Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
janis-schultmann.jpg
Janis Schultmann
16. Jul 2025
Lesedauer 9 Min.

Volle Kontrolle in der Cloud

Strategische Infrastruktur

Wer Daten kontrolliert, hat Macht. Die souveräne Cloud verspricht Unabhängigkeit, Sicherheit und Compliance – auch für Schweizer Unternehmen und Behörden ein zunehmend zentrales Thema.
Der Ruf nach digitaler Souveränität hat in den letzten Jahren deutlich an Dynamik gewonnen.
© (Quelle: Shutterstock/JL Stock)

Cloud Computing ist aus der digitalen Infrastruktur moderner Unternehmen nicht mehr wegzudenken. Doch mit der wachsenden Abhängigkeit von globalen Hyperscalern stellt sich zunehmend die Frage nach der digitalen Souveränität. Wer kontrolliert die Daten? Wer kann – rechtlich oder technisch – auf sie zugreifen? Und was bedeutet es für Unternehmen, Behörden und kritische Infrastrukturen, wenn zentrale IT-Komponenten ausserhalb nationaler oder europäischer Hoheit liegen? Die Forderung nach einer «souveränen Cloud» ist keine technologische Modeerscheinung, sondern Ausdruck eines tiefgreifenden Paradigmenwechsels. Es geht um mehr als nur Speicherorte oder Compliance: Es geht um Kontrolle, Vertrauen und die Fähigkeit, in einer vernetzten Welt eigenständig zu handeln. Gerade in Zeiten geopolitischer Spannungen und wachsender Regulierungsdichte wird digitale Souveränität zum strategischen Faktor – auch für die Schweiz.

Warum eine souveräne Cloud?

Cloud-Dienste gelten als Rückgrat der digitalen Transformation – flexibel, skalierbar und effizient. Doch genau diese Vorteile können zum Risiko werden, wenn zentrale Daten, Anwendungen und Systeme ausserhalb des eigenen rechtlichen oder geopolitischen Einflussbereichs liegen. Die Diskussion um eine «souveräne Cloud» ist deshalb vor allem eine über Vertrauen, Kontrolle und Abhängigkeiten.

Im Kern geht es um die Frage: Wer hat im Fall der Fälle das letzte Wort über Datenzugriffe, -verarbeitung und -speicherung? Gerade Unternehmen, die sensible Kundendaten verarbeiten, oder Behörden mit kritischen Infrastrukturen, stehen unter wachsendem Druck, Transparenz und Nachvollziehbarkeit sicherzustellen. Der US Cloud Act, der auch auf Daten europäischer Nutzer zugreifen kann, hat zusätzlich zur Sensibilisierung beigetragen – ebenso wie die Diskussionen um Schrems II oder der zu­nehmende Protektionismus in der globalen Digitalwirtschaft.

Souveränität bedeutet in diesem Zusammenhang nicht Autarkie, sondern Selbstbestimmung: die Fähigkeit, technologische und regulatorische Entscheidungen im eigenen Interesse zu treffen.

Für viele Organisationen wird das zunehmend zu einem Wettbewerbsfaktor – sei es im Umgang mit regulatorischen Vorgaben, in der Vertrauensbildung bei Kunden oder bei der Absicherung strategischer Datenbestände.

Snowden lässt grüssen

Der Ruf nach digitaler Souveränität ist kein neues Phänomen, hat aber in den letzten Jahren deutlich an Dynamik gewonnen. Ein Wendepunkt war zweifellos die Enthüllung weltweiter Überwachungsprogramme durch Edward Snowden im Jahr 2013. Damals wurde vielen europäischen Unternehmen und Regierungen bewusst, wie tiefgreifend ausländische Geheimdienste auf digitale Infrastrukturen zugreifen können – oft auch unter legalen Vorwänden.

«Souveränität bedeutet nicht Autarkie, sondern Selbstbestimmung.»

Janis Schultmann

Ein weiterer Meilenstein war die Einführung des US Cloud Act im Jahr 2018, der amerikanischen Behörden erlaubt, auf Daten von US-Cloud-Anbietern zuzugreifen – selbst wenn diese physisch in Europa gespeichert sind. Für europäische Datenschutzbehörden war dies ein Weckruf: Die physische Datenhaltung in der EU reicht nicht aus, wenn die Anbieter ausländischer Jurisdiktion unterliegen. In Reaktion darauf entstanden politische und technologische Initiativen wie GAIA-X – ein europäisches Projekt, das gemeinsame Standards für eine vertrauenswürdige, föderierte Cloud-Infrastruktur schaffen soll. Auch die EU-Kommission forciert mit dem Konzept der «Datenräume» eine europäische Antwort auf die Dominanz amerikanischer und chinesischer Plattformen.

