Sicherheitsrisiken Microsoft 365 Schweiz sind längst kein theoretisches Thema mehr. Wer als Schweizer KMU Word, Excel, Outlook und Teams aus der Microsoft-Cloud bezieht, verlagert seine Geschäfts- und Kundendaten in die Hoheit eines US-Konzerns – mit Folgen für Datenschutz, revDSG-Haftung und die eigene Unabhängigkeit. Dieser Beitrag ordnet die sechs wichtigsten Risiken sachlich ein und zeigt, worauf es bei einer Schweizer Alternative ankommt.
Warum Microsoft 365 in der Schweiz überhaupt ein Risiko ist
Der Kern des Problems ist rechtlicher, nicht technischer Natur. Microsoft ist ein US-Unternehmen und untersteht dem US CLOUD Act. Dieses Gesetz verpflichtet amerikanische Anbieter, gespeicherte Daten auf Anordnung US-amerikanischer Behörden herauszugeben – unabhängig davon, wo die Server physisch stehen. Ein Rechenzentrum in Zürich oder in der EU schützt davor nicht. Vor dem französischen Senat bestätigte der Chefjurist von Microsoft France am 10. Juni 2025 unter Eid, er könne nicht garantieren, dass Daten europäischer Kundinnen und Kunden niemals ohne deren Zustimmung an US-Behörden gelangen: «Non, je ne peux pas le garantir.» Damit ist klar: Die Datensouveränität liegt nicht bei Ihnen, sondern beim Anbieter.
Sicherheitsrisiken Microsoft 365 Schweiz: die sechs grössten im Überblick
| Risiko | Was es für Ihr KMU bedeutet |
|---|---|
| 1. Behördenzugriff via CLOUD Act | US-Behörden können Herausgabe erzwingen – auch bei Speicherung in der Schweiz oder EU. |
| 2. Persönliche revDSG-Haftung | Bei unbefugter Datenweitergabe haftet die verantwortliche Person (GL, VR) persönlich mit bis zu 250’000 Franken. |
| 3. Telemetrie & Diagnosedaten | Microsoft erhebt laufend Nutzungsdaten; Umfang und Verarbeitung sind für Kunden nur begrenzt kontrollierbar. |
| 4. Fehlende Transparenz | Deutsche Datenschutzbehörden stuften Microsoft 365 als nicht datenschutzkonform ein – wegen unklarer Datenflüsse in Drittländer. |
| 5. Strategische Abhängigkeit | Ein einziger Anbieter kontrolliert Preise, Funktionen und Zugang – Preiserhöhungen ab Juli 2026 inklusive. |
| 6. Regulatorisches Risiko | Schweizer Datenschützer beschränken den Einsatz von US-Clouds für sensible Daten – ein Signal auch für Private. |
Risiko 1: Der Zugriff bleibt, egal wo die Daten liegen
Viele KMU beruhigen sich mit dem Argument, ihre Daten lägen in einem europäischen Rechenzentrum. Das greift zu kurz. Der CLOUD Act knüpft nicht an den Serverstandort an, sondern an die Nationalität des Anbieters. Solange ein US-Konzern die Schlüssel hält, kann er zur Herausgabe verpflichtet werden. In den Niederlanden gab Microsoft bereits Daten von zwei Regierungsmitarbeitenden an die US-Administration heraus – ein belegter Fall, kein Gedankenspiel.
Risiko 2: Warum die revDSG-Haftung Chefsache ist
Das revidierte Schweizer Datenschutzgesetz (revDSG) verlangt, dass Personendaten nicht unbefugt bekanntgegeben werden. Das Heikle: Bussen treffen bei vorsätzlichen Verstössen die verantwortliche natürliche Person – Geschäftsführerin, Verwaltungsrat – mit bis zu 250’000 Franken, und sie lassen sich nicht einfach auf die Firma abwälzen. Wer sensible Kunden- oder Personaldaten in eine Cloud legt, deren Anbieter den Zugriff selbst nicht ausschliessen kann, geht damit ein persönliches Risiko ein.
Risiko 3: Telemetrie – Daten fliessen im Hintergrund
Microsoft 365 sendet laufend Diagnose- und Nutzungsdaten an den Konzern. Ein Teil davon lässt sich über Richtlinien zwar reduzieren, aber nicht vollständig abstellen. Für ein KMU heisst das: Metadaten über Dokumente, Kommunikationsmuster und Arbeitsverhalten verlassen das Haus, ohne dass Sie im Detail wissen, was wohin fliesst. Deutsche Datenschutzbehörden bemängelten genau diese fehlende Transparenz und stuften Microsoft 365 als nicht datenschutzkonform ein.
