Wie Microsoft digitale Souveränität in der Schweiz angeht

Diskussionen über digitale Souveränität – also die Fähigkeit, sicher, unabhängig und selbstbestimmt an der digitalen Wirtschaft teilzunehmen – drehen sich oft um ähnliche Fragestellungen: Wo werden meine Daten gespeichert? Wer kann darauf zugreifen? Werde ich Zugang zu den neuesten Funktionen haben? Im Folgenden beantworten wir diese Fragen und stellen unsere Verpflichtungen sowie die in der Schweiz verfügbaren Technologien vor.

1. Welche souveränen Cloud-Lösungen stellt Microsoft in der Schweiz bereit?

Microsoft bietet ein umfassendes Portfolio, um alle Anforderungen an die digitale Souveränität in der Schweiz zu erfüllen:

  • Sovereign Public Cloud: Umfassende Souveränitätsfunktionen – einschliesslich Datenresidenz, Verschlüsselungskontrollen und Verwaltung regulierter Umgebungen – sind in allen europäischen Regionen verfügbar, einschliesslich der Schweiz. Eine Migration in separate Rechenzentren ist nicht erforderlich.
  • Sovereign Private Cloud: Für Unternehmen, die maximale operative Autonomie benötigen, ermöglichen Azure Local und Microsoft 365 Local die Ausführung von Workloads in kundenkontrollierten und lokal gehosteten Umgebungen mit einheitlicher Verwaltung und Sicherheit.
  • Wichtige Funktionen: Data Guardian (Zugriffsgenehmigung und -überwachung mit Sitz in Europa), External Key Management (vom Kunden verwaltete Verschlüsselungsschlüssel) und Regulated Environment Management (zentralisierte Souveränitätskontrollen).
  • Von Grund auf offen und hybrid: Azure Arc ermöglicht eine einheitliche Verwaltung über Multi-Cloud- und On-Premises-Umgebungen hinweg und unterstützt hybride und herstellerunabhängige Strategien.

Mehr erfahren: Umfassende souveräne Lösungen

2. Wo werden Daten gespeichert und wer kann darauf zugreifen?

Für Schweizer Kunden sind der Speicherort ihrer Daten und die maximale Kontrolle darüber, wo sich die Daten befinden, wie auf sie zugegriffen wird und wie sie verarbeitet werden, von zentraler Bedeutung. Microsoft bietet mehrere, mehrschichtige Schutzmassnahmen:

