Public Cloud und digitale Souveränität: Widerspruch oder Gestaltungsfrage?

Die Souveränitätsfrage: Wer behält die Kontrolle über die Daten?

Bei der Entscheidung, Workloads strategisch in die Cloud zu verlagern, standen lange vor allem technische Aspekte im Vordergrund: Wo werden die Daten gespeichert? Wie hoch ist die Verfügbarkeit der Plattform? Wie viel Kontrolle verbleibt über Infrastruktur und Betrieb? Die heutige Souveränitätsdebatte geht jedoch deutlich weiter. Im Zentrum steht nicht mehr nur der Speicherort der Daten, sondern die Frage, wer unter welchem Recht Zugriff auf diese Daten erhalten kann.

Was früher primär eine technische Fragestellung war («Wo liegen die Daten?» oder «Wie ausfallsicher ist die Lösung?»), ist heute eine rechtlich-politische: «Wer kann unter welchem Rechtsrahmen auf Daten zugreifen?».

Mit dem neuen Datenschutzgesetz (nDSG) in der Schweiz, den verschärften Anforderungen der Datenschutz-Grundverordnung (DSGVO) in der EU sowie den aktuellen geopolitischen Entwicklungen hat sich diese Diskussion grundlegend verändert.

Die Frage zur Datensouveränität lässt sich jedoch durchaus sachlich und risikobasiert beurteilen.

Für Schweizer CIOs und KMU-Entscheiderinnen und -Entscheider präsentiert sich die Situation heute konkret wie folgt: Microsoft Azure betreibt Rechenzentren in Zürich und Genf, wodurch Daten in der Regel innerhalb der Schweiz verbleiben. Allein der Speicherort genügt jedoch nicht mehr als Bewertungsgrundlage. Entscheidend ist vielmehr, welchem Recht der Cloud-Provider untersteht.

 

Was bedeutet der US CLOUD Act?

Der CLOUD Act ist in der öffentlichen Diskussion häufig der Anlass für grundsätzliche Bedenken gegenüber Public-Cloud-Lösungen. Eine sachliche Betrachtung relativiert dieses Bild jedoch deutlich.

Beim CLOUD Act handelt es sich um ein US-Bundesgesetz, das US-Strafverfolgungsbehörden im Rahmen laufender Ermittlungen unter bestimmten Voraussetzungen Zugriff auf Daten von US-Unternehmen ermöglicht, unabhängig davon, wo diese physisch gespeichert sind. Da Microsoft ein US-Unternehmen ist, fällt auch Microsoft Azure grundsätzlich in diesen Anwendungsbereich ¹ . Entscheidend für die Einordnung ist jedoch: Gemäss Einschätzung des Bundesamts für Justiz richtet sich der CLOUD Act auf schwere Straftaten («serious crimes») aus und stellt kein Instrument zur anlasslosen Überwachung dar.

Wie selten dieser Mechanismus tatsächlich greift, zeigt Microsoft im eigenen Transparenzbericht ² : Die überwiegende Mehrheit der Kundinnen und Kunden war bisher nie von Behördenanfragen betroffen. Die Zahl der Herausgaben von Inhaltsdaten ausländischer Enterprise-Kundinnen und -Kunden lag in den jüngsten Berichtsperioden jeweils im einstelligen Bereich pro Halbjahr ³ . Hinzu kommen rechtliche Schranken: Gemäss Bericht des Bundesamts für Justiz ist eine Datenherausgabe gestützt auf den CLOUD Act nur in spezifischen Ausnahmefällen mit schweizerischem oder europäischem Datenschutzrecht vereinbar ⁴ . Daraus ergibt sich für Microsoft als Communication Service Provider (CSP) eine aktive Anfechtungspflicht.

Im Rahmen der Initiative «Defending Your Data», die 2020 lanciert wurde und vertraglich im Microsoft Data Protection Addendum (DPA) verankert ist, verpflichtet sich Microsoft, jede Behördenanordnung zur Datenherausgabe gerichtlich anzufechten, sofern rechtliche Mängel vorliegen oder europäisches Recht entgegensteht ^{5 6 (Datenschutznachtrag downloaden)} . Ergänzend verpflichtet sich Microsoft zu finanziellen Entschädigungen, falls Daten unter Verstoss gegen die DSGVO an eine Behörde herausgegeben werden müssten ^{7 8 (Datenschutznachtrag downloaden)} .

Diese Anfechtungspraxis ist etabliert: Microsoft hat in den vergangenen Jahren wiederholt erfolgreich gegen Geheimhaltungs- und Herausgabeanordnungen prozessiert ⁹ . Diese Verpflichtung ist im Microsoft Datenschutznachtrag (DPA) zu den Produkten und Services vertraglich verankert ^{10 11 (Datenschutznachtrag downloaden)} . Im neusten DPA-Nachtrag vom September 2025 wurde zudem ein zusätzlicher Anhang ergänzt, um die Anordnung zur Einstellung/Aussetzung von Cloud-Diensten (Kill-Switch) anzufechten und für Behördenkunden die Schweiz über ihre Mitgliedschaft in der Europäischen Freihandelsassoziation (EFTA) explizit einschliesst.

