News

Kommentar zum Artikel "US Clouds und Schweizer Datensouveränität"

Der jüngste Netzwoche-Artikel beleuchtet, wie grosse US-Cloudanbieter für Behörden und Unternehmen in der Schweiz ein strategisches Risiko darstellen können. Im Gespräch mit Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich, wird klar: US-Recht wie der Cloud Act kann Einfluss auf Daten haben, selbst wenn diese physisch in der Schweiz gespeichert sind. Das betrifft insbesondere sensible Personendaten und die Nutzung von Cloud-Diensten grosser Hyperscaler.

Was steht im Zentrum der Debatte

  • Der US-Cloud Act erlaubt US-Behörden Zugriff auf Daten von US-Anbietern weltweit, auch ohne formelle Amtshilfewege.  
  • Selbst mit lokalen Rechenzentren ändert das Gesetz für Unternehmen und Behörden nichts an der grundsätzlichen Anwendbarkeit des US-Rechts.  
  • Die Diskussion hat sich vom reinen Cloud-Outsourcing auf die Risiken von KI-Diensten und personenbezogenen Daten verlagert.  

Das Problem ist nicht neu, aber es gewinnt an Brisanz: Schweizer Entscheider stehen unter dem Druck, Effizienz und Innovationskraft grosser Clouds mit dem Schutz von Grundrechten und gesetzlicher Kontrolle zu vereinbaren. Gleichzeitig fehlen oft klare Strategien, wie digitale Souveränität systematisch umgesetzt werden kann.

Warum das für Schweizer Unternehmen relevant ist

Die Abhängigkeit von US-Clouds ist nicht nur eine theoretische Gefahr. Für viele Unternehmen gehören Microsoft Azure, AWS oder Google Cloud zur Standard-IT-Ausstattung. Diese Dienste bringen Vorteile bei Skalierbarkeit und Funktionalität, aber sie können gleichzeitig Datenzugriffen unterliegen, die ausserhalb schweizerischer Rechtshoheit liegen.  

Ein wesentlicher Kritikpunkt ist, dass Versprechen wie «Daten bleiben lokal» oder «Data Boundary-Modelle» nicht automatisch vor Zugriffen schützen, wenn der Cloud-Anbieter selbst US-rechtlich adressierbar ist.

Schweizer Perspektiven zur digitalen Souveränität

Parallel zur Netzwoche-Debatte beschäftigen sich Politik und Verwaltungen verstärkt mit digitalen Selbstbestimmungsfragen. Die Strategie Digitale Schweiz 2026 betont die Bedeutung von digitaler Souveränität als staatliches Ziel, etwa im Kontext von E-Gov-Standards. Ebenso haben Bundesstellen Leitlinien zum Umgang mit digitaler Souveränität erlassen, um Abhängigkeiten systematisch zu adressieren.  

Für Unternehmen bedeutet das:

  • Souveränität ist nicht nur ein rechtliches Thema, sondern eine strategische Entscheidung für Architektur, Datenhaltung und Partnerwahl.
  • Es braucht klare Kriterien für Risikoanalysen von Cloud-Anbietern, insbesondere bei sensiblen Daten und KI-Integrationen.
  • Eine pauschale Ablehnung internationaler Clouds ist nicht automatisch zielführend, aber blindes Vertrauen ist riskant.

Kritische Einordnung

Die Argumente gegen US-Clouds sind wichtig, aber sie dürfen nicht pauschalisiert werden:

  • Nicht alle US-Anbieter sind gleich riskant. Unterschiede bestehen je nach Vertragsgestaltung, Verschlüsselungsmodellen und Zusatzdiensten.
  • Schweizer Firmen stehen vor dem Spagat zwischen Wettbewerbsfähigkeit und Risikokontrolle. Komplett lokale Lösungen können teuer und technisch anspruchsvoll sein.
  • Datenschutzrisiken entstehen nicht nur durch Cloud-Standorte, sondern auch durch internen IT-Betrieb, mangelnde Verschlüsselung oder fehlende Governance-Prozesse.

Fazit

Die Netzwoche-Debatte unterstreicht einen realen, aber komplexen Spannungsbogen zwischen Effizienz, Innovation und digitaler Selbstbestimmung. Für Schweizer Unternehmen heisst das, strategisch zu prüfen, welche Daten und Anwendungen in welcher Cloud-Umgebung betrieben werden. Digitale Souveränität ist kein Zustand, sondern ein Prozess: Sie erfordert bewusste Architekturentscheidungen, kontinuierliche Risikoanalyse und eine klare Definition von Schutzansprüchen.

Einordnung aus Sicht von ORIA

Digitale Souveränität ist kein ideologisches Gegenmodell zu internationalen Clouds, sondern eine Frage von Kontrolle, Verantwortlichkeit und Rechtsklarheit. Genau hier setzt ORIA an.

ORIA wurde entwickelt für Organisationen, die ihre Daten und Workloads in der Schweiz betreiben wollen, ohne auf professionelle Cloud Architekturen zu verzichten. Entscheidend ist nicht nur der Standort der Rechenzentren, sondern auch, wem Betrieb, Zugriff und Entscheidungsgewalt unterstehen. Schweizer Recht, Schweizer Betreiber und klare Governance sind dabei zentrale Elemente.

ORIA positioniert sich bewusst nicht als Ersatz für alle Hyperscaler Szenarien. Vielmehr geht es um eine differenzierte Cloud Strategie, bei der sensible Daten, kritische Anwendungen und regulatorisch relevante Workloads souverän betrieben werden können.

Call to Action

  • Unternehmen und Organisationen sollten jetzt prüfen, welche Daten und Anwendungen tatsächlich souverän betrieben werden müssen.
  • Eine Cloud Strategie ohne rechtliche und geopolitische Risikoanalyse greift zu kurz.
  • Der Dialog zwischen IT, Recht und Geschäftsleitung ist entscheidend.

Wer sich vertieft mit der Frage beschäftigen will, wie digitale Souveränität in der Praxis umgesetzt werden kann, findet auf oria.ch weiterführende Einordnungen und konkrete Architekturansätze aus Schweizer Perspektive.