Mit der wachsenden Nutzung von Cloud-Technologien und dem zunehmenden globalen Regulierungsdruck – einschliesslich staatlicher Eingriffe – rückt eine zentrale Frage immer stärker in den Fokus: Wo liegen unsere Daten und welches Recht findet darauf Anwendung?

Unternehmen stehen vor einer immer komplexeren regulatorischen Landschaft: Auf europäischer Ebene mit der DSGVO, der weitreichenden NIS2-Richtlinie und dem kommenden KI-Gesetz, auf nationaler Ebene mit dem revidierten Schweizer Datenschutzgesetz (DSG) und dem Informationssicherheitsgesetz (ISG). Datensouveränität ist längst nicht mehr nur ein Punkt auf der Compliance-Checkliste– sie ist zu einem strategischen Thema auf Vorstandsebene geworden. Gerade für kleine und mittlere Unternehmen (KMU) ist es herausfordernd, sich im Spannungsfeld nationaler und internationaler Vorgaben zu behaupten.

Für Open Systems ist Datensouveränität nicht nur eine technische Disziplin, sondern ein strategisches Versprechen. Geprägt von der schweizerischen Tradition der Neutralität und einem hohen Datenschutzstandard verbinden wir robuste Infrastruktur mit prüfbarer Compliance. ISO/IEC-Zertifizierungen nach 27001, 27017 und 27018, regelmässige SOC-1-Typ-2-Audits sowie die Orientierung an HIPAA-Standards bilden die Grundlage unseres Datenschutz- und Sicherheitsansatzes – von der Speicherung über den Zugriff bis zur Nachvollziehbarkeit.

Um unsere Prinzipien greifbar zu machen, haben wir mit Thasanee Patklom, General Counsel bei Open Systems, darüber gesprochen, was Datensouveränität in einer Cloud-nativen, SASE-getriebenen Welt bedeutet. Dabei ging es auch um die Frage, wie wir mit Daten umgehen – ob in der Cloud, on-premises oder physisch – und welche Optionen wir unseren Kunden bieten, um regulatorischen Anforderungen mit Sicherheit zu begegnen.

1. Wie definieren Sie Datensouveränität im heutigen hybriden, Cloud-basierten IT-Umfeld?
   Datensouveränität bedeutet, genau zu wissen, wo Daten gespeichert sind, wer Zugriff darauf hat (und von wo aus) und wofür sie verwendet werden dürfen. In einer immer komplexeren IT-Landschaft ist dieses Wissen entscheidend, um gesetzliche Anforderungen zu erfüllen, Kontrolle zu behalten und die Integrität der Daten zu wahren. Gleichzeitig verlangt der Wandel hin zu Cloud-nativen Architekturen – insbesondere bei der zunehmenden Verschmelzung von IT und OT – einen stärkeren Fokus auf integrierte Sicherheitsmechanismen wie Zero Trust, sichere Segmentierung und kontinuierliche Zugriffskontrolle. Diese Elemente stärken nicht nur die technische Souveränität, sondern schaffen die Basis für skalierbaren, widerstandsfähigen Schutz.
2. Warum bietet das regulatorische Umfeld der Schweiz – insbesondere das revidierte Datenschutzgesetz (DSG) – ideale Voraussetzungen für starke Datensouveränität?
   Die Schweiz vereint rechtliche, politische und infrastrukturelle Vorteile auf einzigartige Weise. Ihr Datenschutzgesetz kombiniert zentrale Elemente der EU-DSGVO – wie Transparenz, Rechenschaftspflicht und Betroffenenrechte – mit schweizerischer Ausgeglichenheit und Pragmatismus. So entsteht ein Umfeld, das hohe Datenschutzstandards mit unternehmerischer Handhabbarkeit verbindet. Darüber hinaus sorgt die politische und wirtschaftliche Stabilität der Schweiz für eine leistungsfähige Infrastruktur mit hochsicheren Rechenzentren, verlässlicher Internetanbindung und stabiler Stromversorgung. Ein weiterer Vorteil ist der Zugang zu hervorragend ausgebildeten IT-Fachkräften.
3. Wie lässt sich beurteilen, ob ein Cloud- oder SASE-Anbieter die Anforderungen an Datenresidenz und -lokalisierung der EU erfüllt?
   Eine fundierte Bewertung muss rechtliche, technische, organisatorische und vertragliche Faktoren einbeziehen:

• Zweckbindung: Welche Daten werden geteilt und wofür?
• Rechtliche Rahmenbedingungen: Sitzt der Anbieter im EU-/EWR-Raum oder unterliegt er ausländischem Recht mit extraterritorialer Wirkung (z. B. US CLOUD Act)?
• Datenstandort & Datenflüsse: Wo werden Daten physisch gespeichert? Wie verlaufen grenzüberschreitende Datenflüsse?
• Zugriffs- & Zugriffsschutz: Welche technischen und organisatorischen Massnahmen bestehen zur Sicherung von Zugriffen und zur Wahrung der Souveränität?
• Vertragliche Absicherung: Gibt es Nachweise wie Zertifikate, Auditrechte und Kontrollmechanismen?

Nur durch eine kombinierte Antwort auf all diese Fragen erlaubt eine Einschätzung, ob ein Anbieter den Anforderungen an Datenlokalisierung wirklich gerecht wird.

4. Welche rechtlichen oder finanziellen Folgen drohen bei Nichteinhaltung der Datensouveränität?
   Die Nichteinhaltung entsprechender Vorgaben kann gravierende rechtliche, finanzielle und geschäftliche Folgen haben. In der EU drohen im Falle eines DSGVO-Verstosses Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Auch in anderen Ländern werden empfindliche Sanktionen für unerlaubte Datenübermittlungen verhängt. Darüber hinaus riskieren Unternehmen Vertragsverletzungen, Schadensersatzforderungen und den Verlust wichtiger Kundenbeziehungen. Noch schwerer wiegt jedoch der Reputationsschaden: Ein Vertrauensverlust bei Kunden, Partnern oder Investoren kann langfristige Auswirkungen haben.
   Fazit: Datensouveränität ist mehr als Compliance. Sie ist ein strategischer Risikofaktor mit potenziell existenzieller Tragweite.
5. Viele Unternehmen sehen sich gleichzeitig mit DSGVO, DSG, NIS2, DORA und dem EU AI Act konfrontiert. Wie unterstützt Open Systems mit seinem SASE-Angebot beim Umgang mit dieser regulatorischen Komplexität?
   Mit zunehmendem regulatorischem Druck müssen Organisationen ihre Sicherheitsarchitektur, Governance und Nachweisfähigkeit deutlich stärken. Unsere Managed Services helfen Kunden dabei, zentrale Anforderungen praxisnah umzusetzen:

• Identifikation: Transparenz über kritische Assets, Risiken und Abhängigkeiten
• Schutz: Netzwerkbasierte Sicherheitskontrollen, Zugriffsteuerung und Zero Trust
• Erkennung: Kontinuierliches Monitoring und Anomalieerkennung via Network Operations Center (NOC)
• Reaktion: Schnelle Incident Response, Meldeprozesse und technische Eindämmung
• Risikomanagement: Beratung zu Cyber- und operationellen Risiken
• Third-Party Management: Überwachung und Steuerung von Dienstleistern

Unsere Services unterstützen Kunden dabei, regulatorische Anforderungen nicht nur zu erfüllen, sondern operativ umzusetzen – mit mehr Resilienz, Kontrolle und Audit-Fähigkeit.

6. Wo werden Kundendaten in Ihrer SASE-Infrastruktur gespeichert und verarbeitet?
   Kundendaten werden derzeit entweder in unseren eigenen Rechenzentren in der Schweiz oder in der Region „Switzerland North“ von Microsoft Azure gespeichert und verarbeitet.
7. Befinden sich Ihre Cloud-Nodes und Rechenzentren ausschlieaalich innerhalb der EU? Wenn ja, wie garantieren Sie das?
   Ja. Microsoft verpflichtet sich im Rahmen definierter Servicegrenzen dazu, Kundendaten innerhalb der EU zu speichern. Open Systems nutzt Microsoft als Cloud-Anbieter und konfiguriert seine Services so, dass die Datenresidenz in der EU gewahrt bleibt. Bestimmte technische Operationen (z. B. Support, Telemetrie) können dennoch in Ausnahmefällen ausserhalb der EU stattfinden.
   Im Rahmen der EU Data Boundary-Initiative arbeitet Microsoft daran, alle Kunden- und Betriebsdaten dauerhaft innerhalb der EU zu halten. Open Systems verfolgt diese Entwicklung aktiv.
8. Wie stellt Open Systems sicher, dass die Datenresidenz und der Zugriff auf Kundendaten innerhalb der SASE-Infrastruktur kontrolliert werden?
   Kundendaten werden entweder in unseren eigenen Rechenzentren oder in unserem dedizierten Microsoft-Azure-Tenant in der Schweiz gespeichert. Der Zugriff wird durch technische, organisatorische und vertragliche Massnahmen umfassend abgesichert.
9. Wie stärken Zertifizierungen wie ISO/IEC 27001, 27017, 27018 und SOC 1 Type 2 das Vertrauen in Open Systems?
   Diese Zertifizierungen belegen, dass wir etablierte Sicherheits- und Datenschutzstandards einhalten und regelmässig durch unabhängige Auditoren überprüfen lassen. Auf Anfrage stellen wir Kunden und Interessenten Details zu unseren ISO- und SOC-Zertifizierungen zur Verfügung. Zudem stehen unsere Legal- und Compliance-Teams für individuelle Fragen zur Verfügung.
10. Wie geht Open Systems mit Anfragen von Drittstaaten um, die Zugriff auf EU-Kundendaten verlangen?
    Wir folgen gesetzlich zulässigen Anfragen, informieren betroffene Parteien (soweit erlaubt) und begrenzen die Offenlegung auf das rechtlich erforderliche Minimum. Dazu gehört:

• Prüfung der Rechtsgrundlage und Reichweite der Anfrage
• Einbindung von Rechtsberatung hinsichtlich DSGVO-Konformität
• Dokumentierte Abstimmung mit dem Anbieter zur Beschränkung der Offenlegung

11. Wie begegnet Open Systems Risiken durch ausländische Zugriffsgesetze wie dem US CLOUD Act?
    Wir minimieren diese Risiken durch Datenhaltung in der Schweiz oder der EU und durch Verträge mit dort ansässigen Rechtseinheiten. Dadurch bleibt die Datenhoheit bei unseren Kunden, unter dem Schutz europäischer bzw. schweizerischer Datenschutzstandards. Darüber hinaus arbeiten wir bevorzugt mit zertifizierten Anbietern und begrenzen Drittland-Zugriffe von vornherein. In bestimmten Kundenszenarien erfolgt die Datenhaltung ausschließlich in der Schweiz. Zusätzlich führen wir bei sensiblen Einsatzbereichen wie NGOs eine Sanktions- und Risikoanalyse durch.
12. Transparenz schafft Vertrauen. Welche Fragen stellen Kunden besonders häufig zu Datensouveränität?
    Kunden stellen regelmässig Fragen im Rahmen von Audits, Due Diligences oder zu Branchenspezifika. Besonders häufig geht es um:

• Wo befinden sich unsere Daten?
• Wer hat Zugriff auf unsere Informationen?
• Gibt es eine dokumentierte Datenpolitik bei Open Systems?
• Wie gehen wir mit KI-basierten Technologien um?

Diese Fragen beantworten wir proaktiv und transparent – mit Dokumentation, direktem Dialog und klaren Prozessen.

13. Welche regulatorischen Trends zeichnen sich ab – und wie positioniert sich Open Systems?
    Ein zentraler Fokus liegt aktuell auf KI-Regulierung. Open Systems setzt KI verantwortungsbewusst ein und orientiert sich an anerkannten Governance-Prinzipien. Gleichzeitig bereiten wir uns aktiv auf NIS2 und DORA vor, unter anderem durch interne Reviews und Kunden-Whitepapers. Auch der EU Cyber Resilience Act wird bereits antizipiert, um die Compliance zukunftssicher zu gestalten.

Fazit: In einer Zeit, in der Vertrauen zur digitalen Währung geworden ist, ist Datensouveränität kein reines Legal-Thema mehr. Sie ist vielmehr eine strategische Notwendigkeit. Open Systems begegnet diesem Anspruch mit Transparenz, Technologiekompetenz und regulatorischem Weitblick. Unsere Kunden profitieren so von Lösungen, die nicht nur gesetzeskonform, sondern auch zukunftsfähig sind.