Datensouveränität in der Schweiz: Die neue Realität für KI und Cloud

Warum Schweizer Unternehmen ihre Cloud- und KI-Strategie jetzt überdenken müssen

Die Schweiz steht an einem Wendepunkt. Während die digitale Transformation voranschreitet und KI-Anwendungen den Geschäftsalltag revolutionieren, verschärft sich gleichzeitig die Debatte um Datensouveränität. Die jüngsten Entwicklungen zeigen: Wer heute seine Cloud- und KI-Strategie nicht sorgfältig plant, riskiert morgen regulatorische Probleme und Abhängigkeiten, die schwer zu lösen sind.

Der Weckruf: privatim-Resolution vom November 2025

Diese Entscheidung ist ein faktisches Cloud-Verbot für Behörden bei der Nutzung sensibler Daten über internationale Anbieter. Der Grund liegt im US CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der US-Behörden ermöglicht, auf Daten zuzugreifen – völlig unabhängig davon, ob diese physisch in Zürich, Genf oder anderswo in der Schweiz gespeichert sind.

Das Spannungsfeld: Innovation versus Kontrolle

Die Situation offenbart ein zentrales Dilemma, das nicht nur Behörden, sondern auch private Unternehmen betrifft. Auf der einen Seite stehen die Vorteile der grossen Cloud-Anbieter: Skalierbarkeit, Innovationsgeschwindigkeit, umfassende Service-Angebote und die Integration von KI-Tools wie Microsoft Copilot. Auf der anderen Seite stehen berechtigte Sorgen um Datenschutz, Abhängigkeit und unkontrollierten Datenzugriff durch ausländische Behörden.

Was bedeutet das für generative KI?

Die Zürcher Datenschutzbeauftragte Dominika Blonski bringt das Problem auf den Punkt: Bei generativer KI können öffentliche Organe häufig aufgrund fehlender Transparenz gar nicht nachvollziehen, wie und wo Personendaten bearbeitet werden. Die Fragen, die sich stellen, sind komplex: Auf welchen Servern werden die Prompts gespeichert? Wo wird das Large Language Model gehostet? Wer hat Zugriff auf die Daten? Mit welchen Daten wird das Modell trainiert?

Für Unternehmen aus regulierten Branchen wie Banken, Gesundheitswesen oder dem öffentlichen Sektor sind diese Fragen nicht akademisch – sie sind existenziell.

Die Antwort: Sovereign Cloud als strategische Option

Als Reaktion auf diese Entwicklung entstehen immer mehr souveräne Cloud-Angebote, die speziell für datenschutzkritische Anforderungen entwickelt wurden. Diese Lösungen ermöglichen den Betrieb einer Cloud-Infrastruktur vollständig unter Schweizer Recht und mit garantierter Datenhoheit.

Auch die grossen Player reagieren: Microsoft hat 400 Millionen US-Dollar in den Ausbau seiner Rechenzentren in Zürich und Genf investiert. Das Ziel ist klar: Private Unternehmen und regulierte Branchen sollen von Cloud und KI profitieren können, ohne dass Daten die Schweiz verlassen. Ob das die Bedenken bezüglich des CLOUD Acts ausräumt, bleibt jedoch fraglich.

Praktische Schritte zur digitalen Souveränität

Souveränität ist kein binärer Zustand – sie ist ein Spektrum. Ein vollständiger Verzicht auf Public Clouds wäre für die meisten Schweizer KMU weder praktikabel noch sinnvoll. Stattdessen geht es um eine bewusste Balance:

Schutzbedarfsanalyse durchführen: Der erste Schritt ist das Verständnis, welche Daten welchen Schutzbedarf haben. Nicht alle Daten sind gleich sensibel, und nicht alle Prozesse erfordern das höchste Sicherheitsniveau.

Hybride Modelle entwickeln: Sensible Daten oder intensive Arbeitslasten können in souveränen Rechenzentren oder On-Premises laufen, während andere Dienste flexibel über die Cloud abgewickelt werden.

Portabilität sicherstellen: Wer seine Workloads in Container verpackt und mittels Kubernetes orchestriert, schafft die Grundlage für anbieterunabhängige Lösungen. Der Verzicht auf proprietäre Datenbank-Engines zugunsten von Open-Source-Standards wie PostgreSQL ist ein weiterer wichtiger Schritt.

RAG für unternehmensinterne KI: Retrieval-Augmented Generation (RAG) ermöglicht es, die Fähigkeiten grosser Sprachmodelle mit internen Wissensquellen zu kombinieren – ohne dass sensible Daten das eigene Umfeld verlassen müssen.

Fazit: Handeln statt abwarten

Die Entwicklungen des letzten Jahres machen deutlich: Datensouveränität ist kein Trend, sondern eine strategische Notwendigkeit. Für Schweizer Unternehmen bedeutet das nicht, sich von Innovation abzukoppeln, sondern Innovation mit Bedacht zu gestalten.

Die gute Nachricht: Es gibt heute Lösungen, die beides ermöglichen – die Vorteile von KI und Cloud-Technologien und gleichzeitig volle Kontrolle über die eigenen Daten. Der Schlüssel liegt in einer durchdachten Strategie, die Flexibilität und Sicherheit in Einklang bringt.

Wer heute seine Daten- und KI-Architektur sorgfältig plant, schafft die Grundlage für nachhaltigen Erfolg. Wer abwartet, riskiert, von Regulierungen überrascht zu werden oder in Abhängigkeiten zu geraten, die später nur schwer aufzulösen sind.