiterhin auf Marktdynamik und Innovation durch Tech-Giganten setzen. In dieser Gemengelage sucht auch die Schweiz nach einem eigenen Weg – zwischen Offenheit, regulatorischer Anbindung an Europa und dem Wunsch nach Unabhängigkeit.
Was bedeutet «souverän»?
Die Antwort liegt nicht allein in der geografischen Datenhaltung, sondern in einem Bündel aus technischen, rechtlichen und organisatorischen Anforderungen, die sicherstellen, dass Unternehmen und öffentliche Stellen jederzeit die volle Kontrolle über ihre Daten und Systeme behalten.
1. Datenresidenz und Zugriffskontrolle: Eine souveräne Cloud muss gewährleisten, dass Daten ausschliesslich in definierten Rechtsräumen gespeichert und verarbeitet werden – zum Beispiel in der Schweiz oder innerhalb der EU. Ebenso wichtig: Nur berechtigte Personen oder Organisationen dürfen Zugriff erhalten, ohne dass ausländisches Recht dies untergraben kann. 2. Technologische Unabhängigkeit: Die verwendete Infrastruktur – von den Rechenzentren bis zur Software – sollte möglichst unabhängig von ausserhalb kontrollierten Komponenten sein. Open-Source-Technologien und standardisierte Schnittstellen spielen dabei eine zentrale Rolle, um Vendor-Lock-ins zu vermeiden und Interoperabilität sicherzustellen. 3. Transparenz und Auditierbarkeit: Eine souveräne Cloud muss nachprüfbar sein. Das heisst: Nutzerinnen und Nutzer müssen jederzeit nachvollziehen können, wo ihre Daten liegen, wer darauf zugreift und welche Sicherheitsmechanismen aktiv sind. Zertifizierungen wie ISO 27001, ENS oder künftig auch GAIA-X-konforme Labels sind wichtige Orientierungshilfen. 4. Compliance und Rechtskonformität: Gerade für regulierte Branchen – etwa im Finanz- oder Gesundheitswesen – ist die Einhaltung nationaler und internationaler Vorschriften zwingend. Dazu gehört neben dem DSG und der DSGVO auch die Berücksichtigung branchenspezifischer Normen wie FINMA-Rundschreiben oder ISO-Normen. 5. Governance und Kontrollmechanismen: Souveränität erfordert klare Governance-Strukturen: Wer definiert Regeln? Wer überwacht deren Einhaltung? Und wie wird der Betrieb organisiert? Anbieter souveräner Clouds müssen diese Fragen überzeugend beantworten – und Nutzern Möglichkeiten zur Mitbestimmung oder zumindest zur Mitwirkung bieten.
Hybride Clouds sind attraktiv, erfordern aber Fachwissen. Hier das Angebot von Swisscom.
Quelle: Swisscom
Eine souveräne Cloud ist somit kein Produkt, sondern ein Konzept mit hohen Anforderungen. Nur wer Transparenz, Kontrolle, Unabhängigkeit und Rechtskonformität überzeugend vereint, kann als souverän gelten – und dem wachsenden Bedarf nach digitaler Selbstbestimmung gerecht werden.
Technologische Grundlagen
Architekturprinzipien: Föderiert statt zentralisiert Souveräne Clouds setzen in der Regel auf föderierte Architekturen. Das bedeutet: Verschiedene Anbieter oder Einheiten bleiben technisch eigenständig, sind aber über gemeinsame Standards und Schnittstellen interoperabel.
Open Source und offene Standards Technologische Unabhängigkeit setzt voraus, dass zentrale Komponenten nicht in der Blackbox proprietärer Anbieter verborgen bleiben. Open-Source-Software (z. B. Kubernetes, OpenStack) ermöglicht Transparenz, Auditierbarkeit und Mitgestaltung.
Sicherheit durch Verschlüsselung und Zero Trust Ein Kernpfeiler souveräner Cloud-Infrastrukturen ist die durchgängige Verschlüsselung – sowohl bei der Speicherung (at rest) als auch bei der Übertragung (in transit).
