Neuigkeiten & Veranstaltungen Datensouveränität in unsicheren Zeiten: Warum die Schweiz überzeugt 

Es ist nicht nur klug, sich über die Zukunft der Datensouveränität Gedanken zu machen, sondern auch dringend. Seit den US-Wahlen 2024 steht das Vertrauen in US-basierte Cloud-Anbieter ernsthaft infrage. Zum Beispiel entliess Präsident Trump drei Mitglieder des Privacy and Civil Liberties Oversight Board. Daraufhin hat das EU-Parlament Bedenken zur transatlantischen Datenweitergabe und zur Zukunft des EU-U.S. Data Privacy Frameworks geäussert. Es war das erste von vielen Warnzeichen.

Insgesamt sind europäische Regierungen zunehmend besorgt über den Status ihrer US-Cloud-Anbieter.

Vor Kurzem haben niederländische Abgeordnete acht Anträge verabschiedet, in denen sie ihre Regierung auffordern, amerikanische Technologien zugunsten lokaler Alternativen aufzugeben. Zufällig erwägen viele europäische Unternehmen – oder haben bereits damit begonnen –, sich von Amazon, Google und anderen grossen US-Cloud-Anbietern zu verabschieden.

Regulierte Branchen (Banken, Gesundheitswesen usw.) stehen vor erheblicher Unsicherheit. Laut ISACA werden bis Ende 2025 40 Prozent der grossen Unternehmen von ihren Cloud-Anbietern verlangen, dass diese Datenhoheitskontrollen einhalten, um Datenschutz- und Compliance-Vorgaben gerecht zu werden.

Warum?

Sie wollen sicherstellen, dass ihre Datensouveränität so stark wie möglich ist.

Das gilt auch für den Schweizer Banken- und Finanzsektor, der regulatorische Rahmenbedingungen wie das FINMA-Rundschreiben 2023/01 eingeführt hat. Dieses enthält Meldepflichten bei Datenschutzverletzungen, die kundenidentifizierende Daten (CID) betreffen.

Diese Entwicklungen rücken 2025 zwei Bereiche von Cloud-Risiken in den Fokus.

Die erste ist die Datenvertraulichkeit.

Der Global Cybersecurity Outlook 2025 des Weltwirtschaftsforums warnt vor einem zunehmenden Risiko des Zugriffs durch ausländische Akteure auf sensible Daten. Diese Angriffe, die sich sowohl gegen Unternehmen als auch gegen staatliche Einrichtungen richten, werden zunehmend von staatlich unterstützten Akteuren durchgeführt. Häufige Ziele sind:

• Gesundheitswesen
• Finanzdienstleistungen
• Energieversorger
• Infrastruktur

Die zweite ist Datenverfügbarkeit.

In diesem neuen Klima nutzen Akteure Service-Beschränkungen als politisches Druckmittel. In einigen Fällen hat die US-Regierung den Zugang zu Cloud-Diensten als Druckmittel eingesetzt und damit grenzüberschreitende Datenübertragungen noch schwieriger gemacht. Hier hängt die Service-Kontinuität sowohl von kommerziellen Überlegungen als auch von der Übereinstimmung mit US-Interessen ab.

Diese strategischen Interessen haben sich erheblich verändert. Ein Beispiel ist der U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Der CLOUD Act gibt US-Behörden das Recht, amerikanische Cloud-Anbieter zur Herausgabe von Kundendaten zu zwingen – auch dann, wenn diese Daten physisch ausserhalb der USA gespeichert sind.

Das bedeutet, dass die Daten einer europäischen Organisation, die beispielsweise in einem Rechenzentrum in Frankfurt oder Dublin gespeichert sind, dennoch von US-Behörden rechtmässig abgerufen werden können, wenn sie von einem US-basierten Cloud-Anbieter wie Amazon, Google oder Microsoft verwaltet werden. Eine Benachrichtigung an die EU-Organisation, deren Daten betroffen sind, ist nicht erforderlich.

Dadurch entstehen potenzielle „Daten-Geisel“-Szenarien, die den Schutz der Privatsphäre in der EU gefährden. Genau auf diese Weise wurden US-Behörden beschuldigt, Daten über entführte ukrainische Kinder einseitig entfernt zu haben.

Die Auswirkungen sind gravierend. Nicht nur werden die Grundsätze der DSGVO untergraben, sondern Unternehmen geraten auch in einen direkten Konflikt zwischen US-amerikanischen Rechtsvorgaben und europäischen Datenschutzgesetzen. Organisationen müssen nun damit rechnen, dass ihre Daten aufgrund politischer Entscheidungen nicht mehr zugänglich oder kompromittiert werden könnten.

Die politische Neutralität der Schweiz reicht Jahrhunderte zurück (siehe: Vertrag von Paris 1815). Das Land hat eine stabile Umgebung geschaffen, in der Datenrepositorien frei von geopolitischem Druck arbeiten können.

Zum Beispiel ist die Schweiz an keine Geheimdienstabkommen gebunden, die die Datensouveränität beeinträchtigen könnten. Das Schweizer Bundesgesetz über den Datenschutz (DSG) wird als eines der umfassendsten und gründlichsten Datenschutzstandards weltweit anerkannt.

Gelegen im Herzen Europas, ist die Schweiz hervorragend positioniert, um europäische Märkte zu bedienen, während sie gleichzeitig einige der restriktiveren regulatorischen Anforderungen der EU umgehen kann. Selbst das Klima und die geografischen Gegebenheiten des Landes sind ideal für die Kühlung von Rechenzentren und eine hohe Energieeffizienz.

