Digitale Souveränität in der Schweiz: Was Unternehmen wissen müssen

Digitale Souveränität ist in der Schweiz kein neues Thema, wird aber durch die aktuelle Lage neu bewertet.
Internationale Spannungen, zunehmende geopolitische Unsicherheiten und gesetzliche Rahmenbedingungen wie der US CLOUD Act führen dazu, dass Schweizer Unternehmen genauer hinschauen:

Wo liegen unsere Daten wirklich?
Wer könnte im Ernstfall darauf zugreifen?
Und was passiert, wenn sich politische Rahmenbedingungen ändern?

Dabei rücken insbesondere internationale Cloud-Anbieter in den Fokus – darunter auch Microsoft als US-Unternehmen. Die Diskussion geht inzwischen so weit, dass manche Unternehmen Alternativen prüfen. Microsoft hat darauf reagiert und in einem aktuellen Statement dargelegt, wie das Unternehmen digitale Souveränität konkret einschätzt und in der Schweiz umsetzt.

Was bedeutet digitale Souveränität?

Digitale Souveränität beschreibt die Fähigkeit von Unternehmen und Organisationen, die Kontrolle über ihre Daten und digitalen Prozesse selbstbestimmt auszuüben. Das betrifft unter anderem:

Datenlokation – Wo werden Daten gespeichert?

Zugriffsrechte – Wer hat Zugriff auf sensible Informationen?

Technologische Unabhängigkeit: – Kann das Unternehmen selbst entscheiden, welche Tools und Dienste eingesetzt werden, ohne Einschränkungen durch externe Anbieter?

Gerade für sensible Branchen wie Gesundheitswesen, öffentliche Verwaltung oder Finanzinstitute ist diese Fähigkeit essenziell. Nur wer die Hoheit über seine Daten behält, kann regulatorische Anforderungen erfüllen und gleichzeitig Vertrauen bei Kunden und Partnern aufrechterhalten.

Warum ist digitale Souveränität aktuell so relevant?

Die Diskussion über digitale Souveränität ist nicht neu. In der Schweiz wird sie seit Jahren insbesondere in regulierten Branchen geführt. Neu ist jedoch die Intensität und Breite der Nachfrage:

Immer mehr Kunden stellen konkrete Fragen zur Datenkontrolle.
Gesetzliche Rahmenbedingungen und internationale Rechtsnormen, wie der US CLOUD Act, rücken stärker in den Fokus.
Unternehmen möchten Innovation und Agilität mit Sicherheit verbinden.

Microsoft bezieht Stellung: Was bedeutet das konkret?

Mit einem ausführlichen Blogbeitrag auf der Microsoft Newsseite hat das Unternehmen kürzlich dargelegt, wie digitale Souveränität in der Schweiz konkret umgesetzt werden soll. Ergänzend wurden mehrere Videos veröffentlicht, in denen die wichtigsten Punkte erläutert werden.

Wo werden Daten gespeichert und wer kann darauf zugreifen?

Für Schweizer Kunden sind der Speicherort ihrer Daten und die maximale Kontrolle darüber, wo sich die Daten befinden, wie auf sie zugegriffen wird und wie sie verarbeitet werden, von zentraler Bedeutung. Microsoft bietet mehrere, mehrschichtige Schutzmassnahmen:

Schweizer Cloud-Regionen seit 2019

Microsoft betreibt Cloud-Regionen in der Nähe von Zürich und Genf, damit Kunden ihre Daten bei Bedarf innerhalb der Landesgrenzen speichern können und gleichzeitig die Disaster-Recovery-Anforderungen erfüllen.

EU-Datengrenze...

…bedeutet, dass Kunden aus dem öffentlichen Sektor und der Privatwirtschaft in der EU/EFTA (einschliesslich der Schweiz) ihre Daten innerhalb der EU/EFTA-Regionen speichern und verarbeiten können. Dies umfasst Kundendaten, pseudonymisierte personenbezogene Daten und Professional Services-Daten, einschliesslich Microsoft 365, Dynamics 365, Power Platform und die meisten Azure-Dienste.

Keine Hintertüren bei der Verschlüsselung

Microsoft stellt keiner Regierung Verschlüsselungsschlüssel oder die Möglichkeit zur Verfügung, Microsofts Verschlüsselung aufzuheben

Kein direkter oder ungehinderter Zugriff durch Behörden

Microsoft prüft jede behördliche Datenanfrage, gibt Daten nur bei gesetzlicher Verpflichtung weiter, und beschränkt jede Offenlegung auf spezifische Konten, die in einer gültigen Anordnung identifiziert werden.

Customer-verwaltete Verschlüsselungsschlüssel

Die Verschlüsselung wird allein durch den Kunden verwaltet, sodass Microsoft selbst keinen Zugriff auf entschlüsselte Daten hat.

Data Guardian-Prinzip

Supportzugriffe aus dem Ausland erfolgen nur unter Aufsicht aus der EU.

Zugriffe kontrollieren und genehmigen

Für Microsoft 365 und ausgewählte Dienste erlaubt Customer Lockbox Datenzugriffsanfragen von Technikern zu überprüfen und zu genehmigen, sowie damit verbundene Aktivitäten zu kontrollieren

Microsoft 365 Copilot...

…erweitert die landesinterne Verarbeitung von Copilot-Interaktionen auf 15 Länder bis Ende 2026 – inklusive der Schweiz.

Microsoft 365 Local und Azure Local

Diese Lösung bietet die Möglichkeit Microsoft-Dienste auf lokaler Hardware im eigenen Rechenzentrum, statt in der öffentlichen Cloud auszuführen. Dies ist besonders für Unternehmen mit hohen Anforderungen an Datenkontrolle eine zuverlässige Möglichkeit die Hoheit über die eigenen Daten zu behalten.

Defending Your Data-Verpflichtung

Wir werden jede behördliche Anfrage nach Daten von Kunden aus dem öffentlichen Sektor oder Unternehmen anfechten, wenn eine rechtliche Grundlage dafür besteht. Wir verpflichten uns zur Transparenz bezüglich behördlicher Datenanfragen.

Unsere Einordnung

Digitale Souveränität ist eine strategische Gestaltungsaufgabe.

Wer heute:

kritische Daten sauber klassifiziert,
Abhängigkeiten realistisch bewertet,
regulatorische Anforderungen frühzeitig einbindet und
seine Cloud-Architektur bewusst gestaltet,

kann innovativ, sicher und compliant agieren.

Gerne unterstützen wir Sie dabei, eine Lösung zu entwickeln, die optimal auf Ihr Unternehmen zugeschnitten ist – sei es vor Ort, aus der redIT Private Cloud in Schweizer Rechenzentren oder über die Public Cloud.