Wenn Du ein Schweizer KMU führst und Kundendaten bei Google Drive, Microsoft 365 oder einem anderen US-Cloud-Dienst speicherst, dann gibt es etwas, das Du wissen solltest: US-Behörden können auf diese Daten zugreifen, auch wenn die Server physisch in Zürich stehen.

Das ist keine Übertreibung. Es ist geltendes Recht.

Der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act), seit 2018 in Kraft, verpflichtet US-Cloud-Anbieter, amerikanischen Strafverfolgungsbehörden Zugang zu Kundendaten zu gewähren, unabhängig vom Serverstandort.[^1] Entscheidend ist nicht, wo die Daten liegen, sondern ob der Anbieter einen rechtlichen Bezug zu den USA hat. Das trifft auf Google, Microsoft, Amazon und deren europäische Tochtergesellschaften zu.[^2]

Wir bei Septhos haben daraus Konsequenzen gezogen. In diesem Beitrag zeigen wir, warum wir umgestellt haben, was wir konkret einsetzen, wo die Alternativen überzeugen und wo es ehrliche Abstriche gibt.

Was sich in der Schweiz gerade bewegt

Im November 2025 hat privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, eine Resolution verabschiedet: Die Auslagerung von sensitiven Personendaten in internationale Cloud-Lösungen sei für Behörden in den meisten Fällen unzulässig.[^3] Die Resolution ist nicht rechtlich bindend, aber sie zeigt die Richtung. Die Zürcher Datenschutzbeauftragte Dominika Blonski betonte in einem Interview mit der Netzwoche, dass Zugriffe durch US-Behörden real stattfinden und es an vollständiger Transparenz darüber fehlt.[^2]

Die Zahlen zeigen, dass das Thema in der Wirtschaft angekommen ist: Laut einer Studie fürchten 58 % der Schweizer Firmen die Abhängigkeit von globalen Cloud-Anbietern.[^4] Das NZZ KMU-Barometer 2025 zeigt, dass 43 % der befragten Unternehmen ihre Firma durch die Abhängigkeit von amerikanischen Techdienstleistungen als bedroht einstufen. 88 % sehen wegen der geopolitischen Spannungen Handlungsbedarf bei der IT-Sicherheit.[^5]

Das betrifft nicht nur Behörden und Grossunternehmen. Es betrifft jedes Treuhandbüro, jede Beratungsfirma, jede Agentur, die vertrauliche Kundendaten verarbeitet. In unserem letzten Beitrag haben wir bereits beschrieben, wie schnell sensible Daten über vermeintlich harmlose KI-Nutzung in fremde Clouds gelangen. Die Souveränitätsfrage geht aber weiter: Sie betrifft die gesamte Infrastruktur.

Warum wir umgestellt haben

Wir arbeiten täglich mit vertraulichen Kundendaten: Strategiepapiere, Geschäftszahlen, Daten rund um KI-Projekte. Irgendwann stand die Frage im Raum: Können wir glaubwürdig Datenstrategie anbieten, wenn unsere eigenen Daten bei US-Konzernen liegen?

Die ehrliche Antwort war: Nein. Also haben wir angefangen, unsere Infrastruktur Schritt für Schritt umzubauen.

Nextcloud statt Google Drive

Nextcloud Hub ist eine umfassende Kollaborationsplattform, nicht nur ein Dateispeicher. Sie vereint Dateien, E-Mail-Client, Kalender, Kontakte, Videokonferenzen (Nextcloud Talk), Aufgabenmanagement (Deck), ein Wiki (Collectives) und eine Office-Suite in einem System.[^6] Chat-Nachrichten lassen sich direkt in Aufgaben umwandeln, Termine aus E-Mails in den Kalender übernehmen, Dateien in Videokonferenzen gemeinsam bearbeiten. Das aktuelle Hub 26 Winter unterstützt sogar die Zusammenarbeit über verschiedene Nextcloud-Instanzen hinweg (Federation).

Und ja, es gibt KI-Integration. Der Nextcloud Assistant läuft lokal auf dem eigenen Server und bietet unter anderem Textzusammenfassungen, E-Mail-Thread-Zusammenfassungen, Übersetzungen, Transkription von Anrufen, Dokumentengenerierung und eine kontextbezogene Suche über alle gespeicherten Dokumente. Die KI-Modelle (z.B. Llama, Whisper) laufen dabei vollständig auf der eigenen Infrastruktur, kein einziges Byte geht an Drittanbieter. Wer möchte, kann alternativ externe APIs (wie OpenAI) anbinden, das ist eine bewusste Entscheidung, keine Pflicht.

Wo sind die Abstriche? Die Integration mit Copilot bei Microsoft ist bequem und vielseitig: Zusammenfassungen, Entwürfe, Analysen über alle Office-Dokumente, E-Mails und Kalender hinweg. Aber Copilot sieht dabei alles, jede Datei, jede Mail, jeder Kalendereintrag wird potenziell verarbeitet, und die Datenverarbeitung lässt sich nicht vollständig kontrollieren. Die Bequemlichkeit hat einen Preis, und der heisst Vendor Lock-in plus Kontrollverlust. Der Nextcloud Assistant ist noch nicht auf dem gleichen Niveau wie Copilot, aber er entwickelt sich schnell und die Daten bleiben nachweislich bei Dir.

Stalwart Mail statt Gmail

Beim E-Mail-Server setzen wir auf Stalwart, einen modernen, quelloffenen Mail- und Collaboration-Server, geschrieben in Rust. Stalwart unterstützt klassisches IMAP und SMTP, dazu das neuere JMAP-Protokoll sowie CalDAV, CardDAV und WebDAV.[^7] Du kannst ganz normal Thunderbird, Apple Mail oder Outlook verwenden.

JMAP ist effizienter als das über 30 Jahre alte IMAP, ist aber noch nicht breit unterstützt in gängigen Clients. Stalwart ist zudem noch nicht bei Version 1.0, und das integrierte Webmail ist für 2026 angekündigt. Es ist ein ambitioniertes Projekt, kein fertiges Produkt à la Gmail. Aber es funktioniert.

Ein Punkt, der uns wichtig ist: Souveränität muss über die ganze Kette gedacht werden. Wer Stalwart als Server betreibt, aber die Mails dann über den Gmail-Client abruft, gibt Google trotzdem Einblick in die Inhalte. Die Hoheit über den Server hat man zwar, aber der Schutz ist nur so stark wie das schwächste Glied.

Vaultwarden, AFFiNE und mehr

Passwörter verwalten wir mit Vaultwarden, einem schlanken, selbst gehosteten Server, der mit allen Bitwarden-Apps kompatibel ist. Für Wissensmanagement nutzen wir AFFiNE, eine Open-Source-Alternative zu Notion, die Dokumente, Whiteboards und Datenbanken vereint. Noch jung, aber vielversprechend.

Das Muster ist bei allen Tools ähnlich: Es gibt für praktisch jede US-Cloud-Lösung eine quelloffene Alternative, nicht immer so poliert, aber funktional und unter eigener Kontrolle.

KI: Die heikelste Baustelle

Beim Thema KI wird die Souveränitätsfrage besonders relevant. Jeder Prompt und jedes hochgeladene Dokument, das an OpenAI, Anthropic oder Google geht, verlässt die eigene Unternehmensumgebung.

Es gibt heute mehrere Wege, damit umzugehen. Wer LLMs selbst hosten möchte, kann das mit Open-Source-Modellen wie Llama oder Mistral tun. Für den produktiven Einsatz in der Schweiz bietet beispielsweise Phoeniqs eine souveräne KI-Plattform mit GPU-Infrastruktur in Basel an.[^8]

Besonders interessant finden wir Euria von Infomaniak: ein KI-Assistent, der vollständig in der Schweiz betrieben wird, auf Open-Source-Modellen basiert und keine Daten für Training verwendet.[^9] Euria bietet Textgenerierung, Dokumentenanalyse, Transkription und Websuche und ist in die kSuite integriert. Die Leistung liegt noch nicht auf dem Niveau eines Claude oder GPT-4, aber für viele Anwendungsfälle ist es eine solide, souveräne Alternative. Und die Abwärme der Rechenzentren fliesst ins Genfer Fernwärmenetz.

Beim Coding gibt es ebenfalls Optionen: Wer mit Open-Source-Tools wie Open Code arbeitet und ein eigenes Modell dahinter setzt, behält die volle Kontrolle über Code und Daten.

Die ehrliche Bilanz

Wer eigene Software betreibt, braucht ein Minimum an technischer Expertise. Server aufsetzen, Updates einspielen, Backups prüfen. Die eigentliche Investition ist weniger Geld als Zeit und Lernbereitschaft. Einen VPS bei einem Schweizer Hoster wie Hosttech oder Infomaniak, oder bei einem europäischen Anbieter wie Hetzner, gibt es für wenige Franken im Monat. Das sind nur Beispiele, es gibt noch weitere gute Anbieter.

Nextcloud, Vaultwarden und der allgemeine Server-Betrieb laufen ausgereift und stabil. Stalwart ist vielversprechend, aber noch jung. AFFiNE ist aktiv in Entwicklung. Die nahtlose "alles aus einer Hand"-Erfahrung von Google Workspace hat ihren Grund, und sie hat ihren Preis in Form von Abhängigkeit.

Für alle, die es einfacher wollen

Nicht jedes kleine Unternehmen muss eigene Server betreiben. Wer trotzdem unabhängiger von US-Anbietern werden möchte, ohne zum Sysadmin zu werden, findet mit Infomaniaks kSuite eine valide Gesamtlösung: Cloud-Speicher, E-Mail, Videokonferenzen und Messaging in einer Plattform, komplett in der Schweiz gehostet und entwickelt, ab CHF 1.90 pro Monat und Nutzer.[^10] Dazu kommt mit Euria ein integrierter KI-Assistent.[^9]

Für kleine Businesses lohnt es sich oft schlicht nicht, jede Software selbst zu betreiben. Aber die bewusste Wahl eines europäischen oder Schweizer Anbieters statt eines US-Hyperscalers ist bereits ein grosser Schritt in Richtung Souveränität.

Warum Souveränität ein Innovationsmotor ist

Bis hierhin klingt das Ganze vor allem nach Risikominimierung. Aber Souveränität ist mehr als eine Schutzmassnahme. Sie verändert, wie Du über Deine Infrastruktur nachdenkst, und das hat handfeste Vorteile.

Du verstehst Deine eigene Infrastruktur. Wer bei Google oder Microsoft alles "einfach nutzt", weiss oft erstaunlich wenig darüber, wie die eigene IT tatsächlich aufgebaut ist. Der Umstieg auf souveräne Tools zwingt Dich, Deine Datenflüsse, Abhängigkeiten und Schwachstellen zu durchdenken. Dieses Verständnis ist die Grundlage für jede sinnvolle Digitalisierungsstrategie.

Du wirst flexibler. Vendor Lock-in bedeutet nicht nur Abhängigkeit, sondern auch eingeschränkte Handlungsfähigkeit. Wer auf offene Standards und quelloffene Software setzt, kann Anbieter wechseln, Komponenten austauschen oder neue Tools integrieren, ohne dass das ganze System neu aufgebaut werden muss. Nextcloud spricht CalDAV, CardDAV und WebDAV. Stalwart unterstützt IMAP, SMTP und JMAP. Das sind offene Protokolle, keine proprietären Schnittstellen. Wenn morgen ein besseres Tool erscheint, kannst Du wechseln.

Du kannst KI auf Deinen eigenen Daten trainieren und einsetzen, ohne sie rauszugeben. Das ist der vielleicht grösste Innovationshebel. Wer seine Daten im eigenen Haus hat, kann lokale KI-Modelle auf firmenspezifische Dokumente, Prozesse und Wissen anwenden. Der Nextcloud Assistant mit Context Chat durchsucht interne Dokumente per natürlicher Sprache, komplett lokal.[^6] Das ist mit Google Drive und Copilot auch möglich, aber dort verlassen die Daten Deine Kontrolle. Wer sensible Kundendaten hat, Treuhänder, Anwälte, Berater, der kann lokale KI nutzen, wo andere abwinken müssen.

Du differenzierst Dich. In einer Welt, in der Datenschutz zunehmend zum Entscheidungskriterium wird, ist Souveränität ein Vertrauenssignal. Wenn Du Deinem Kunden sagen kannst: "Deine Daten verlassen nie unsere Infrastruktur und unterliegen ausschliesslich Schweizer Recht", dann ist das kein technisches Detail. Es ist ein Wettbewerbsvorteil. Laut digitalswitzerland ist digitale Souveränität die Grundlage für einen innovativen und widerstandsfähigen Digitalstandort Schweiz.[^11]

Souveränität ist also nicht die Bremse, als die sie oft wahrgenommen wird. Sie schafft die Voraussetzungen, um Technologie gezielt und auf die eigenen Bedürfnisse hin einzusetzen, statt sich an die Möglichkeiten und Grenzen eines einzigen Anbieters anzupassen.

Fazit: Souveränität beginnt mit einer Frage

Digitale Souveränität heisst nicht, sich abzuschotten, und es heisst nicht, dass alles perfekt sein muss. Es heisst, bewusste Entscheidungen zu treffen: Wo liegen unsere Daten? Wer kann darauf zugreifen? Was passiert, wenn unser Anbieter morgen die Preise verdoppelt oder die Regeln ändert?

Es gibt kein perfektes Setup. Aber es gibt ein Spektrum: Von "alles bei Google" über kSuite als komfortablen Kompromiss bis hin zu einem vollständig selbst gehosteten Stack. Die richtige Position auf diesem Spektrum hängt von Deinem Unternehmen, Deinen Kunden und Deinem Risikoappetit ab.

Souveränität ist kein Luxus und keine Bremse. Es ist eine Architekturentscheidung, die Dein Unternehmen langfristig handlungsfähiger, flexibler und vertrauenswürdiger macht. Und wie jede gute Architektur beginnt sie mit einem Plan.

[^1]: Datenschutzbeauftragte des Kantons Zürich, CLOUD Act – Grundbegriffe und Definitionen, abgerufen April 2026. [^2]: Netzwoche, Wie US-Clouds die digitale Souveränität der Schweiz unter Druck setzen, Januar 2026. Interview mit der Zürcher Datenschutzbeauftragten Dominika Blonski. [^3]: privatim, Resolution zur Auslagerung von Datenbearbeitungen in die Cloud, November 2025. [^4]: Rewion / ISG-Studie, Digitale Souveränität statt Cloud-Abhängigkeit, Juli 2025. [^5]: NZZ, KMU-Barometer 2025: Schweizer Unternehmen verunsichert, Juni 2025. [^6]: Nextcloud, Hub – Kollaborationsplattform mit integriertem KI-Assistenten, abgerufen April 2026. Details zum Assistant: nextcloud.com/assistant. [^7]: Stalwart Labs, Stalwart – Open-Source Mail & Collaboration Server, abgerufen April 2026. [^8]: Phoeniqs, Swiss Sovereign Cloud & AI Platform, abgerufen April 2026. [^9]: Infomaniak, Euria – Der souveräne KI-Assistent, Dezember 2025. [^10]: Infomaniak, kSuite – Swiss-made Alternative zu Google Workspace und Microsoft 365, abgerufen April 2026. [^11]: digitalswitzerland, Digitale Souveränität: Grundlage für eine sichere und wettbewerbsfähige Schweiz, November 2025.