Zero Trust Vertrauen ist gut, Misstrauen ist besser. Nach diesem Motto gehen Zero-Trust-Architekturen davon aus, dass kein Nutzer oder System automatisch vertrauenswürdig ist, sondern jede Interaktion laufend überprüft wird.
Edge Computing und Datenlokalisierung Beim Edge Computing werden Daten möglichst nahe am Entstehungsort verarbeitet – etwa in einem lokalen Rechenzentrum, in einer Klinik oder bei einer industriellen Anlage. Das reduziert Latenzzeiten, erhöht die Autonomie und unterstützt die Datenhoheit.
Monitoring, Logging und Audit-Tools Technologische Souveränität verlangt vollständige Transparenz. Tools für Monitoring und Logging müssen nicht nur verfügbar sein, sondern auch den Anforderungen an Datenschutz und Integrität entsprechen. Idealerweise lassen sich alle sicherheitsrelevanten Vorgänge revisionssicher dokumentieren.
Rechtlicher Rahmen
Die rechtliche Dimension ist zentral für jede Diskussion über souveräne Cloud-Infrastrukturen. Denn selbst die technologisch bestgesicherte Lösung kann an ihrer juristischen Angreifbarkeit scheitern. In Europa und der Schweiz wird deshalb zunehmend an Regelwerken gearbeitet, die Datenhoheit, Transparenz und Rechtskonformität garantieren sollen – national wie international.
Die NIS2-Richtlinie der EU verpflichtet zu besonderen Sicherheitsvorkehrungen.
Quelle: Shutterstock/Tommy Lee Walker
Datenschutzgesetze im Fokus Die EU-Datenschutz-Grundverordnung (DSGVO) bildet die Basis für die Datenverarbeitung in Europa. Sie verlangt unter anderem, dass personenbezogene Daten nur dann ausserhalb der EU verarbeitet werden dürfen, wenn ein gleichwertiges Datenschutzniveau gewährleistet ist. Die Schweiz hat mit dem revidierten Datenschutzgesetz (nDSG) nachgezogen, das seit September 2023 in Kraft ist und in vielen Punkten an die DSGVO angelehnt ist.
Schrems II und das Ende von Privacy Shield Mit dem Schrems II-Urteil des Europäischen Gerichtshofs (2020) wurde das transatlantische Datenschutzabkommen «Privacy Shield» für ungültig erklärt. Begründung: US-Behörden könnten auf europäische Daten zugreifen, ohne dass Betroffene dagegen rechtlich vorgehen können. Dieses Urteil hat das Vertrauen in US-basierte Cloud-Dienste stark erschüttert und einen Schub für europäische Alternativen ausgelöst.
Der US Cloud Act – ein juristisches Minenfeld Der 2018 verabschiedete CLOUD Act verpflichtet US-Unternehmen, Strafverfolgungsbehörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn sich diese physisch im Ausland befinden. Das stellt europäische Unternehmen und Behörden vor ein Dilemma: Selbst wenn die Daten in Rechenzentren in der Schweiz oder EU liegen, könnten sie unter Umständen von US-Behörden eingefordert werden – was im Widerspruch zu europäischem Datenschutzrecht steht.
Neue Rahmenwerke: EU-US Data Privacy Framework Als Reaktion auf Schrems II wurde 2023 das EU-US Data Privacy Framework eingeführt, das bestimmte Schutzmechanismen für transatlantische Datentransfers vorsieht. Dennoch bleibt es rechtlich und politisch umstritten – und wird derzeit bereits erneut juristisch angefochten.
Nationale Initiativen in der Schweiz Auch in der Schweiz nimmt das Thema an Bedeutung zu. Die Bundesverwaltung setzt zunehmend auf inländische Cloud-Dienste, insbesondere für sensible Daten. Mit dem Projekt «Public Cloud Bund» wurde ein Rahmen für den kontrollierten Einsatz externer Cloud-Services geschaffen – inklusive klarer Regeln zur Datenklassifikation, Verschlüsselung und Zugriffskontrolle.
