Kurz vorweg: „Cloud Souveränität" ist 2026 ein überladener Begriff. Wirklich tragfähig sind drei Dimensionen: Daten (wo liegen sie?), Betrieb (wer administriert?), Schlüssel (wer entschlüsselt?). Wer alle drei in der Schweiz hält, ist souverän. Wer eine US-Cloud mit CH-Region nutzt, ist regional, aber nicht souverän – der Cloud Act bleibt theoretisch durchsetzbar. Pragmatischer Ansatz für KMU: Datenklassifikation, hybride Strategie, hochsensible Daten in eine souveräne CH-Wolke. Dieser Artikel liefert Bewertungs-Matrix, Anbieter-Vergleich und einen Entscheidungsbaum.
Die drei Dimensionen der Cloud-Souveränität
Datensouveränität
Daten, Backups, Replikate, Logs und Telemetrie liegen ausschliesslich in der gewählten Rechtsordnung. Auch Metadaten (Login-IPs, API-Calls) verlassen die Region nicht.
Operative Souveränität
Support, Monitoring und Administrations-Zugriff durch Personal in der Zielregion. Kein US-Engineer mit Notfall-Konsole. Wichtig: Konzernmutter darf keine Weisungsrechte ausüben.
Technologische Souveränität
Schlüssel im eigenen HSM (HYOK/BYOK), Identitäten ausserhalb des Cloud-Anbieters, Source-Code überprüfbar oder Open-Source, Confidential Computing für sensible Workloads.
Rechtsraum-Souveränität
Anbieter und alle relevanten Konzerngesellschaften sitzen in der gewählten Rechtsordnung. Kein US-FISA-/Cloud-Act-Durchgriff. Sub-Vendoren und Konnektivität ebenfalls dokumentiert.
Exit-Souveränität
Daten in offenen Formaten (S3-API, Postgres-Dump, ICS, EML, OpenAPI), keine Vendor-Lock-Schnittstellen für Kerndaten. Migration zu Alternativ-Anbieter realistisch in unter 90 Tagen.
Verfügbarkeits-Souveränität
Bei geopolitischen Schocks (Sanktionen, Tarif-Streit, Konzern-Abspaltung) bleibt der Dienst betriebsfähig. Anbieter sollte ohne externe Lieferanten weiter funktionieren können.
Anbieter-Vergleich Schweizer Cloud-Markt 2026
Infomaniak Public Cloud / kDrive / kSuite
CH-Sitz Genf, CH-Datenzentren, CH-Mitarbeitende. Public Cloud (OpenStack-basiert), Object-Storage (S3-kompatibel), kDrive (Dropbox-Ersatz), kSuite (Mail/Kalender/Office). Stark im KMU-Mittelfeld.
Souveränitäts-Bewertung
Voll souverän: keine US-Verbindungen, OpenStack-/Open-Source-Stack.
Preis-Indikation
Public Cloud VMs ab CHF 5–15/Mo (kleine), kDrive ab CHF 4.92/Nutzer/Mo, kSuite Pro CHF 9.85/Mo.
Exoscale (Akenes SA / VSHN-Umfeld)
CH-Cloud-IaaS, OpenStack-/KVM-basiert, CH-Datenzentren Zürich/Genf, optional AT/DE. Stark bei Dev/SRE, S3-API, Kubernetes (SKS). Schweizer Engineering, technisch sehr solide.
Souveränitäts-Bewertung
Voll souverän: CH-AG, kein US-Konzern, S3-API ohne AWS.
Preis-Indikation
VM Tiny ab CHF 5/Mo, Medium ca. CHF 80–120, S3 SOS CHF 22/TB/Mo, Kubernetes ab CHF 3.50/Knoten/Tag.
Swisscom Sovereign Cloud / S3 / Container Platform
CH-Konzern, CH-Datenzentren, FINMA-tauglich. Sovereign Cloud auf eigenem Stack (teils Partner mit IBM, OpenShift). Object-Storage, Container-Plattform, Backup-Service.
Souveränitäts-Bewertung
Voll souverän: CH-AG, kein US-Durchgriff. Achtung: Manche Services nutzen US-Software-Komponenten im Stack.
Preis-Indikation
Auf Anfrage, eher Enterprise-orientiert; Container-Plattform Einstieg ab CHF 800–2'000/Mo.
