Microsoft hat auf die steigenden regulatorischen Anforderungen in Europa reagiert und ein umfassendes Portfolio an Souveränitätslösungen entwickelt. Diese reichen von der Microsoft Cloud for Sovereignty, welche erweiterte Kontrollen in der Public Cloud bietet, bis hin zu juristisch und physisch getrennten Angeboten. Neu im Portfolio ist Microsoft 365 Local - eine vollständig vom Internet getrennte On-Premises-Lösung für Organisationen mit höchsten Sicherheitsanforderungen. Diese gestaffelte Strategie ermöglicht es Schweizer Unternehmen, eine passgenaue Balance zwischen den Vorteilen der Cloud-Technologie und der Erfüllung strengster Compliance- und Kontrollvorgaben zu finden. Das zahlt sich insbesondere im Finanzwesen, Gesundheitssektor oder in der öffentlichen Hand aus. 

Der strategische Treiber: Warum Souveränität mehr als nur ein Schlagwort ist. 

Die Diskussion rund um digitale Souveränität ist längst keine theoretische mehr. Sie wird angetrieben von handfesten politischen und rechtlichen Realitäten: 

• Die DSGVO (GDPR): Verpflichtet Organisationen zu strengen Regeln beim Umgang mit personenbezogenen Daten – auch in der Cloud. 

• Das "Schrems II"-Urteil: Erklärt das EU-US Privacy Shield für ungültig und erschwert Datentransfers in die USA erheblich. 

• Der US CLOUD Act: Verpflichtet amerikanische Anbieter unter Umständen zur Herausgabe von Daten – unabhängig davon, wo diese gespeichert sind. Das widerspricht europäischen Datenschutzprinzipien fundamental. 

Unternehmen, insbesondere in regulierten Branchen wie Finanzwesen, Gesundheit oder öffentlichem Sektor, sehen sich gezwungen nach Lösungen zu suchen, die nicht nur den Datenstandort garantieren, sondern auch die Kontrolle über die Datenverarbeitung maximieren. 

Die Lösung für die Public Cloud: Microsoft Cloud for Sovereignty. 

Für Kunden, die die Public Cloud nutzen, aber mehr Kontrolle brauchen, bietet Microsoft die Cloud for Sovereignty. Das ist keine eigene Cloud. Vielmehr ist es ein Baukasten aus Werkzeugen und Leitplanken, auf Basis der öffentlichen Azure-Cloud, um eine kontrollierte Umgebung zu schaffen. 

Die Umsetzung erfolgt durch vordefinierte Architekturen und Richtlinien (Policies), die bestimmte Sicherheits- und Kontrollstandards durchsetzen. Dazu gehören beispielsweise: 

• Standortbeschränkungen: Nur Dienste in den freigegebenen EU/EFTA-Regionen können bereitgestellt werden. 

• Verschlüsselung mit Kundenschlüsseln: Die Nutzung von Azure Key Vault mit kundenseitig verwalteten Schlüsseln wird zur Pflicht, sodass nur der Kunde die Hoheit über die kryptografischen Schlüssel behält. 

• Nutzung von Confidential Computing: Diese Technologie schützt Daten nicht nur im Ruhezustand und bei der Übertragung, sondern auch während der Verarbeitung im Arbeitsspeicher. 

Zusätzlich wird das Angebot durch Data Guardian ergänzt. Dieses Feature stellt sicher, dass Fernzugriffe auf Systeme, die Kundendaten speichern, von in Europa ansässigem Personal in Echtzeit kontrolliert und überwacht werden. 

Lösungen für maximale Kontrolle: Von Nationalen Clouds bis M365 Local. 

 Für Organisationen mit den allerhöchsten SIcherheitsanforderungen geht Microsofts Strategie noch weiter und bietet Lösungen, die juristische und physische Trennung ermöglichen. 

National Partner Clouds: Hier lizenziert Microsoft seine Technologie an ein lokales, EU-ansässiges Unternehmen. Das bekannteste Beispiel ist "Bleu" in Frankreich, betrieben von Orange und Capgemini. Da der Betreiber keine US-Firma ist, zielt dieses Modell darauf ab, eine juristische Immunität gegenüber dem CLOUD Act zu schaffen. 

Microsoft 365 Local leistet die extremste Form an Souveränität und richtet sich an Kunden, die überhaupt keine Public-Cloud-Anbindung haben dürfen.  

• Was es ist: Eine Version von Microsoft 365, die vollständig auf der eigenen Hardware des Kunden in dessen Rechenzentrum läuft ("On-Premises"). Sie kann komplett vom Internet getrennt ("air-gapped") betrieben werden. 

• Für wen: Primär für den öffentlichen Sektor, Geheimdienste oder kritische Infrastrukturen mit höchsten Sicherheits- und Resilienz-Anforderungen. 

• Technologie: Das System basiert auf "Azure Local" und bündelt die Server-Versionen von Diensten wie Exchange und SharePoint in einer einzigen, validierten Architektur. 

Was bedeutet das für Ihre Organisation? Ein Entscheidungsbaum. 

Die verschiedenen Angebote ermöglichen eine differenzierte Strategie – je nach Branche, Risikoexposition und regulatorischem Rahmen: 

Szenario A: Standard-Workloads  
Fokus: DSGVO-Compliance 

Für Unternehmen mit normalen Datenschutzanforderungen (KMU, Retail, Bildungseinrichtung), die Cloud-Vorteile wie Skalierbarkeit und Effizienz nutzen wollen ist die standardmässige EU Data Boundary eine ausreichende und pragmatische Lösung. 

Szenario B: Regulierte Workloads  
Fokus: Erweiterte Kontrolle & Auditierbarkeit 

Organisationen aus dem Finanz-, Gesundheits- oder Energiesektor sollten die Microsoft Cloud for Sovereignty evaluieren, um die nötigen, nachweisbaren Kontrollen zu implementieren. 

Szenario C: Kritische nationale Daten  
Fokus: Juristische & Physische Souveränität 

Für Regierungsbehörden ist eine National Partner Cloud der richtige Ansatz, um das Risiko eines ausländischen Datenzugriffs juristisch zu minimieren. 

Für Organisationen, die eine komplette physische und operative Kontrolle in einem "Air-Gapped"-Szenario benötigen, ist Microsoft 365 Local die designierte Lösung. 

Strategische Überlegungen und offene Fragen. 

Die Umsetzung einer souveränen Cloud-Strategie ist komplex – und mit wichtigen Überlegungen verbunden: 

• Komplexität & Aufwand: Wie aufwändig ist es, die erweiterten Kontrollen zu implementieren oder in eine On-Premises-Umgebung zu migrieren? 

• Kosten: Mit welchem Preisaufschlag sind die souveränen Lösungen verbunden – insbesondere Microsoft 365 Local? 

• Feature-Parität: Wie schnell erhalten National Partner Clouds und M365 Local neue Funktionen und Sicherheitsupdates? 

• Vergleich zum Wettbewerb: Wie schneidet Microsofts Ansatz im Vergleich zur "AWS European Sovereign Cloud" ab, die als eigenständige rechtliche und operative EU-Entität konzipiert ist? 

viu hilft dir, diese Fragen in deinem spezifischen Kontext zu beantworten und eine souveräne Architektur zu gestalten, die Sicherheit und Innovationskraft in Einklang bringt.