“Digitale Souveränität ist gerade in der heutigen Zeit eine strategische Notwendigkeit.„
Janis Schultmann
Die rechtlichen Rahmenbedingungen für souveräne Cloud-Infrastrukturen sind in Bewegung. Organisationen müssen sich deshalb nicht nur mit Technologie, sondern auch mit Rechtssicherheit auseinandersetzen – und ihre Cloud-Strategie kontinuierlich an neue Gegebenheiten anpassen.
Chancen und Risiken
Die souveräne Cloud verspricht mehr als nur ein neues IT-Betriebsmodell – sie bietet die Chance auf mehr Vertrauen, Kontrolle und digitale Unabhängigkeit. Für viele Organisationen liegt der grösste Nutzen in der Möglichkeit, sensible Daten gesetzeskonform und nachvollziehbar zu verarbeiten. Gerade in regulierten Branchen oder im öffentlichen Sektor schafft dies eine solide Basis für Compliance und Kundenvertrauen. Gleichzeitig erhöht eine souveräne Cloud die Resilienz gegenüber geopolitischen Risiken und technologischen Abhängigkeiten. Wer nicht mehr auf proprietäre Plattformen aus Übersee angewiesen ist, gewinnt an Autonomie – und damit an Handlungsspielraum.
Daten sind weder abstrakt noch irgendwo, sondern befinden sich auf Servern und in Systemen. Wo liegen Ihre Daten? Und wer hat Zugang?
Quelle: Shutterstock/KM Stock
Auch wirtschaftlich kann sich der Weg lohnen: Lokale Cloud-Lösungen stärken die Wertschöpfung im Inland, fördern Innovationen und begünstigen neue digitale Ökosysteme, etwa im Gesundheitswesen oder in der Industrie. Doch die Umsetzung ist nicht frei von Herausforderungen. Der Aufbau und Betrieb souveräner Infrastrukturen ist komplex, und ohne gemeinsame Standards droht die Gefahr einer technologischen Fragmentierung. Zudem können kleinere Anbieter nicht immer mit der Skalierbarkeit und Innovationsdynamik globaler Hyperscaler mithalten – was sich auf die Wirtschaftlichkeit auswirken kann. Hinzu kommt, dass nicht jedes Angebot, das sich «souverän» nennt, diesen Anspruch auch einlöst. Ohne kritische Prüfung besteht die Gefahr des Etikettenschwindels – sogenanntes «Souveränitätswashing». Digitale Souveränität ist gerade in der heutigen Zeit eine strategische Notwendigkeit. Unterm Strich zeigt sich: Die souveräne Cloud bietet grosse Chancen – erfordert aber klare Kriterien, strategische Weitsicht und ein waches Auge für technologische und rechtliche Details.
Fünf Tipps für Entscheider
Souveränität als strategisches Ziel definieren: Nicht jede Anwendung muss in einer souveränen Cloud laufen – aber kritische Prozesse und sensible Daten verdienen besondere Aufmerksamkeit.
Juristische Risiken ernst nehmen: Prüfen Sie sorgfältig, unter welchem Recht Ihre Cloud-Anbieter agieren – und welche Zugriffsmöglichkeiten daraus resultieren.
Technologische Abhängigkeiten reduzieren: Setzen Sie auf offene Standards, API-Transparenz und Exit-Strategien, um sich langfristig Handlungsfähigkeit zu bewahren.
Partner und Ökosystem evaluieren: Die souveräne Cloud ist kein Solo-Projekt – sie lebt von Kooperationen mit vertrauenswürdigen Anbietern und der Einbettung in sichere Datenräume.
Aufklärung und Kompetenz stärken: Souveränität beginnt im Kopf – Schulen Sie Ihre IT-, Rechts- und Fachabteilungen im Umgang mit cloudbezogener Governance.
Der Begriff «Cloud» trügt – Daten sind weder abstrakt noch irgendwo, sondern befinden sich auf Servern und in Systemen. Wie sieht es bei Ihnen aus? Haben Sie sich schon gefragt, wo Ihre Daten liegen und wer Zugriff darauf hat?