Risiko 5: Die stille Abhängigkeit vom Anbieter
Wer sein ganzes Büro auf einen einzigen US-Anbieter stützt, gibt Kontrolle über Preise, Funktionsumfang und Zugang ab. Lizenzmodelle ändern sich, Funktionen werden umgebaut, und die Kosten steigen – die für Juli 2026 angekündigten Preiserhöhungen bei den Microsoft-365-Paketen sind dafür nur das jüngste Beispiel. Diese strategische Abhängigkeit ist kein akutes Sicherheitsleck, aber ein schleichender Verlust an Handlungsspielraum, der sich mit jedem Jahr vertieft.
Risiko 6: Wenn die Aufsicht nachzieht
Ende 2025 haben Schweizer Datenschützer den Einsatz von US-Clouds für besonders sensible Daten der Verwaltung deutlich eingeschränkt. Solche Entscheide bleiben selten auf den öffentlichen Sektor begrenzt: Sie setzen den Massstab, an dem später auch die Sorgfalt privater Betriebe gemessen wird. Wer heute auf eine Schweizer Lösung setzt, ist gegen künftige Verschärfungen bereits abgesichert – und muss nicht unter Druck migrieren, wenn die Regeln enger werden.
Wie gross ist das Risiko wirklich?
Für viele KMU ist die Wahrscheinlichkeit eines konkreten Behördenzugriffs gering – das stimmt. Doch beim Datenschutz zählt nicht nur der Eintrittsfall, sondern die Nachweisbarkeit angemessener Sorgfalt. Genau hier wird es unangenehm: Wenn selbst Microsoft unter Eid keine Garantie geben kann und Schweizer Datenschützer den Einsatz für sensible Daten einschränken, lässt sich die Wahl einer US-Cloud im Ernstfall schwer als «sorgfältig» begründen. Für Kanzleien, Arztpraxen, Treuhänder und andere Betriebe mit Berufsgeheimnis ist die Schwelle nochmals tiefer.
Was Schweizer KMU jetzt tun können
Die gute Nachricht: Microsoft ist nicht alternativlos. Mit der Schweizer sicheren Microsoft Alternative von Infomaniak (kSuite mit kMail, kDrive, kMeet) bleiben Ihre Daten physisch und rechtlich in der Schweiz – ausserhalb der Reichweite des CLOUD Act. Die Umstellung ist weniger aufwändig, als viele befürchten; einen Überblick zu Kosten und ROI einer Migration finden Sie separat. Wer den Schritt konkret planen will, findet die einzelnen Etappen unter Office 365 zu Infomaniak wechseln.
Es geht nicht darum, Microsoft schlechtzureden – die Produkte sind technisch stark. Es geht um eine nüchterne Abwägung: Wer als Schweizer KMU vertrauliche Daten verarbeitet, sollte wissen, in wessen Rechtsraum diese Daten liegen und wer im Ernstfall darauf zugreifen darf. Die Sicherheitsrisiken von Microsoft 365 in der Schweiz lassen sich nicht wegkonfigurieren, weil ihre Ursache im US-Recht liegt. Eine Schweizer Lösung schneidet diese Wurzel ab – und gibt Ihnen die Kontrolle über Ihre Daten zurück.
Häufige Fragen zu den Sicherheitsrisiken von Microsoft 365 in der Schweiz
Sind meine Daten sicher, wenn Microsoft sie in einem Schweizer Rechenzentrum speichert?
Nicht vollständig. Der US CLOUD Act verpflichtet Microsoft als US-Unternehmen zur Herausgabe von Daten an US-Behörden, unabhängig vom Serverstandort. Der Standort Schweiz reduziert die Latenz, hebt die rechtliche Zugriffsmöglichkeit aber nicht auf.
Verstösst der Einsatz von Microsoft 365 automatisch gegen das revDSG?
Nicht automatisch, aber er erhöht das Risiko. Werden besonders schützenswerte Personendaten ohne ausreichende Sicherstellung der Vertraulichkeit bearbeitet, kann das revDSG verletzt sein – mit persönlicher Haftung der verantwortlichen Person von bis zu 250’000 Franken.
Welche sichere Alternative gibt es für Schweizer KMU?
Die Infomaniak kSuite ist eine in der Schweiz gehostete Alternative, die dem revDSG untersteht und nicht dem CLOUD Act. Sie deckt E-Mail (kMail), Dateiablage (kDrive) und Videokonferenzen (kMeet) ab und ersetzt die zentralen Funktionen von Microsoft 365.
Lohnt sich der Wechsel für kleine Betriebe überhaupt?
Gerade für kleine Betriebe mit Berufsgeheimnis oder sensiblen Kundendaten ist die rechtliche Sicherheit oft wertvoller als der Preis. Mit den angekündigten Microsoft-Preiserhöhungen ab Juli 2026 wird die Schweizer Alternative zusätzlich auch wirtschaftlich attraktiver.



