Es klingt nach einer Beruhigung, ist es aber nicht: ‘Unsere Daten liegen in der Schweiz.’ Diese Aussage hört man in Verwaltungsräumen und Bürofluren Schweizer Unternehmen häufig, wenn es um die Sicherheit von Cloud-Diensten geht. Die Wahrheit ist: Der physische Serverstandort schützt nicht vor dem US CLOUD Act. Was zählt, ist die Unternehmensgerichtsbarkeit des Anbieters – und Google, Microsoft und Amazon sind US-Unternehmen, egal wo ihre Rechenzentren stehen. Die Digitale Souveränität ist nicht durch reinen Server Standort geregelt.
Die Konferenz der Schweizer Datenschutzbeauftragten (Privatim) hat im Dezember 2025 eine wegweisende Resolution veröffentlicht, die öffentliche Stellen eindringlich vor der Nutzung internationaler SaaS-Plattformen wie Microsoft 365 für sensible Daten warnt. 2026 prägte ein ‘Souveränitäts-Schock’ die Beschaffungsentscheidungen der öffentlichen Verwaltung – mit einer Welle von Ausschreibungen, die spezifisch souveräne Cloud-Attribute verlangen. Was die öffentliche Hand vorlebt, muss die Privatwirtschaft verstehen und strategisch umsetzen.
Dieser Artikel richtet sich an Schweizer Unternehmerinnen und Unternehmer, die ihre digitale Infrastruktur mit Klarheit beurteilen wollen: Was bedeutet der US Cloud Act konkret? Was fordert das revidierte Schweizer Datenschutzgesetz (nDSG)? Welche Optionen stehen zur Verfügung? Und wie kann digitale Souveränität als Wettbewerbsfaktor genutzt werden?
Darum geht es im Beitrag
- 1 Die US-Dominanz im Schweizer IT-Markt: Was die Zahlen sagen
- 2 Schweizer Cloud-Optionen: Die Landschaft 2026
- 2.1 Digitale Souveränität als Wettbewerbsfaktor
- 2.2 FAQ – Häufig gestellte Fragen
- 2.2.1 1. Gilt das nDSG auch für KMU?
- 2.2.2 2. Reicht ein Schweizer Serverstandort als Schutz vor dem US Cloud Act?
- 2.2.3 3. Was ist ein Transfer Impact Assessment und wann brauche ich eines?
- 2.2.4 4. Sind Microsoft-365-Daten in der Schweiz sicher?
- 2.2.5 5. Wie fange ich mit einer Datensouveränitäts-Strategie an?
Die US-Dominanz im Schweizer IT-Markt: Was die Zahlen sagen
Die Abhängigkeit der Schweiz von US-amerikanischen IT-Konzernen ist strukturell und tief verankert. Laut dem aktüllen Allianz-Trade-Branchenreport vom Mai 2026 erzielen US-Unternehmen rund 70 Prozent der europäischen IT-Umsätze – und im Cloud-Segment sind es sogar 80 Prozent. ERP-Software: 59 Prozent US-Marktanteil. CRM-Systeme: 73 Prozent. Die Schweiz ist als Nicht-EU-Land von dieser Abhängigkeit nicht weniger betroffen als ihre europäischen Nachbarn – im Gegenteil.
|
Schweizer ICT-Investitionen |
61% planen Erhöhung |
Netzwoche-Studie 2026 |
Was die aktuelle Netzwoche-Erhebung 2026 zeigt: Rund 61 Prozent der Schweizer Unternehmen planen eine Erhöhung ihrer ICT-Ausgaben – ein starkes Signal für Investitionsbereitschaft in einem volatilen Umfeld. Gleichzeitig gewinnen europäische und Schweizer Provider an Bedeutung: Das technologische Rückgrat der digitalen Transformation, die Cloud, wird zunehmend unter dem Gesichtspunkt Datensouveränität neu bewertet. Die Frage ist nicht mehr ob, sondern wo und unter welcher Rechtsordnung.
Der US Cloud Act: Was er ist und warum kein Schweizer Serverstandort schützt
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), seit 2018 in Kraft, gibt US-Strafverfolgungsbehörden das Recht, von US-Unternehmen die Herausgabe elektronisch gespeicherter Daten zu verlangen – unabhängig vom physischen Speicherort. Ein Google-Rechenzentrum in Zürich ist ein Google-Rechenzentrum. Es unterliegt US-Recht. Die Schweiz hat kein bilaterales Rechtshilfeabkommen (MLAT) mit den USA, das den CLOUD Act ausser Kraft setzen würde.