Proton (Mail / Drive / Pass / VPN)
CH-Sitz Genf, CH-Datenzentren, End-to-End-Verschlüsselung. Mail, Drive, Kalender, Pass, VPN. Stark bei Datenschutz-Use-Cases. Schweizer Stiftung als Mehrheits-Eigentümer.
Souveränitäts-Bewertung
Voll souverän: CH-AG, E2EE, Zero-Knowledge.
Preis-Indikation
Proton Business Mail ab CHF 6.99/Nutzer/Mo, Business Suite ab CHF 12.99/Nutzer/Mo.
Microsoft Cloud Switzerland (Zurich / Geneva)
CH-Datenzentren, Azure und M365 mit Datenresidenz Schweiz. Vollständige Hyperscaler-Funktionen. Microsoft Cloud for Sovereignty erweitert um Sovereign Landing Zones, Customer Lockbox, Confidential Compute.
Souveränitäts-Bewertung
Regional, nicht souverän: Microsoft Corp. ist US-Mutter, Cloud-Act-betroffen. Mit HYOK/Customer-Managed Keys und Lockbox lassen sich Risiken stark reduzieren.
Preis-Indikation
M365 Business Premium CHF 22/Nutzer/Mo, Azure-Preise CH-Premium ca. 10–20% über EU-North.
AWS Zurich (eu-central-2)
CH-Region seit 2022, vollständige AWS-Funktionen. AWS European Sovereign Cloud (EU-only) im Aufbau für 2026. Wer Schweizer Daten in CH-Region hält, hat regional, aber nicht souverän.
Souveränitäts-Bewertung
Regional, nicht souverän: Cloud-Act, FISA 702. Reduktionsmöglichkeiten: KMS mit eigenem CloudHSM, Nitro-Enclaves, Outposts on-premises.
Preis-Indikation
EC2-Preise ca. 15–25% über eu-central-1 (Frankfurt). S3 STANDARD ca. USD 0.027/GB/Mo.
Google Cloud Zurich (europe-west6)
CH-Region, vollständige GCP-Funktionen. Sovereign-Partner für Frankreich (S3NS mit Thales) – CH-Pendant fehlt 2026 noch. Google Workspace mit Datenresidenz EU/Schweiz.
Souveränitäts-Bewertung
Regional, nicht souverän: US-Konzern, Cloud-Act. Reduktion: External Key Management, Confidential Computing.
Preis-Indikation
N2-VM CH ca. 12–18% über eu-west4 (Niederlande), Workspace Business Plus CHF 23/Nutzer/Mo.
Hostpoint / Cyon / Metanet / Aspectra / Netcetera
Klassische Schweizer Hoster und Managed-Service-Provider. Webhosting, Mail, Virtual Server, Managed Kubernetes, dedizierte Server, FINMA-zertifizierte Datenzentren.
Souveränitäts-Bewertung
Voll souverän: CH-AG, kein US-Durchgriff, sehr persönlicher Support.
Preis-Indikation
Webhosting CHF 9.90–29.90/Mo, Managed Server ab CHF 200–800/Mo, Aspectra/Netcetera Enterprise-orientiert.
10-Wochen-Roadmap zur souveränen Schweizer Cloud
Woche 1 – Datenklassifikation
Alle Daten-Sets erfassen: Kundendaten, Mitarbeiter, Buchhaltung, Geheimnisse, Produkt-IP. Klassifizieren in „normal" / „besonders schützenswert" / „regulierte Daten" (Bankkundendaten, Krankenakten).
Woche 2 – DTIA und EDÖB-Konformität
Pro Datenfluss: Daten-Transfer-Impact-Assessment nach Schrems II / EDÖB-Wegleitung. Garantien dokumentieren (SCC, BCR, technische Massnahmen). Restrisiko bewerten.
Woche 3 – Cloud-Strategie definieren
Hybrid-Ansatz festlegen: M365/Google für Standard-Produktivität (mit Massnahmen), souveräne CH-Cloud für sensible Workloads. Architektur-Skizze, Daten-Trennlinien.
Woche 4 – Pilot-Workload identifizieren
Ein hochsensibler Workload pro Pilot (z. B. Mandanten-Akten, HR-Daten, Buchhaltungs-Server, Anwalts-Mail). Migrations-Plan mit Risiko-Mitigations.
Woche 5–6 – Anbieter-Evaluation
2–3 Anbieter konkret bewerten gegen Matrix (Souveränität, Funktion, SLA, Migration, Preis, Exit). PoC für 14 Tage, Kosten-Modellierung über 3 Jahre.
