Digitale Sou­veränität: Vier Entschei­­­dungen, die nicht warten können

Digitale Souveränität und die Datensicherheit standen 2025 bei den meisten Schweizer Unternehmen auf der Agenda.   
In 2026 geht es jetzt um konkrete Entscheidungen: Wo brauchen wir die absolute Kontrolle und wo akzeptieren wir Abhängigkeiten, weil wir von Innovationen profitieren?  

23. Dezember 2025, Text Lukas Hebeisen, Head of Cloud, Swisscom &Tanja Dujic, Marketing Manager, Swisscom, Bild: Swisscom 
  4 Min.

In Gesprächen mit IT-Verantwortlichen höre ich seit zwei Jahren dieselbe Frage: Wie viel Souveränität brauchen wir wirklich – und wo fängt Überregulierung an?

Meine Antwort auf diese Frage bleibt stets dieselbe: Souveränität ist keine Frage von alles oder nichts. Sie ist eine Frage von bewussten Entscheidungen.  Dafür hilft es sich bewusst zu machen, dass Schweizer Unternehmen heute in einem Spannungsfeld stehen, das es so vor fünf Jahren nicht gab. Auf der einen Seite: Amerikanische Hyperscaler mit sehr grosser Innovations­geschwindigkeit. Auf der anderen: Europäische Regulierungen und geopolitische Unsicherheiten, die jede Cloud-Entscheidung zur strategischen Frage machen.  

Der US Cloud Act von 2018 gibt amerikanischen Behörden das Recht, von US-Unternehmen Daten anzufordern – auch wenn diese auf Servern in der Schweiz liegen. In der Praxis passiert das selten und nur bei konkretem Straftatverdacht. Aber das rechtliche Risiko besteht, und für viele Compliance-Verantwortliche reicht das.  
In der Schweiz wurden im November 2025 auf der Konferenz der schweizerischen Datenschutz­beauftragten(öffnet ein neues Fenster) «privatim» die Anforderungen verschärft: Behörden sollten internationale SaaS-Dienste für sensible Daten nur noch einsetzen, wenn eine Ende-zu-Ende-Verschlüsselung besteht und der Anbieter keinen Zugriff auf die Schlüssel hat. Viele gängige US-Dienste erfüllen das nicht.  

Noch gelten diese Vorgaben nur für die öffentliche Hand. Aber regulierte Branchen – Banken, Versicherungen, Gesundheitswesen – orientieren sich erfahrungsgemäss an den Standards der Verwaltung.  

Public Cloud, Private Cloud, hybride Lösungen und mehr: Swisscom bietet Unternehmen ein umfassendes und vielseitiges Angebot an Cloud IT Services.

Vier Entscheidungen, die jetzt anstehen  

Aus Projekten mit Unternehmen verschiedener Branchen sehe ich vier Entscheidungen, die IT-Verantwortliche und Geschäftsleitungen heute treffen müssen.  

Lock-in bewusst steuern  

Kein Unternehmen ist komplett unabhängig – und muss es auch nicht sein. Die Frage lautet: Wie viel Abhängigkeit ist für Ihr Geschäftsmodell vertretbar?  
Ein dominanter Hyperscaler bringt Geschwindigkeit, Ökosystem und Innovation. Er bringt aber auch Abhängigkeit bei Preisen, Technologie und Jurisdiktion. Multi-Cloud-Architekturen schaffen Ausweich­möglich­keiten, erhöhen jedoch Komplexität und Governance-Aufwand.  
Entscheidend ist nicht, Lock-in komplett zu vermeiden. Entscheidend ist, bewusst zu entscheiden, wo Sie ihn akzeptieren – und wo nicht.  

Datenlandkarte erstellen  

Viele Unternehmen haben nur eine ungefähre Vorstellung davon, wo ihre kritischen Daten tatsächlich liegen. Cloud-Verträge wurden vor Jahren abgeschlossen, die Datenmengen sind gewachsen, die Übersicht ist verloren gegangen.  
Ohne saubere Datenlandkarte bleibt jede Diskussion über Souveränität abstrakt.

  • Welche Daten sind unternehmenskritisch?
  • Welche personenbezogen?
  • Welche regulatorisch besonders geschützt?
  • Wo werden sie gespeichert, verarbeitet, repliziert – und unter welcher Jurisdiktion? 


Diese Transparenz ist Voraussetzung für jede weitere Entscheidung.  

«Souveränität entsteht nicht allein durch den Standort eines Rechenzentrums. »

Lukas Hebeisen, Head of  Cloud, Swisscom

Cloud-Architektur neu denken 

Die Frage ist längst nicht mehr «Cloud ja oder nein». Sie lautet: Wie kombinieren Sie eine souveräne Basis mit globalen Cloud-Fähigkeiten?  
In der Praxis etabliert sich ein Muster: Kritische Workloads und sensible Daten laufen auf souveränen Plattformen in der Schweiz. Entwicklung, Innovation und weniger sensible Anwendungen nutzen Public-Cloud-Dienste. Gesteuert wird über ein einheitliches Governance- und Sicherheitsmodell.  
Souveränität entsteht dabei nicht allein durch den Standort eines Rechenzentrums. Sie entsteht durch Architektur, Prozesse und klare Verantwortlichkeiten.  

Exit-Fähigkeit sicherstellen  

58 Prozent der Schweizer Unternehmen nennen die Abhängigkeit von Hyperscalern als grösste Sorge. Doch wie viele haben einen funktionierenden Exit-Plan?

Exit-Fähigkeit bedeutet nicht, morgen den Anbieter zu wechseln. Sie bedeutet, es im Ernstfall zu können – ohne den Betrieb zu gefährden. Das erfordert dokumentierte Schnittstellen, portable Datenformate und getestete Migrationspfade. 

Governance: Wer trägt die Verantwortung?  

Digitale Souveränität ist kein IT-Thema. Sie betrifft Geschäftsstrategie, Risikomanagement, Compliance, Security und Operations gleichermassen. 
 
Die entscheidende Frage: Wer in Ihrer Organisation ist heute wirklich zuständig – und hat auch das Mandat, Entscheidungen zu stoppen, wenn Souveränität gefährdet ist?  Wenn die Verantwortung diffus bleibt, treffen andere die Entscheidungen: Anbieter, Fachbereiche oder kurzfristige Projektziele.  

Fragen, die ich Führungsteams stelle 

  • Welche drei digitalen Abhängigkeiten bereiten Ihnen am meisten Sorgen?  
  • Wissen Sie, wo Ihre kritischsten Daten heute verarbeitet werden?  
  • Wo akzeptieren Sie bewusst Lock-in – und wo wäre ein Exit-Szenario zwingend?  
  • Welche Workloads müssen Sie in der Schweiz halten, und warum?  
  • Wer ist intern die Person, die «Stopp» sagen darf?  


Wenn Sie auf mehrere dieser Fragen keine klare Antwort haben, lohnt sich ein Gespräch.

Cloud & KI: Schweizer Trends, Risiken, Strategien

Erfahren Sie, wie Cloud und KI die digitale Transformation in der Schweiz prägen, welche Risiken bestehen und warum klare Strategien entscheidend sind.

Weitere interessante Artikel