Digitale Souveränität – handlungsfähig bleiben nach Schweizer Massstäben

Digitale Souveränität ist längst mehr als ein Schlagwort. Sie entscheidet darüber, ob Unternehmen trotz globaler Abhängigkeiten handlungsfähig bleiben. Der US-amerikanische Cloud Act zeigt, wie komplex die Lage ist: Rechtsrahmen und Technologie müssen zusammenspielen, um Kontrolle und Handlungsfähigkeit zu sichern.

Behördlicher Datenzugriff ist selten und, zu Recht, streng reguliert. Ob durch den US Cloud Act, EU-Regeln wie E-Evidence und Data Act oder Schweizer BÜPF: Gesetze wirken oft über Grenzen hinweg. Unternehmen sollten deshalb nicht nur rechtliche Vorgaben kennen, sondern auch technologische Schutzmechanismen nutzen, die helfen, Risiken zu minimieren und handlungsfähig zu bleiben. PwC hat auf EMEA-Ebene kürzlich einen Cloud Business Survey veröffentlich, in dem die Themen Souveränität und Regulierung eine zentrale Rolle spielen.

Vier Säulen der digitalen Souveränität

Digitale Souveränität zu definieren, ist nicht einfach. Im Grundsatz steht sie für die Fähigkeit, als Organisation Kontrolle über Daten zu behalten und trotz externer Einflüsse handlungsfähig zu bleiben. Vier Säulen tragen das Thema Digitale Souveränität: operative Resilienz, Datenschutz, Datenresidenz und Vendor-Lock-in. Der entsprechende Einsatz der Technologien, wie zum Beispiel Verschlüsselungen und Zero Trust, bildet das Fundament dazu.
 

Balance statt Illusionen

Abhängigkeiten sind nicht nur technisch, sondern auch politisch. Oft empfohlene «Alternativen» zu Hyperscalern sind keine vollständigen Ausweichmöglichkeiten zum Vendor-Lock-in, da sie häufig auf deren Lösungen basieren. Die Kunst liegt in der Balance. Besonders kritische und heikle Prozesse verbleiben möglichst unter eigener Hoheit mit maximaler Kontrolle, während weniger kritische Prozesse Hyperscaler und deren Vorteile nutzen können, dies mit klaren Leitlinien.

Was heisst das für die Schweiz?

Initiativen in der Schweiz betonen, dass Souveränität nicht nur den Speicherort betrifft, sondern auch den rechtlichen und technischen Zugriff. Cloud-Strategien, die sich daran ausrichten, schaffen Vertrauen und reduzieren Risiken. Schweizer Entscheidungsträger sollten digitale Souveränität als multidisziplinäres Programm begreifen. In der Praxis erfordert dies eine Compliance-Funktion, die eng mit IT und Fachbereichen verzahnt ist und die wandelnde regulatorische Rahmenbedingungen in der Schweiz, der EU sowie global sorgfältig überwacht. Richtig umgesetzt wird digitale Souveränität zum Treiber für Innovation. Sie schützt Rechte, stärkt Resilienz und eröffnet Innovation, das ganze nach Schweizer Massstäben.

Operative Resilienz. Ziel ist der Weiterbetrieb bei Störungen. Dies gelingt durch ­Architekturentscheidungen wie Redundanzen über Regionen, getestete Notfallver­fahren und definierte Fallbacks.

Datenschutz. Souveränität bedeutet minimale Zugriffsrechte für Betreiber und nachweisliche Kontrolle. Praktisch heisst das: starke Verschlüsselung mit kundengehaltenen Schlüsseln und vertragliche Zusicherungen der Anbieter, ­unzulässige An­fragen ­abzuwehren.

Datenresidenz. Volle Kontrolle über den Transfer, den Ort der Verarbeitung und den Speicherort der Daten, inklusive ­Kopien für Backup und Resilienz.

Vendor‑Lock‑in. Es gibt diverse Dimensionen von Abhängigkeit (z. B. einen Technologie-Lock-in, Version ­Lock-in, Skills Lock-in). Wichtig ist dabei, dass man den Wert ­einer Lösung dem Aufwand eines Wechsels auf eine ­andere Lösung gegenüberstellt und so bewusste Entscheidungen zur Abhängigkeit eingeht.