Kontrolle statt Komfort: Wer steuert unsere Daten?

Auf der IoT/OT Security Conference 2025 stellte ein Referent sein Unternehmen mit einem bemerkenswerten Satz vor: «Wir sind eines der wenigen Security-Unternehmen, das weder amerikanischen noch israelischen Ursprungs ist.» Was zunächst beiläufig wirkte, gewinnt heute an Bedeutung. Das Unternehmen stammt aus Dänemark – und steht sinnbildlich für eine Entwicklung, die sich in Europa abzeichnet. Daten gelten heute als die Kronjuwelen moderner Organisationen – als das Wertvollste, das es zu schützen gilt. Genau hier entsteht jedoch ein fundamentaler Widerspruch. Denn während Unternehmen ihre sensibelsten Informationen in die Cloud verlagern, verlieren sie gleichzeitig einen Teil der Kontrolle darüber.

Ein zentraler Treiber ist der US CLOUD Act. Er verpflichtet Anbieter wie AWS, Microsoft oder Google, Daten auf behördliche Anordnung herauszugeben – unabhängig vom Speicherort. Entscheidend ist nicht, wo Daten liegen, sondern wer den Anbieter kontrolliert. Gleichzeitig erleben wir eine zunehmende Volatilität im geopolitischen Umfeld. Politische Entscheidungen wirken direkt auf Technologie und Märkte. Was gestern noch als stabil galt, kann heute bereits infrage gestellt sein – und morgen neue Konsequenzen nach sich ziehen.

Hinzu kommt eine zweite Entwicklung: In den letzten Monaten haben grosse Technologieanbieter ihre Marktposition zunehmend ausgespielt. Kunden, Partner und Lieferanten sehen sich mit veränderten Bedingungen konfrontiert – von Preisanpassungen über neue Vertragsmodelle bis hin zu kurzfristigen strategischen Richtungswechseln. Was sich hier abzeichnet, ist mehr als eine Marktbewegung. Es ist eine Verschiebung von Kontrolle.

Souveränität als Verkaufsargument

Auffällig ist, wie stark sich die Kommunikation der Anbieter verändert hat. Begriffe wie Digitale Souveränität oder Data Resilience sind allgegenwärtig. Was zunächst wie ein Paradigmenwechsel wirkt, ist bei genauerem Hinsehen oft eher ein Rebranding. Ein Beispiel: Anbieter lancieren neue Tools zur Bewertung der eigenen Souveränitätsfähigkeit oder stellen entsprechende Frameworks vor. Gleichzeitig entstehen neue Cloud-Regionen in Europa, die gezielt mit Datensouveränität und regulatorischer Compliance beworben werden.

So betont etwa AWS im Zusammenhang mit neuen Standorten die Möglichkeit, Daten innerhalb Deutschlands oder der Europäischen Union zu speichern und zu verarbeiten. Insbesondere für regulierte Branchen verspricht man eine bessere Unterstützung bei der Einhaltung von Vorgaben wie der DSGVO – verbunden mit mehr Transparenz und Kontrolle für Kunden. Gerade für Betreiber kritischer Infrastrukturen und Organisationen im öffentlichen Sektor wird die lokale Verfügbarkeit von Cloud-Ressourcen damit zu einem zentralen Entscheidungskriterium. Doch die entscheidende Frage bleibt: «Wie lassen sich diese Versprechen mit dem US CLOUD Act vereinbaren?» Denn solange Anbieter dem US-Recht unterstehen, bleibt die grundsätzliche Zugriffsmöglichkeit bestehen – unabhängig vom Standort der Daten.

Parallel dazu lässt sich ein zweiter Trend beobachten: Europa wird selbstbewusster. Lange Zeit galt die Dominanz der US-Hyperscaler als alternativlos. Doch zunehmend positionieren sich europäische und insbesondere auch Schweizer Anbieter mit klaren Gegenentwürfen. Was früher als Nischenargument galt, wird heute zum zentralen Differenzierungsmerkmal. Doch auch hier gilt: Nicht jede «europäische» oder «schweizerische» Lösung ist automatisch souverän.

