Datensouveränität ist Führungsaufgabe – nicht IT-Detail

Datensouveränität Führungsaufgabe – Zitatkarte: Wo Ihre Daten liegen, ist keine IT-Frage, sondern eine Führungsfrage (Teil 2 von 3)

Datensouveränität als Führungsaufgabe – die Cloud-Frage gehört in die Chefetage

«Das soll unsere IT klären.» Diesen Satz höre ich oft – und er führt in die Irre. Datensouveränität ist eine Führungsaufgabe, kein IT-Detail. Wo die Daten eines Unternehmens liegen und welchem Recht der Anbieter untersteht, betrifft das Geschäftsmodell, die Reputation und die Unabhängigkeit auf lange Sicht. Diese Entscheidung gehört dorthin, wo auch über Versicherungen, Verträge und Haftung entschieden wird – in die Geschäftsleitung.

Im ersten Teil dieser Serie ging es um das Signal der öffentlichen Hand: Stadt Zürich, Bund und EU behandeln digitale Souveränität inzwischen als Chefsache (Teil 1: Warum KMU mit sensiblen Daten jetzt handeln sollten). Hier geht es um die unbequeme Konsequenz daraus – für Sie persönlich als Entscheiderin oder Entscheider.

Warum Datensouveränität als Führungsaufgabe zählt – und nicht als IT-Detail

Am deutlichsten wird das beim Thema Haftung. Die Geschäftsleitung verantwortet, wie ein Unternehmen organisiert ist und welche Dienstleister es auswählt. Kommt es zu einer Datenschutzverletzung, lautet der Vorwurf im Ernstfall nicht «das war Pech», sondern «Sie hätten es wissen können». Und das wird zunehmend schwer zu entkräften, wenn Behörden, Aufsichtsstellen und sogar die EU-Kommission seit Jahren offen vor den strukturellen Risiken hyperskalierender US-Clouds warnen.

Hier liegt ein Argument, das oft untergeht. Wer sich nie mit der Frage befasst hat, steht im Schadenfall schlechter da als jemand, der eine dokumentierte Risikoabwägung vorlegen kann. Es geht im Kern um zwei Haltungen, die im Ernstfall sehr unterschiedlich wirken.

Im Schadenfall sagen Sie …Wie es wirkt
«Wir hatten keine Zeit, uns darum zu kümmern.»Offene Flanke – auch gegenüber der Berufshaftpflicht. Versicherer prüfen, ob bekannte Risiken ignoriert wurden.
«Wir haben Alternativen geprüft, zum Beispiel Infomaniak in der Schweiz, und uns bewusst entschieden.»Gelebte Sorgfaltspflicht. Eine nachvollziehbare Entscheidung statt einer Unterlassung.

Berufshaftpflicht von Treuhändern, Anwältinnen und Ärzten ist hier ein konkretes Stichwort: Versicherer können bei grob fahrlässigen IT-Entscheidungen im Schadenfall kritisch werden. «Ignorieren bekannter Risiken» ist genau die Formulierung, die man vermeiden will.

Der Fall der EU-Kommission: ein Lehrstück

Wie unbequem die Lage ist, zeigt ein Beispiel auf höchster Ebene. Der Europäische Datenschutzbeauftragte (EDPS) hat die Nutzung von Microsoft 365 durch die EU-Kommission über Jahre geprüft – und das Verfahren erst nach umfangreichen vertraglichen Anpassungen eingestellt.

ZeitpunktWas geschah
ab 2021Der EDPS leitet eine Untersuchung zur Microsoft-365-Nutzung der EU-Kommission ein.
2024Klare Verstösse festgestellt – unter anderem zu Zweckbindung, Datentransfers in Drittländer und Offenlegungspflichten.
2025Verfahren eingestellt – erst nach erheblichen vertraglichen Nachbesserungen.

Die Lektion daraus ist unbequem: Das Standard-Setup von Microsoft 365 war für eine Institution mit sensiblen Daten nicht sauber genug. Es brauchte erheblichen Zusatzaufwand, um es rechtskonform zu machen. Und damit die entscheidende Frage für jedes KMU: Wenn schon die EU-Kommission mit all ihren Juristen so weit gehen musste – wie realistisch ist es, dass ein kleineres Unternehmen im Standard-Tenant ohne jede zusätzliche Schutzmassnahme sauber unterwegs ist?