GAIA-X

GAIA-X ist eine europäische Initiative zur Entwicklung einer vertrauenswürdigen und interoperablen Cloud-Infrastruktur. Das Projekt wurde 2019 von Deutschland und Frankreich ins Leben gerufen, um eine Alternative zu den marktbeherrschenden US- und chinesischen Cloud-Anbietern zu schaffen.

Ziele von GAIA-X:

  • Datenhoheit und Transparenz über Datenflüsse und -nutzung
  • Offene Standards und Interoperabilität zwischen Anbietern
  • Förderung eines föderierten Ökosystems, in dem Dienste vernetzt, aber dezentral bleiben
  • Unterstützung von Datenräumen für spezifische Branchen wie Gesundheit, Industrie oder Mobilität

GAIA-X ist kein Cloud-Anbieter, sondern ein Rahmenwerk: Es definiert Regeln, Schnittstellen und Zertifizierungsanforderungen, die Cloud-Dienste erfüllen müssen, um als «GAIA-X-konform» zu gelten. Das Projekt wird von der gemeinnützigen GAIA-X Association mit Sitz in Brüssel koordiniert und zählt heute über 300 Mitglieder, darunter Tech-Unternehmen, Forschungsinstitute und Regierungsorganisationen. Auch die Schweiz hat einen eigenen Hub, welcher von der Swiss Data Alliance betrieben wird.

Während Europa auf Transparenz, Offenheit und Datenschutz setzt, verfolgen andere Länder teils gegenteilige Strategien: China baut ein stark reguliertes, staatlich kontrolliertes Internet-Ökosystem auf, während die USA weiterhin auf Marktdynamik und Innovation durch Tech-Giganten setzen. In dieser Gemengelage sucht auch die Schweiz nach einem eigenen Weg – zwischen Offenheit, regulatorischer Anbindung an Europa und dem Wunsch nach Unabhängigkeit.

Was bedeutet «souverän»?

Die Antwort liegt nicht allein in der geografischen Datenhaltung, sondern in einem Bündel aus technischen, rechtlichen und organisatorischen Anforderungen, die sicherstellen, dass Unternehmen und öffentliche Stellen jederzeit die volle Kontrolle über ihre Daten und Systeme behalten.

1. Datenresidenz und Zugriffskontrolle:

Eine souveräne Cloud muss gewährleisten, dass Daten ausschliesslich in definierten Rechtsräumen gespeichert und verarbeitet werden – zum Beispiel in der Schweiz oder innerhalb der EU. Ebenso wichtig: Nur berechtigte Personen oder Organisationen dürfen Zugriff erhalten, ohne dass ausländisches Recht dies untergraben kann.

2. Technologische Unabhängigkeit:

Die verwendete Infrastruktur – von den Rechenzentren bis zur Software – sollte möglichst unabhängig von ausserhalb kontrollierten Komponenten sein. Open-Source-Technologien und standardisierte Schnittstellen spielen dabei eine zentrale Rolle, um Vendor-Lock-ins zu vermeiden und Interoperabilität sicherzustellen.

3. Transparenz und Auditierbarkeit:

Eine souveräne Cloud muss nachprüfbar sein. Das heisst: Nutzerinnen und Nutzer müssen jederzeit nachvollziehen können, wo ihre Daten liegen, wer darauf zugreift und welche Sicherheitsmechanismen aktiv sind. Zertifizierungen wie ISO 27001, ENS oder künftig auch GAIA-X-konforme Labels sind wichtige Orientierungshilfen.

4. Compliance und Rechtskonformität:

Gerade für regulierte Branchen – etwa im Finanz- oder Gesundheitswesen – ist die Einhaltung nationaler und internationaler Vorschriften zwingend. Dazu gehört neben dem DSG und der DSGVO auch die Berücksichtigung branchenspezifischer Normen wie FINMA-Rundschreiben oder ISO-Normen.