Woche 7 – Vertrag & Datenschutz
Vertrag aushandeln: SLA, Sub-Vendoren, Datenstandort-Garantie, Audit-Recht, Exit. revDSG-DPA, ZDP, technische Schutzmassnahmen-Anhang.
Woche 8 – Schlüssel- und Identitäts-Souveränität
Customer-Managed Keys oder HYOK aktivieren. Bei M365: Double Key Encryption für Top-Secret. Identitäten in eigener Domäne (Entra ID Tenant unter eigener Kontrolle).
Woche 9 – Migration & Tests
Pilot-Workload migrieren, Performance- und Failover-Tests, Backup-Restore üben, Latenz messen. Operations-Team in CH-spezifischen Tools schulen.
Woche 10 – Exit-Plan & Lessons Learned
Exit-Konzept schreiben: Datenexport-Tools, Alternativ-Anbieter, Transitions-SLA, Test-Migration. Roadmap für die nächsten Workloads erstellen.
Typische Stolpersteine
- „CH-Region = souverän": Falsch – Hyperscaler-CH-Region bedeutet nur regionale Datenhaltung, nicht Souveränität gegenüber dem Konzern-Sitz.
- Backups & Telemetrie ausserhalb: Selbst wenn Primärdaten in CH liegen, fliessen Logs und Metriken oft in US-Regionen – Pflicht: Telemetrie-Konfiguration prüfen.
- BYOK ohne Kontrolle: Schlüssel im Cloud-KMS bringt wenig – Pflicht: HYOK oder dediziertes HSM ausserhalb des Cloud-Anbieters.
- Microsoft EU Data Boundary fehlinterpretiert: Schützt vor EU-Verlassen, aber nicht vor Cloud-Act-Anfragen – revDSG-relevant, Souveränitäts-irrelevant.
- Exit-Klausel ungetestet: „Datenexport in 30 Tagen" steht im Vertrag, niemand hat es ausprobiert – Pflicht: jährliche Exit-Übung.
- Hidden US-Komponenten: Vermeintlich souveräner CH-Anbieter nutzt im Stack US-Komponenten (CDN, Telemetrie, Drittsoftware) – Pflicht: Sub-Vendor-Audit.
- Lock-in über proprietäre Services: Wer auf BigQuery, Synapse, Glacier setzt, kann nicht souverän migrieren – Pflicht: Open-Standard-Schnittstellen wählen.
- Kein DTIA dokumentiert: EDÖB verlangt seit Wegleitung 2024 explizit Daten-Transfer-Impact-Assessment – Pflicht: pro Auslandstransfer dokumentieren.
- Souveränität für 100% statt 5%: Pauschal alles in CH zu hosten ist teuer und unnötig – Pflicht: Klassifikation + Mix.
- Anbieter-Konsolidierung übersehen: Schweizer Cloud-Markt konsolidiert (Übernahmen 2024–2026) – Pflicht: Eigentümer- und Sub-Vendor-Klausel im Vertrag.
Fazit: Hybride Souveränität statt Dogma
Souveräne Cloud ist 2026 kein Marketing-Slogan, sondern eine Architektur-Entscheidung. Wer alles in eine Hyperscaler-CH-Region kippt, ist regional, aber nicht souverän. Wer alles auf einen kleinen Schweizer Anbieter setzt, bezahlt Premium-Preise auch für unkritische Workloads. Der pragmatische Weg ist eine hybride Strategie: M365/Google für Standard-Produktivität mit Customer-Managed Keys und EDÖB-DTIA, dazu eine souveräne CH-Cloud (Infomaniak, Exoscale, Swisscom, Proton, Aspectra) für regulierte und besonders schützenswerte Daten.
Wichtig: Souveränität ist ein laufender Prozess, kein Projekt mit Enddatum. Eigentümerwechsel beim Vendor, neue gesetzliche Lage (Schrems III, US-Sanktionen, EU-Datenakt), Konsolidierung im Schweizer Markt – das alles verändert die Bewertung. KMU sollten Anbieter jährlich neu bewerten, Exit-Übungen durchführen und Schlüssel-Souveränität als technische Versicherung gegen geopolitische Schocks behandeln.
Souveränitäts-Assessment für Ihre Cloud
Wir klassifizieren Ihre Daten, bewerten bestehende Cloud-Dienste gegen Schrems II / EDÖB-Wegleitung und erarbeiten eine hybride Architektur mit Schweizer Souveränitäts-Kern.
Beratung anfragen