Was das bedeutet für jedes Schweizer Unternehmen, das US-Cloud-Dienste nutzt: Kundendaten, Mitarbeiterinformationen, Verträge, Korrespondenz und strategische Dokumente auf US-Infrastruktur können ohne Vorwarnung durch US-Behörden abgerufen werden. CLOUD-Act-Anfragen sind häufig mit Geheimhaltungsanordnungen (Gag Orders) verbunden – das betroffene Unternehmen erfahrt nicht einmal, dass ein Datenzugriff stattgefunden hat.
Das Schweizerische nDSG (revidiertes Datenschutzgesetz, in Kraft seit 1. September 2023) fordert von Unternehmen Transparenz und Kontrolle über die Verarbeitung von Personendaten. Artikel 6 verlangt angemessenen Schutz. Artikel 16 und 17 regeln die Bekanntgabe von Personendaten ins Ausland und setzen gleichwertige Schutzgarantien voraus. Der CLOUD Act widerspricht diesen Anforderungen strukturell: Er ermöglicht extraterritorialen Datenzugriff ohne den im nDSG geforderten Schutz. Das Ergebnis ist ein Compliance-Dilemma: Schweizer Unternehmen können gleichzeitig nDSG-konform und CLOUD-Act-exponiert sein – ohne es zu wissen.
Die Schweizer Besonderheit: Nicht-EU-Land in einem EU-geprägten Digitalraum
Die Schweiz ist kein EU-Mitglied – was in der Cloud-Debatte sowohl Vor- als auch Nachteile schafft. Vorteil: Die DSGVO und der EU AI Act gelten nicht direkt. Das nDSG ist weniger komplex als die DSGVO, obwohl es ähnliche Grundprinzipien verfolgt. Nachteil: Schweizer Unternehmen, die in die EU exportieren oder mit EU-Unternehmen zusammenarbeiten, müssen dennoch DSGVO-Anforderungen beachten – als Empfänger personenbezogener Daten aus der EU oder als Lieferanten für EU-Kunden. Das schafft ein ‘Doppel-Compliance-Dilemma’: Schweizer Firmen müssen sowohl das nDSG als auch die DSGVO berücksichtigen, ohne von EU-Schutzrahmen vollständig erfasst zu sein.
Die Resolution von Privatim und der Souveränitäts-Schock in der Verwaltung haben die politische Debatte 2026 beschleunigt. Die Swiss Government Cloud – ein hybrides Modell, das souveräne Schweizer Infrastruktur mit selektiv genutzten internationalen Services kombiniert – wird zum Referenzmodell für grössere Verwaltungseinheiten und Kantone. Für die Privatwirtschaft bleibt die EU-Datenverordnung ein Treiber: Schweizer Exporteure und Dienstleister, die Daten von EU-Bürgern verarbeiten, müssen ihre Data-Governance-Rahmenbedingungen anpassen.
Schweizer Cloud-Optionen: Die Landschaft 2026
Für Schweizer Unternehmen, die ihre digitale Abhängigkeit von US-Anbietern reduzieren wollen, hat sich die Anbieterlandschaft erheblich entwickelt. Das Prizip: Entscheidend ist nicht allein der Serverstandort, sondern die Rechtsordnung des Anbieters und dessen Konzernstruktur. Infomaniak mit Sitz in Genf ist der bekannteste Schweizer Cloud-Anbieter mit vollständigem Datenschutz nach Schweizer Recht, eigenen Rechenzentren in der Schweiz und einem breiten Angebot von E-Mail und Hosting bis zu Drive und Collaboration-Tools. Proton mit Sitz in Genf ist ein weiteres Schweizer Schwergewicht: Zero-Knowledge-Verschlüsselung für Mail, Drive, VPN und Kalender. Selbst Proton kann den Inhalt der Daten nicht lesen – was einen absoluten Schutz vor CLOUD-Act-Zugriffen bietet, solange die Entschlüsselungsschlüssel beim Kunden bleiben. EveryWare und Tresorit bieten spezialisierte souveräne Cloud-Lösungen für Unternehmen mit erhöhten Sicherheitsanforderungen. Abraxas und ELCA sind auf öffentlichen Sektor und kritische Infrastrukturen spezialisiert.
Für Unternehmen, die nicht vollständig auf US-Anbieter verzichten können oder wollen, ist die Hybridstrategie der praktikabelste Weg: Hochsensible Daten (Kundenpersonaldaten, Finanzinformationen, geistiges Eigentum) auf Schweizer oder europäischer souveräner Infrastruktur. Standardisierte, weniger sensible Workloads können weiterhin bei internationalen Anbietern betrieben werden. Wie Kurt Ris, CEO von EveryWare, es formuliert: Digitale Souveränität ist kein absolut erreichbarer Zustand, sondern ein bewusster Abwägungsprozess zwischen Schutzbedarf, regulatorischen Anforderungen und unternehmerischem Risiko.
