Digitale Souveränität klingt nach grosser Politik, betrifft aber längst jede Cloud-Strategie, jedes KI-Projekt und jede Datenbearbeitung insbesondere bei kritischen Infrastrukturanbietern, Berufs- und Amtsgeheimnisträgern. Der neue internationale Technology Sovereignty Report zeigt: Staaten wie auch Unternehmen suchen nicht digitale Abschottung, sondern digitale unabhängige Handlungsfähigkeit. Es stellt sich dabei die Frage: Wie viel Kontrolle braucht der Staat oder ein Unternehmen oder wie viel Abhängigkeit ist tragbar?
Digitale Souveränität ist kein Schlagwort mehr
Digitale und technologische Souveränität haben sich in kurzer Zeit von einem abstrakten Leitbegriff zu einem konkreten Risiko- und Governance-Thema entwickelt. Der im Juni 2026 veröffentlichte Technology Sovereignty Report der Human Technology Foundation und ITechLaw untersucht, weshalb sogenannte «Middle Powers» ihre technologischen Abhängigkeiten neu bewerten. Der Bericht wurde von Charles Morgan und Eric Salobir geleitet; Nicole Beranek Zanon hat an der Schweizer Perspektive mitgewirkt.
Der Ausgangspunkt ist klar: Staaten, Unternehmen und öffentliche Institutionen sind in zentralen Bereichen wie Cloud Computing, künstlicher Intelligenz, Dateninfrastrukturen, Cybersicherheit, Halbleitern und digitalen Plattformen auf wenige globale Anbieter angewiesen. Diese Abhängigkeiten sind nicht per se problematisch. Kritisch werden sie dort, wo sie die eigene Handlungsfähigkeit in Krisen, bei geopolitischem Druck, bei Sanktionen, bei Ausfällen oder bei fremdem staatlichem Datenzugriff beeinträchtigen können.
Der Report macht dabei eine wichtige Unterscheidung: Technologische Souveränität bedeutet nicht vollständige Autarkie. Eine vollständige wirtschaftliche, militärische und technologische Unabhängigkeit ist für die meisten Staaten weder realistisch noch wünschenswert. Entscheidend ist vielmehr, strukturelle Abhängigkeiten zu erkennen, zu priorisieren und so zu steuern, dass Staat und Wirtschaft auch in Belastungssituationen handlungsfähig bleiben.
Drei Treiber: Sicherheit, Wettbewerbsfähigkeit und Vertrauen
Der Report beschreibt digitale Souveränität als Antwort auf drei miteinander verbundene Entwicklungen: nationale Sicherheit, wirtschaftliche Sicherheit und den Schutz demokratischer Grundwerte.
Erstens geht es um nationale Sicherheit. Kritische digitale Infrastrukturen können in Krisensituationen zur strategischen Schwachstelle werden. Dabei geht es nicht nur um klassische Spionage oder Cyberangriffe, sondern auch um die Frage, ob essenzielle Dienste, Software-Updates, Kommunikationskanäle, Satellitenverbindungen oder Cloud-Services im Ernstfall verfügbar bleiben. Bei modernen Systemen entscheidet nicht mehr allein, wer die Hardware liefert. Ebenso wichtig ist, wer sie betreiben, warten, patchen, zertifizieren und weiterentwickeln kann.
Zweitens ist digitale Souveränität eine Frage wirtschaftlicher Sicherheit. Wer bei Cloud-Infrastrukturen, Plattformen oder Foundation Models auf wenige Anbieter angewiesen ist, ist nicht nur Kunde. Er ist häufig auch von deren Zugangsbedingungen, Schnittstellen, Preismodellen, Datenregeln und Innovationszyklen abhängig. Der Report knüpft damit an die Debatte um Wettbewerbsfähigkeit an: Staaten können über starke Forschung verfügen und dennoch Schwierigkeiten haben, diese Forschung in skalierbare Produkte, Rechenkapazität und globale Wertschöpfung zu übersetzen.
