dreherIT

dreherIT News

Schweizer Cloud-Verbot: Warum Hybrid-Strategien jetzt Pflicht werden

On-Prem-is-back

Ende November haben die schweizerischen Datenschutzbeauftragten (Privatim) eine Resolution veröffentlicht, die internationale Cloud-Dienste für Behörden mit sensiblen Daten de facto stark einschränkt. Über die Entscheidung berichtete unter anderem Heise Online. Die offizielle Resolution findet sich beispielsweise beim Kanton Freiburg (Privatim-Mitteilung), eine juristische Einordnung liefert Steiger Legal.

US-Hyperscaler wie AWS, Microsoft oder Google sollen für besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Personendaten kaum noch als vollwertige SaaS-Lösungen eingesetzt werden – vor allem, weil echte Ende-zu-Ende-Verschlüsselung und eine belastbare Rechtslage fehlen.

Für Unternehmen in Deutschland ist das ein Warnsignal: Nicht die Cloud an sich steht zur Disposition, sondern der unreflektierte „Alles-in-die-Cloud“-Ansatz. Die Zukunft ist hybrid – aber mit klarer Strategie.

Was ist in der Schweiz passiert?

Die Konferenz der schweizerischen Datenschutzbeauftragten hat in ihrer Stellungnahme die Nutzung internationaler Public-Cloud-Dienste durch Behörden massiv eingeschränkt. Kernpunkte der Position:

  • Behörden dürfen sensible und geheimhaltungspflichtige Personendaten in der Regel nicht mehr in internationalen SaaS-Diensten verarbeiten.
  • US-Hyperscaler stehen besonders im Fokus, weil der US CLOUD Act Anbieter zur Herausgabe von Daten an US-Behörden verpflichten kann – auch dann, wenn die Daten physisch in Europa oder der Schweiz liegen. Eine gut verständliche Erklärung liefert etwa das niederländische National Cyber Security Centre: How the CLOUD Act works in data storage in Europe.
  • Hauptkritikpunkte sind fehlende echte Ende-zu-Ende-Verschlüsselung mit Schlüsselhoheit beim Kunden sowie der Kontrollverlust über Subdienstleister, Vertragsbedingungen und Zugriffe.
  • Cloud-Dienste sind damit nicht generell verboten, aber nur noch dann zulässig, wenn die Behörde selbst verschlüsselt und der Anbieter keinen Zugriff auf die Schlüssel hat.

Auch wenn diese Resolution formal nur für Schweizer Behörden gilt, setzt sie ein deutliches Signal: Wer besonders schützenswerte Daten in internationale Public Clouds auslagert, bewegt sich regulatorisch auf dünnem Eis.

Was bedeutet „Hybrid“ eigentlich?

In vielen Diskussionen werden unterschiedliche Dinge unter „Hybrid Cloud“ verstanden. Technisch meint Hybrid-Cloud im Kern:

Die Kombination aus eigener Infrastruktur (On-Premises oder Private Cloud) und einem oder mehreren Public-Cloud-Anbietern, die so integriert sind, dass Workloads zwischen diesen Welten verteilt werden können.

Für eine klassische Definition können Sie sich z. B. an den Glossareinträgen von Google Cloud oder NetApp orientieren.

Für die Praxis lassen sich grob drei Bausteine unterscheiden:

  1. On-Premises / Private Cloud im eigenen Haus
    Eigene Server, Storage und Netzwerk in der eigenen Umgebung – etwa ein Linux- oder VMware-Cluster im Serverraum.
  2. Private Cloud im europäischen Rechenzentrum
    Dedizierte Server oder Managed-Hosting bei europäischen Anbietern, die rechtlich in der EU / im EWR sitzen – z. B. ein dedizierter Server bei einem deutschen oder europäischen Hoster.
  3. Public Cloud / Hyperscaler
    Dienste wie Microsoft 365, Azure, AWS, Google Cloud oder spezialisierte SaaS-Anwendungen.