Hinweis: Zoho, die Betriebssoftware die wir bei den meisten KMU einsetzten wird in einem Datencenter in der EU gewartet und Betreut von Zoho und bietet daher besonderen Schutz vor dem US Cloud Act.
Digitale Souveränität als Wettbewerbsfaktor
Was zunächst wie Compliance-Aufwand klingt, entpuppt sich bei genaürem Blick als Wettbewerbsvorteil: Schweizer und europäische Kunden legen zunehmend Wert auf nachweisbaren Datenschutz. ‘Swiss Made’ und ‘Swiss Hosted’ sind in bestimmten Branchen – Gesundheitswesen, Finanzdienstleistungen, Rechts- und Treuhandbranche – Vertraünssignale, die sich direkt auf Kaufentscheidungen auswirken. Unternehmen, die heute klar kommunizieren können, dass ihre Kundendaten unter Schweizer Recht und auf Schweizer Infrastruktur verarbeitet werden, differenzieren sich in einem Wettbewerbsumfeld, in dem Datenschutz zur Erwartungshaltung geworden ist.
Für den Swisscom Cybersecurity Threat Radar 2026 stehen digitale Souveränität und Software-Lieferketten ganz oben auf der Risikoliste. ‘Bereits eine kompromittierte Komponente oder ein manipulierter Update-Prozess können zu weitreichenden Folgen führen’, warnt der Report. Das unterstreicht: Digitale Souveränität ist nicht nur Datenschutz-Compliance – sie ist Resilienzstrategie.
FAQ – Häufig gestellte Fragen
1. Gilt das nDSG auch für KMU?
Ja. Das revidierte Datenschutzgesetz gilt für alle natürlichen und juristischen Personen in der Schweiz, die Personendaten bearbeiten – ohne Schwellenwerte nach Unternehmengrösse. Kleinere Unternehmen profitieren von vereinfachten Meldepflichten, aber die Grundprinzipien (Transparenz, Zweckbindung, Datensicherheit, Auslandstransfer) gelten universell. Die Büssgeldsanktionen (bis zu 250.000 CHF) bei schwerwiegenden Verstossen sind erheblich.
2. Reicht ein Schweizer Serverstandort als Schutz vor dem US Cloud Act?
Nein. Das ist der entscheidende Irrtum. Was schützt, ist die Schweizer Rechtsordnung des Anbieters – nicht der Serverstandort. Infomaniak, Proton, EveryWare – das sind Schweizer Unternehmen, die ausschliesslich Schweizer Recht unterliegen. Ein Google-Rechenzentrum in Zürich ist trotzdem ein US-Unternehmen unter US-Recht.
3. Was ist ein Transfer Impact Assessment und wann brauche ich eines?
Ein Transfer Impact Assessment (TIA) ist eine Prüfung, ob die im Zielland geltenden Rechtsvorschriften den Schutz personenbezogener Daten beeinträchtigen. Für Schweizer Unternehmen, die Daten von EU-Bürgern verarbeiten und an US-Cloud-Anbieter übergeben, ist ein TIA Teil der DSGVO-Compliance. Das EDPB empfiehlt es explizit für alle US-Cloud-Transfers. Wenn Sie Kundendaten aus Deutschland, Frankreich oder anderen EU-Ländern bei einem US-Anbieter verarbeiten: TIA durchführen.
4. Sind Microsoft-365-Daten in der Schweiz sicher?
Microsoft betreibt Rechenzentren in der Schweiz und bietet spezifische Datenhaltungsoptionen in der Schweiz an. Dennoch gilt: Microsoft ist ein US-Unternehmen und unterliegt dem CLOUD Act. Microsoft hat bestätigt, dass es keine absolute Garantie gegen US-Behördenzugriff geben kann. Für Behorden und datensensible Organisationen empfehlen die Schweizer Datenschutzbeauftragten (Privatim) souveräne Lösungen ohne US-Konzernstruktur.
5. Wie fange ich mit einer Datensouveränitäts-Strategie an?
In fünf Schritten: Erstens Dateninventur (welche Daten, welcher Anbieter, welche Rechtsordnung?). Zweitens Klassifizierung (hochsensibel, mittelsensibel, unkritisch). Drittens Risikobeurteilung (welche US-Abhängigkeiten bestehen für hochsensible Daten?). Viertens Migrationsplanung (Hybridstrategie: souveräne Basis für sensible Daten, internationale Services für unkritische Workloads). Fünftens Dokumentation (für nDSG-Compliance und allfällige Prüfungen).