Politik entdeckt das Thema

Parallel dazu gewinnt Datensouveränität politisch an Bedeutung. Gleichzeitig wird Kritik lauter. Die Debatten im Kanton Zürich rund um Epic Systems und im Kanton Luzern zum Einsatz von Microsoft 365 zeigen exemplarisch, wie grundlegend sich IT-Entscheidungen im öffentlichen Sektor verändert haben. Es geht längst nicht mehr nur um Funktionalität oder Kosten – sondern um Kontrolle, Abhängigkeit und strategische Handlungsfähigkeit. Auf den ersten Blick könnten die Fälle kaum unterschiedlicher sein: hier ein spezialisiertes Krankenhaus-Informationssystem, dort eine breit eingesetzte Kollaborationsplattform. Doch das Muster ist identisch. In beiden Fällen stehen etablierte, leistungsfähige Lösungen zur Diskussion, die Effizienz und Modernisierung versprechen – und gleichzeitig zentrale Fragen zur digitalen Souveränität aufwerfen.

Im Kern geht es um die Abhängigkeit von US-Anbietern und die Reichweite des CLOUD Act. Selbst wenn Daten in der Schweiz oder Europa gespeichert werden, bleibt offen, welchem Rechtsraum sie letztlich unterliegen. Für staatliche Institutionen ist das keine theoretische Frage, sondern eine Frage von Vertrauen und Verantwortung. Befürworter argumentieren mit technischen und organisatorischen Massnahmen – von Verschlüsselung bis zu vertraglichen Garantien. In der Praxis entsteht jedoch oft ein Graubereich, in dem juristische, technische und politische Bewertungen auseinanderlaufen.

Hinzu kommt ein weiterer Faktor: die Marktpsychologie. Lösungen wie Epic oder Microsoft 365 gelten als De-facto-Standards. Wer sich dafür entscheidet, folgt nicht nur technologischer Logik, sondern auch einem impliziten Sicherheitsversprechen. Oder zugespitzt: Man entscheidet sich für Anschlussfähigkeit – und nimmt Abhängigkeit in Kauf. Genau hier liegt der Kern des Problems. Die Diskussion wird häufig entlang von Funktionalität und Compliance geführt, während die strategische Dimension zu kurz kommt. Dabei geht es um eine einfache, aber unbequeme Frage: Wie viel Kontrolle ist die öffentliche Hand bereit abzugeben, um technologisch nicht ins Hintertreffen zu geraten?

Die Beispiele aus Zürich und Luzern zeigen: Diese Frage ist noch nicht abschliessend beantwortet. Klar ist jedoch, dass digitale Souveränität längst konkrete Auswirkungen auf Beschaffung, Architektur und langfristige Abhängigkeiten hat. Denn letztlich gilt: Digitale Souveränität entsteht nicht durch Absichtserklärungen, sondern durch Architekturentscheidungen.

Datensouveränität ist Chefsache

Digitale Souveränität gibt es nicht zum Nulltarif – und schon gar nicht per Knopfdruck. Sie ist ein Prozess. Und sie tut weh. Denn die Realität ist: Unternehmen haben Millionen investiert, Know-how aufgebaut und sich tief in bestehende Plattformen integriert. Ein radikaler Schnitt wäre riskant – wirtschaftlich wie operativ. Der einzige gangbare Weg ist deshalb unbequem, aber realistisch: Schritt für Schritt Abhängigkeiten reduzieren – und bei jeder Entscheidung bewusst Alternativen prüfen.

Wer Datensouveränität noch immer als IT-Thema betrachtet, unterschätzt die Tragweite. Es geht längst um Unternehmensführung – und um Haftung. Spätestens mit dem revidierten Datenschutzgesetz ist klar: Verantwortung lässt sich nicht delegieren. Der Verwaltungsrat ist heute auch der Hüter der digitalen Souveränität. Viele Verwaltungsräte wiegen sich in Sicherheit: Cloud im Einsatz, Compliance erfüllt, alles unter Kontrolle. Doch diese Kontrolle ist oft eine Illusion. Denn die entscheidenden Fragen werden nicht gestellt:

• Wer hat im Ernstfall Zugriff auf unsere Daten?
• Unter welchem Recht stehen sie wirklich?
• Wie abhängig sind wir – und kommen wir überhaupt wieder raus? 

Wer darauf keine klaren Antworten hat, hat keine Souveränität. Punkt. Datensouveränität ist keine Standortfrage. Sie ist eine Kontrollfrage. Die Debatte rund um Microsoft 365 zeigt es deutlich: Der Speicherort wird überschätzt – die Kontrolle unterschätzt. Denn selbst wenn Daten in Europa liegen, bleiben die entscheidenden Risiken bestehen:

• Zugriff durch ausländische Behörden
• strukturelle Abhängigkeit von Plattformen
• fehlende Exit-Strategien 

Souveränität oder Marketing?