Accountability: Entscheider müssen heute handeln können

Die Regulatorik bewegt sich klar in Richtung Accountability. Entscheider müssen belegen können, dass sie aktiv etwas für Datenschutz und Souveränität getan haben. Auf Unwissen verweisen reicht nicht mehr. Wenn Bund, Städte und EU sich eigene Cloud-Sovereignty-Frameworks geben, wird es schwer vermittelbar, warum ein KMU 2026 noch im «Default-US-Tenant» ohne besondere Schutzmassnahmen arbeitet.

Das ist letztlich ein Governance-Signal: Digitalstrategie und Cloud-Wahl gehören in die Geschäftsleitung, nicht allein in die IT. Sie betreffen Geschäftsmodell, Reputation und die langfristige Unabhängigkeit. Der Ton kommt von oben, oder er kommt gar nicht.

Ich will dabei bewusst nicht in den Angstmodus kippen. Microsoft ist kein schlechtes Produkt, und der Punkt ist nicht, dass Microsoft böse wäre. Es geht um etwas anderes: Wer in zehn Jahren seine Daten noch im Griff haben will – unabhängig von Preismodellen, Produktstrategien und möglichen Übernahmen –, trifft diese Entscheidung besser heute und bewusst, statt irgendwann unter Druck.

Wie der pragmatische Weg dorthin aussieht – Schritt für Schritt, ohne Betriebsunterbruch und ohne dass das Team alles neu lernen muss –, folgt im dritten Teil dieser Serie.

Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht und wie eine saubere, dokumentierte Cloud-Entscheidung für Sie aussehen könnte – ich biete ein kostenloses Erstgespräch von 20 Minuten an.

Thomas Marx – office2swisscloud.ch
Zertifizierter Infomaniak-Partner | Rapperswil-Jona

Häufige Fragen: Datensouveränität als Führungsaufgabe

Warum ist die Cloud-Entscheidung Chefsache und nicht Sache der IT?

Weil sie eine Haftungsfrage ist. Die Geschäftsleitung verantwortet die Auswahl der Dienstleister. Kommt es zu einer Datenschutzverletzung, lautet der Vorwurf im Ernstfall «Sie hätten es wissen können». Wer eine dokumentierte Risikoabwägung vorlegen kann, steht deutlich besser da – auch gegenüber der eigenen Berufshaftpflicht. Datensouveränität ist damit eine Führungsaufgabe, kein technisches Detail.

Was hat der EDPS-Fall gegen die EU-Kommission mit meinem KMU zu tun?

Er zeigt, dass das Standard-Setup von Microsoft 365 selbst für eine Institution mit grossen juristischen Ressourcen nicht ohne Weiteres sauber war. Erst nach umfangreichen vertraglichen Anpassungen wurde das Verfahren eingestellt. Wenn die EU-Kommission so weit gehen musste, ist die Annahme heikel, ein KMU sei im unveränderten Standard-Tenant automatisch auf der sicheren Seite.

Was bedeutet eine dokumentierte Risikoabwägung konkret?

Es bedeutet, schriftlich festzuhalten, wo Ihre Daten liegen, welche besonders schützenswert sind, welche Risiken bestehen und welche Alternativen Sie geprüft haben – zum Beispiel einen Schweizer Anbieter wie Infomaniak. Diese Dokumentation belegt im Ernstfall, dass Sie Ihrer Sorgfaltspflicht nachgekommen sind, statt das Thema ignoriert zu haben.

Was heisst Accountability im Datenschutz?

Accountability bedeutet, dass Entscheider aktiv belegen können müssen, dass sie Massnahmen für Datenschutz und Souveränität ergriffen haben. Es genügt nicht mehr, im Schadenfall auf Unwissen zu verweisen. Genau deshalb gehört die Cloud-Wahl auf die Ebene der Geschäftsleitung – als nachvollziehbarer, dokumentierter Entscheid.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen