Die Diskussion um Cloud-Modelle ist für IT-Entscheider 2025 differenzierter denn je. Insbesondere in der Schweiz rückt das Thema digitale Souveränität ins Zentrum: Unternehmen wägen ab, wann Public-Cloud-Angebote von Hyperscalern sinnvoll sind, wann Private Clouds die robuste Wahl bedeuten und was eine souveräne Schweizer Cloud leisten muss. Studien und Marktstimmen zeigen dabei eine zunehmende Kehrtwende: Die Euphorie über grenzenlose Multi-Cloud-Strategien weicht einer realistischeren Einschätzung von Kontrollverlust, Kosten und Compliance-Risiken – mit wachsenden Rückgaben von Anwendungen ins eigene oder in Schweizer Rechenzentren. Im Folgenden sollen die Ursachen für den Trend zur Private Cloud, die Anforderungen an ein echtes Souveränitätsniveau, mögliche Services und Use Cases, kritische Einschätzungen zu souveränen Public-Cloud-Angeboten und den tatsächlichen Status der Swiss Clouds im internationalen Vergleich beleuchtet werden. Zusätzlich adressiert werden die für Private- und Sovereign-Cloud-Lösungen relevanten Branchen, typische Anwendungen, Kostenfragen, Migrationsszenarien und das aktuelle Bild zum Vendor Lock-in.
Cloud-Kehrtwende und das Dilemma der Rückmigration
Der Wandel in der Cloud-Strategie vieler Unternehmen zeichnet sich klar ab. Laut einer Studie von Digital Reality gelangen die Jahre des Optimismus Multi-Cloud allmählich in eine Phase pragmatischer Rückbesinnung. Aufgrund von Kosten- und Performancefragen sowie regulatorischen Anforderungen wandern gemäss der Studie Workloads wieder zurück in eigens kontrollierte (private) Cloud-Umgebungen oder Rechenzentren. Parallel dazu etabliert sich gemäss dem Schweizer Marktforscher MSM Research die Public Cloud aber auch als Basis-Infrastruktur für KI und datengetriebene Geschäftsmodelle: Über 74 Prozent der Schweizer IT-Ausgaben entfallen demzufolge bereits auf Service-Modelle, getrieben von Cloud und Security. Der Markt wächst, aber auch die Bedenken: Laut der Studie ist die grösste Sorge die Abhängigkeit von globalen Hyperscalern (58%), gefolgt von fehlender technischer Interoperabilität (53%) und ungesicherten Rechtslagen (48%). Eine weitere MSM-Studie greift zudem die Frage auf, warum für bestimmte Anforderungen ein vollständiger Exit aus der (öffentlichen) Cloud ins eigene Rechenzentrum oder dedizierte private Cloud-Umgebungen in Betracht gezogen wird. Die Top-3-Gründe hierfür liegen neben Sicherheit und Kontrolle oft auch in optimierter Wirtschaftlichkeit oder in Branchenspezifika: Als häufigster Grund nannten die Befragten technologische Weiterentwicklungen im Bereich der eigenen Infrastruktur (62%). Unternehmen würden sich eine bessere Leistung oder optimierte Wirtschaftlichkeit ihrer ICT erhoffen. An zweiter Stelle (54%) steht die Vermeidung von Abhängigkeiten (Vendor Lock-in, Souveränität), gefolgt von der Einhaltung regulatorischer Anforderungen (53%).
Private Cloud in Schweizer Rechenzentren
Die Entscheidung für eine Private Cloud (in der Regel betrieben in zertifizierten Schweizer Rechenzentren durch spezialisierte Dienstleister) ist für viele Unternehmen längst ein Souveränitäts- und Compliance-Thema. Besonders relevant ist dies, wenn kritische oder sensible Daten verarbeitet werden (Gesundheitswesen, öffentliche Verwaltung, Banken, Versicherungen) oder strikte Compliance-Anforderungen bestehen (infolge der Europäischen Datenschutz-Grundverordnung, des Schweizer Datenschutzgesetzes, Finma-Vorschriften oder anderen branchenspezifischen Regularien). Eine private Cloud kommt aber auch dann zum Einsatz, wenn (von Kunden) digitale Souveränität und Unabhängigkeit gefordert werden sowie direkter, persönlicher Support unabdingbar ist. Darüber hinaus punkten Schweizer Private-Cloud-Angebote häufig mit abgestimmten Servicepaketen, fortschrittlicher Resilienz, niedrigen Latenzen und – zunehmend wichtig – Nachhaltigkeitsstandards in Bezug auf Energieverbrauch und Klimaschutz.
