Florian Gyger Software
Alle Artikel

Digitale Souveränität: Was Schweizer Unternehmen wissen müssen

FG
Florian Gyger10 Min. Lesezeit
Vorschaubild für Artikel: Digitale Souveränität: Was Schweizer Unternehmen wissen müssen

Welcher Cloud-Anbieter bekommt meine Daten? Muss alles in der Schweiz gehostet sein? Und was passiert, wenn ein US-Hyperscaler ausfällt? Die Debatte um digitale Souveränität ist häufig emotional aufgeladen. Die Realität ist nuancierter, als viele Meinungen vermuten lassen.

Im Skillhub von swiDOC habe ich mit Fabian Beck über genau diese Fragen gesprochen: Was digitale Souveränität wirklich bedeutet, wo die Grenzen liegen und wie Unternehmen pragmatisch damit umgehen können.

Vorschaubild des YouTube-Videos

Was bedeutet digitale Souveränität?

Digitale Souveränität beschreibt, wie unabhängig ein Unternehmen in seinen digitalen Entscheidungen ist. Dabei geht es um mehrere Aspekte: Wo werden die eigenen Daten gespeichert? Wer hat Zugriff darauf? Was passiert mit den Daten? Und wie einfach kann ich den Anbieter wechseln, wenn sich die Rahmenbedingungen ändern?

Flexibilität und Anbieterunabhängigkeit

Für mich als App-Entwickler und Mitglied des Netzwerk SDS (Souveräne Digitale Schweiz) bedeutet Souveränität vor allem eines: Beweglichkeit. Wenn ich heute bei AWS bin und morgen die Preise steigen oder die Services nicht mehr meinen Anforderungen entsprechen, muss ich ohne hohe Wechselkosten den Anbieter wechseln können. Diese Flexibilität ist gerade für Startups entscheidend, weil Schnelligkeit und Anpassungsfähigkeit zu den grössten Vorteilen gegenüber etablierten Unternehmen gehören.

Genau deshalb vermeide ich bei der Entwicklung Baukastenprogramme und proprietäre Plattformen, die zu einem sogenannten Vendor Lock-in führen. Ein Vendor Lock-in entsteht, wenn eine Software so stark an einen bestimmten Anbieter gebunden ist, dass ein Wechsel nur mit unverhältnismässig hohem Aufwand möglich ist. Die Daten stecken in einem geschlossenen System, die Logik lässt sich nicht einfach migrieren, und im schlimmsten Fall muss alles von Grund auf neu gebaut werden. Mit individueller Entwicklung und offenen Standards behalte ich die Kontrolle über die Architektur und kann den Anbieter bei Bedarf wechseln.

Umgang mit Personendaten

Als Gründer eigener Startup-Apps ist für mich digitale Souveränität aber nicht nur eine Frage der Infrastruktur-Flexibilität. Sobald ich Personendaten meiner Kundschaft verarbeite, wird es auch eine Frage des Vertrauens: Wer hat Zugriff auf diese Daten? Insbesondere bei besonders sensiblen Daten wie Gesundheitsinformationen, vertraulichen Geschäftsdokumenten oder behördlichen Unterlagen wird das schnell zum entscheidenden Faktor. Dazu später mehr.

US-Cloud oder Schweizer Hosting?

Diese Frage wird oft als Entweder-oder-Entscheidung dargestellt. Die Realität ist differenzierter und hängt stark von der jeweiligen Situation ab.

Was für US-Cloud-Dienste spricht

Das Silicon Valley bringt laufend neue Services und Software-Bausteine hervor, die die Entwicklungsgeschwindigkeit immens steigern können und oft günstiger sind, als Eingenentwicklungen und eigenes Hosting. Gerade in der Welt, in der wir uns bewegen, bedeutet Schnelligkeit das A und O: Ich möchte möglichst schnell eine Lösung an den Markt bringen, die funktioniert. Die Realität ist einfach so, dass man dann häufig zum schnelleren und günstigeren Weg greift.

Für Startups ist das besonders relevant. Du startest mit einer Idee und befindest dich auf einem spannenden, aber herausfordernden Weg. Wie kommst du von null auf den Markt? Wie platzierst du dich? Das muss alles dynamisch und schnell gehen. Da ist es wichtig, bei der Technologieauswahl darauf zu achten, schnell auf den Markt zu kommen und gleichzeitig schnell Richtungswechsel machen zu können.

Du möchtest dein eigenes App-Startup gründen?

In einem kostenlosen Erstgespräch schauen wir gemeinsam, wie du schnell auf den Markt kommst, ohne dich in Abhängigkeiten zu verstricken.

Jetzt Kontakt aufnehmen

Hyperscaler wie AWS, Google Cloud oder Microsoft Azure bieten zudem Sicherheitsarchitekturen, die ein mittelgrosses Unternehmen kaum selbst aufbauen könnte. Allein die Sicherheitszertifizierungen, Georedundanzen und Ausfallsicherheiten, die ein Milliarden-Konzern bereitstellt, sind für die meisten Unternehmen nicht replizierbar. Fabian hat es im Gespräch auf den Punkt gebracht: Traue ich meinem eigenen Team von 50 oder 100 Mitarbeitenden zu, eine sicherere Infrastruktur zu betreiben als ein Konzern, der das für hunderttausende Unternehmen macht?

Und natürlich: Viele Unternehmen machen sich hier von denselben grossen Anbietern abhängig und schaffen so ein Klumpenrisiko. Ein Ausfall bei AWS beispielsweise kann schnell Millionen von Apps betreffen und hat in der Vergangenheit mehrfach für Schlagzeilen gesort. Aber man muss ehrlich sein: Auch der eigene Server im Büro kann ausfallen oder angegriffen werden. Und wie viele Angriffe konnte AWS wohl bereits erfolgreich abwehren, ohne dass es je in die Schlagzeilen kam?

Was für Schweizer Hosting spricht

Der zentrale Vorteil von Schweizer Hosting liegt im Datenschutz. Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht US-Behörden den Zugriff auf Daten bei US-Cloud-Anbietern, unabhängig davon, wo die Server physisch stehen. 1 Das bedeutet: Selbst wenn deine Daten in einem Schweizer Rechenzentrum von AWS oder Azure liegen, unterstehen sie dem US-Recht.

Für echte Datensouveränität reicht es deshalb nicht, dass die Daten in der Schweiz gespeichert werden. Entscheidend ist, wem die Infrastruktur gehört. Nur wenn die Betreiberfirma der Infrastruktur ein Schweizer Unternehmen ohne ausländischen Mutterkonzern ist und auch deren Unterauftragsbearbeiter Schweizer Firmen sind, ist der Zugriff auf die Daten ausschliesslich über den Schweizer Rechtsweg möglich.

Auch in der Schweiz muss in einem gerichtlichen Prozess Datenauskunft erteilt werden. Der Unterschied ist aber, dass ausländische Behörden keinen direkten Zugriff haben, sondern den Weg über Schweizer Behörden und Gerichte nehmen müssen. 2

Was ich Startups empfehle

Für die meisten Startups empfehle ich einen pragmatischen Kompromiss: Mit US-Cloud-Services starten, um schnell auf den Markt zu kommen, und gleichzeitig die datenschutzrechtlichen Grundlagen sauber abdecken. Nach erfolgreichem Markteintritt dann prüfen, ob ein Umstieg auf ein Schweizer Hosting Sinn macht.