  • Schweizer Cloud-Regionen seit 2019. Wir betreiben Cloud-Regionen in der Nähe von Zürich und Genf, damit Kunden ihre Daten bei Bedarf innerhalb der Landesgrenzen speichern können und gleichzeitig die Disaster-Recovery-Anforderungen erfüllen.
  • EU-Datengrenze bedeutet, dass Kunden aus dem öffentlichen Sektor und der Privatwirtschaft in der EU/EFTA (einschliesslich der Schweiz) ihre Daten innerhalb der EU/EFTA-Regionen speichern und verarbeiten können. Dies umfasst Kundendaten, pseudonymisierte personenbezogene Daten und Professional Services-Daten, einschliesslich Microsoft 365, Dynamics 365, Power Platform und die meisten Azure-Dienste. Bei einigen Azure-Diensten müssen Kunden dokumentierte Konfigurationen befolgen, um die Verpflichtung zur Speicherung von Professional Services-Daten zu erhalten.
  • Kein direkter oder ungehinderter Zugriff durch Behörden. Microsoft prüft jede behördliche Datenanfrage, gibt Daten nur bei gesetzlicher Verpflichtung weiter, und beschränkt jede Offenlegung auf spezifische Konten, die in einer gültigen Anordnung identifiziert werden. Unsere Richtlinien sind in unserem Government Requests for Customer Data Report detailliert aufgeführt.
  • Wir stellen keiner Regierung Verschlüsselungsschlüssel oder die Möglichkeit zur Verfügung, unsere Verschlüsselung aufzuheben
  • Zusätzlich zur EU-Datengrenze bieten wir europäischen Kunden mehrere Optionen zur Sicherung und Verschlüsselung ihrer Daten. Unsere Confidential Compute-Angebote in Azure verhindern, dass Dritte – einschliesslich Microsoft – auf Kundendaten zugreifen können, indem sichergestellt wird, dass Daten in einer vertrauenswürdigen Umgebung verarbeitet werden, die allein von Kunden kontrolliert wird. Wir ermöglichen es Kunden, eine „Lockbox» für ihre Daten in Azure, Dynamics 365 und Microsoft 365 zu erstellen, indem wir ihnen die Möglichkeit geben, Zugriffe zu prüfen und zu genehmigen, bevor Microsoft für Kunden- und Service-Supportzwecke auf ihre Daten zugreift. Ausserdem ermöglichen wir Kunden, ihre Daten mit Verschlüsselung zu sichern, wobei sie die Schlüssel – nicht Microsoft – mit Azure Key Vault und Purview Customer Key kontrollieren. Unsere Microsoft Cloud for Sovereignty bietet Kunden eine Reihe weiterer Tools, um Daten zu schützen, vor unbefugtem Zugriff zu sichern und gesetzliche Anforderungen zu erfüllen.
  • Von europäischen Mitarbeitern kontrollierter Betrieb. Mit Data Guardian sorgen wir für zusätzliche Sicherheit, indem wir sicherstellen, dass nur in Europa ansässige Microsoft-Mitarbeitende den Fernzugriff auf diese Systeme kontrollieren. Data Guardian sorgt für zusätzliche menschliche und technische Überprüfung, wenn Techniker ausserhalb Europas Zugriff benötigen. Jeder Fernzugriff von Microsoft-Technikern auf die Systeme, die Ihre Daten in Europa speichern und verarbeiten, wird von Mitarbeitern mit Wohnsitz in Europa in Echtzeit genehmigt und überwacht und in einem manipulationssicheren Ledger protokolliert.
  • Für Microsoft 365 und ausgewählte Dienste erlaubt Customer Lockbox Datenzugriffsanfragen von Technikern zu überprüfen und zu genehmigen, sowie damit verbundene Aktivitäten zu kontrollieren. Für Verschlüsselungsschlüssel bietet Azure Key Vault Audit-Protokolle und Einblicke, sodass Schlüssel-Vorgänge überwacht und über Azure Monitor nahezu in Echtzeit Warnungen eingerichtet werden können. Kunden, die unveränderliche, manipulationssichere Audit-Trails für ihre eigenen Workloads benötigen, können Azure Confidential Ledger verwenden.
  • Defending Your Data-Verpflichtung: Wir werden jede behördliche Anfrage nach Daten von Kunden aus dem öffentlichen Sektor oder Unternehmen anfechten, wenn eine rechtliche Grundlage dafür besteht. Wir verpflichten uns zur Transparenz bezüglich behördlicher Datenanfragen und veröffentlichen regelmässige, detaillierte Berichte über diesbezügliche Anfragen.

3. Erfordern Souveränitätskontrollen eine Migration oder schränken sie die Funktionalität ein?

Mit Microsoft Sovereign Public Cloud aktivieren Sie Souveränitätskontrollen in bestehenden europäischen Regionen ohne Migration in separate Rechenzentren. Sie behalten dabei das volle Innovationspotenzial der Public Cloud. Sovereign Private Cloud gibt Kunden noch mehr Kontrolle, aber es gelten bestimmte Einschränkungen.

Wichtige Funktionen für Souveränität:

  • Data Guardian für europäisch kontrollierten Betrieb und Zugriffsgenehmigungen.
  • External Key Management, damit Sie Schlüssel in Ihren eigenen HSMs aufbewahren können (lokal oder der bei einem vertrauenswürdigen Drittanbieter).
  • Regulated Environment Management zur Konfiguration und Überwachung aller Souveränitätskontrollen an einem Ort.

4. Was, wenn vollständige betriebliche Autonomie erforderlich ist?

  • In einigen Branchen müssen Workloads in einer physisch kontrollierten Umgebung ausgeführt werden – einschliesslich vernetzter, hybrider oder nicht-vernetzer Szenarien.
  • Azure Local bringt Azure-Dienste an Ihre Standorte für in‑country, on‑premises, oder von Partnern betriebene Rechenzentren.
  • Microsoft 365 Local bietet eine validierte Architektur, um Produktivitäts-Workloads wie Exchange Server und SharePoint Server auf Azure Local mit konsistenter Verwaltung über Azure-Tools auszuführen. Die Sovereign Private Cloud-Lösung (Azure Local + Microsoft 365 Local) befindet sich in der Preview-Phase und wird im Laufe dieses Jahres in Europa verfügbar sein.

5. Können Daten transferiert werden?

Digitale Souveränität und Datenportabilität gehen Hand in Hand.

  • Open by Design: Azure unterstützt offene Standards, Open-Source-Runtimes, und ein breites Partner-Ökosystem.
  • Die Clouddienste von Microsoft sind auf Offenheit und Flexibilität ausgelegt. Kunden können ihre Daten jederzeit mithilfe gut dokumentierter Prozesse und weit verbreiteter, branchenüblicher Formate exportieren. Es gibt keine proprietären Barrieren, die Sie daran hindern, Ihre Daten oder Workloads auf andere Plattformen zu übertragen. Diese Verpflichtung zur Portabilität gewährleistet, dass Sie die volle Kontrolle und Wahlfreiheit beibehalten – ohne Risiko einer Herstellerabhängigkeit.

6. Unterstützt Microsoft Open-Source-Lösungen?

  • Dank Open Source können Microsoft-Produkte und -Dienste unseren Kunden Auswahlmöglichkeiten, Technologie und Community bieten. Souveränität erfordert Offenheit, und offene Standards sowie Open-Source-Technologien können in unserer gesamten Infrastruktur verwendet werden. Laut dem Open-Source Contributor Index (OSCI) liegt Microsoft mit derzeit 5.079 aktiven Mitwirkenden und insgesamt 11.217 Community-Mitgliedern weltweit auf Platz 2 und ist damit eine grundlegende Komponente der Open-Source-Innovation.
  • VS Code, eines der weltweit beliebtesten Entwicklertools mit Millionen von Nutzern, wird in Zürich-Wollishofen entwickelt.

Weitere Informationen: Microsoft Open Source 

7. Wie verhält es sich mit Resilienz, Governance und Sicherheitsaufsicht in Europa?

Wir haben formalisierte Verpflichtungen festgelegt, damit Kunden langfristig planen können.

  • Verpflichtung zur digitalen Resilienz. Wir verpflichten uns, jede Anordnung zur Aussetzung oder Einstellung des Cloud-Betriebs in Europa mit allen verfügbaren rechtlichen Mitteln anzufechten, einschliesslich der Verfolgung von Rechtsstreitigkeiten vor Gericht. Diese Verpflichtung ist für die Microsoft Corporation und alle Tochtergesellschaften rechtsverbindlich.
  • Wir werden Sicherungskopien unseres Codes in einem sicheren Repository in der Schweiz speichern und unseren europäischen Partnern die erforderlichen rechtlichen Zugriffsrechte gewähren, um bei Bedarf auf diesen Code zugreifen und ihn verwenden zu können.
  • Europäische Board-Aufsicht. Der Betrieb unserer europäischen Rechenzentren und deren Vorstände werden von einem europäischen Board of Directors überwacht, das ausschliesslich aus europäischen Staatsangehörigen besteht und nach europäischem Recht arbeitet.
  • Europäisches Sicherheitsprogramm. Wir erweitern den Austausch von KI-gestützter Threat Intelligence, den Aufbau von Kapazitäten und Partnerschaften (einschliesslich mit Europol) für Regierungen in der EU, EFTA, dem Vereinigten Königreich und anderen Ländern – kostenlos. Wir haben ausserdem die Position eines Deputy CISO für Europa geschaffen, der sich auf sich entwickelnde Vorschriften wie DORA, NIS2 und den Cyber Resilience Act konzentriert.
  • Globale Cybersicherheitskapazitäten. Die Sicherheitsplattform von Microsoft analysiert täglich über 84 Billionen Bedrohungssignale, einen der weltweit größten und vielfältigsten Datensätze zu Bedrohungsinformationen, um Kunden in der Schweiz und weltweit vor den sich ständig weiterentwickelnden Cyberbedrohungen zu schützen. Im Jahr 2024 blockierte Microsoft über 7.000 Passwortangriffe pro Sekunde und verfolgte weltweit mehr als 1.500 Bedrohungsakteure.

Mehr erfahren: Digitale Zusicherungen für Europa

8. Wie können Transparenz und Verifizierung gewährleistet werden?

  • Trust Center. Unser Trust Center zentralisiert Zertifizierungen, Auditberichte, Datenschutzdokumentation (einschliesslich der DPA) und produktspezifische Compliance-Inhalte.
  • Kunden haben das Recht, ein Audit durchzuführen, sofern die erforderlichen Bedingungen erfüllt sind.
  • Government Security Program. Für Behörden können qualifizierte Stellen den Microsoft-Quellcode in sicheren Transparency Centers (unter anderem in Irland) überprüfen.
  • Halbjährliche Transparenzberichterstattung. Wir veröffentlichen detaillierte, globale Berichte über behördliche Anfragen nach Kundendaten sowie unsere Antworten.
  • Wir verwenden branchenübliche sichere Transportprotokolle wie IPsec und TLS zwischen Rechenzentren und Benutzergeräten. Data at Rest profitiert von doppelter Verschlüsselung, Verschlüsselung auf Serviceebene und Festplattenverschlüsselung. Azure Confidential Computing ermöglicht Verschlüsselung sogar während der Datenverarbeitung.
  • Microsoft verpflichtet sich alle für die für die Bereitstellung der Produkte und Services durch Microsoft geltenden Gesetze und Vorschriften, einschliesslich Gesetzen zu Meldepflichten bei Sicherheitsverletzungen, sowie Datenschutzvorschriften (inkl. DSGVO und Schweizer Datenschutzrecht) zu befolgen.

9. Wie investiert Microsoft in der Schweiz?

Wir erhöhen unsere Kapazitäten, um der Nachfrage in der Schweiz gerecht zu werden, und fördern gleichzeitig Kompetenzen, Innovation und Nachhaltigkeit.

  • $ 400 Millionen Investition (angekündigt am 2. Juni 2025) zum Ausbau der KI- und Cloud-Infrastruktur in der Schweiz, einschliesslich fortschrittlicher GPUs.
  • Wir bedienen 50.000+ Kunden, unter anderem in regulierten Sektoren wie Finanzwesen und Gesundheitswesen.
  • Aus- und Weiterbildung von 1 Million Menschen bis 2027 in KI- und digitalen Kompetenzen.
  • Erneuerbare Energie. Bis heute wird der gesamte Stromverbrauch in der Schweiz durch den Kauf erneuerbarer Energie gedeckt.
  • Unsere 36-jährige Präsenz hat ein florierendes Ökosystem geschaffen. 4.600+ Schweizer Partnerunternehmen beschäftigen Zehntausende von Fachkräften.
  • Für jeden Schweizer Franken, den Microsoft erwirtschaftet, schafft unser Partner-Ökosystem mehr als 8 CHF Mehrwert.
  • Wir betreiben das Spatial AI Lab in Zürich, arbeiten mit der ETH Zürich (einschliesslich einer Zusammenarbeit bei AI Red-Teaming), EPFL, Switzerland Innovation Parks und Deep Tech Nation zusammen. Damit möchten wir Schweizer Arbeitsplätze, Schweizer Expertise und Schweizer Innovationskapazität fördern und die wirtschaftliche Wettbewerbsfähigkeit stärken.

Mehr erfahren: Switzerland’s Digital Future: Microsoft’s Commitment

Weiterführende Links

European Digital Commitments → https://blogs.microsoft.com/on-the-issues/2025/04/30/european-digital-commitments/ 

Sovereign solutions for Europe → https://blogs.microsoft.com/blog/2025/06/16/announcing-comprehensive-sovereign-solutions-empowering-european-organizations/ 

EU Data Boundary (completion) → https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency  

Government Requests for Customer Data Report → https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data 

Switzerland investment (June 2, 2025) → https://news.microsoft.com/de-ch/2025/06/02/microsoft-deepens-switzerlands-digital-future-with-strategic-investment-in-cloud-and-ai-infrastructure-startups-skilling-and-innovation/ 

Defending your Data  https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

Advance European Commerce and Culture  Unlocking data to advance European commerce and culture – Microsoft On the Issues 

European Security Program → Microsoft launches new European Security Program – Microsoft On the Issues 

Tags: