Stellen Sie sich vor, Sie hätten Ihre wichtigsten Geschäftsunterlagen in einem Schweizer Safe deponiert. Der Safe steht in der Schweiz, er trägt ein Schweizer Schloss, und das Mietunternehmen wirbt mit “höchsten Schweizer Datenschutzstandards”. Was Sie beim Unterschreiben des Vertrags vielleicht nicht gelesen haben: Das Unternehmen, das den Safe herstellt und betreibt, hat seinen Hauptsitz in den USA. Und nach amerikanischem Recht kann es von US-Behörden jederzeit gezwungen werden, den Safe zu öffnen – ohne Ihr Wissen, ohne Ihr Einverständnis, ohne dass Sie je davon erfahren.
Genau das ist die Situation, in der sich heute Millionen von Unternehmen in der Schweiz und Deutschland befinden. Sie nutzen Microsoft 365, Google Workspace, Salesforce, Slack, Dropbox oder HubSpot – und glauben, dass ein europäisches Rechenzentrum sie schützt. Ein Rechtsgutachten der Universität zu Köln, im März 2025 im Auftrag des deutschen Bundesinnenministeriums verfasst und im Dezember 2025 durch eine Informationsfreiheitsanfrage öffentlich geworden, räumt mit dieser Illusion auf. Schwarz auf weiss, mit juristischer Präzision: Der Serverstandort schützt nicht. Die US-Behörden haben Zugriff. Und die Datenschutzmechanismen, auf die sich viele verlassen, stehen auf tönernen Füssen.
Gleichzeitig zeigt ein aktueller Fall aus der Schweiz, wie ernst die Lage genommen wird: Die Stadt Zürich – eine der digitalisiertesten Verwaltungen des Landes – hat im Mai 2026 offiziell bestätigt, dass sie aktiv an einem Ausstieg aus Microsoft 365 arbeitet. Die Lizenzkosten haben sich in sieben Jahren vervierfacht. Der politische Druck von SVP bis SP ist enorm. Und das Stichwort, das in der Stadtregierung fällt, ist dasselbe, das in jedem ernsthaften IT-Strategie-Gespräch auftaucht: Vendor Lock-in.
Dieser Artikel erklärt, was das Uni-Köln-Gutachten konkret bedeutet, warum die Situation für Unternehmen in der Schweiz und Deutschland besonders heikel ist, was Vendor Lock-in wirklich kostet – und warum Zoho One als nicht-amerikanische, vollintegrierte Plattform eine strukturell überzeugende Antwort für Unternehmen auf beide Probleme gleichzeitig bietet.
Warum der US Cloud Act jedes Schweizer Unternehmen betrifft
Teil I: Das Gutachten der Universität Köln – eine juristische Abrechnung mit der Cloud-Illusion
Das Rechtsgutachten der Universität zu Köln, verfasst für das Bundesinnenministerium, sollte eigentlich eine nüchterne juristische Analyse sein. Es wurde zur Sprengstofflage. Die zentrale Frage war simpel: Können US-Behörden auf Cloud-Daten zugreifen, die in Europa gespeichert sind? Die Antwort ist eindeutig: Ja. Und zwar auf der Basis mehrerer sich überlagernder US-Rechtsnormen.
CLOUD Act: Der bekannteste, aber nicht der einzige Hebel
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 ist das bekannteste Instrument. Er verpflichtet US-Unternehmen, auf behördliche Anordnung Daten herauszugeben – unabhängig vom physischen Speicherort. Entscheidend ist die Unternehmensgerichtsbarkeit, nicht die Adresse des Rechenzentrums. Ein Microsoft-Server in Dublin, ein Google-Rechenzentrum in Frankfurt, ein AWS-Datenzentrum in Zürich – alle unterliegen dem CLOUD Act, weil Microsoft, Google und Amazon US-Unternehmen sind.