Ergänzt wird diese rechtliche Absicherung durch technische Schutzmechanismen, auf die später detailliert eingegangen wird. Diese Kombination aus rechtlicher und technischer Absicherung macht Azure zu einer belastbaren Grundlage für Schweizer Unternehmen, die digitale Souveränität und Cloud-Nutzung nicht als Widerspruch verstehen. Bevor wir diese technischen Möglichkeiten betrachten, lohnt sich jedoch eine grundlegendere Frage: Wenn nicht Azure - welche Alternative wäre im Schweizer Unternehmensumfeld realistisch?

 

Ist Microsoft Azure aus dem Schweizer Unternehmensumfeld überhaupt noch wegzudenken?

Die Realität spricht hier eine deutliche Sprache: Heute nutzen über 50'000 Schweizer Kundinnen und Kunden Microsoft-Cloud-Dienste produktiv ¹² , gewachsen aus rund 30 Early Adopters beim Start der Schweizer Regionen im Jahr 2019 ¹³ . Zu den Anwendern zählen Banken wie die UBS, Versicherungen wie AXA, die Mobiliar und Swiss Re sowie weite Teile der Bundesverwaltung. Letztere integrierte Microsoft 2021 verbindlich in die WTO-Rahmenverträge 20007 mit Schweizer Recht und Gerichtsstand Schweiz ^{14 15} .

Microsoft unterstreicht sein Engagement im Schweizer Markt mit substanziellen Investitionen. Im Juni 2025 kündigte das Unternehmen eine zusätzliche Investition von 400 Millionen US-Dollar an, die in die Aufrüstung der vier Schweizer Rechenzentren in Zürich und Genf mit modernster KI-Infrastruktur fliesst ¹⁶ . Darüber hinaus hat Microsoft seit 2019 Technologie-Ressourcen im Wert von über 30 Millionen Franken an mehr als 1'500 Schweizer Start-ups vergeben. Laut Microsoft entstanden dadurch über 11'000 Arbeitsplätze. Gleichzeitig wächst die Nutzung von Azure OpenAI in der Schweiz seit Mitte 2023 deutlich. Bereits heute setzen rund 31 Prozent der Schweizer Microsoft-Nutzerinnen und -Nutzer aktiv KI-Tools ein – mit steigender Tendenz ¹⁷ .

Wer der Argumentation einer «Souveränität durch eigenes Rechenzentrum» folgt, sollte zudem die operative Realität klassischer On-Premises-Umgebungen berücksichtigen. Die Zahl gemeldeter Cyberangriffe in der Schweiz stieg im ersten Quartal 2025 um 113 Prozent ¹⁸ . Gleichzeitig wurden im zweiten Halbjahr 2025 rund 80 Ransomware-Vorfälle registriert, ein Anstieg von 59 Prozent gegenüber dem Vorjahr ¹⁹ .

Auch KMU sind betroffen: Gemäss der Studie «KMU Cybersicherheit 2025» war in den vergangenen drei Jahren jedes 25. Schweizer KMU von einem Cyberangriff betroffen. 73 Prozent der betroffenen Unternehmen erlitten dabei finanzielle Schäden ²⁰ . Eine professionell konfigurierte Azure-Umgebung mit Defender for Cloud, Microsoft Sentinel und Conditional Access kann heute ein Sicherheitsniveau ermöglichen, das viele klassische On-Premises-Umgebungen nur mit erheblichem personellem und finanziellem Aufwand erreichen.

Das vielleicht stärkste Argument betrifft jedoch nicht die Technologie, sondern den Arbeitsmarkt. Die Schweiz benötigt bis 2033 rund 128'600 zusätzliche ICT-Fachkräfte. Trotz Ausbildung und Zuwanderung wird mit einer Deckungslücke von rund 54'400 Fachkräften gerechnet ²¹ . Public-Cloud-Plattformen verschieben den Fokus weg von pflegeaufwendiger Server-Administration hin zu orchestrierter Plattformbetreuung. McKinsey beziffert den Produktivitätsgewinn in Entwicklung und Wartung cloud-migrierter Anwendungen auf 38 Prozent; gleichzeitig steigt die Kosteneffizienz um rund 29 Prozent ²² . Public-Cloud-Plattformen sind deshalb eine der wichtigsten skalierbaren Antworten auf einen strukturellen Fachkräftemangel, der die Schweizer Wirtschaft langfristig begleiten wird.

Vor diesem Hintergrund rückt die eigentliche Souveränitätsfrage erneut in den Mittelpunkt: Wie lässt sich das verbleibende Restrisiko mit gezielten technischen Massnahmen so reduzieren, dass es im Verhältnis zum geschäftlichen Nutzen tragfähig bleibt?

 

Welche technischen Massnahmen reduzieren das verbleibende Souveränitätsrisiko?