• Schliesslich ist ein so starkes Engagement für Datensicherheit fest in der Schweizer Kultur verankert. Dieses Engagement hat der Schweiz nicht nur den Ruf von Neutralität und Vertrauenswürdigkeit eingebracht, sondern auch einige der weltweit führenden Datenschutz-orientierten Dienste angezogen.

Sich in diesem unsicheren Umfeld zu orientieren, beginnt mit der Bestandsaufnahme. Wenn Sie eine Cloud-Migration in Betracht ziehen, sollten Sie auch eine Datenklassifizierung und eine Kosten-Nutzen-Analyse in Ihren Prozess einbeziehen. Als erste Schritte empfehlen wir jedoch zwei wichtige Massnahmen.

1. Durchführung einer Datensouveränität-Bewertung

Bewerten Sie Ihr Cloud-Souveränität-Risiko anhand eines strukturierten Ansatzes, wie im folgenden hypothetischen Framework dargestellt.

2. Bewertung Ihrer aktuellen Datenanbieter

Ihre Datenanbieter sollten bereit und in der Lage sein, spezifische Antworten auf folgende Fragen zu geben:

Jurisdiktionelle Kontrolle	Wie lautet Ihr rechtlicher Prozess bei Anfragen ausländischer Regierungen? Wie viele Anfragen von Regierungen haben Sie in den letzten 12 Monaten erhalten und aus welchen Ländern? Falls die US-Regierung nach dem CLOUD Act die Herausgabe von Daten verlangt, wie ist Ihr dokumentierter Ablauf? Können Sie vertraglich zusichern, uns vor der Beantwortung solcher Anfragen zu informieren? Welche unabhängigen Drittprüfungen belegen Ihre Einhaltung von Datensouveränität-Anforderungen?
Technische Umsetzung	Wo genau werden unsere Daten physisch gespeichert, verarbeitet und gesichert? Wer hat administrativen Zugriff auf unsere Daten und in welchen Ländern befinden sich diese Personen? Welche Verschlüsselungsmethoden setzen Sie ein, und wer kontrolliert die Schlüssel? Bieten Sie echte kundengesteuerte Verschlüsselungsschlüssel ohne Zugriff durch den Anbieter an? Welche technischen Massnahmen verhindern unautorisierte, grenzüberschreitende Datenübertragungen?
Betriebs fortführung	Wie würden Sie reagieren, wenn Ihr Mutterkonzern angewiesen würde, den Dienst für Nicht-US-Unternehmen einzustellen? Welche vertraglichen Force-Majeure-Klauseln schützen uns vor geopolitisch bedingten Unterbrechungen? Haben Sie dokumentierte Notfallpläne für politische Sanktionen, die den Service betreffen? Welches SLA-Garantieversprechen bieten Sie, falls internationale Spannungen Ihre Dienstleistung beeinträchtigen? Können Sie Beispiele nennen, wie Sie in der Vergangenheit während geopolitischer Krisen den Service aufrechterhalten haben?

Die Rückkehr der Trump-Administration hat eine tektonische Verschiebung in der Art und Weise ausgelöst, wie europäische Organisationen ihre Cloud-Strategie gestalten müssen. Es wäre klug, jetzt regulatorische Compliance und betriebliche Resilienz gegenüber diesen geopolitischen Unsicherheiten zu stärken.

Nach Einschätzung vieler Experten wird diese Unsicherheit anhalten.

Schweizer Cloud-Infrastruktur bietet einen strategischen Vorteil durch überlegenen Schutz der Datensouveränität. Diese Infrastruktur ist das Fundament des b+s Private Cloud Contact Center, das es selbst stark regulierten Unternehmen ermöglicht, massgeschneiderte Lösungen einzuführen. Dazu gehören:

• Dedizierte Infrastruktur-Architektur: Private, isolierte Umgebungen mit vollständig dedizierten Ressourcen. Garantiert eine vollständige Trennung von anderen Mandanten und sichert die Performance auch in Spitzenzeiten.
• Europäische Datenresidenz: Unsere Private Cloud ist in Europa gehostet und stellt sicher, dass alle Daten innerhalb europäischer Rechtsräume bleiben.
• Integrations-Framework: Die Plattform lässt sich nahtlos mit führenden Enterprise-Anwendungen integrieren, darunter Salesforce, Microsoft Dynamics, ServiceNow, Oracle Service Cloud und SAP.
• Umfassende Sicherheitsstandards: Die b+s Private Cloud erfüllt höchste Branchenstandards wie C5, DSGVO, ISO 27001 und viele mehr.

• Zugriffskontrollmechanismen: Schützen Sie Ihre Daten vor unbeabsichtigter oder vorsätzlicher Manipulation, teilweisem oder vollständigem Verlust, Zerstörung oder unbefugtem Zugriff Dritter – durch SSL-Technologie mit hochentwickelter Verschlüsselung.
• EU-U.S. Data Privacy Framework Compliance: Wir kooperieren mit und erfüllen die Anforderungen europäischer Datenschutzbehörden (DPAs) bei ungelösten Beschwerden über Datenverarbeitung. Das bietet eine zusätzliche Ebene der Kontrolle.

Angesichts beispielloser Unsicherheiten brauchen Sie die richtige Kombination aus technischer Kompetenz und rechtlichem Schutz. Wir helfen Unternehmen bereits heute dabei, den neuen Herausforderungen rund um Datensouveränität zu begegnen – selbst in den am stärksten regulierten Branchen.