Digitale Souveränität KMU Schweiz ist eine Pflicht!
Im Mai 2026 hat die Stadt Zürich eine Studie veröffentlicht, über die ausserhalb der Verwaltung kaum jemand gesprochen hat. Sie wollte wissen, ob sich ihre Abhängigkeit von Microsoft 365 reduzieren lässt – mit einer souveränen Zweitlösung neben dem Platzhirsch. Das Resultat fiel nüchtern aus: Für einen vollständigen Ausstieg reicht es heute noch nicht. Aber die eigentliche Botschaft steckt nicht im Resultat. Sie steckt darin, dass eine Grossstadt diese Frage überhaupt so ernst nimmt.
Und Zürich steht damit nicht allein. Der Bund hat digitale Souveränität in seiner Strategie verankert. Die EU-Kommission hat ein eigenes Rahmenwerk geschrieben, um zu messen, wie souverän ein Cloud-Anbieter wirklich ist. Der Europäische Datenschutzbeauftragte hat die Nutzung von Microsoft 365 durch die EU-Kommission über Jahre untersucht. Drei Ebenen, ein Muster: Wer die Daten kontrolliert, ist keine Frage fürs IT-Pflichtenheft mehr. Es ist eine strategische Frage geworden.
Für ein Schweizer KMU mit sensiblen Daten ist das ein Signal, das man nicht überhören sollte. Was bei Bund, Städten und EU angekommen ist, gilt für eine Kanzlei, eine Arztpraxis oder ein Treuhandbüro genauso. Nur ohne die politische Trägheit, die in der Verwaltung aus jedem Schritt ein Jahresprojekt macht.
Wenn Städte und Bund ihre Cloud-Strategie neu schreiben – was das für Ihr KMU bedeutet
Bleiben wir kurz bei Zürich, weil der Fall so aufschlussreich ist.
Die Stadt hat untersucht, ob eine souveräne Lösung Microsoft 365 als zweite Bezugsquelle ergänzen oder ablösen könnte. Für einfache Büroarbeit – E-Mail, Chat, interne Videokonferenzen, Dateiablage – funktioniert das bereits. Für den vollständigen Betrieb einer Grossverwaltung mit Geräteverwaltung, Telefonie und allen Sicherheitsdiensten reicht es heute noch nicht. Die Stadt hat den Ausstieg deshalb verschoben, hält aber am Ziel fest.
Entscheidend ist der Begriff, der dabei immer wieder fällt: Second Source. Es geht nicht darum, Microsoft über Nacht aus dem Haus zu tragen. Es geht darum, nicht länger von einem einzigen ausländischen Anbieter und seinem geschlossenen Ökosystem abhängig zu sein. Die Stadt benennt das offen als Problem – Vendor-Lock-in. Und sie unterstützt den Aufbau eines Zentrums für eine souveräne digitale Schweiz, das diese Unabhängigkeit über Bund, Kantone und Gemeinden hinweg vorbereiten soll.
Ehrlich bleiben gehört dazu: Günstiger war die geprüfte Alternative in der getesteten Form nicht. Die Stadt geht den Weg trotzdem. Weil es ihr nicht zuerst um den Preis geht, sondern um Kontrolle. Genau das ist die Verschiebung, die man verstehen muss. Souveränität wird nicht gewählt, weil sie billiger ist. Sie wird gewählt, weil die Abhängigkeit teuer wird, sobald man sie zu Ende denkt.
Auf Bundesebene zeigt sich dasselbe Muster, nur abstrakter. Die Strategie «Digitale Schweiz 2026» nennt digitale Souveränität ausdrücklich als Fokusthema. Die Verwaltung soll auch in einer Krise handlungsfähig bleiben und Abhängigkeiten abbauen. Parallel dazu warnen Datenschutzbehörden wie privatim, der Verein der schweizerischen Datenschutzbeauftragten, seit Längerem vor hyperskalierenden US-SaaS-Modellen. Die Gründe: keine durchgängige Kontrolle, der US CLOUD Act, Nutzungsbedingungen, die der Anbieter einseitig ändern kann. Die Empfehlung ist deutlich – besonders schützenswerte Daten aus Gesundheit, Justiz, Schule oder Verwaltung gehören gar nicht erst in solche Modelle.
Auf europäischer Ebene wird es noch konkreter. Die EU-Kommission hat Ende 2025 ein Cloud-Sovereignty-Framework veröffentlicht. Es misst mit sogenannten SEAL-Levels, wie souverän ein Anbieter rechtlich, technisch und operativ ist. Als die EU im Frühjahr 2026 souveräne Cloud-Dienste für ihre eigenen Institutionen ausschrieb, mussten Anbieter mindestens SEAL-2 erreichen, um überhaupt in Frage zu kommen. Souveränität ist damit kein frommer Wunsch mehr. Sie ist ein messbares Vergabekriterium.
