Schweizer Behörden starten 2026 mit „Souveränitäts-Schock“

Zürich – Das neue Jahr beginnt für die Schweizer Verwaltung und kritische Infrastrukturen mit einem digitalen Paukenschlag. Strengere Vorgaben zu Datensouveränität zwingen Behörden zum Umbau ihrer Cloud-Strategien und setzen US-Techkonzerne unter Druck. Gleichzeitig stellt die voll anwendbare EU-Datenverordnung Schweizer Exporteure vor ein komplexes „Doppel-Compliance“-Dilemma.

Privatim stellt US-Clouds ein Ultimatum

Auslöser der aktuellen Lage ist eine wegweisende Resolution der Konferenz der Schweizer Datenschutzbeauftragten (Privatim) vom Dezember 2025. Sie warnt öffentliche Stellen eindringlich vor der Nutzung internationaler Software-as-a-Service-Plattformen wie Microsoft 365 für sensible Daten. Als Grund nennt sie ungelöste Risiken durch den US CLOUD Act, der amerikanischen Behörden Zugriff auf Daten ermöglicht – unabhängig vom Serverstandort.

Für die IT-Leiter der Verwaltung bedeutet das eine sofortige Herausforderung. Übliche „Bring-your-own-key“-Modelle gelten als unzureichend, wenn der Anbieter technisch noch Zugriffsmöglichkeiten behält. Die Resolution verlangt faktisch eine „souveräne-first“-Architektur. Der Weg führt damit zu Schweizer Anbietern oder strikt isolierten „EU Sovereign“-Cloud-Regionen, die rechtlich und operativ unabhängig von US-Mutterkonzernen agieren.

Passend zum Thema Datensouveränität: Schweizer Behörden und Exporteure stehen jetzt vor der Herausforderung, revDSG und die anwendbare EU‑Datenverordnung gleichzeitig zu erfüllen. Ein kostenloser Leitfaden erklärt praxisnah, wie Sie Ihre Daten‑Governance so aufbauen, dass Sie sowohl Schweizer Vorgaben als auch EU‑Pflichten einhalten – inklusive Checklisten, Mustervorlagen und konkreten Umsetzungsschritten für Verwaltung und Hersteller. Gratis-Guide: Schweizer Datenschutz + EU-Check jetzt herunterladen

Der Kampf um die „souveräne Cloud“ eskaliert

Der regulatorische Druck heizt den Wettbewerb unter den Cloud-Anbietern an. Oracle profitiert derzeit stark von diesem Trend. Das Unternehmen wirbt mit seinen bereits 2023 gestarteten „EU Sovereign Cloud“-Regionen, die ausschließlich von EU-Bürgern betrieben werden, um Schweizer Behörden als Kunden.

Microsoft gerät dagegen direkt ins Visier der neuen Vorgaben. Zwar betont der Konzern seine „EU Data Boundary“ und verspricht, sich gegen extraterritoriale Datenforderungen zu wehren. Doch die Privatim-Resolution verlangt eine technische Unmöglichkeit des Zugriffs – nicht nur rechtliche Zusagen. Das stellt Microsofts Geschäft mit der Schweizer Verwaltung vor große Hürden. Zusätzlich erschweren neue Lizenzgebühren, die seit dem 1. Januar 2026 gelten, die Kosten-Nutzen-Rechnung.

Auch AWS und Google stehen unter Beobachtung. Schweizer Kunden verlangen nun den Nachweis, dass deren angekündigte „European Sovereign Cloud“-Initiativen tatsächlich operativ unabhängig sind.

EU-Datenverordnung wird zur Falle für Exporteure

Neben dem öffentlichen Sektor bringt die EU-Datenverordnung Schweizer Unternehmen in Bedrängnis. Seit ihrer vollständigen Anwendung im September 2025 gilt sie auch für Schweizer Hersteller, die vernetzte Produkte (IoT) oder Datendienste in der EU anbieten.

Die Verordnung verpflichtet zum Teilen von Produktdaten mit Nutzern und Dritten. Juristen warnen: 2026 wird zum Jahr der Durchsetzung. Schweizer Firmen müssen nun ihre Verträge und Technik auf Datenportabilität und fairen Zugriff ausrichten. Das erzeugt Reibung mit dem revidierten Schweizer Datenschutzgesetz (nDSG). Unternehmen müssen den EU-„Duty to Share“ für nicht-personenbezogene Daten mit strengen Schweizer Privatsphäre-Vorgaben für personenbezogene Mischdaten in Einklang bringen.

Neue Telekom-Regeln gegen Betrugs-Anrufe

Ebenfalls seit dem 1. Januar 2026 in Kraft sind neue Telekommunikationsvorschriften zur Cyberabwehr. Schweizer Anbieter müssen nun Anrufe aus dem Ausland blockieren oder kennzeichnen, die Schweizer Festnetznummern vortäuschen („Spoofing“). Die Maßnahme des Bundesamts für Kommunikation (BAKOM) reagiert auf die Welle von „Fake Authority“-Betrugsanrufen der Jahre 2024 und 2025.

Für Unternehmen, die VoIP oder internationale Callcenter nutzen, bedeutet das neue technische Compliance-Anforderungen. Sie müssen ihre Rufnummern-Kennung verifizieren, um nicht von Schweizer Netzen blockiert zu werden.

Ausblick: Migration und Anpassungsdruck

Das erste Quartal 2026 wird von „Compliance-Migration“ geprägt sein. Eine Welle öffentlicher Ausschreibungen in der Schweiz wird spezifisch „souveräne Cloud“-Attribute fordern, die Standardangebote der US-Hyperscaler für sensible Daten ausschließen. Das könnte US-Anbieter zwingen, „luftgekoppelte“ oder treuhänderisch betriebene Regionen in der Schweiz schneller einzurichten.

Für die Privatwirtschaft bleibt die EU-Datenverordnung der zentrale Fokus. Sobald die ersten Durchsetzungsmaßnahmen der EU gegen ausländische Hersteller bekannt werden, müssen Schweizer Rechtsabteilungen ihre Daten-Governance-Rahmen rasch anpassen. Sie wollen nicht zwischen die Fronten der digitalen Souveränitätsbestrebungen Brüssels geraten.

PS: Viele Schweizer Unternehmen unterschätzen, welche Dokumentation und Nachweise bei Prüfungen durch EU‑Behörden gefragt sind. Ein kompakter Leitfaden zeigt typische Stolpersteine bei Betroffenenanfragen und Datenportabilität sowie fertige Vorlagen, mit denen Sie Ihre Prozesse schnell prüfbar machen. Jetzt kostenlosen revDSG-Check & EU-Leitfaden sichern