Konkrete Schritte zur rechtssicheren Umsetzung von Cloud-Projekten in der Schweiz
Dr. Martin Eckert
Legal Partner
Hybride Cloud-Architekturen erschweren die Zuordnung von Datenstandorten, Zugriffen, Verantwortlichkeiten und anwendbarem Recht. Daten-Souveränität ist deshalb primär eine Governance- und Risikofrage. Sie setzt sorgfältige Vertragswerke, dokumentierte Datenflüsse, klare Rollen, wirksame technische und organisatorische Massnahmen (TOM) sowie eine laufende Überprüfung voraus. Der nachstehende Beitrag ordnet zentrale Architekturmodelle ein und benennt sechs Schritte für eine rechtssichere und cyberresiliente Umsetzung von Cloud-Projekten in der Schweiz.
Unternehmen müssen Datenverarbeitung so ausgestalten, dass Datenschutz, Informationssicherheit und Aufsichtsrecht nachweisbar eingehalten werden. Daten-Souveränität ist damit eine rechtliche Compliance und Security-Anforderung: Sie reduziert Haftungs- und Sanktionsrisiken, stützt Incident Response und ermöglicht belastbare Entscheidungen zu Outsourcing, Subdienstleistern und internationalen Datentransfers.
Daten-Souveränität bedeutet, Speicherort, Zugriff und Verarbeitung von Daten rechtlich (sprich vertraglich und regulatorisch) und technisch zu beherrschen. Dazu gehören insbesondere Datenklassifizierung, Berechtigungskonzepte, Protokollierung, Verschlüsselung, vertragliche Steuerung von Auftragsbearbeitern und Subdienstleistern sowie die Kontrolle von Drittlandtransfers und ausländischen Zugriffsmöglichkeiten.
I. Executive Summary
Folgende Punkte stehen für die Daten-Souveränität im Vordergrund:
Rechtliche Sicherheit: EU DSGVO und EBA-Vorgaben sowie CH DSG, ISG, und FINMA-Vorgaben verlangen vertraglich geregelte, dokumentierte Datenflüsse, klare Verantwortlichkeiten, angemessene TOM und auditierbare Nachweise. Kritisch sind Auftragsbearbeitung, Subdienstleister-Ketten, Datenlokalisierung und internationale Datentransfers.
Architekturentscheidung: On-Premises, Hybrid-Cloud, Sovereign-Cloud und Open Source unterscheiden sich in Kontrollgrad, Auditierbarkeit, Exit-Fähigkeit und Kosten. Die Wahl muss aus einer Risikoanalyse abgeleitet und durch ein Sicherheits- und Compliance-Konzept (inklusive Verantwortlichkeiten) abgesichert werden.
Governance und Rollen: Souveränität entsteht durch verbindliche Vorgaben, Zuständigkeiten und Kontrollen. Geschäftsleitung und Verwaltungsrat tragen die Gesamtverantwortung; CISO und Datenschutzfunktion stellen Umsetzung, Monitoring, Incident Response und regelmässige Audits sicher.
Technologie (Zero Trust und Verschlüsselung): Zero Trust und Encryption gelten heute vielfach als zentrale technische Grundlage für regulatorisch belastbare Datenverarbeitungen in der Cloud. Erforderlich sind starke Authentisierung, Least Privilege, Ende-zu-Ende Verschlüsselung, Schlüsselmanagement und nachvollziehbare Protokollierung.
II. Grundlagen der Daten-Souveränität
Daten sind Grundlage der Wertschöpfung und zugleich Rechts- und Haftungsobjekt. Daten-Souveränität wird deshalb zur Voraussetzung für Betriebsmodelle, die technisch resilient und rechtlich belastbar sind. Massgeblich sind nachweisbare Compliance, kontrollierte Datenflüsse und vertraglich abgesicherte Outsourcing und Transfer-Szenarien.
Was bedeutet Daten-Souveränität?
Daten-Souveränität ist die Fähigkeit, Datenstandort, Zugriff und Verarbeitung jederzeit rechtssicher zu steuern und nachzuweisen.
Elemente der Daten-Souveränität
Vor technischen Lösungen sind Schutzbedarf, Rollen und rechtliche Anforderungen festzulegen, inklusive Auftragsbearbeitung und Transfer Regeln. Die Grundlagen dazu sind:
Kontrolle: Steuerbarkeit aller Datenflüsse und Zugriffe. Jeder Zugriff muss protokolliert, überwacht und im Zweifel revidierbar sein.
Compliance: Erfüllung der anwendbaren Vorgaben (EU DSGVO, EBA, DSG, FINMA, ISG, kantonale Regeln, Branchenregeln). Erforderlich sind insbesondere klare Rechtsgrundlagen, Informationspflichten, Auftragsbearbeitungsverträge, Subdienstleister Kontrolle, Transfer Impact Assessments, wo nötig, sowie dokumentierte TOM und Nachweise (sprich Zertifizierungen).