Was hat das mit einem KMU zu tun, das zwölf Leute beschäftigt?
Mehr, als es auf den ersten Blick scheint. Die öffentliche Hand prüft, misst und entscheidet hier nicht aus Ideologie. Sie tut es, weil sie für Daten verantwortlich ist, deren Abfluss Schaden anrichten würde. Genau diese Verantwortung trägt aber auch ein Treuhänder für seine Mandantendaten, ein Arzt für seine Patientenakten, eine Anwältin für ihre Fälle. Die Risikokategorien sind identisch: Vertraulichkeit, Integrität, Verfügbarkeit, Nachvollziehbarkeit von Zugriffen. Die Rechtsnormen ebenso: Datenschutzgesetz, Berufsgeheimnis, die Regeln zur Auftragsbearbeitung. «Wir sind ja nur klein» kennt das Gesetz nicht als Kategorie.
Der Unterschied liegt nicht im Risiko. Er liegt im Tempo. Eine Stadt braucht für so eine Entscheidung Studien, Vernehmlassungen, Jahre. Ein KMU kann in Wochen handeln.
Übrigens ein Punkt, der in der Souveränitäts-Debatte oft falsch verstanden wird: Souverän zu werden heisst nicht, auf vertraute Programme zu verzichten. Auf den Schweizer Servern von Infomaniak lässt sich hybrid arbeiten. Dokumente liegen in kDrive und öffnen sich wahlweise direkt im Browser mit OnlyOffice – oder weiterhin in Word, Excel und PowerPoint, wenn jemand das lieber mag. Die Wahl bleibt beim Anwender. Was sich ändert, ist nicht das Werkzeug auf dem Bildschirm. Es ist die Infrastruktur dahinter.
Digitale Souveränität ist Führungsaufgabe – nicht IT-Detail
Es gibt einen Satz, den ich in Gesprächen immer wieder höre: «Das soll unsere IT klären.» Ich verstehe ihn. Trotzdem führt er in die Irre.
Wo die Daten eines Unternehmens liegen und welchem Recht der Anbieter untersteht, ist keine technische Frage. Sie betrifft das Geschäftsmodell, die Reputation, die Unabhängigkeit auf lange Sicht. Sie gehört dorthin, wo auch über Versicherungen, Verträge und Haftung entschieden wird – in die Geschäftsleitung.
Am deutlichsten wird das beim Thema Haftung. Die Geschäftsleitung verantwortet, wie ein Unternehmen organisiert ist und welche Dienstleister es auswählt. Kommt es zu einer Datenschutzverletzung, lautet der Vorwurf im Ernstfall nicht «das war Pech», sondern «Sie hätten es wissen können». Und das wird zunehmend schwer zu entkräften, wenn Behörden, Aufsichtsstellen und sogar die EU-Kommission seit Jahren offen vor den strukturellen Risiken hyperskalierender US-Clouds warnen.
Hier liegt ein Argument, das oft untergeht. Wer sich nie mit der Frage befasst hat, steht im Schadenfall schlechter da als jemand, der eine dokumentierte Risikoabwägung vorlegen kann. «Wir haben Alternativen geprüft, zum Beispiel Infomaniak in der Schweiz, und uns bewusst entschieden» klingt anders als «wir hatten keine Zeit, uns darum zu kümmern». Das Erste ist gelebte Sorgfaltspflicht. Das Zweite ist eine offene Flanke – auch gegenüber der eigenen Berufshaftpflicht, denn Versicherer schauen im Schadenfall genau hin, ob bekannte Risiken ignoriert wurden.
Der Fall der EU-Kommission ist dafür ein Lehrstück. Der Europäische Datenschutzbeauftragte hat ihre Nutzung von Microsoft 365 über Jahre geprüft und 2024 klare Verstösse festgestellt. Erst nach umfangreichen vertraglichen Anpassungen – zur Zweckbindung, zu Datentransfers in Drittländer, zu Offenlegungspflichten – wurde das Verfahren 2025 eingestellt. Die Lektion daraus ist unbequem: Das Standard-Setup von Microsoft 365 war für eine Institution mit sensiblen Daten nicht sauber genug. Es brauchte erheblichen Zusatzaufwand, um es überhaupt rechtskonform zu machen.
Wenn aber selbst die EU-Kommission mit all ihren Juristen so weit gehen musste – wie realistisch ist es dann, dass ein KMU im Standard-Tenant ohne jede zusätzliche Schutzmassnahme sauber unterwegs ist?
Das überlässt man besser nicht der IT. Es ist eine Führungsfrage. Die Regulatorik bewegt sich klar in Richtung Accountability: Entscheider müssen belegen können, dass sie aktiv etwas für Datenschutz und Souveränität getan haben. Auf Unwissen verweisen reicht nicht mehr. Der Ton kommt von oben, oder er kommt gar nicht.
Ich will an dieser Stelle bewusst nicht in den Angstmodus kippen. Microsoft ist kein schlechtes Produkt, und der Punkt ist nicht, dass Microsoft böse wäre. Es geht um etwas anderes. Wer in zehn Jahren seine Daten noch im Griff haben will – unabhängig von Preismodellen, Produktstrategien und möglichen Übernahmen –, trifft diese Entscheidung besser heute und bewusst, statt irgendwann unter Druck.
Wie KMU sensibler Branchen Schritt für Schritt souveräner werden
Die gute Nachricht für KMU ist die vom Anfang: Sie müssen nicht jahrelang studieren. Sie können pragmatisch und in Etappen vorgehen. So sieht der Weg aus, den ich mit meinen Kunden gehe.
Schritt 1: Ehrliche Standortbestimmung
Bevor irgendetwas bewegt wird, schaue ich, wo die Daten heute wirklich liegen. Welche Dienste sind im Einsatz? Welche Daten sind besonders schützenswert – Mandantenakten, Patientendaten, Lohndaten? Wo bestehen Abhängigkeiten, die im Ernstfall zum Problem würden? Diese Klärung kostet wenig Zeit und ist zugleich der erste Baustein der dokumentierten Risikoabwägung, die Sie als Geschäftsleitung ohnehin brauchen.
Schritt 2: Die richtige Infrastruktur wählen
Hier kommt ein Detail ins Spiel, das in vielen Diskussionen verloren geht. Es reicht nicht, dass Daten «in der Schweiz» gespeichert werden. Entscheidend ist, wer die Infrastruktur betreibt und welchem Recht dieser Anbieter untersteht. Ich arbeite mit Infomaniak – einem Schweizer Cloud-Anbieter mit eigenen Rechenzentren in Genf und Winterthur, ohne AWS, Azure oder Google Cloud im Hintergrund. Im Mai 2026 hat der Gründer die Mehrheit der Stimmrechte an eine gemeinnützige Stiftung übertragen. Das ist mehr als ein hübsches Detail: Das Unternehmen kann nicht einfach von einem US-Konzern aufgekauft werden, seine ethische Ausrichtung ist strukturell verankert. Genau die Souveränität, die Bund und EU für sich anstreben – nur dass ein KMU sie sofort haben kann.
Schritt 3: Hybrid arbeiten, nicht alles umlernen
Ein verbreiteter Irrtum ist, dass ein Wechsel das ganze Team zum Umlernen zwingt. Das stimmt so nicht. Auf den Infomaniak-Servern arbeitet man hybrid: Dokumente in kDrive öffnen sich entweder direkt im Browser mit OnlyOffice – vollständig kompatibel mit den Microsoft-Formaten – oder weiterhin in Word, Excel und PowerPoint, ganz wie gewohnt. Wer mag, bleibt also bei den vertrauten Programmen. Wer den Browser bevorzugt, spart sich die Installation. Externe Partner, die noch Word nutzen, bekommen ihre .docx-Datei wie immer. Der Alltag verändert sich kaum – die Infrastruktur dahinter komplett.
Schritt 4: In Etappen migrieren statt mit dem Big Bang
Die Verwaltung muss alles auf einmal können, bevor sie wechselt. Ein KMU nicht. Man beginnt mit dem sensibelsten Bereich – oft die E-Mail-Kommunikation mit Mandanten – und erweitert Schritt für Schritt: Dateiablage, gemeinsame Dokumente, Kalender, Videokonferenzen. Beide Systeme laufen parallel, bis alles getestet ist. Es gibt keinen Stichtag, an dem das Geschäft stillsteht.
Schritt 5: Dokumentieren und ruhig schlafen
Am Ende steht nicht nur eine sauberere Datenhaltung, sondern ein nachvollziehbar dokumentierter Entscheid. Falls je jemand fragt – ein Mandant, ein Versicherer, eine Aufsichtsstelle –, gibt es eine klare Antwort: Wir haben uns mit der Frage befasst, Alternativen geprüft und uns für eine Lösung entschieden, die ausschliesslich Schweizer Recht untersteht.
Das ist der eigentliche Gewinn. Nicht der Wechsel an sich, sondern die Gewissheit dahinter. Ein Treuhänder, der weiss, dass keine US-Behörde unter dem CLOUD Act an seine Mandantendaten kommt. Eine Ärztin, die ihren Patienten guten Gewissens sagen kann, wo deren Daten liegen. Ein Unternehmer, der einem Kunden gegenüber feststellt: «Unsere Infrastruktur liegt in der Schweiz, und sie kann nicht weggekauft werden.» Das ist kein technisches Feature. Das ist ein Vertrauensvorsprung.
Fazit: Was für den Staat gilt, gilt für Sie erst recht
Wenn ein Stadtrat, ein Bundesrat und die EU-Kommission unabhängig voneinander zum Schluss kommen, dass sie sich souverän machen müssen, dann ist das für ein KMU mit Kunden- und Patientendaten keine Kür mehr. Es ist Pflicht. Nur eben eine, die Sie schneller und pragmatischer erfüllen können als jede Verwaltung.
Die öffentliche Hand zeigt gerade, wie ernst die Frage ist. Sie zeigt aber auch, wie zäh der Weg wird, wenn man ihn als Grossorganisation geht. Ein KMU hat hier einen echten Vorteil: kurze Entscheidungswege und die Möglichkeit, in Etappen vorzugehen – ohne dass jemand seine gewohnten Programme aufgeben muss.
Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht und wie ein souveräner Weg für Sie konkret aussehen könnte – ich biete ein kostenloses Erstgespräch von 20 Minuten an.
Thomas Marx – office2swisscloud.ch
Zertifizierter Infomaniak-Partner | Rapperswil-Jona
Häufige Fragen zur digitalen Souveränität für KMU
Was bedeutet digitale Souveränität für ein KMU in der Schweiz?
Digitale Souveränität bedeutet, dass ein KMU die Kontrolle über seine eigenen Daten behält – darüber, wo sie liegen, wer darauf zugreifen kann und welchem Recht der Anbieter untersteht. Konkret heisst das: Daten auf Schweizer Servern eines Anbieters, der ausschliesslich Schweizer Recht untersteht und nicht dem US CLOUD Act. Für Branchen mit Berufsgeheimnis – Kanzleien, Arztpraxen, Treuhandbüros – ist das keine technische Spielerei, sondern Teil der Sorgfaltspflicht.
Muss mein Team nach einem Wechsel zu Infomaniak alles neu lernen?
Nein. Auf den Infomaniak-Servern arbeitet man hybrid. Dokumente in kDrive öffnen sich entweder direkt im Browser mit OnlyOffice – vollständig kompatibel mit den Microsoft-Formaten – oder weiterhin in Word, Excel und PowerPoint. Wer bei den vertrauten Programmen bleiben will, bleibt dabei. Was sich ändert, ist nicht das Werkzeug auf dem Bildschirm, sondern die Infrastruktur dahinter.
Warum ist die Cloud-Frage Chefsache und nicht Sache der IT?
Weil sie eine Haftungsfrage ist. Die Geschäftsleitung verantwortet die Auswahl der Dienstleister. Kommt es zu einer Datenschutzverletzung, lautet der Vorwurf im Ernstfall «Sie hätten es wissen können». Wer eine dokumentierte Risikoabwägung vorlegen kann, steht deutlich besser da – auch gegenüber der eigenen Berufshaftpflicht. Die Regulatorik bewegt sich klar in Richtung Accountability: Entscheider müssen belegen können, dass sie aktiv gehandelt haben.
Reicht es nicht, dass die Daten «in der Schweiz» liegen?
Nein, der Speicherort allein genügt nicht. Entscheidend ist, wer die Infrastruktur betreibt und welchem Recht dieser Anbieter untersteht. Ein US-Konzern, der seine Server in der Schweiz aufstellt, untersteht weiterhin dem US CLOUD Act. Infomaniak betreibt eigene Rechenzentren in Genf und Winterthur, ohne AWS, Azure oder Google Cloud im Hintergrund – und seit Mai 2026 kontrolliert eine gemeinnützige Stiftung die Stimmrechtsmehrheit, sodass das Unternehmen nicht weggekauft werden kann.
Wie läuft eine Migration zur Schweizer Cloud konkret ab?
In Etappen statt mit dem Big Bang. Zuerst eine ehrliche Standortbestimmung, dann die Wahl der richtigen Infrastruktur, anschliessend die schrittweise Migration – beginnend mit dem sensibelsten Bereich, oft der E-Mail-Kommunikation. Beide Systeme laufen parallel, bis alles getestet ist. Es gibt keinen Stichtag, an dem das Geschäft stillsteht. Je nach Datenmenge dauert das Ganze ein bis vier Wochen.



