Martin Andenmatten, Verwaltungsrats­präsident, Glenfis. (Source: zVg)

Martin Andenmatten, Verwaltungsrats­präsident, Glenfis. (Source: zVg)

Digitale Souveränität ist in vielen Unternehmen ein strategischer Anspruch. Sie entsteht jedoch nicht durch moderne Technologien, sondern durch die Fähigkeit, kontrolliert und verantwortbar über Daten, Informationen und digitale Systeme zu entscheiden. Gerade in Cloud- und KI-Umfeldern ist diese Steuerungsfähigkeit nur realisierbar, wenn Regeln nicht nur definiert, sondern konsequent durchgesetzt werden und ihre Einhaltung nachweisbar überprüft wird.

Ein aktuelles Gutachten der Universität Köln zu US-Zugriffsbefugnissen auf Cloud-Daten verdeutlicht die Bedeutung eines belastbaren Governance-Modells. US-Behörden können unter bestimmten gesetzlichen Grundlagen auf Daten zugreifen – unabhängig vom physischen Speicherort. Für Schweizer Unternehmen bedeutet dies: Extraterritoriale Zugriffsbefugnisse stellen reale Risiken dar, die systematisch in Governance- und Risiko­managementmodellen berücksichtigt werden müssen. Die Annahme, dass geografische Nähe allein schützt, greift zu kurz.

Was folgt daraus für Governance? Es geht nicht um Kontrolle versus Innovation, sondern um eine risikobasierte Governance, die Innovation erst sicher ermöglicht. Risiken müssen systematisch identifiziert, bewertet und gesteuert werden – nicht situativ im Tagesgeschäft. Ein risikobasiertes Governance- und Compliance-Modell schafft Transparenz über Verantwortlichkeiten, Entscheidungswege und regulatorische Anforderungen, ohne die Innovationsfähigkeit zu bremsen.

In der Praxis verschieben sich Verantwortlichkeiten. Fachbereiche klären die Datenbedeutung und Zweckbindung, IT und Informationssicherheit gewährleisten Schutz und Verfügbarkeit, während Legal, Datenschutz und Compliance regulatorische Rahmenbedingungen sichern. Data- und KI-Teams verantworten Trainingsdaten, Modellqualität und Nachvollziehbarkeit. Ohne ein gemeinsames Governance-Verständnis bleiben diese Rollen fragmentiert und im Ernstfall kaum belastbar.

Digitale Souveränität entsteht dort, wo klare und verbind­liche Regeln gelten: Welche Daten dürfen unter welchen Bedingungen genutzt werden? Wie werden Zugriffe gesteuert? Welche Anforderungen gelten für KI-Systeme? Vorgaben zur Herkunft und Qualität von Daten, zur Nachvollziehbarkeit von Modellen und zur Dokumentation von Risiken sind kein regulatorisches Nice-to-have, sondern Grundpfeiler eines funktionierenden Governance- und Compliance-Modells.

Wirksame Governance muss verständlich, durchsetzbar und organisationsgerecht sein. Sie ist in Rollen, Prozessen und Kontrollen zu verankern und über Mess- und Kontrollmechanismen überprüfbar zu machen. Nur ein risikobasiertes Vorgehen erlaubt es, Governance an strategische Ziele und dynamische Risiken anzupassen und Innovation als integrierten Bestandteil des Steuerungsmodells zu begreifen.

Der provokative Befund lautet daher: Wer digitale Souveränität ohne belastbare, risikobasierte Governance propagiert, betreibt Rhetorik statt verantwortbarer Steuerung. Nicht Technologie allein entscheidet über Souveränität, sondern die Fähigkeit, Risiken transparent zu machen, Regeln konsequent durchzusetzen und deren Einhaltung jederzeit nachzuweisen.

"Digitale Souveränität ist kein Zustand, sondern ein kontinuierlicher Prozess"

Digitale Souveränität entsteht nicht durch Technologie allein, sondern auch durch risikobasierte Governance. Im Interview erklärt Martin Andenmatten, Verwaltungsratspräsident von Glenfis, warum die Debatte oft technologiegetrieben bleibt und wann Governance Innovation eher bremst als ermöglicht.
Interview: Dylan Windhaber

Warum wird digitale Souveränität in der Praxis noch so häufig auf Technologieentscheidungen reduziert? 

Martin Andenmatten: In der Praxis dominieren konkrete Technologieentscheidungen die Diskussion über digitale Souveränität. Cloud-Plattformen, Softwarelösungen oder Open-Source-Alternativen sind für Organisationen greifbar und lassen sich relativ schnell umsetzen. Gleichzeitig haben Hyperscaler wie AWS, Microsoft Azure oder Google Cloud aufgrund ihrer Skalierbarkeit und Innovationsgeschwindigkeit eine dominante Marktstellung erreicht und sind vielerorts zum De-facto-Standard geworden – mit entsprechenden Lock-in-Effekten. Strategische Fragen zu Abhängigkeiten, Risiken oder rechtlichen Rahmenbedingungen geraten dabei häufig in den Hintergrund, zumal digitale Souveränität in vielen Organisationen noch primär als IT-Thema betrachtet wird. Tatsächlich entsteht digitale Souveränität jedoch nicht durch Technologie allein, sondern durch risikobasierte Governance, die Innovation ermöglicht und gleichzeitig die Kontrolle über Daten, Abhängigkeiten und strategische Risiken sicherstellt.

Sie beschreiben in Ihrem Fachbeitrag verteilte Verantwortlichkeiten – aber wer entscheidet im Konfliktfall verbindlich über Risiko und Nutzung von Daten?

Entscheidungen über Daten lassen sich in der Praxis nicht einer einzelnen Funktion zuordnen, weil die Verantwortung bewusst zwischen Fachbereichen, IT, Legal, Compliance und Data-Teams verteilt ist. Entscheidend ist daher ein klares Governance-Modell mit verbindlichen Entscheidungswegen. Grundlage bildet risikobasierte Governance, bei der Risiken systematisch bewertet und Entscheidungen transparent getroffen werden. Operative Fragestellungen werden häufig in interdisziplinären Gremien wie einem Data-Stewardship-Committee behandelt. Bei Konflikten greifen definierte Eskalationsmechanismen bis auf C-Level oder Geschäftsleitung, wo letztlich die Verantwortung für strategische Risiken und die Datennutzung liegt. Strukturell wird dies – wie bereits erwähnt – durch das Drei-Linien-Modell unterstützt.

Wie stellen Unternehmen sicher, dass Governance-Regeln wirklich gelebt werden und nicht nur auf Papier existieren?  

Governance wirkt nur, wenn sie in Prozesse, Kontrollen und Unternehmenskultur integriert ist. Unternehmen erreichen dies durch regelmässige Audits, messbare Kontrollmechanismen und klare Verantwortlichkeiten. Interdisziplinäre Governance-Gremien überwachen die Einhaltung und greifen bei Abweichungen ein. Zunehmend unterstützen automatisierte Kontrollen – etwa bei Zugriffsrechten oder Datenflüssen – die kontinuierliche Überprüfung der Compliance. Ebenso wichtig sind Schulungen und Sensibilisierung auf allen Ebenen. Entscheidend bleibt die Nachweisbarkeit: Dokumentierte Entscheidungen, Audit-Trails und Incident-Reports zeigen, dass Governance tatsächlich gelebt wird.

Sie sagen, Governance sei Voraussetzung für Innovation. ­Woran erkennen Unternehmen, dass Governance beginnt, ­Innovation eher zu bremsen als zu ermöglichen? 

Ein Warnsignal ist, wenn Governance bürokratisch und starr wird, statt risikobasierte Governance zu ermöglichen. Typisch sind mehrstufige Genehmigungsprozesse, die Prototyping und schnelle Iterationen verzögern. Problematisch ist auch ein «One size fits all»-Ansatz ohne Risikodifferenzierung, der selbst risikoarme Experimente blockiert. Weitere Hinweise sind unklare Verantwortlichkeiten, eine Kultur mit starkem Sanktionsfokus oder KPIs, die nur Regelkonformität messen, nicht aber Innovationsgeschwindigkeit. Wirksame Governance definiert dagegen klare Leitlinien und ermöglicht Innovation innerhalb eines kontrollierten Rahmens.

Ist echte digitale Souveränität unter globalen Cloud-Abhängigkeiten Ihrer Meinung nach überhaupt erreichbar – oder bleibt sie ein Ideal? 

Absolute digitale Souveränität ist in einer global vernetzten IT-Landschaft kaum realistisch, da Cloud-Infrastrukturen, Software und Hardware immer Teil internationaler Lieferketten sind. In der Praxis geht es daher weniger um vollständige Unabhängigkeit als vielmehr um Steuerbarkeit. Durch risikobasierte Governance können Unternehmen Abhängigkeiten transparent machen und gezielt steuern – etwa durch Multi-Cloud-Strategien oder hybride Architekturen. Entscheidend ist auch Rechtssicherheit im digitalen Rechtsraum, damit Datenschutz-, Compliance- und Souveränitätsansprüche durchgesetzt werden können. Digitale Souveränität ist daher weniger ein Zustand völliger Autarkie als ein kontinuierlicher Prozess, kritische Daten, Prozesse und Risiken bewusst zu kontrollieren.