Schweiz führt strenge „Souveräne Cloud“-Pflicht ein
07.01.2026 - 07:31:12
Die Schweiz schottet sensible Daten radikal ab: Seit dieser Woche gelten für Behörden und kritische Infrastrukturen verbindliche Vorgaben für eine „souveräne Cloud“. Internationale Anbieter wie Microsoft oder Google fallen damit für sensible Daten aus.
Bindende Standards für digitale Souveränität
Ab sofort müssen alle öffentlichen Stellen und Betreiber kritischer Infrastrukturen (KRITIS) besonders sensible Daten in einer Cloud-Architektur speichern, die vor Zugriffen ausländischer Behörden geschützt ist. Die neuen E-Government-Standards, die am Montag in Kraft traten, setzen eine wegweisende Resolution der Schweizer Datenschutzbehörden (privatim) aus November 2025 in bindendes Recht um. Kern der Vorgabe ist eine verschärfte Verschlüsselung: Die sogenannte „Bring Your Own Key“ (BYOK)-Technologie wird verpflichtend. Dabei werden die kryptografischen Schlüssel ausschließlich von der Schweizer Behörde oder dem Unternehmen verwaltet – der Cloud-Anbieter hat technisch keinen Zugriff mehr.
Das bedeutet de facto ein Aus für Standard-Installationen internationaler Software-as-a-Service-Lösungen wie Microsoft 365 oder Google Workspace bei der Verarbeitung sensibler Regierungsdaten. Nutzer müssen entweder auf spezielle, hochverschlüsselte Konfigurationen dieser Dienste umsteigen oder heimische Schweizer Anbieter wählen. Hintergrund ist die Furcht vor dem US-amerikanischen CLOUD Act, der US-Behörden Zugriff auf bei US-Firmen gespeicherte Daten ermöglicht – unabhängig vom physischen Speicherort.
Öffentliche Stellen und Betreiber kritischer Infrastrukturen stehen vor neuen, verbindlichen Sicherheitsanforderungen – und viele sind dafür nicht ausreichend gerüstet. Studien zeigen, dass rund 73% der Organisationen bei Cyberangriffen verwundbar sind. Ein kostenloses E‑Book erklärt praxisnahe Schutzmaßnahmen, aktuelle Gesetzesänderungen (inkl. KI‑Regulierung) und konkrete Schritte zur Stärkung Ihrer IT‑Sicherheit – ohne teure Neueinstellungen. Gratis Cyber-Security-Guide herunterladen
Privatim-Resolution als Wendepunkt
Den Weg für diese scharfe Regulierung ebnete die privatim-Resolution vom 24. November 2025. Die vereinten Datenschützer der Kantone und des Bundes erklärten damals, die Nutzung globaler Cloud-Dienste für sensible Daten des öffentlichen Sectors sei ohne strenge Client-seitige Verschlüsselung unzulässig. Vertragliche Zusicherungen reichten nicht aus, um gegen Zugriffsersuchen ausländischer Geheimdienste zu schützen.
Was zunächst als Empfehlung galt, hat nun durch die Integration in die verbindlichen E-Government-Standards regulatorische Zähne bekommen. Das Bundesamt für Cybersicherheit (BACS) hat seine Melde- und Compliance-Rahmen angepasst. Für Daten, die unter Berufsgeheimnis stehen – etwa Patientenakten, Steuerdaten oder Sozialhilfeinformationen –, ist die technische Isolation vom Cloud-Anbieter jetzt Pflicht. „Digitale Souveränität ist kein Schlagwort mehr, sondern eine Betriebsvoraussetzung“, so die klare Botschaft aus Bern.
Herausforderung für Behörden und Boom für Schweizer Cloud
Die Umsetzung stellt die öffentliche Verwaltung vor enorme operative Herausforderungen. Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich, verwies in einem Interview auf den Zielkonflikt zwischen Effizienz und Sicherheit. US-Cloud-Anbieter böten zwar Skalierbarkeit, doch die Risiken für Grundrechte seien bei sensiblen Datensätzen nicht mehr vertretbar. Behörden stünden nun vor der Wahl: eigene Infrastruktur aufbauen oder aufwändige Due-Diligence-Prüfungen für souveräne Alternativen durchführen.
Für den Privatsektor, insbesondere KRITIS-Unternehmen, gelten die strengsten Verbote zwar nicht direkt. Die parallel veröffentlichten „Handlungsempfehlungen für 2026“ fordern sie jedoch auf, ähnliche „Zero Trust“-Architekturen einzuführen. Dies befeuert die Nachfrage nach Schweizer Cloud-Providern wie Infomaniak, die Datenhoheit und rechtliche Immunität gegenüber ausländischen Jurisdiktionen garantieren können. Der Markt spaltet sich: eine Ebene für nicht-sensitive Daten in internationalen Clouds und eine hochgesicherte, heimische Ebene für sensible Informationen.
2026 wird zum „Migrationsjahr“
Für die Schweiz steht 2026 damit im Zeichen einer massiven IT-Migration. Organisationen müssen die neuen Verschlüsselungsschichten implementieren oder auf konforme Plattformen wechseln. Der Bund will den Fortschritt Mitte des Jahres überprüfen. Gleichzeitig verschärft das BACS die Meldepflichten bei Cybervorfällen.
Die Beweislast liegt nun bei den Verantwortlichen: Sie müssen nachweisen, dass ihre Cloud-Zertifikate und Sicherheitsarchitekturen nicht nur auf dem Papier konform sind, sondern technisch tatsächlich unangreifbar für ausländische Überwachung. Die Schweiz geht damit einen deutlich strengeren Weg als die EU – und setzt ein klares Signal für technologische Souveränität.
PS: Planen Sie 2026 die Migration in eine souveräne Cloud? Dieser kompakte Leitfaden richtet sich an Entscheider, IT‑Verantwortliche und Behörden: Er zeigt, wie Sie Meldepflichten erfüllen, Compliance‑Risiken reduzieren und mit einfachen, effektiven Maßnahmen die Angriffsfläche minimieren. Ideal als Begleiter bei Due‑Diligence und der Implementierung von Zero‑Trust‑Architekturen. Jetzt Cyber-Security-E-Book anfordern