5. Governance und Kontrollmechanismen:

Souveränität erfordert klare Governance-Strukturen: Wer definiert Regeln? Wer überwacht deren Einhaltung? Und wie wird der Betrieb organisiert? Anbieter souveräner Clouds müssen diese Fragen überzeugend beantworten – und Nutzern Möglichkeiten zur Mitbestimmung oder zumindest zur Mitwirkung bieten.

Hybride Clouds sind attraktiv, erfordern aber Fachwissen. Hier das Angebot von Swisscom. © Quelle: Swisscom

Eine souveräne Cloud ist somit kein Produkt, sondern ein Konzept mit hohen Anforderungen. Nur wer Transparenz, Kontrolle, Unabhängigkeit und Rechtskonformität überzeugend vereint, kann als souverän gelten – und dem wachsenden Bedarf nach digitaler Selbstbestimmung gerecht werden.

Technologische Grundlagen

  • Architekturprinzipien: Föderiert statt zentralisiert

    Souveräne Clouds setzen in der Regel auf föderierte Architekturen. Das bedeutet: Verschiedene Anbieter oder Einheiten bleiben technisch eigenständig, sind aber über gemeinsame Standards und Schnittstellen interoperabel.

  • Open Source und offene Standards

    Technologische Unabhängigkeit setzt voraus, dass zentrale Komponenten nicht in der Blackbox proprietärer Anbieter verborgen bleiben. Open-Source-Software (z. B. Kubernetes, OpenStack) ermöglicht Transparenz, Auditierbarkeit und Mitgestaltung.

  • Sicherheit durch Verschlüsselung und Zero Trust

    Ein Kernpfeiler souveräner Cloud-Infrastrukturen ist die durchgängige Verschlüsselung – sowohl bei der Speicherung (at rest) als auch bei der Übertragung (in transit).

  • Zero Trust

    Vertrauen ist gut, Misstrauen ist besser. Nach diesem Motto gehen Zero-Trust-Architekturen davon aus, dass kein Nutzer oder System automatisch vertrauenswürdig ist, sondern jede Interaktion laufend überprüft wird.

  • Edge Computing und Datenlokalisierung

    Beim Edge Computing werden Daten möglichst nahe am Entstehungsort verarbeitet – etwa in einem lokalen Rechenzentrum, in einer Klinik oder bei einer industriellen Anlage. Das reduziert Latenzzeiten, erhöht die Autonomie und unterstützt die Datenhoheit.

  • Monitoring, Logging und Audit-Tools

    Technologische Souveränität verlangt vollständige Transparenz. Tools für Monitoring und Logging müssen nicht nur verfügbar sein, sondern auch den Anforderungen an Datenschutz und Integrität entsprechen. Idealerweise lassen sich alle sicherheitsrelevanten Vorgänge revisionssicher dokumentieren.

Rechtlicher Rahmen

Die rechtliche Dimension ist zentral für jede Diskussion über souveräne Cloud-Infrastrukturen. Denn selbst die technologisch bestgesicherte Lösung kann an ihrer juristischen Angreifbarkeit scheitern. In Europa und der Schweiz wird deshalb zunehmend an Regelwerken gearbeitet, die Datenhoheit, Transparenz und Rechtskonformität garantieren sollen – national wie international.

Die NIS2-Richtlinie der EU verpflichtet zu besonderen   Sicherheitsvorkehrungen. © Quelle: Shutterstock/Tommy Lee Walker

  • Datenschutzgesetze im Fokus

    Die EU-Datenschutz-Grundverordnung (DSGVO) bildet die Basis für die Datenverarbeitung in Europa. Sie verlangt unter anderem, dass personenbezogene Daten nur dann ausserhalb der EU verarbeitet werden dürfen, wenn ein gleichwertiges Datenschutzniveau gewährleistet ist. Die Schweiz hat mit dem revidierten Datenschutzgesetz (nDSG) nachgezogen, das seit September 2023 in Kraft ist und in vielen Punkten an die DSGVO angelehnt ist.

  • Schrems II und das Ende von Privacy Shield

    Mit dem Schrems II-Urteil des Europäischen Gerichtshofs (2020) wurde das transatlantische Datenschutzabkommen «Privacy Shield» für ungültig erklärt. Begründung: US-Behörden könnten auf europäische Daten zugreifen, ohne dass Betroffene dagegen rechtlich vorgehen können. Dieses Urteil hat das Vertrauen in US-basierte Cloud-Dienste stark erschüttert und einen Schub für europäische Alternativen ausgelöst.