In der Praxis haben sich drei technische Hebel als besonders wirksam erwiesen. Sie wirken unabhängig voneinander und lassen sich kombinieren.

 

Hebel 1: Verschlüsselung mit eigener Schlüsselhoheit

Verschlüsselung reduziert verbleibende Souveränitätsrisiken erheblich – vorausgesetzt, das Schlüsselmanagement ist so gestaltet, dass der Cloud-Provider keinen oder nur sehr eingeschränkten Zugriff auf die Schlüssel erhält. Die Bundesverwaltung empfiehlt deshalb insbesondere Lösungen wie «Bring Your Own Key» oder «Keep/Hold Your Own Key». Entscheidend ist dabei, wer die Schlüssel tatsächlich verwaltet. Besonders wirkungsvoll sind Modelle, bei denen die Schlüssel ausserhalb der alleinigen Kontrolle des Cloud-Providers verbleiben ²³ . Für höchste Schutzanforderungen bietet «Double Key Encryption» (DKE) eine zusätzliche Sicherheitsstufe: Zur Entschlüsselung werden zwei unabhängige Schlüssel benötigt, von denen einer ausschliesslich bei der Kundin oder dem Kunden verbleibt. Microsoft kann die geschützten Inhalte dadurch technisch nicht eigenständig entschlüsseln ²⁴ . Da der CLOUD Act keine Pflicht zur Entschlüsselung kundenseitig verschlüsselter Daten vorsieht ²⁵ , zählen solche Mechanismen zu den wirksamsten Schutzmassnahmen, insbesondere für Gesundheitsdaten, Finanzinformationen oder klassifizierte Geschäftsgeheimnisse.

 

Hebel 2: Zugriffstransparenz und Privileged Identity Management

Mit Customer Lockbox lässt sich erzwingen, dass Microsoft-Support-Mitarbeitende nur nach expliziter Genehmigung auf Kundendaten zugreifen können ²⁶ . In Kombination mit Microsoft Entra Privileged Identity Management (PIM), Just-in-Time-Zugriffen und vollständigen Audit-Trails entsteht eine Kontrollebene, die in vielen klassischen On-Premises-Umgebungen oft fehlt – insbesondere dort, wo interne Administratoren weitreichenden Direktzugriff besitzen.

 

Hebel 3: Hybride Souveränität durch Azure Arc und Azure Local

Nicht jede Workload gehört in die Public Cloud, und das muss sie auch nicht. Mit Azure Arc lassen sich On-Premises-Ressourcen, Edge-Standorte und sogar Workloads in anderen Cloud-Umgebungen zentral über Azure verwalten – inklusive einheitlicher Governance-, Sicherheits- und Compliance-Richtlinien. Azure Local ergänzt diesen Ansatz um eine cloudkonsistente Plattform innerhalb der eigenen Infrastruktur ^{27 28} . Die strategische Frage «Public oder Private Cloud?» wird dadurch pragmatisch zu einer Architekturfrage: Welche Workload gehört wohin – und aus welchen Gründen?

 

Wie BDO Digital unterstützt

Digitale Souveränität ist kein Produkt, das sich einkaufen lässt. Sie entsteht durch das Zusammenspiel von Architektur, Verträgen und operativer Betriebsführung. BDO Digital begleitet Schweizer Unternehmen entlang dieses Weges in zwei aufeinander aufbauenden Service-Linien.

 

Cloud Strategy & Architecture

Am Anfang steht eine technisch-strategische Standortbestimmung:

• Welche Workloads eignen sich für welche Cloud-Architektur?
• Welche Microsoft-Schutzmechanismen (BYOK/HYOK, DKE, Customer Lockbox, Azure Arc) passen zu welchen Anwendungsszenarien?
• Wie sieht eine Roadmap aus, die Geschäftsziele, Sicherheitsanforderungen und bestehende IT-Landschaften sinnvoll zusammenführt?

Daraus entsteht eine umsetzbare Cloud-Strategie mit klaren Architekturentscheiden und einer umsetzbaren Implementierungsplanung, die zwischen Public-, Hybrid- und Private-Workloads bewusst unterscheidet.

 

Migration & Modernisierung

In der Umsetzung wird die Migration in die Schweizer Azure-Regionen gezielt mit Modernisierung verbunden. Ein reines Lift-and-Shift ist selten nachhaltig. Erst moderne Azure-PaaS-Architekturen reduzieren den Betriebsaufwand langfristig und schaffen die Grundlage für produktive KI-Anwendungen wie Azure OpenAI. Für hybride Workloads kommt Azure Arc zum Einsatz. Hold-your-Own-Key-Konzepte werden für regulierte Daten implementiert. Customer Lockbox und Privileged Identity Management werden als Standard etabliert. Das Ergebnis ist eine Plattform, in der digitale Souveränität nicht als Hindernis verstanden wird, sondern als bewusstes Architektur- und Designprinzip.

Mit diesem Vorgehen unterstützt BDO Digital Unternehmen dabei, die Souveränitätsfrage sachlich, risikobasiert und technologisch fundiert zu beantworten.