Mit folgenden Massnahmen kann auch während der Startphase ein hoher und mit den Schweizer Gesetzen kompatibler Datenschutz erreicht werden:

Schweizer Datenschutzgesetz einhalten

Seit dem 1. September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (revDSG), das sich stark an der europäischen DSGVO orientiert. 3 Unternehmen sind verpflichtet, transparent aufzuzeigen, wo Personendaten verarbeitet werden und welche Subverarbeiter involviert sind. Mit diesen wiederum müssen Vereinbarungen getroffen werden, dass auch sie das Schweizer Datenschutzgesetz einhalten können. Das ist nicht optional, sondern gesetzlich vorgeschrieben.

Konkret muss man als Startup also bei jedem eingesetzten Software-Tool und Service folgende Massnahmen ergreifen:

  1. Datenschutzerklärung prüfen: Welche Daten werden vom Anbieter verarbeitet? Wo steht der Server? In welchem Land ist das Unternehmen ansässig?
  2. Auftragsverarbeitungsvertrag (AVV) abschliessen: Bei allen Anbietern, die personenbezogene Daten verarbeiten. Darin sind auch die Subverarbeiter aufgeführt.
  3. Standard Contractual Clauses (SCCs): Wer mit US-Anbietern zusammenarbeitet, kann sich über diese vertraglichen Vereinbarungen absichern, die den Datenschutz gemäss Schweizer und europäischem Recht sicherstellen. 4

Datenminimierung

Unabhängig vom Serverstandort gibt es einen oft unterschätzten Hebel: weniger Daten sammeln. Bei der App-Entwicklung habe ich direkten Einfluss darauf, welche Daten für die Kernfunktion nötig sind und welche optional bleiben. Daten, die fürs Marketing oder für sekundäre Features gebraucht werden, können optional gestaltet werden, sodass die Nutzenden selbst entscheiden.

Bei sensiblen Daten: Schweizer Standort in Betracht ziehen

Wenn die Kundschaft besonders schützenswerte Daten verarbeitet (z.B. im Gesundheitswesen, bei behördlichen Organisationen oder bei Finanzdienstleistungen), lohnt sich die Investition in ein reines Schweizer Hosting ohne CLOUD-Act-Abhängigkeit. Die entscheidende Frage dabei: Ist die Betreiberfirma der Infrastruktur ein Schweizer Unternehmen, und sind auch deren Unterauftragsbearbeiter Schweizer Firmen?

Alternativ können Daten vor dem Upload in die Cloud auch verschlüsselt werden. Dann nützt auch ein unerwünschter Zugriff nichts, weil die Daten ohne den passenden Schlüssel nach aktuellem Stand der Technik nicht entschlüsselt werden können.

Du planst eine App mit sensiblen Daten?

In einem kostenlosen Erstgespräch besprechen wir, welche Hosting-Strategie für dein Projekt sinnvoll ist. Unverbindlich und ohne Verkaufsdruck.

Jetzt Kontakt aufnehmen

Praxisbeispiel: Schweizerdeutsch Übersetzer App

Die Schweizerdeutsch Übersetzer App zeigt, wie dieser Weg in der Praxis aussehen kann. Beim Start habe ich pragmatisch mit US-Services begonnen: schneller Markteintritt, Idee validieren, erste Kundschaft gewinnen. Die datenschutzrechtlichen Grundlagen waren von Anfang an sauber abgedeckt, und ich habe bewusst nur das Minimum an Daten gesammelt.

Aber die Fragen kamen schnell: "Sind die Daten in der Schweiz?" Vor allem Unternehmen mit besonders sensiblen Daten, behördliche Organisationen oder Firmen, die sich im Bereich Datenschutz positionieren, brauchten diese Gewissheit.

Deshalb habe ich das komplette Backend in die Schweiz migriert: die Business-Logik, die Datenspeicherung und die KI-Modelle. Das Audio und die Transkriptionsresultate verlassen zu keinem Zeitpunkt die Schweizer Grenze. Die gesamte Lieferkette wird ausschliesslich durch Schweizer Unternehmen betrieben. Die einzigen Daten, die noch in die USA fliessen, sind anonymisierte Nutzungsstatistiken, Fehlererfassungsdaten oder sonstige Daten, die nichts mit der Transkription selbst zu tun haben.