  • Der US Cloud Act – ein juristisches Minenfeld

    Der 2018 verabschiedete CLOUD Act verpflichtet US-Unternehmen, Strafverfolgungsbehörden auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn sich diese physisch im Ausland befinden. Das stellt europäische Unternehmen und Behörden vor ein Dilemma: Selbst wenn die Daten in Rechenzentren in der Schweiz oder EU liegen, könnten sie unter Umständen von US-Behörden eingefordert werden – was im Widerspruch zu europäischem Datenschutzrecht steht.

  • Neue Rahmenwerke: EU-US Data Privacy Framework

    Als Reaktion auf Schrems II wurde 2023 das EU-US Data Privacy Framework eingeführt, das bestimmte Schutzmechanismen für transatlantische Datentransfers vorsieht. Dennoch bleibt es rechtlich und politisch umstritten – und wird derzeit bereits erneut juristisch angefochten.

  • Nationale Initiativen in der Schweiz

    Auch in der Schweiz nimmt das Thema an Bedeutung zu. Die Bundesverwaltung setzt zunehmend auf inländische Cloud-Dienste, insbesondere für sensible Daten. Mit dem Projekt «Public Cloud Bund» wurde ein Rahmen für den kontrollierten Einsatz externer Cloud-Services geschaffen – inklusive klarer Regeln zur Datenklassifikation, Verschlüsselung und Zugriffskontrolle.

«Digitale Souveränität ist gerade in der heutigen Zeit eine strategische Notwendigkeit.»

Janis Schultmann

Die rechtlichen Rahmenbedingungen für souveräne Cloud-Infrastrukturen sind in Bewegung. Organisationen müssen sich deshalb nicht nur mit Technologie, sondern auch mit Rechtssicherheit auseinandersetzen – und ihre Cloud-Strategie kontinuierlich an neue Gegebenheiten anpassen.

Chancen und Risiken

Die souveräne Cloud verspricht mehr als nur ein neues IT-Betriebsmodell – sie bietet die Chance auf mehr Vertrauen, Kontrolle und digitale Unabhängigkeit. Für viele Organisationen liegt der grösste Nutzen in der Möglichkeit, sensible Daten gesetzeskonform und nachvollziehbar zu verarbeiten. Gerade in regulierten Branchen oder im öffentlichen Sektor schafft dies eine solide Basis für Compliance und Kundenvertrauen. Gleichzeitig erhöht eine souveräne Cloud die Resilienz gegenüber geopolitischen Risiken und technologischen Abhängigkeiten. Wer nicht mehr auf proprietäre Plattformen aus Übersee angewiesen ist, gewinnt an Autonomie – und damit an Handlungsspielraum.

Daten sind weder abstrakt noch irgendwo, sondern befinden sich auf Servern und in Systemen. Wo liegen Ihre Daten? Und wer hat Zugang? © Quelle: Shutterstock/KM Stock

Auch wirtschaftlich kann sich der Weg lohnen: Lokale Cloud-Lösungen stärken die Wertschöpfung im Inland, fördern Innovationen und begünstigen neue digitale Ökosysteme, etwa im Gesundheitswesen oder in der Industrie. Doch die Umsetzung ist nicht frei von Herausforderungen. Der Aufbau und Betrieb souveräner Infrastrukturen ist komplex, und ohne gemeinsame Standards droht die Gefahr einer technologischen Fragmentierung. Zudem können kleinere Anbieter nicht immer mit der Skalierbarkeit und Innovationsdynamik globaler Hyperscaler mithalten – was sich auf die Wirtschaftlichkeit auswirken kann. Hinzu kommt, dass nicht jedes Angebot, das sich «souverän» nennt, diesen Anspruch auch einlöst. Ohne kritische Prüfung besteht die Gefahr des Etikettenschwindels – sogenanntes «Souveränitätswashing». Digitale Souveränität ist gerade in der heutigen Zeit eine strategische Notwendigkeit. Unterm Strich zeigt sich: Die souveräne Cloud bietet grosse Chancen – erfordert aber klare Kriterien, strategische Weitsicht und ein waches Auge für technologische und rechtliche Details.

Fünf Tipps für Entscheider

  1. Souveränität als strategisches Ziel definieren: Nicht jede Anwendung muss in einer souveränen Cloud laufen – aber kritische Prozesse und sensible Daten verdienen besondere Aufmerksamkeit.
  2. Juristische Risiken ernst nehmen: Prüfen Sie sorgfältig, unter welchem Recht Ihre Cloud-Anbieter agieren – und welche Zugriffsmöglichkeiten daraus resultieren.
  3. Technologische Abhängigkeiten reduzieren: Setzen Sie auf offene Standards, API-Transparenz und Exit-Strategien, um sich langfristig Handlungsfähigkeit zu bewahren.
  4. Partner und Ökosystem evaluieren: Die souveräne Cloud ist kein Solo-Projekt – sie lebt von Kooperationen mit vertrauenswürdigen Anbietern und der Einbettung in sichere Datenräume.
  5. Aufklärung und Kompetenz stärken: Souveränität beginnt im Kopf – Schulen Sie Ihre IT-, Rechts- und Fachabteilungen im Umgang mit cloudbezogener Governance.

Der Begriff «Cloud» trügt – Daten sind weder abstrakt noch irgendwo, sondern befinden sich auf Servern und in Systemen. Wie sieht es bei Ihnen aus? Haben Sie sich schon gefragt, wo Ihre Daten liegen und wer Zugriff darauf hat?

Cloud & Infrastruktur Digitalisierung Open Source Datenschutz

Neueste Beiträge

Business & IT-Strategie
Zug und Uni Luzern gründen Blockchain-Institut - Markets & Business
Der Kanton Zug und die Universität Luzern eröffnen das Zug Institute for Blockchain Research (ZIBR). Mit einem Startkapital von 25 Mio. Franken soll das neue Institut die interdisziplinäre Blockchain-Forschung stärken und Zugs Rolle als Crypto-Valley weiter ausbauen.
3 Minuten
christian-buehlmann.jpg
Christian Bühlmann
23. Jan 2026
Mehr erfahren
Business & IT-Strategie
Telekom bleibt wertvollste Telco-Marke - Markenranking
Die Telekom behauptet ihre Spitzenposition im globalen Markenranking von Brand Finance. Der Markenwert steigt deutlich, im Gesamtranking verbessert sich der Konzern auf Platz elf.
2 Minuten
Platzhalter-Person.webp
Roland Bernhard
25. Jan 2026
Mehr erfahren
Browser
Ganz privat im Web - Sicherheits-Tipps
Ein VPN-Service schützt Sie nicht nur beim Surfen, sondern wahrt auch Ihre Privatsphäre. Auf den folgenden Seiten erwarten Sie konkrete Produktempfehlungen und viele praktische Anwendungstipps.
9 Minuten
Platzhalter-Person.webp
Markus Selinger
25. Jan 2026
Mehr erfahren

Das könnte Sie auch interessieren

Security & Compliance
Nik Gugger präsidiert neu die Swiss Cyber Security Days - Swiss Cyber Security Days
Bei den Swiss Cyber Security Days (SCSD) gibt es einen Wechsel an der Präsidiumsspitze. Nach 5 Jahren übergibt die ehemalige FDP-Nationalrätin Doris Fiala an den Schweizer Nationalrat Nik Gugger. Die nächsten Security-Days finden am 18./19. Februar 2025 in Bern statt.
3 Minuten
christian-buehlmann.jpg
Christian Bühlmann
13. Nov 2024
Security & Compliance
US-Tochtergesellschaft von Ruag von Hackern angegriffen - Industrie
Eine Tochtergesellschaft der bundeseigenen Rüstungsfirma Ruag MRO Holding ist in den USA von Hackern angegriffen worden. Das Schweizer Unternehmen spricht von einem "Sicherheitsvorfall" und sagt, dieser werde derzeit professionell aufgearbeitet.
3 Minuten
Platzhalter-Person.webp
SDA SDA
5. Nov 2025
Security & Compliance
Hilfe, ich werde erpresst! - Ransomware
Es war nur ein falscher Klick, die fiese Ransomware hat sich ausgeführt und will nun Lösegeld für Ihre Daten. Ansonsten bleibt der Zugriff auf Ihre wertvollen Dateien gesperrt. Wir zeigen, wie Sie bei einem solchen Angriff reagieren.
9 Minuten
Platzhalter-Person.webp
Markus Selinger
18. Feb 2025
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige