Beim Datenstandort Schweiz geht es 2026 nicht mehr nur um die Frage, ob jemand mitliest – sondern darum, wer Ihnen von einem Tag auf den anderen den Zugang zu Ihren eigenen Daten entziehen kann. Im Frühjahr 2025 passierte etwas, das diese Frage mit einem Schlag konkret gemacht hat. Der Chefankläger des Internationalen Strafgerichtshofs in Den Haag, Karim Khan, konnte plötzlich nicht mehr auf sein Postfach zugreifen. Kein technischer Ausfall, kein Hackerangriff. Sein US-Anbieter hatte den Zugang gesperrt, nachdem die amerikanische Regierung Sanktionen gegen ihn verhängt hatte.
Ein Gericht, das über Kriegsverbrechen urteilt, stand ohne E-Mail da. Nicht weil jemand die Daten gestohlen hatte, sondern weil ein Anbieter aus einem anderen Rechtsraum den Schalter umlegen konnte. Der Gerichtshof zog die Konsequenz und stieg Ende Oktober 2025 auf eine quelloffene Lösung um. Das niederländische Parlament debattierte das Thema danach mit ungewohnter Schärfe.
Für Schweizer Unternehmerinnen und Unternehmer steckt in diesem Fall eine unbequeme Frage. Nicht: Liest da jemand mit? Sondern: Wer kann mir eigentlich von einem Tag auf den anderen den Zugang entziehen – und unter welches Recht fällt diese Entscheidung?
Vom Rechenzentrum in die Chefetage
Lange galt der Datenstandort als Frage für die IT. Man kreuzte im Vertrag «Rechenzentrum in Europa» an und hakte das Thema ab. Das reicht nicht mehr.
Denn der physische Standort der Server sagt wenig darüber aus, wer am Ende die Kontrolle hat. Ein Rechenzentrum kann in Frankfurt oder Zürich stehen und trotzdem einem Konzern gehören, der amerikanischem Recht untersteht. Die entscheidende Grösse ist nicht der Ort der Festplatte. Es ist die Jurisdiktion, der der Betreiber unterliegt. Genau daran hängt, ob im Ernstfall ein Schweizer Gericht zuständig ist oder eine Behörde im Ausland.
Deshalb ist die Frage nach dem Datenstandort in die Geschäftsleitung gewandert. Sie berührt Haftung, Reputation und die schlichte Frage, ob ein Unternehmen auch morgen noch arbeitsfähig ist. Das ist keine Konfiguration, die man an den IT-Dienstleister delegiert. Es ist eine Führungsentscheidung.
Serverstandort oder Datenresidenz? Der feine, entscheidende Unterschied
Der häufigste Irrtum liegt in der Gleichsetzung von Standort und Kontrolle. Ein Blick auf die beiden Ebenen macht klar, warum ein Server in der Schweiz allein noch keine Souveränität bedeutet.
| Serverstandort «Schweiz» | Echte Datenresidenz |
|---|---|
| Festplatte steht physisch in der Schweiz | Betreiber untersteht Schweizer Recht |
| Kann trotzdem einem US-Konzern gehören | Kein US-Hyperscaler im Hintergrund |
| Zugriff nach ausländischem Recht möglich | Zugriff nur nach Schweizer Rechtsordnung |
| Beruhigt das Bauchgefühl | Hält im Ernstfall vor Gericht |
Der Markt hat die Richtung längst gewechselt
Das ist keine Einzelmeinung aus der Schweizer Cloud-Nische. Gartner rechnet damit, dass sich die Investitionen in souveräne Cloud-Dienste zwischen 2025 und 2027 mehr als verdreifachen. Der Auslöser sind genau solche Fälle wie der aus Den Haag.
Auch bei uns bewegt sich einiges. Der Bund hat bestätigt, dass er seine Abhängigkeit von Microsoft schrittweise reduzieren will. Schweizer Behörden haben in zehn Jahren über 1,1 Milliarden Franken für Microsoft-Lizenzen ausgegeben – eine Zahl, die zeigt, wie tief die Bindung reicht. Die Konferenz der Datenschutzbeauftragten, privatim, rät öffentlichen Stellen bei besonders schützenswerten Daten von Modellen ab, die auf US-Infrastruktur laufen.
Ich will ehrlich bleiben: Der Trend ist nicht überall gleich. Die Schwyzer Kantonsverwaltung ist 2026 bewusst auf Microsoft 365 gewechselt, weil ihr die vertraute Umgebung und die Integration wichtiger waren. Solche Gegenbeispiele gibt es, und man sollte sie nicht wegreden. Sie ändern aber nichts an der Grundfrage, die jede Organisation für sich beantworten muss: Wie viel Abhängigkeit von einem einzelnen ausländischen Anbieter kann ich verantworten?
Vom Risiko zum Verkaufsargument
Es gibt eine Seite an diesem Thema, die oft untergeht. Der Datenstandort ist nicht nur ein Risiko, das man absichert. Er wird zunehmend zum Vorteil, mit dem man Kunden gewinnt.
2026 fragen Auftraggeber und Partner immer öfter aktiv nach, wo ihre Daten liegen und unter welchem Recht. Wer darauf eine klare Antwort hat, steht besser da. Eine Kanzlei, die ihren Mandanten sagen kann «Ihre Daten liegen ausschliesslich in der Schweiz und unterstehen nur Schweizer Recht», hat ein Argument, das kein Preisnachlass ersetzt. Aus einer Pflicht wird so ein Unterscheidungsmerkmal.
Was der Datenstandort Schweiz für Ihr KMU heisst
Vielleicht denken Sie: Das ist die Welt der Gerichtshöfe und Grosskonzerne, nicht meine. Der Abstand ist kleiner, als er scheint.
Ein Treuhandbüro trägt für Mandantendaten dieselbe Verantwortung wie eine grosse Institution. Eine Arztpraxis haftet für Patientendaten. Eine Kanzlei ist ans Berufsgeheimnis gebunden. Die Risikokategorien sind identisch, die Rechtsnormen ebenso. «Wir sind ja nur klein» ist im Datenschutzgesetz keine Kategorie.
Der Unterschied liegt nicht im Risiko, sondern im Tempo. Eine Verwaltung braucht für so einen Schritt Studien und Jahre. Ein KMU kann in Wochen handeln und Schritt für Schritt souverän werden.
Wichtig ist dabei ein Detail, das gern verloren geht: Es reicht nicht, dass Daten «in der Schweiz» liegen. Entscheidend ist, wer die Infrastruktur betreibt und welchem Recht dieser Betreiber untersteht. Ich arbeite mit Infomaniak, einem Schweizer Anbieter mit eigenen Rechenzentren in Genf und Winterthur, ohne amerikanischen Hyperscaler im Hintergrund. Der Gründer hat die Stimmrechtsmehrheit an eine gemeinnützige Stiftung übertragen. Das Unternehmen kann nicht einfach an einen Konzern verkauft werden – und niemand kann Ihnen von einem anderen Kontinent aus den Zugang sperren.
Der erste Schritt ist kein Systemwechsel
Sie müssen nicht morgen alles umstellen. Der erste Schritt ist eine ehrliche Standortbestimmung: Wo liegen Ihre Daten heute wirklich? Welche davon sind besonders schützenswert? Welchem Recht unterstehen die Anbieter, mit denen Sie arbeiten?
Diese Klärung kostet wenig Zeit. Sie ist zugleich der erste Baustein einer dokumentierten Risikoabwägung, die Sie als Geschäftsleitung ohnehin brauchen. Und sie beantwortet die Frage, die der Fall aus Den Haag so unangenehm gemacht hat: Wer könnte mich abschalten – und will ich mich darauf verlassen, dass er es nie tut?
Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, biete ich ein kostenloses Erstgespräch von 20 Minuten an.
Dieser Beitrag ist Teil 1 einer dreiteiligen Serie zur digitalen Souveränität in der Arbeitswelt 2026. Teil 2 zeigt, wie souveräne Zusammenarbeit im Alltag funktioniert, ohne dass Ihr Team alles neu lernen muss.
Häufige Fragen zum Datenstandort Schweiz
Was bedeutet Data Residency?
Data Residency, auf Deutsch Datenresidenz, beschreibt, in welchem Land und unter welcher Rechtsordnung die Daten eines Unternehmens gespeichert und verarbeitet werden. Entscheidend ist dabei nicht nur der physische Serverstandort, sondern die Jurisdiktion, der der Anbieter untersteht.
Reicht es, wenn meine Daten in der Schweiz gespeichert sind?
Nein. Ein Server in der Schweiz kann trotzdem von einem Unternehmen betrieben werden, das ausländischem Recht untersteht. Massgeblich ist, wer den Betrieb kontrolliert und auf welche Rechtsordnung dieser Betreiber verpflichtet ist. Erst ein Schweizer Betreiber unter Schweizer Recht schafft echte Datenresidenz.
Warum ist der Datenstandort eine Führungsfrage und kein IT-Thema?
Weil er Haftung, Reputation und die Handlungsfähigkeit des Unternehmens betrifft. Bei einer Datenschutzverletzung oder einem Zugriffsproblem verantwortet die Geschäftsleitung die Wahl des Anbieters – nicht die IT-Abteilung.
Was ist der schnellste erste Schritt zu mehr Datensouveränität?
Eine ehrliche Standortbestimmung: klären, wo die Daten heute liegen, welche besonders schützenswert sind und welchem Recht die genutzten Anbieter unterstehen. Das ist die Grundlage jeder weiteren Entscheidung und zugleich Teil der Sorgfaltspflicht.