Die Arbeit mit kleineren Open-Source-KI-Modellen war herausfordernd, aber ich habe dabei enorm viel gelernt. Und das Resultat kann sich sehen lassen!

Die Schweizerdeutsch Übersetzer App ist deshalb auch Trägerin des Swiss Hosting Labels von Swiss Made Software. Das Label garantiert zwei Dinge: Die Daten bleiben in der Schweiz, und ein Zugriff durch Dritte ist nur über den Schweizer Rechtsweg möglich. 5

Pragmatische Empfehlungen

Für Unternehmen

  1. Datentyp bestimmen: Was für Daten verarbeitest du? Personenbezogene oder besonders schützenswerte Daten? Je sensibler die Daten, desto mehr lohnt sich die Investition in ein reines Schweizer Hosting.
  2. AVV und Datenschutzerklärung: Bei jedem Anbieter prüfen und abschliessen. Das ist gesetzlich vorgeschrieben.
  3. Subverarbeiter prüfen: Nicht nur schauen, wo die Server stehen, sondern wem die Infrastruktur gehört und wer die Unterauftragsbearbeiter sind.
  4. Datenminimierung: Nur die Daten sammeln, die für die Kernfunktion nötig sind. Alles andere optional oder gar nicht erst erheben.
  5. Verschlüsselung: Sensible Daten vor dem Speichern in der Cloud verschlüsseln.
  6. Wechselkosten im Auge behalten: Die Architektur so aufbauen, dass ein Anbieterwechsel möglich bleibt, ohne alles neu zu entwickeln (Vendor Lock-in vermeiden).
  7. Löschrecht ermöglichen: Nach dem revDSG und der DSGVO können Nutzende die Löschung ihrer Daten verlangen. Am besten direkt in der Software eine entsprechende Funktion anbieten.

Für Privatpersonen

  1. Datenschutzerklärung lesen: Dort steht, welche Daten der Anbieter erhebt und wer Zugriff hat.
  2. Subverarbeiter prüfen: Wer erhält die Daten noch?
  3. Bewusst entscheiden: Welche Daten gebe ich an? Kann ich ein Pseudonym verwenden?
  4. Löschrecht nutzen: Die Löschung der eigenen Daten beim Anbieter beantragen, wenn der Service nicht mehr genutzt wird.
  5. Backups verschlüsseln: Cloud-Backups vom Handy oder PC vor dem Upload verschlüsseln.

KI und Datensouveränität

Bei KI-Lösungen verschärft sich das Thema. Der Unterschied zu klassischen Apps ist erheblich: Bei einem Registrierungsformular gibst du ein paar definierte Daten ein. Bei KI-Tools wie ChatGPT oder einem KI-gestützten Browser hingegen können Freitexte, gesprochene Inhalte, Fotos oder sogar der gesamte Bildschirminhalt als Eingabe dienen. Die Menge an potenziell sensiblen Daten ist dadurch deutlich grösser.

Mit folgenden Massnahmen kann man die Risiken minimieren:

  • Trainingsnutzung deaktivieren: Bei OpenAI und anderen Anbietern kannst du einstellen, dass die eigenen Daten nicht fürs Training weiterverwendet werden.
  • Keine sensiblen Dokumente unüberlegt hochladen: Steuererklärungen, interne Strategiepapiere oder vertrauliche Kundendaten haben nichts in einem öffentlichen KI-Chat zu suchen.
  • Lokale Alternativen prüfen: Open-Source-Modelle können auf eigenen GPU-Ressourcen betrieben werden, in der Schweiz oder zumindest in Europa.