„Hybrid“ heißt also nicht automatisch „Hyperscaler + europäisches RZ“, sondern: Sie kombinieren eigene Infrastruktur mit Cloud-Ressourcen – idealerweise so, dass die sensiblen Daten unter Ihrer Kontrolle bleiben und nur das in die Public Cloud wandert, was dort sinnvoll und vertretbar ist.

Für unsere Kunden definieren wir Hybrid daher so:

Hybrid bedeutet: Eigene Infrastruktur (z.B. Nextcloud-Server) plus ein europäisches Rechenzentrum – und nur dort, wo es fachlich und rechtlich passt, ausgewählte Public-Cloud-Dienste.

Gerade im Kontext von digitaler Souveränität ist diese Trennung zentral: Kritische Daten verbleiben in Ihrer Kontrolle, zusätzliche Cloud-Dienste werden bewusst und begründet gewählt.

Warum „reine Hyperscaler-Strategien“ ins Risiko laufen

Die Schweizer Resolution ist kein Ausreißer, sondern Teil eines größeren Trends. Drei Punkte sollten Unternehmen im Blick behalten:

1. Digitale Souveränität & Datenschutz

  • Internationale Public Clouds unterliegen oft auch ausländischem Recht (z.B. US CLOUD Act).
  • Viele SaaS-Anbieter bieten keine echte Ende-zu-Ende-Verschlüsselung mit ausschließlich kundenseitig kontrollierten Schlüsseln.
  • Für regulierte Branchen (Gesundheitswesen, öffentliche Hand, kritische Infrastrukturen) steigen die Anforderungen durch NIS2, DORA & Co. deutlich – inklusive Vorgaben zu Risikomanagement, Business Continuity und Exit-Strategien. Einen Überblick über die NIS2-Pflichten für Unternehmen bietet z.B. PwC.

Kurz gesagt: Wer alle geschäftskritischen Daten in eine einzige internationale SaaS-Plattform schiebt, macht sich angreifbar – technisch, rechtlich und politisch.

2. Kosten & Lock-in

Lange Zeit galt: „Cloud ist billiger“. Das stimmt längst nicht mehr pauschal. Das Beispiel des Software-Hauses 37signals (Basecamp/HEY) zeigt: Der Rückzug aus AWS auf eigene Hardware spart laut deren Zahlen rund zehn Millionen US-Dollar innerhalb von fünf Jahren – vor allem, weil laufende Cloud-Betriebskosten und Overhead entfallen. Die Details legt Gründer David Heinemeier Hansson in seinem Beitrag „Our cloud-exit savings will now top ten million over five years“ offen.

Natürlich lässt sich dieses Beispiel nicht 1:1 auf jedes Unternehmen übertragen. Es zeigt aber, dass „Cloud = automatisch günstiger“ ein Mythos ist – insbesondere bei dauerhaft laufenden, gut kalkulierbaren Workloads.

3. Resilienz & Exit-Strategie

Spätestens mit NIS2 wird von vielen Unternehmen erwartet, dass sie Business-Continuity- und Desaster-Recovery-Konzepte vorhalten – dazu gehören Backups, Fallback-Szenarien und Exit-Strategien gegenüber kritischen Dienstleistern, inklusive Cloud-Providern.

Pragmatisch heißt das:

  • Was passiert, wenn ein großer Cloud-Dienst für Stunden oder Tage ausfällt?
  • Können Sie weiterarbeiten – oder steht der Betrieb?
  • Gibt es eine technische und organisatorische Möglichkeit, Daten aus der Cloud wieder herauszubekommen und in einer alternativen Umgebung weiterzuarbeiten?

Eine sauber designte Hybrid-Architektur beantwortet diese Fragen besser als der „Alles-in-eine-SaaS“-Ansatz. Wie wir das Thema IT-Sicherheit und Compliance insgesamt betrachten, lesen Sie auf unserer Seite IT-Sicherheit & Datenschutz.

Wie eine pragmatische Hybrid-Strategie für KMU aussehen kann

Für mittelständische Unternehmen, Praxen und Kanzleien geht es nicht darum, morgen alles aus der Cloud zurückzuholen. Sinnvoll ist ein schrittweises Vorgehen:

  1. Ziele & Rahmenbedingungen klären
    • Welche Geschäftsprozesse sind wirklich kritisch?
    • Welche Daten wären im Falle eines Abflusses oder Ausfalls existenzbedrohend?
    • Welche regulatorischen Vorgaben gelten (DSGVO, NIS2, branchenspezifische Regeln)?
  2. Datenklassen und Workloads unterscheiden
    • Hochsensible Daten (Patientendaten, Rechtsdokumente, Finanzdaten, vertrauliche Kundendaten)
    • Operative Geschäftsdaten (Projekte, interne Dokumente)
    • Unkritische Kollaborationsdaten (z.B. Marketing-Material, Präsentationen, Schulungsunterlagen)
  3. Architektur passend zu den Daten wählen
    • Hochsensible Daten: On-Premises oder im europäischen Rechenzentrum, möglichst mit eigener Verschlüsselung und klarer Zugriffskontrolle.
    • Operative Geschäftsdaten: Häufig ideal in einer europäischen Private-Cloud- oder Hybrid-Lösung (z.B. Nextcloud, Open-Source-Dienste im Rechenzentrum). Einen Einstieg in solche Ansätze finden Sie auf unserer Seite Cloud & Self-Hosting.
    • Unkritische Workloads: Hier können Hyperscaler oder spezialisierte SaaS-Dienste weiterhin sinnvoll sein – solange Verträge, Verschlüsselung und Exit-Strategie passen.
  4. Exit-Strategie & Fallback planen
    • Regelmäßige, lokal lesbare Backups (nicht nur innerhalb desselben Cloud-Anbieters)
    • Testweise Wiederherstellung in einer alternativen Umgebung (z.B. zweiter Hoster, On-Prem-Server)
    • Dokumentierte Notfallpläne für Cloud-Ausfälle
  5. Schritt für Schritt umsetzen
    • Keine „Big Bang“-Migration, sondern priorisierte Roadmap
    • Beginnen Sie dort, wo Risiko und Abhängigkeit heute am größten sind (z.B. E-Mail, Dateiablage, Passwort-Management).

Fazit: On-Prem war nie weg – aber Hybrid wird zum neuen Normal

Die Schweizer Entscheidung zeigt: Regulierer akzeptieren internationale Public Clouds nicht mehr als universelle Lösung für alle Datentypen. Sensible Daten brauchen technische und rechtliche Kontrolle – und die erreichen Sie nur, wenn Sie Ihre Infrastruktur aktiv gestalten.

  • On-Premises- und europäische Rechenzentrums-Lösungen sind keine Nostalgie, sondern ein strategischer Baustein für digitale Souveränität.
  • Hybrid-Architekturen verbinden diese Kontrolle mit der Flexibilität moderner Cloud-Dienste.
  • Reine „Alles-in-die-Cloud“-Strategien ohne Exit-Plan werden in den nächsten Jahren zunehmend schwer begründbar sein – fachlich wie regulatorisch.

dreherIT unterstützt Sie dabei, eine solche Hybrid-Strategie zu entwickeln und umzusetzen – mit einem klaren Fokus auf europäische Rechenzentren, Open-Source-Lösungen und digitale Souveränität.


dreherIT – Lösungen, die weiterdenken.
Damit Ihre Daten dort bleiben, wo sie hingehören: unter Ihrer Kontrolle.

Ist Ihre Cloud-Strategie hybrid und souverän?

Wir analysieren gemeinsam mit Ihnen, wo heute unnötige Abhängigkeiten von Hyperscalern bestehen – und wie Sie mit einer Hybrid-Architektur aus eigener Infrastruktur und europäischem Rechenzentrum wieder mehr Kontrolle gewinnen.
Hybrid-Strategie besprechen

Ähnliche Beiträge