Sicherheit: Schutz vor unbefugtem Zugriff und struktureller Abhängigkeit von Drittparteien. Ohne angemessene Sicherheitsmassnahmen lässt sich effektive Kontrolle kaum gewährleisten.
Das Ziel ist ein technologisches Setup, das Flexibilität ermöglicht und gleichzeitig regulatorische Sicherheit gewährleistet. Es muss resilient gegen Cyberangriffe, Datenlecks und interne Bedrohungen sein.
III. Herausforderungen für die Daten-Souveränität in der Hybrid-Cloud
Hybrid-Cloud-Modelle, kombiniert mit souveränen Cloud-Anbietern und automatisierter Compliance, sind für die meisten Grossunternehmen der wirtschaftlich und regulatorisch tragfähigste Ansatz. Gewachsene Cloud-Landschaften, Outsourcing und steigende Sicherheitsanforderungen erhöhen die Komplexität und das Risiko. Je mehr Daten zwischen On-Premises, Cloud-Plattformen und Dienstleistern fliessen, desto wichtiger sind klare Verträge, dokumentierte Datenflüsse, präzise Zuständigkeiten, wirksame Kontrollen und belastbare Nachweise.
Dabei stellen sich diverse Herausforderungen:
Abhängigkeit von Dienstleistern: Ohne Exit und Portabilitätsklauseln entstehen Lock-in-Risiken und unkontrollierte Datenflüsse. Vertraglich zu regeln sind mindestens Subdienstleister, Audit und Informationsrechte, Datenrückgabe und Löschung, Unterstützungsleistungen sowie Mitwirkung bei Incidents- und Behördenanfragen.
Rechtliche Anforderungen EU und Schweiz: Erforderlich sind Transparenz, angemessene TOM und klare Verantwortlichkeiten. Kritisch sind Auftragsbearbeitung, Outsourcing nach FINMA, Datenklassifizierung, Nachweis und Auditfähigkeit sowie Drittlandtransfers und ausländische Zugriffe.
Technische Komplexität: Schnittstellen und Interoperabilität vergrössern die Angriffsfläche. Notwendig sind Datenklassifizierung, Rollen und Berechtigungskonzepte, Standardisierung sowie kontinuierliches Monitoring und Logging.
Ein belastbares Zusammenspiel aus Governance, Sicherheitsarchitektur und Compliance ist entscheidend, um Daten-Souveränität in hybriden und cloudbasierten Umgebungen nachhaltig sicherzustellen. Ein rechtliches und technisches Cloud Security Assessment schafft Transparenz über Datenflüsse, Zugriffskonzepte, Architekturmodelle und regulatorische Risiken – und bildet damit die Grundlage für sichere, souveräne und compliance-konforme Betriebsmodelle.
IV. Fünf Architekturmodelle für Daten-Souveränität im Vergleich
Es gibt keinen universellen Ansatz für Daten-Souveränität. Welches Architekturmodell geeignet ist, hängt von Schutzbedarf, Budget, regulatorischer Exponierung und bestehender IT-Struktur ab.
Die folgenden Modelle zeigen, wie unterschiedlich Unternehmen Kontrolle, Compliance, Sicherheit und Betriebsfähigkeit gewichten können:
On-Premises Lösungen: Hoher Kontrollgrad und klare Zuständigkeit. Geeignet bei hohem Schutzbedarf oder regulatorischen Vorgaben zu Datenlokalisierung. Erfordert jedoch gleichermassen dokumentierte TOM, Zugriffskontrollen und Auditfähigkeit.
Hybrid-Cloud-Strategien: Balance zwischen Agilität und Kontrolle. Voraussetzung ist, dass Datenflüsse dokumentiert, TOM umgesetzt und Verantwortlichkeiten festgelegt sind. Jede Schnittstelle ist als Risikopunkt zu behandeln: Absicherung, Monitoring, regelmässige Tests und Audits sind zwingend.
Sovereign Cloud-Anbieter: Cloud-Leistungen mit lokaler Rechtshoheit, sofern Betrieb, Subdienstleister und Datenstandorte im relevanten Rechtsraum liegen. Zu prüfen sind Betreiberstruktur, Zugriff aus dem Ausland, Verschlüsselung und Schlüsselkontrolle, Audit-Nachweise sowie Exit und Portabilität.
Open-Source- und Community-Lösungen: Ideal für Organisationen, die Unabhängigkeit und Transparenz priorisieren. Sie sind sowohl in Deutschland, Österreich als auch in der Schweiz uneingeschränkt nutzbar - entscheidend ist der Hosting- und Betriebsort.
Gemeinsamer Ansatz: Zero-Trust und Verschlüsselung: Zentrales Element jeder souveränen IT-Architektur. Empfohlen zur Umsetzung der Grundsätze von Privacy by Design. Aus CISO-Sicht ist Zero-Trust kein «Nice-to-have», sondern ein «Must-have». Jeder Zugriff muss authentifiziert, autorisiert und verschlüsselt sein – unabhängig von Standort oder Gerät.
V. 6 Schritte zur Daten-Souveränität
Daten-Souveränität entsteht, wenn zentrale Steuerungsdimensionen systematisch zusammenspielen. Erfolgreiche Architekturen benötigen einen klaren Rahmen, automatisierte Prozesse und organisationsweite Verankerung.
Diese sechs Schritte helfen bei der Umsetzung:
Governance etablieren und dokumentieren: Rollen und Verantwortlichkeiten sowie Entscheidungswege definieren, Richtlinien erstellen bzw. ergänzen (Datenklassifizierung, Zugriffsmanagement, Retention, Datenlokalisierung).
Daten kategorisieren: Datenbestände anhand von DSGVO-Kategorien und DSG-Risikobeurteilung (sowie weiteren Vorgaben) einordnen.
Evaluation und Verträge: Due Diligence zu Rechtshoheit, Subdienstleister-Ketten, Datenstandorten, Zertifizierungen und Audit Reports (z.B. ISO 27001, SOC 2, ISAE). Vertraglich sind insbesondere Informations-, Audit und Weisungsrechte, der Beizug von Subunternehmern, der Einsatz von AI sowie Unterstützungspflichten bei Security Incidents sicherzustellen.
Exit Strategie definieren: Rückführung, Datenportabilität, Formatstandards, Übergangsunterstützung, Löschung und Nachweise vertraglich regeln. Fristen, Kosten und Abhängigkeiten sind vorab zu testen.
Compliance automatisieren: Kontrollen, Nachweise und Reporting-Prozesse automatisiert erfassen und regelmässig prüfen.
Awareness stärken: Mitarbeitende kontinuierlich zu Datenschutz, Zugriffskonzepten und Governance schulen.
Fazit: Steuerung der Daten-Souveränität als fortlaufender Transformationsprozess
Daten-Souveränität ist ein fortlaufender Transformationsprozess. Die regulatorischen Anforderungen schaffen klare Leitplanken, lassen aber ausreichend Gestaltungsspielraum. Entscheidend ist ein sauber orchestriertes Zusammenspiel aus Governance, technologischer Basisarchitektur und organisatorischer Kompetenz.
Der Weg zu echter Daten-Souveränität führt über modernisierte Sicherheitsarchitekturen, transparente Governance und belastbare Compliance-Prozesse. Viele Organisationen stehen dabei vor der Herausforderung, technische, regulatorische und organisatorische Anforderungen unter ein einheitliches Steuerungsmodell zu bringen. Wo diese Anforderungen zusammenlaufen, braucht es eine belastbare Einordnung von Datenflüssen, Architekturmodellen, Zugriffskonzepten und regulatorischen Risiken.
VI. Die Leistungen von MME zur Stärkung Ihrer Daten-Souveränität
Rechtliches Cloud Security Assessment: Wir prüfen, ob Ihre IT-Betriebsmodelle rechtssicher sind – in enger Zusammenarbeit mit technischen Partnern. Ein rechtliches Cloud Security Assessment schafft Transparenz zu Datenstandorten, Zugriffen, Verantwortlichkeiten und Transfer-Risiken und bildet die Grundlage für auditfähige Entscheidungen. Ziel sind Betriebsmodelle mit nachvollziehbaren Kontrollen und belastbarer Compliance.
Vertragliche Sicherstellung von Zero Trust Architekturen als Fundament der Souveränität Wir unterstützen Unternehmen bei der rechtlichen Ausgestaltung von Zero-Trust-Architekturen mit starker Authentisierung, Least Privilege, Protokollierung und Schlüsselmanagement. So werden Zugriffe nachvollziehbar und TOM nach DSGVO, DSG, EBA und FINMA-Anforderungen operationalisiert und vertraglich abgesichert
Vertragliche Sicherstellung von technisch hochsicheren Lösungen und souveränen Betriebsumgebungen Aufbau von On-Premises, Hybrid oder Sovereign Umgebungen mit Datenklassifizierung, isolierten Datenzonen, Verschlüsselung und kontrollierten Schnittstellen. Wir adressieren dabei auch die heiklen vertraglichen Anforderungen an Datenlokalisierung, Zugriff aus dem Ausland, AI-Einsatz und Subdienstleister-Steuerung.
Spezifische Compliance-Prüfungen entlang der Regulatorik Rechtliche Assessments zu Datenklassifizierung, TOM, Auftragsbearbeitung, Subdienstleister-Ketten, internationalen Datentransfers, Schlüsselmanagement und Governance. Ergebnis sind priorisierte Massnahmen, klare Nachweise und eine auditfähige Dokumentation.
Gerne stehen wir Ihnen zur Verfügung.
Klicken Sie hier um mehr über unsere Expertise zu erfahren:
Titelbild KI-generiert. Dieser Magazinbeitrag wurde durch einen Blog von InfoGuard, Michael Fossati, inspiriert. InfoGuard AG ist ein Cyber Security Partner von MME.