Die stärksten KI-Modelle kommen aktuell häufig aus den USA. Aber die Qualität von Open-Source-Modellen, die man selbst hosten kann, hat sich enorm verbessert. Bei der Integration von KI-Modellen in Apps kann durch gezielte Strategien zudem auch mit Open-Source-Modellen eine ähnlich gute Ausgabequalität erreicht werden.

Du planst eine KI-Integration mit Fokus auf Datensouveränität?

In meiner KI-Beratung analysiere ich mit dir, ob Open-Source-Modelle für dein Projekt ausreichen und wie du sie datensouverän integrierst. Kostenloses Erstgespräch, unverbindlich.

Jetzt Kontakt aufnehmen

Fazit

Digitale Souveränität ist kein Alles-oder-nichts-Thema. Es ist eine Abwägung, die je nach Situation, Budget und Datentyp unterschiedlich ausfällt.

Für die meisten Startups ist der pragmatische Weg sinnvoll: Mit US-Cloud-Services starten, datenschutzrechtliche Grundlagen sauber abdecken und erst dann in ein reines Schweizer Hosting investieren, wenn die Kundschaft oder der Datentyp es erfordern.

Wer diese Diskussion nüchtern führt, statt sich von dogmatischen Positionen leiten zu lassen, trifft in der Regel die besseren Entscheidungen.

Du hast eine App-Idee?

In einem kostenlosen Erstgespräch lernen wir uns kennen und klären, ob eine Zusammenarbeit passt - ganz unverbindlich und ohne Verkaufsdruck.

Jetzt Kontakt aufnehmen
MWYWAS
5.0

10 Rezensionen auf Google

Quellenverzeichnis

  1. Clarifying Lawful Overseas Use of Data Act (CLOUD Act). United States Congress. Abgerufen am 18.03.2026.

  2. Beweiserhebung - Internationale Rechtshilfe in Strafsachen. Bundesamt für Justiz (BJ). Abgerufen am 18.03.2026.

  3. Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG). Fedlex. Abgerufen am 18.03.2026.

  4. Bekanntgabe von Personendaten ins Ausland. EDÖB. Abgerufen am 18.03.2026.

  5. Swiss Hosting. Swiss Made Software. Abgerufen am 18.03.2026.

FG

Artikel verfasst von

Florian Gyger

Entwickelt passgenaue Apps zur Digitalisierung von Geschäftsprozessen.

Geschäftsführer der Florian Gyger Software GmbH

Kein Artikel mehr verpassen

Praxisnahe Tipps und Einblicke rund um App-Entwicklung direkt per E-Mail. Kein Spam, jederzeit abmeldbar.

Weitere Artikel

Vorschaubild für Artikel: Agent oder Workflow? Wann welcher KI-Ansatz sinnvoll ist
6 Min. Lesezeit

Agent oder Workflow? Wann welcher KI-Ansatz sinnvoll ist

Viele KI-Produkte werden als Agents verkauft, sind aber in Wahrheit Workflows. Im AI Cast Podcast erkläre ich den Unterschied und wann welcher Ansatz die bessere Wahl ist.

FGFlorian Gyger
Artikel lesen
Vorschaubild für Artikel: Softwareentwicklung mit KI: Braucht es noch Entwickler?
6 Min. Lesezeit

Softwareentwicklung mit KI: Braucht es noch Entwickler?

Werden Softwareentwickler durch KI ersetzt? Im Swiss AI Podcast teile ich meine Einschätzung zu Vibecoding, technischen Schulden und der Zukunft der Softwareentwicklung.

FGFlorian Gyger
Artikel lesen
Vorschaubild für Artikel: Interview transkribieren mit automatischer Namenszuordnung
3 Min. Lesezeit

Interview transkribieren mit automatischer Namenszuordnung

Schweizerdeutsche Interviews automatisch transkribieren und jedem Satz den richtigen Sprecher zuordnen. So funktioniert die Namenszuordnung der Schweizerdeutsch Übersetzer App.

FGFlorian Gyger
Artikel lesen