Das Gutachten stellt aber klar: Der CLOUD Act ist nicht das einzige Problem. Section 702 des Foreign Intelligence Surveillance Act (FISA) erlaubt US-Behörden die Überwachung von Nicht-US-Personen ausserhalb der USA – ohne richterlichen Durchsuchungsbefehl, lediglich mit einer jährlichen Zertifizierung durch den Foreign Intelligence Surveillance Court. Der Stored Communications Act (SCA) ergänzt das Arsenal. Zusammen bilden diese Gesetze ein rechtliches Netz, das über jeden Cloud-Datenstrom gelegt ist, der durch ein US-Unternehmen läuft.
Die “Sovereign Cloud” – ein Marketingversprechen ohne juristische Grundlage
Was Unternehmensverantwortliche besonders beunruhigen sollte: Das Gutachten widerlegt ausdrücklich die Vorstellung, dass gängige vertragliche Schutzmechanismen – Standardvertragsklauseln (SCCs), EU-Sovereign-Cloud-Labels oder bilaterale Datenabkommen – ausreichenden Schutz bieten. Microsoft hat bei einer offiziellen Anhörung in Frankreich selbst bestätigt, dass das Unternehmen keine absolute Garantie geben kann, dass EU-Kundendaten niemals an US-Behörden weitergegeben werden. Eine solche Garantie ist nach US-Recht strukturell unmöglich.
Auch Verschlüsselung bietet keinen vollständigen Schutz: Das Gutachten stellt klar, dass US-Recht auf “Kontrolle” abstellt. Anbieter, die sich technisch vom Zugriff ausschliessen wollen, riskieren Sanktionen in den USA. Und das EU-US Data Privacy Framework, der Nachfolger von Safe Harbor und Privacy Shield, steht seit Anfang 2025 unter zusätzlichem Druck: Die Trump-Administration hat drei Mitglieder des Privacy and Civil Liberties Oversight Board – der Aufsichtsbehörde, die die Einhaltung der Datenschutzgarantien überwachen soll – entlassen.
|
„US-Behörden verfügen über weitreichende, extraterritoriale Zugriffsrechte auf Daten, die die Grundprinzipien der EU-Datensouveränität fundamental untergraben – unabhängig vom physischen Speicherort der Daten.“ — Gutachten der Universität zu Köln, im Auftrag des Bundesinnenministeriums Deutschland, März 2025 |
Was das für Schweizer und europäsiche Unternehmen bedeutet
Für Unternehmen in der Schweiz kommt eine besondere Dimension hinzu: Das revidierte Datenschutzgesetz (nDSG), seit September 2023 in Kraft, fordert in Artikel 16 und 17 angemessenen Schutz bei der Übermittlung von Personendaten ins Ausland. Der CLOUD Act ermöglicht einen extraterritorialen Datenzugriff, für den weder ein bilaterales Rechtshilfeabkommen noch die im nDSG geforderten Schutzgarantien vorliegen.
Für deutsche Unternehmen ist die Situation nach DSGVO vergleichbar: Artikel 48 verbietet die Übermittlung personenbezogener Daten an Nicht-EU-Behörden auf Basis ausländischer Anordnungen ohne internationales Abkommen. Der CLOUD Act nutzt kein solches Abkommen – er umgeht es. Der Rechtskonflikt ist strukturell und durch keine Vertragsklausel auflösbar. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei der Nutzung von US-Cloud-Diensten für sensible Daten daher nicht optional, sondern rechtlich geboten.
Teil II: Der Fall Zürich – was Vendor Lock-in wirklich bedeutet
Was die Stadt Zürich gerade erlebt, ist ein Lehrstück über die realen Kosten digitaler Abhängigkeit. Die Ausgaben für Microsoft-Software haben sich in sieben Jahren vervierfacht. Dieser Anstieg ist nicht die Folge von mehr Nutzern oder mehr Leistung – er ist die direkte Konsequenz des Vendor Lock-ins: Wenn ein Anbieter weiss, dass ein Wechsel für den Kunden prohibitiv teuer und komplex ist, kann er die Preise nahezu beliebig erhöhen.
Was Vendor Lock-in strukturell bedeutet
Vendor Lock-in entsteht, wenn ein Unternehmen oder eine Organisation so tief in die Werkzeuge, Datenformate, Prozesse und Schnittstellen eines einzigen Anbieters eingebettet ist, dass ein Wechsel einen unverhältnismässig hohen Aufwand erfordern würde. Bei Microsoft 365 sind das: proprietäre Dateiformate (.docx, .xlsx, .pptx), die zwar offen spezifiziert, aber in ihrer vollen Komplexität nur von Microsoft-Produkten vollständig unterstützt werden; tief integrierte Workflows zwischen Outlook, Teams, SharePoint, Azure AD und OneDrive; Mitarbeitende, die ausschliesslich die Microsoft-Benutzeroberfläche kennen; und IT-Infrastrukturen, die auf Microsoft-spezifische Authentifizierung und Verwaltungstools aufgebaut sind.
Die Zürcher Stadtverwaltung hat 2026 in einer eigens in Auftrag gegebenen Studie gemeinsam mit der Berner Fachhochschule festgestellt: Eine vollständige Ablösung von M365 wäre “derzeit noch nicht möglich”. Das ist der Vendor Lock-in in Reinform. Nicht weil die Alternative technisch nicht existiert – es gibt sie, unter anderem als webbasierte Open-Source-Lösung “openDesk”, die die Stadt jetzt in einem Pilotversuch testet. Sondern weil die Migration aus einem vollständig integrierten Ökosystem heraus ein erhebliches Organisations-, Schulungs- und Daten-Migrationsprojekt darstellt.
|
„Die IT-Verantwortlichen haben sich freiwillig in eine dermaassen grosse Abhängigkeit von Microsoft-Software begeben, dass ein Wechsel faktisch kaum möglich ist.“ — watson.ch, Analyse zur Microsoft-Abhängigkeit der Stadt Zürich, 23. Mai 2026 |
Der Doppeleffekt: Kosten und Souveränitätsverlust gleichzeitig
Was der Zürcher Fall so aufschlussreich macht, ist die Kombination zweier Probleme, die hier sichtbar werden: einerseits die explodierenden Lizenzkosten als ökonomische Dimension des Lock-ins, andererseits die Datensouveränitätsfrage als rechtliche und strategische Dimension. Beides hängt zusammen. Wer in einem US-Cloud-Ökosystem gefangen ist, zahlt nicht nur mehr – er akzeptiert auch das Datenzugriffsregime des US-Rechts als unvermeidliche Begleiterscheinung.
Die politische Breite des Zürcher Vorbehalts ist bemerkenswert: SVP, FDP und die Linken (SP, Grüne, AL) stimmten gemeinsam für den Postulatsauftrag an die Stadtregierung. Das ist kein ideologischer Alleingang, sondern ein breiter Konsens, dass die aktuelle Abhängigkeit wirtschaftlich und sicherheitspolitisch unhaltbar ist. Dieser Konsens ist repräsentativ für eine wachsende Stimmung in der Schweizer Wirtschaft insgesamt.
Teil III: Zoho One – warum eine integrierte, nicht-amerikanische Plattform den Unterschied macht
Die Frage, die sich aus der Analyse der rechtlichen Lage und des Vendor-Lock-in-Problems ergibt, ist konkret: Welche Alternative bietet sowohl echte Datensouveränität als auch eine ausreichende Breite an Funktionen, um einen vollständigen Wechsel zu ermöglichen – ohne in einen neuen Lock-in zu geraten?
Zoho One ist eine dieser Antworten. Nicht als perfekte Lösung für jede Situation, aber als strukturell überzeugendes Gegenangebot, das genau die drei Grundprobleme adressiert, die durch den Zürcher Fall und das Kölner Gutachten sichtbar werden: US-Gerichtsbarkeit, Vendor Lock-in und fehlende Integration.
Warum Zoho strukturell ausserhalb des US Cloud Act steht
Zoho Corporation ist ein indisches Privatunternehmen. Hauptsitz Chennai, Indien. Keine US-Muttergesellschaft. Nicht an der US-Börse kotiert. Keine Tochtergesellschaft eines US-Konzerns. Das bedeutet strukturell: Zoho unterliegt nicht dem US CLOUD Act. Keine US-Behörde kann Zoho auf Basis des CLOUD Act, FISA Section 702 oder des Stored Communications Act zur Herausgabe von Kundendaten zwingen.
Das ist kein Marketing-Claim, sondern eine juristische Konsequenz. Der CLOUD Act gilt für US-Personen und US-Unternehmen. Zoho ist keines davon. Wer seine Geschäftsdaten – CRM, Buchhaltung, E-Mail, Projektmanagement, HR, Kundensupport – auf Zoho One betreibt und europäische Rechenzentren wählt, hat damit ein Datenzugriffsregime, das dem des US Cloud Act strukturell nicht unterliegt.
|
Die Cloud-Act-Risikoanalyse: Ein struktureller Vergleich ▶ Google Workspace: US-Unternehmen → CLOUD Act anwendbar. EU-Rechenzentrum schützt nicht. ▶ Microsoft 365: US-Unternehmen → CLOUD Act anwendbar. Microsoft hat Zugriff bei US-Behördenanfragen bestätigt. ▶ Salesforce, HubSpot, Slack, Zoom: alle US-Unternehmen → CLOUD Act anwendbar. ▶ Zoho One: indisches Privatunternehmen, keine US-Konzernstruktur → CLOUD Act nicht anwendbar. ▶ Infomaniak (CH), Hetzner (DE): europäische Unternehmen → CLOUD Act nicht anwendbar. ▶ Entscheidend ist immer: die Unternehmensgerichtsbarkeit, nicht der Serverstandort. |
Wie Zoho One den Vendor Lock-in strukturell vermeidet
Der zweite Kernvorteil ist das Prinzip der offenen Daten und der plattformübergreifenden Kompatibilität. Vendor Lock-in entsteht, wenn ein Anbieter drei Hebel gleichzeitig einsetzt: proprietäre Datenformate, teure Datenexporte und mangelnde API-Offenheit. Zoho setzt auf das Gegenteil.
Erstens: vollständiger Datenexport jederzeit. Alle Daten in Zoho – CRM-Kontakte, Buchhaltungsunterlagen, Projektdaten, E-Mail-Archive, Formulardaten – können jederzeit vollständig in Standardformaten exportiert werden. CSV, JSON, XLS, PDF – keine proprietären Containerformate, keine künstlichen Exportbarrieren. Das ist nicht selbstverständlich: HubSpot beispielsweise limitiert den Datenexport in niedrigen Preisplänen erheblich.
Zweitens: offene APIs. Zoho bietet für alle seine Anwendungen vollständig dokumentierte, öffentliche REST-APIs. Das bedeutet: Wenn ein Unternehmen in fünf Jahren zu einer anderen Lösung wechseln möchte, kann es die Daten automatisiert extrahieren. Dieser Exit-Schutz ist ein fundamentaler Unterschied zu den meisten grossen US-Plattformen, die Datenmigration bewusst komplex gestalten.
Drittens: das Preismodell basiert auf einer transparenten Pro-Nutzer-Pauschale ohne Funktionseskalation. Was Zoho One kostet, bleibt planbar, weil alle 50-plus Anwendungen in einer Pauschale enthalten sind, welche zur Zeit der Publikation dieses Artikels bei 37€ pro Montat/Mitarbeiter liegt. Es gibt keine HubSpot-ähnliche Preistreppe, bei der jede zusätzliche Funktion einen höheren Plan erfordert. Oder wie bei Microsoft Dynamik wo für alle jemals genutzte Kontakte eine Preistreppe errichtet wird, unabhängig davon ob es den Kontakt noch gibt oder nicht.
|
US-Cloud-Stack (Microsoft, Google, HubSpot…) ✗ Unterliegt dem US CLOUD Act strukturell ✗ Serverstandort EU schützt rechtlich nicht ✗ Vervierfachung der Lizenzkosten in 7 Jahren (Zürich) ✗ Vendor Lock-in durch proprietäre Formate und tiefe Integration ✗ Datenexport limitiert oder kostenpflichtig ✗ Preiseskalation bei Funktionserweiterung ✗ Mehrere Einzelabos ohne gemeinsame Datenbasis |
Zoho One ✓ Indisches Privatunternehmen: kein US Cloud Act ✓ EU-Rechenzentren mit DSGVO/nDSG-konformem AVV ✓ Fixe, planbare Pro-Nutzer-Pauschale ✓ Vollständiger Datenexport jederzeit, offene APIs ✓ Alle 50+ Apps in einer integrierten Plattform ✓ Eine gemeinsame Datenbasis für CRM, Buchhaltung, Projekte, HR ✓ Kein struktureller Lock-in durch offene Standards |
Integration als dritter Vorteil: Keine Datenfragmentierung mehr
Der dritte Vorteil von Zoho One adressiert ein Problem, das weder das Kölner Gutachten noch der Zürcher Fall explizit nennt, aber unmittelbar damit zusammenhängt: Die meisten Unternehmen, die US-Cloud-Tools nutzen, haben nicht einen Anbieter – sie haben fünf, acht oder zehn. Und jeder dieser Anbieter ist ein US-Unternehmen mit eigenem Cloud-Act-Risiko und eigener Datenbasis.
Zoho One löst dieses Problem durch Integration. Zoho CRM, Zoho Books, Zoho Projects, Zoho Cliq, Zoho Campaigns, Zoho Desk, Zoho Analytics und alle weiteren Module teilen eine gemeinsame Datenbasis. Ein Kontakt im CRM ist derselbe Kontakt in der Buchhaltung, in der Support-Plattform und in der E-Mail-Kampagne. Kein manueller Datenabgleich. Keine fragmentierten Datensätze. Ein einziges Datenschutzregime statt zehn verschiedene.
Teil IV: Was Unternehmen jetzt tun sollten – in fünf konkreten Schritten
Die Lage ist ernst, aber die Handlungsoptionen sind konkret. Fünf Schritte, die jedes Unternehmen in der Schweiz und Deutschland heute angehen sollte.
Schritt 1: Dateninventur und Cloud-Act-Risikobeurteilung
Der erste Schritt ist die Inventur: Welche Tools nutzen wir? Welche Kategorien von Daten werden in welchen Tools verarbeitet? Welcher Anbieter hat eine US-Konzernstruktur? Für welche dieser Tools existiert ein DSGVO- oder nDSG-konformer Auftragsbearbeitungsvertrag? Diese Inventur ist keine akademische Übung – sie ist die Voraussetzung für jede sinnvolle Entscheidung und in vielen Unternehmen nach DSGVO-Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten) ohnehin gesetzlich vorgeschrieben.
Schritt 2: Datensegmentierung nach Schutzbedarf
Nicht alle Daten haben dasselbe Risikoprofil. Hochsensible Daten – Kundenpersonendaten, Mitarbeiterinformationen, Finanzunterlagen, strategische Geschäftsdokumente, geistiges Eigentum – sollten priorisiert auf nicht-amerikanische Infrastruktur migriert werden. Für unkritischere Workloads ist ein pragmatischer Umgang vertretbar. Die Segmentierung schafft Klarheit und macht die Migration planbar.
Schritt 3: Evaluierung von Zoho One als integrierte Hauptplattform
Wer die Kernfunktionen eines Unternehmens – Kundenmanagement, Buchhaltung, Teamkommunikation, Projektmanagement, E-Mail-Marketing – auf eine einzige, nicht-amerikanische Plattform konsolidieren will, sollte Zoho One ernsthaft evaluieren. Die Entscheidungsgrundlage sollte drei Fragen beantworten: Deckt Zoho One unsere Kernprozesse funktional ab? Ist die Datenschutzarchitektur (Rechenzentrumsstandort, AVV, nDSG/DSGVO-Konformität) korrekt konfigurierbar? Und löst der Wechsel den bestehenden Vendor Lock-in, ohne einen neuen zu schaffen?
Schritt 4: Migration mit professioneller Begleitung
Die grösste Migrationshürde ist nicht die Technologie – es ist das Verhalten. Wer zehn Jahre lang Outlook und Excel genutzt hat, braucht Begleitung bei der Umstellung. Ein erfahrener Implementierungspartner analysiert die bestehenden Prozesse, konfiguriert die Plattform auf die spezifischen Unternehmensanforderungen und begleitet das Team durch die Nutzungsänderung. Das ist der Unterschied zwischen einer Software-Installation und einer echten digitalen Transformation.
Schritt 5: Rechtskonformen Übergang dokumentieren
Parallel zur technischen Migration muss die rechtliche Dokumentation aktualisiert werden: AVV mit dem neuen Anbieter abschliessen, Verzeichnis der Verarbeitungstätigkeiten aktualisieren, Datenschutzerklärungen anpassen, allfällige Transfer Impact Assessments für verbleibende US-Dienste durchführen. Dieser Schritt ist keine Bürokratie – er ist der Beweis, dass das Unternehmen seine Compliance-Hausaufgaben gemacht hat.
Fazit: Datensouveränität ist keine IT-Entscheidung – sie ist eine unternehmerische Grundsatzentscheidung
Der US Cloud Act ist keine abstrakte Bedrohung. Das Gutachten der Universität zu Köln hat schwarz auf weiss dokumentiert, was viele IT-Experten seit Jahren wissen: US-Behörden haben extraterritorialen Zugriff auf Cloud-Daten bei US-Unternehmen – unabhängig vom Serverstandort, unabhängig von Vertragsklauseln, unabhängig von EU-Datenschutzzertifikaten. Die Schweizer und europäische Datenschutzgesetze – nDSG und DSGVO – fordern Schutzstandards, die mit diesem Zugriffsregime strukturell unvereinbar sind. Gerichtsurteile in Frankreich belegen, den Konflikt der US-Unternehmen mit diesen Vorgaben.
Die Stadt Zürich hat vier Jahre gebraucht, um zu erkennen, wie tief der Vendor Lock-in sitzt. Unternehmen, die heute handeln, haben einen Vorteil: Sie können strategisch planen, statt reaktiv zu reagieren. Zoho One bietet die technische und rechtliche Grundlage für diesen Schritt – eine vollintegrierte Plattform, ausserhalb der US-Gerichtsbarkeit, mit offenen Datenstandards und einem Preismodell, das keinen neuen Lock-in schafft.
Digitale Souveränität ist keine Frage für grosse Konzerne mit IT-Abteilungen. Sie ist eine Frage für jedes Unternehmen, das Kundendaten verarbeitet, Mitarbeiterinformationen speichert und strategische Dokumente in der Cloud ablegt. Die Frage ist nicht ob – sondern wann. Und wer wartet, bis das Bundesinnenministerium oder der Datenschutzbeauftragte klopft, hat die Handlungshoheit bereits verloren.
|
„Wer strategisch plant, sollte sich nicht auf die langfristige Gültigkeit des Data Privacy Frameworks verlassen. Die fundamentalen Probleme wurden nicht gelöst. Die US-Überwachungsgesetze bestehen unverändert fort.“ — Never Code Alone, Analyse zum Gutachten der Universität zu Köln, Dezember 2025 |
|
Digitale Souveränität ist eine Entscheidung. Wir zeigen Ihnen, wie Zoho One Ihren Vendor-Lock-in löst und Sie aus dem US Cloud Act herausführt. |
Quellenangaben: watson.ch, «M365-Abhängigkeit: Zürich testet Open-Source-Alternative», Daniel Schurter, 23. Mai 2026 | datenrecht.ch (Walder Wyss), «US-Zugriffsbefugnisse auf Daten in der Cloud: Gutachten Uni Köln vom März 2025», Januar 2026 | Gutachten der Universität zu Köln im Auftrag des deutschen Bundesinnenministeriums, März 2025 (veröffentlicht via Informationsfreiheitsanfrage, Dezember 2025).
Premium