«Swiss Cloud», «EU Data Boundary», «Digital Sovereignty» – die Schlagworte klingen gut. Zu gut. Denn in vielen Fällen sind sie genau das: Schlagworte. Die unbequeme Wahrheit ist: Souveränität lässt sich nicht vermarkten – sie lässt sich nur überprüfen. Und genau das passiert zu selten. Denn wer genauer hinschaut, findet schnell Bruchstellen: Schlüssel liegen nicht beim Kunden, Zugriffe aus dem Ausland bleiben möglich oder Verträge unterstehen fremdem Recht. Das Problem ist nicht, dass es diese Einschränkungen gibt. Das Problem ist, dass sie oft ausgeblendet werden. Souveränitäts-Washing funktioniert nur, wenn niemand genau hinschaut.
 
Am Ende geht es nicht um Cloud, nicht um Anbieter und nicht um Architektur. Es geht um eine einzige Frage: Wer hat im Ernstfall die Kontrolle? Wenn die Antwort nicht eindeutig «wir» lautet, dann ist alles andere zweitrangig. Datensouveränität ist kein Ideal und schon gar kein Nice-to-have. Sie ist die Voraussetzung für Handlungsfähigkeit. Oder ganz nüchtern: Wer seine Daten nicht kontrolliert, kontrolliert sein Unternehmen nicht. Und wer sein Unternehmen nicht kontrolliert, trägt trotzdem die Verantwortung.

Europas Chance liegt nicht im Wettrüsten

Europäische Cloud-Anbieter haben im direkten Wettbewerb mit US-Hyperscalern kaum eine Chance – zumindest nicht bei Skalierung, Preis oder Funktionsumfang. Der eigentliche Denkfehler liegt darin, genau dort mithalten zu wollen. Denn die entscheidende Frage verschiebt sich: nicht «Wer hat die beste Cloud?» – sondern «Wer kontrolliert die Daten?» Während Hyperscaler auf maximale Convenience setzen, entsteht in Europa ein anderer Fokus:

• klare rechtliche Rahmenbedingungen
• transparente Betriebsmodelle
• nachvollziehbare Zugriffskontrollen 

Vertrauen wird zur eigentlichen Währung. Doch dieses Vertrauen lässt sich nicht vermarkten – es muss überprüfbar sein. Daten in Europa zu speichern reicht nicht. Denn die zentralen Risiken bleiben wie Zugriffsmöglichkeiten durch ausländische Behörden, Abhängigkeit von proprietären Plattformen und fehlende Exit-Strategien. Souveränität ist keine Standortfrage. Sie ist eine Kontrollfrage.

Die Stärken von europäischen Anbietern liegen vor allem in der Kontrollierbarkeit und Transparenz, Vermeidung von Lock-in sowie in der Interoperabilität statt Abhängigkeit. Das ist weniger bequem – aber entscheidend für kritische Infrastrukturen und den öffentlichen Sektor. Tatsache ist im Moment, dass sich viele Organisationen in einer funktionierenden Abhängigkeit eingerichtet haben. Auf den ersten Blick erscheint das effizient und stabil, ist jedoch auch mit einer gewissen Alternativlosigkeit verbunden. Aber wer keine echte Alternative hat, hat auch keine echte Wahl.

Der Unterschied zwischen Nutzung und Kontrolle

IT-Autonomy bedeutet mehr, als Systeme einfach zu betreiben. Es geht darum, sie zu verstehen, zu kontrollieren – und im Zweifel auch ersetzen zu können. Das ist aufwendig. Und ja: unbequem. Doch genau hier verläuft die entscheidende Trennlinie. Zwischen Organisationen, die digital handlungsfähig bleiben – und solchen, die sich schrittweise in Abhängigkeiten wiederfinden. Was lange wie ein abstraktes Konzept klang, ist heute in der Praxis angekommen. In Unternehmen, Verwaltungen und auf strategischer Ebene wird zunehmend konkret diskutiert, wie viel Kontrolle tatsächlich vorhanden ist – und wie viel nur angenommen wird.

Noch besteht Handlungsspielraum, och lassen sich Abhängigkeiten reduzieren und Architekturen neu denken. Doch dieses Fenster wird kleiner. Mit jeder zusätzlichen Plattform, jeder Integration und jeder scheinbar bequemen Entscheidung verfestigen sich Strukturen, die sich später nur noch schwer auflösen lassen. Am Ende muss sich jedes Unternehmen, jede Organisation und jede Behörde der Frage stellen: Wollen wir digitale Unabhängigkeit – oder akzeptieren wir digitale Abhängigkeit?