Drittens geht es um Grundrechte und Vertrauen. Wenn Bürgerinnen und Bürger oder Unternehmen befürchten müssen, dass Daten über extraterritoriale Zugriffsregime ausländischer Behörden ohne ausreichende lokale rechtsstaatliche Kontrolle zugänglich werden, leidet das Vertrauen in digitale Verwaltung, Cloud-Dienste und datengetriebene Innovation. Der Report bringt dies auf die prägnante Formel: Datenresidenz ist nicht automatisch Datensouveränität.
Keine Abschottung, sondern Risikosteuerung
Die meisten untersuchten Jurisdiktionen reagieren nicht mit pauschaler Abschottung, sondern verfolgen eine andere Strategie: Sensible staatliche Daten, kritische Infrastrukturen, Verteidigung, Gesundheit und Hochrisiko-KI werden strenger behandelt als gewöhnliche kommerzielle Anwendungen.
Zu den eingesetzten Instrumenten gehören Multi-Cloud-Strategien, die Klassifizierung besonders sensibler Daten, Anforderungen an vertrauenswürdige Cloud-Umgebungen, strengere Regeln für grenzüberschreitende Datenübermittlungen, Cybersicherheitsanforderungen, Beschaffungsregeln, Wettbewerbspolitik sowie Investitionen in Rechenkapazität, KI, Quantenforschung und kritische Infrastrukturen.
Für Unternehmen bedeutet das: Digitale Souveränität wird zunehmend zu einem Bestandteil von Compliance, Risikomanagement, Vertragsgestaltung, Datenschutz, IT-Sicherheit und Corporate Governance.
Fokus Schweiz: Souveränität als staatliche Handlungsfähigkeit
Die Schweiz versteht digitale bzw. technologische Souveränität vergleichsweise eng und staatszentriert. Im Zentrum steht nicht ein allgemeines «souveränes» Handeln der Privatwirtschaft, sondern die Frage, ob der Bund im digitalen Raum genügend Kontrolle und Handlungsfähigkeit besitzt, um seine öffentlichen Aufgaben wahrzunehmen. Die Rolle von Wirtschaft, Wissenschaft und Gesellschaft wird vor allem über die Strategie «Digitale Schweiz» adressiert.
Dieser Ansatz passt zur Schweizer Digitalpolitik. Die Strategie «Digitale Schweiz» dient dem Bundesrat als Instrument, um Schwerpunkte für die digitale Transformation zu setzen. Sie wird jährlich aktualisiert und verankert digitale Souveränität als strategisches Ziel und Fokusthema.
In der Cloud-Politik verfolgt die Bundesverwaltung seit dem 11. Dezember 2020 eine hybride Multi-Cloud-Strategie. Sie erlaubt den Einsatz interner und externer Cloud-Dienste verschiedener Anbieter. Der Ansatz vermeidet eine einseitige Abhängigkeit von einem einzelnen Anbieter, setzt aber zugleich nicht auf vollständige technologische Selbstversorgung. Genau darin liegt die Schweizer Linie: Offenheit und Leistungsfähigkeit sollen erhalten bleiben, während kritische Abhängigkeiten identifiziert und gesteuert werden.
KI als Prüfstein der Schweizer Souveränität
Die Schweiz verfügt mit der ETH Zürich, dem ETH AI Center und Initiativen wie dem Foundation Model «Apertus» über starke Forschungs- und Technologiekompetenzen. Gleichzeitig laufen viele produktive KI-Anwendungen in der Praxis weiterhin auf nicht-schweizerischen Cloud-Infrastrukturen und nicht-schweizerischen Basismodellen. Öffentliche KI-Förderung erfolgt über allgemeine Forschungs- und Innovationsinstrumente, nicht über ein spezifisches Programm für «souveräne KI».
Für Unternehmen ist das entscheidend: Schweizer KI-Kompetenz bedeutet nicht automatisch operative Souveränität. Wer KI-Systeme in sensiblen Bereichen einsetzt, muss prüfen, welche Daten verarbeitet werden, wo Modelle gehostet werden, welche Anbieter Zugriffsmöglichkeiten haben, welche Subprozessoren involviert sind und ob vertragliche, technische und organisatorische Schutzmassnahmen ausreichen.
Datenschutz, Urheberrecht und staatlicher Datenzugriff
Rechtlich verweist der Schweizer Teil des Reports auf mehrere Besonderheiten. Das revidierte Datenschutzgesetz unterscheidet zwischen Personendaten, besonders schützenswerten Personendaten und Profiling mit hohem Risiko, enthält aber keine allgemeine Pflicht zur Datenlokalisierung. Grenzüberschreitende Bekanntgaben richten sich nach Art. 16 DSG und setzen ein angemessenes Datenschutzniveau oder geeignete Garantien voraus; Ausnahmen sind eng zu verstehen.
Auch beim Urheberrecht ist die Schweiz zurückhaltend. Es gibt kein allgemeines «Fair Use»-Prinzip und keine spezifische Text-and-Data-Mining-Ausnahme, mit Ausnahme im Rahmen der wissenschaftlichen Forschung. Die Schranken des Urheberrechts sind in den Art. 19–27 URG abschliessend geregelt. Für das Training von KI-Modellen mit urheberrechtlich geschützten Inhalten fehlt nach dem Report bislang einschlägige Schweizer Rechtsprechung.
Beim staatlichen Zugriff auf Daten betont der Report die rechtsstaatlichen Hürden. Zugriff ohne Einwilligung ist nur gestützt auf spezifische gesetzliche Grundlagen und mit strengen Sicherungen zulässig. Nach dem BÜPF können Behörden Daten von Telekommunikations- und Cloud-Anbietern bei schweren Straftaten nur mit vorgängiger richterlicher Genehmigung erlangen. Ein wahlloses «Collect all»-Modell oder ein Zugriff ohne richterliche Kontrolle ist nicht vorgesehen. Internationale Kooperation erfolgt über die Budapest-Konvention und Rechtshilfeabkommen. Ausländische Behörden können Schweizer Anbieter nicht direkt verpflichten; unmittelbare extraterritoriale Durchsetzung – etwa nach dem US CLOUD Act – ist gegenüber Schweizer Providern damit nicht möglich.
Was Unternehmen jetzt prüfen sollten
Für Schweizer Unternehmen ist digitale Souveränität kein rein staatliches Projekt. Auch wenn der Begriff im Schweizer Kontext staatszentriert verwendet wird, treffen die operativen Risiken private Organisationen unmittelbar. Besonders betroffen sind Finanzdienstleister, Gesundheitswesen, Versicherungen, kritische Infrastrukturen, SaaS-Anbieter, Cloud-Kunden, Behördenlieferanten und Unternehmen mit grossen Datenbeständen.
Praktisch empfiehlt sich ein risikobasierter Ansatz. Unternehmen sollten ihre kritischen Datenbestände klassifizieren, Cloud- und KI-Abhängigkeiten kartieren, Anbieter- und Subanbieterketten prüfen, Exit-Szenarien vertraglich absichern, Verschlüsselung und Schlüsselkontrolle bewerten und bei geschäftskritischen Systemen Multi-Vendor- oder Multi-Cloud-Optionen prüfen.
Verwaltungsräte und Geschäftsleitungen sollten digitale Abhängigkeiten nicht als rein technische Beschaffungsfrage behandeln. Der Report weist ausdrücklich darauf hin, dass mangelndes Risikomanagement im Schweizer Kontext auch haftungsrechtlich relevant werden kann.
Fazit
Der Technology Sovereignty Report zeigt: Digitale Souveränität bedeutet nicht Abschottung, sondern belastbare Handlungsfähigkeit. Für die Schweiz und Unternehmen heisst das: Offenheit gegenüber internationalen Technologien bleibt wichtig, darf aber nicht zu blinder Abhängigkeit führen.
Staat und Unternehmen müssen wissen, welche digitalen Infrastrukturen kritisch sind, welche Daten besonders schutzwürdig sind und welche rechtlichen, technischen und organisatorischen Massnahmen erforderlich sind, um Kontrolle zu behalten.
Die kommenden Reformen, insbesondere zur KI-Regulierung, zur weiteren Konkretisierung digitaler Souveränität und zur Cybersicherheit, werden diese Fragen weiter schärfen. Für Unternehmen ist jetzt der richtige Zeitpunkt, digitale Souveränität nicht als politisches Schlagwort abzutun, sondern als Bestandteil von Datenschutz, IT-Sicherheit, Vertragsgestaltung und Unternehmensführung zu verankern.
Quellen