Die Servicepalette im Private-Cloud-Modell umfasst heute praktisch das gesamte IT-Service-Spektrum. Von Infrastructure as a Service (IaaS) für virtuelle Server, Storage und Netzwerkressourcen über Platform as a Service (PaaS) für Entwicklungs- und Testumgebungen, Managed Services für Datenbanken, Security, Backup und Monitoring, Hosting von KI-/Machine-Learning-Lösungen über branchenspezifische Lösungen wie Banken-Software oder Klinikinformationssysteme und private Kollaborations-, Kommunikations- und ERP-Lösungen bis hin zu Disaster-Recovery-/Business-Continuity-Szenarien und Identity- und Access-Management-Lösungen. Diese Services werden in zertifizierten Schweizer Rechenzentren mit höchsten Sicherheits-, Energie- und Verfügbarkeitsstandards und individuell abgestimmt auf branchenspezifische Anforderungen angeboten.
Souveräne Cloud: Definition, Anspruch und Wirklichkeit
Unter einer souveränen Schweizer Cloud versteht man im besten Sinne eine IT-Infrastruktur oder Cloud-Service-Landschaft, die folgende Kriterien erfüllt:
- Standort der Datenhaltung ausschliesslich in der Schweiz
- Geltung und Durchsetzung des Schweizer Rechts für Betrieb, Daten und Personal
- Ausschliessliche Verwaltung und Wartung durch Schweizer Unternehmen und Mitarbeitende
- Keine operative oder rechtliche Abhängigkeit von ausländischen Konzernen
Dieser Anspruch wird jedoch zunehmend durch Cloud-Offensiven internationaler Player aufgeweicht. Sogenannte souveräne Cloud-Angebote wie die AWS European Sovereign Cloud, Microsoft Cloud for Sovereignity oder der T-Systems Sovereign Cloud powered by Google versprechen unabhängige Betriebsführung, verwaltet von EU-Bürgern in EU-Ländern – die Geschäftsführung bleibt aber (zumindest juristisch-technisch) an den Mutterkonzern gebunden. Kritiker sprechen deshalb von Bluewashing, einem Marketing-Etikett, ohne tatsächliche vollständige Kontrolle zu gewähren. Analysen weisen denn auch darauf hin, dass wahre Souveränität in einer Public-Cloud-Lösung internationaler Hyperscaler weder technisch noch juristisch garantiert werden kann. Selbst innerhalb Europas bleiben Restrisiken bezüglich US-Zugriffsrechten auf Daten bestehen (Cloud Act), die im Zweifel auch EU-basierte Tochterunternehmen betreffen können. Wirkliche Souveränität – verstanden als hundertprozentige Daten- und Rechtskontrolle – ist tatsächlich nur dann gegeben, wenn Infrastruktur, Personal, Betrieb und Rechtsdurchsetzung vollständig unter Schweizer Kontrolle stehen.
Unterschied Private Cloud und souveräne Cloud
Eine Private Cloud im Schweizer Rechenzentrum ist eine Cloud-Umgebung, die exklusiv für eine oder mehrere Organisationen betrieben wird – mit voller Kontrolle über Daten und Einhaltung des Schweizer Datenschutzrechts. Sie garantiert hohe Sicherheit, Compliance und Transparenz über Speicherort und Zugriff, jedoch ohne zwingend alle Aspekte der nationalen Souveränität abzubilden.
Eine souveräne Cloud hingegen erfüllt strengste Anforderungen an Daten-, Betriebs- und Technologiesouveränität. Daten, Infrastruktur und Betrieb verbleiben vollständig in der Schweiz, unterliegen ausschliesslich dem Schweizer Recht und es gibt keinerlei Zugriffsmöglichkeiten für ausländische Behörden oder externe Betreiber. Auch Metadaten, Backups und der gesamte IT-Betrieb müssen lokal und von Schweizer Teams kontrolliert werden. Souveräne Clouds werden oft von kritischen Unternehmen und Behörden genutzt, die maximale rechtliche, politische und technische Kontrolle sowie Schutz vor extraterritorialen Gesetzen wie dem US Cloud Act benötigen.
Wer profitiert besonders?
Besonders profitieren Branchen wie Banken und Versicherungen, das Gesundheitswesen, die öffentliche Verwaltung, Industrieunternehmen sowie das Rechts- und Kanzleiwesen von privaten und tatsächlich souveränen Schweizer Cloud-Lösungen. Banken und Versicherungen stehen unter dem Regime strenger Vorgaben der Finma, müssen Datenschutz- und Outsourcing-Verordnungen einhalten und erhalten durch eine Schweizer Private Cloud Standortgarantie, Rechtssicherheit und Souveränität bei der Datenverwaltung.
Im Gesundheitswesen sind der Schutz sensibler Gesundheitsdaten, die Vertraulichkeit und eine dauerhaft hohe Verfügbarkeit essenziell. Hier bieten Schweizer Cloud-Lösungen nicht nur georedundante Standorte und höchste Sicherheitsvorkehrungen, sondern auch die Gewährleistung, dass sämtliche Daten nach Schweizer Recht behandelt werden. Die öffentliche Verwaltung wiederum profitiert insbesondere von der Möglichkeit zur vollständigen Datenhoheit, dem Schutz von Bürgerdaten und der Einhaltung branchenspezifischer Compliance-Anforderungen. Da keine Risiken durch grenzüberschreitende Zugriffe bestehen, lässt sich eine souveräne Kontrolle der Informationen gewährleisten. Für Industrie und produzierende Unternehmen steht der Schutz von Betriebsgeheimnissen und geistigem Eigentum im Vordergrund. Durch die Nutzung einer Schweizer Private Cloud können Unternehmen eigene IT-Policies konsequent durchsetzen und sicherstellen, dass sämtliche Daten in der Schweiz verbleiben. Auch Kanzleien und das Rechtswesen benötigen höchsten Schutz für Mandantendaten sowie die Einhaltung des Berufsgeheimnisses. Abgesicherte Cloud-Umgebungen in der Schweiz bieten ein Höchstmass an Sicherheit für vertrauliche Informationen. In all diesen Bereichen ist die private und souveräne Schweizer Cloud eine überzeugende Antwort auf spezifische Anforderungen an Datenschutz, Compliance und Souveränität.
Gleichzeitig gibt es Use Cases wie skalierbare KI-Lösungen, datengetriebene Plattform-Services oder File-Sharing, die sich bei klar definierten Anforderungen optimal für Public-Cloud-Lösungen eignen. Voraussetzung hier ist, dass Datenverwaltung und Zugriffsmanagement stimmen. Dabei ist jedoch das tatsächliche Souveränitätsniveau stets kritisch zu prüfen.
Marketing-Mythos souveräne Hyperscaler-Cloud
Internationale Hyperscaler versuchen längst, die Nachfrage nach Souveränität mit formalen Anpassungen zu adressieren – etwa durch Sovereign-Cloud-Offerten, isolierte Betriebszonen und lokalisiertes Personal in der EU.
Allerdings zeigen zahlreiche Recherchen, dass diese Konstrukte im Ernstfall keine absolute Rechtssicherheit bieten: Durch die Mutterkonzernstruktur und die extraterritorialen Rechte wie den US Cloud Act bleiben heimliche Datenzugriffe möglich, selbst wenn Technik, Administration und Datenhaltung formal in Europa erfolgen. Rechtliche Auseinandersetzungen oder Dekrete durch den Präsidenten der Vereinigten Staaten oder einen Gouverneur (Executive Orders) können Anbieter zwingen, Daten herauszugeben – auch rückwirkend. Wirkliche Souveränität existiert nur dann, wenn Cloud-Anbieter, Infrastruktur, Datenhaltung, Betriebspersonal und sämtliche Operations vollständig in der Schweiz sind und keinerlei Zugriffsrechte aus dem Ausland bestehen. So gesehen kann eine souveräne Public Cloud ein Widerspruch in sich sein – sie bleibt im Zweifel ausländischem Einfluss ausgesetzt.
Dem gegenüber stehen die Versuche der Hyperscaler, vollständige Abschottung und Eigenbetrieb im Rahmen europäischer Tochterfirmen zu suggerieren. In der Praxis bleibt dies, trotz Signalisierung von Unabhängigkeit, ein Balanceakt, wobei die Grenzlinie erst im juristischen Streitfall gezogen wird. Die kritische Bewertung ist für Unternehmen deshalb unerlässlich.
Vendor Lock-in, Kosten und Migration
Ein zentrales Risiko der Public Cloud ist überdies der Vendor Lock-in – die starke Bindung an Schnittstellen, proprietäre Plattformdienste und Datenformate. Dies erschwert Wechsel, Migration und Hybridansätze. Laut einer aktuellen MSM-Studie sind diese Kosten und Bindungseffekte einer der wichtigsten Treiber für die Rückholungswelle von Workloads (Repatriierung). Auch die Migration in oder aus einer Public Cloud ist komplex: Applikationsarchitektur, Compliance, Datenintegrität und Performance müssen sichergestellt werden. Unternehmen, die systematisch auf offene Standards und Interoperabilität setzen, haben hier einen entscheidenden Vorteil. Was die Kosten betrifft: Public-Cloud-Angebote erscheinen initial günstig (Pay per Use, keine Anfangsinvestition), schlagen allerdings im Skalierungsbetrieb, bei Sonderanforderungen und im Hinblick auf Compliance und Security oft stärker zu Buche als private Clouds. Erst wenn man sich über eine vereinbarte Laufzeit (z.B. ein oder drei Jahre) beim jeweiligen Hyperscaler verpflichtet, kommen niedrigere Preise zustande. Hinzu kommt, dass komplexe Abrechnungsmodelle das Controlling schwer kalkulierbar machen. Private Clouds punkten hingegen mit transparenten, flexiblen Preismodellen ohne Langzeitverpflichtung und individuell vereinbarten Service Levels. Wenn eine gezielte Kostenoptimierung im Fokus steht, lässt sich diese nicht automatisch nur mit der Auswahl eines etablierten Cloud-Anbieters erreichen. Vielmehr hängt sie von einem fundierten Verständnis der Ausgangslage sowie der geschäftlichen Anforderungen ab – und davon, wie diese Anforderungen optimal in der Cloud abgebildet werden können, egal ob in einer Public oder Private Cloud.
Echter Souveränitätsvergleich nötig
Eine objektive Beurteilung von Private-, Public- und angeblich souveräner Public Cloud muss bei den Anforderungen beginnen – nicht bei den Technologien. Denn ein rein technischer Vergleich allein führt zum Scheitern: Hyperscaler bieten massive Innovation, globale Skalierung und eine Vielzahl an Services. Technologisch ist die Schweizer Private Cloud hier limitiert. Hingegen sind juristische, regulatorische und souveräne Anforderungen der Schlüssel für souveräne Schweizer Clouds: Sobald digitale Souveränität, Compliance und Kontrolle das Ziel sind, führen keine Kompromisse an einer rein schweizerischen privaten respektive souveränen Cloud vorbei. Denn sogenannte souveräne Public Clouds bieten isoliertere Modelle, aber keine vollständige Kontrolle: Sie können Compliance- und Datenschutzbemühungen erleichtern, schaffen aber keine einhundertprozentige Unabhängigkeit. Schliesslich gibt der Use Case die Cloud-Wahl vor: Für viele Unternehmen (z.B. Krankenversicherer, Behörden, Banken) ist eine souveräne Private Cloud unverzichtbar. Für andere Szenarien (z.B. öffentliche Portale, innovative KI-Projekte) können Cloud-Modelle nach Bedarf gewählt werden – stets unter Prüfmassstab der tatsächlichen Souveränität, Geschäftsrelevanz und Datensensibilität.
Use Cases für souveräne Clouds sind denn auch Anwendungen mit hohen Datenschutz-Anforderungen (personenbezogene, besonders schützenswerte Daten), kritische Infrastrukturen mit Ausfallrisiken (z.B. Energieversorgung, Notfallmanagement) und compliance-getriebene Prozesse (z.B. Auditing, Legal Hold). Dafür können auch ausgelagerte Public-Cloud-Dienste in Betracht gezogen werden. Hier muss allerdings ein striktes Regel- und Kontrollsystem über Verschlüsselung, Zugriff und Datenhaltung gezogen werden.
Eine Frage der Anforderungen
Die Diskussion darf nicht auf einen Technikvergleich reduziert werden: Die internationalen Hyperscaler sind den Schweizer Private-Cloud-Anbietern hinsichtlich Innovation, Skalierbarkeit und Funktionsvielfalt weit voraus. Aber: Wenn Anforderungen wie Compliance, Hoheit, Ausschluss fremder Rechtszugriffe und Kontrolle über Betriebsprozesse im Vordergrund stehen, verlieren Hyperscaler-Angebote im Souveränitätsvergleich. Die Auswahl der richtigen Cloud-Strategie ist deshalb eine Frage der Anforderungen, nicht der Technologie.
Tatsache ist: Eine wirklich souveräne Cloud entsteht nur unter vollständiger Schweizer Kontrolle (Technik, Recht, Betrieb, Personal). Sogenannte souveräne Public Clouds nationaler und internationaler Hyperscaler bleiben kritische, aber unvollständige Kompromisse. Für datensensible Branchen und kritische Anwendungen ist die Schweizer Private Cloud deshalb derzeit alternativlos. Für innovationsoffene und weniger regulierte Use Cases kann selbstverständlich auch eine Public-Cloud-Strategie – unter strengen Governance-Regeln – sinnvoll sein. Die eigentliche Herausforderung bleibt, souveräne Anforderungen eindeutig zu definieren und daraus die Cloud-Wahl konsequent abzuleiten. Die Zukunft der Cloud in der Schweiz ist hybrid – aber souveräne Anforderungen kennen keine Kompromisse. Je höher das Schutzbedürfnis, desto klarer ist der Weg in die Private Cloud – Made and Operated in Switzerland.
Der Autor
Roberto Aliano ist Product Manager Cloud Services beim IT-Dienstleister
UMB. Er verfügt über mehr als 20 Jahre Berufserfahrung im IT-Infrastrukturumfeld in unterschiedlichen Positionen bei namhaften nationalen und internationalen IT-Unternehmen. Er ist spezialisiert auf Unternehmensdienste auf Basis von Cloud-Lösungen, Cloud-Einführung, Cloud Management und Cybersicherheit.
