CLOUD Act & Power Platform in der Schweiz

Was ist der CLOUD Act

Der CLOUD Act regelt, unter welchen Bedingungen US-Strafverfolgungsbehörden Daten bei Anbietern anfordern dürfen – über rechtsstaatliche Verfahren und zielgerichtet, nicht „einfach so“.

Was der CLOUD Act NICHT ist

• Kein automatischer Zugriff der US-Regierung auf Kundendaten.

• Kein “Bulk-Zugriff”: Anfragen sind gezielt und benötigen rechtliche Grundlage.

• Keine technische Backdoor: Verschlüsselung wird dadurch nicht „ausgehebelt“.

Was bedeutet das konkret für Power Platform im Public Sector (CH/DACH)?

Für die Praxis zählt weniger die Schlagzeile – sondern Kontrolle durch Design:

1. Datenresidenz & Boundary
   Klare Entscheidung, wo Daten liegen und verarbeitet werden (Region/Boundary/Workload-Design).

2. Identity & Zugriff (Entra ID)
   Rollenmodell, Least Privilege, Conditional Access, saubere Trennung von Admin- und Betriebsrollen.

3. Schlüssel- & Schutzkonzept
   Für höhere Anforderungen: Customer-Managed Keys/Key-Strategie und nachvollziehbare Prozesse.

4. Power Platform Governance
   DLP-Policies, Environment-Strategie, Managed Environments, Connector-Governance, ALM/Deployment – damit Low Code nicht zu „Low Control“ wird.

Unsere Empfehlung

• Souveränitäts-Check: Datenklassen, Risiken, Anforderungen, Zielbild

• Power Platform Landing Zone: Governance-Baseline (DLP, Environments, ALM, Monitoring)

• POC mit Guardrails: 1–2 Use Cases inkl. Audit-Nachweis & Betriebsdoku

Fazit: Souveränität ist eine Entscheidung – keine Standardeinstellung

Die gute Nachricht: Microsoft Power Platform bietet die technischen Mittel für ein souveränes, kontrollierbares Betriebsmodell im Public Sector. Die herausfordernde Nachricht: Diese Mittel müssen aktiv eingesetzt, konfiguriert und gepflegt werden.

Digitale Souveränität entsteht nicht durch die Wahl eines Anbieters. Sie entsteht durch Architekturentscheidungen, Governance-Prozesse und bewusstes Design – von Anfang an und konsequent.

FAQ: CLOUD Act, digitale Souveränität und Microsoft Power Platform (Schweiz/DACH)

Diese FAQ beantwortet die häufigsten Fragen aus Public Sector, Bildung, Gesundheit und regulierten Organisationen in der Schweiz und der DACH-Region – mit Links zu Microsoft-Quellen für die Vertiefung.

Gibt es „automatischen“ US-Zugriff auf unsere Daten?

Nein. Der CLOUD Act bedeutet keinen automatischen Zugriff. Wenn Daten herausgegeben werden, geschieht dies grundsätzlich nur im Rahmen zielgerichteter, rechtlich geregelter Verfahren.
Weiterlesen (Microsoft Transparency / Government Requests):
https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data

Reicht „EU/CH Datacenter“ für digitale Souveränität?

Ein Datacenter-Standort ist wichtig – aber für souveränen Betrieb zählen zusätzlich Governance, Zugriffskontrolle, Protokollierung/Audits und (je nach Schutzbedarf) die Schlüsselstrategie.
Mehr zur EU Data Boundary:
https://aka.ms/EUDataBoundary

Was ist die EU Data Boundary (EUDB) – und betrifft sie Power Platform?

Die EU Data Boundary beschreibt, wie Microsoft für berechtigte Kunden Daten innerhalb der EU speichern und verarbeiten kann (je nach Serviceumfang). Das Thema ist auch für Power Platform relevant, wenn ihr Residenz- und Verarbeitungsanforderungen habt.
Details:
https://aka.ms/EUDataBoundary

Was ist Customer Lockbox – und wann ist sie relevant?

Customer Lockbox ist ein Kontrollmechanismus, bei dem Support-Zugriffe (wenn überhaupt nötig) explizit durch den Kunden freigegeben werden müssen. Das ist besonders relevant für stark regulierte Umgebungen und streng kontrollierte Support-Prozesse.
Übersicht:
https://learn.microsoft.com/en-us/azure/security/fundamentals/customer-lockbox-overview

Wie funktioniert Customer-Managed Key (CMK) in der Power Platform?

Mit Customer-Managed Key könnt ihr – je nach Scenario – eigene Schlüssel für bestimmte Daten-/Servicebereiche einsetzen. Das ist ein typisches Muster, wenn „Keys under customer control“ gefordert ist.
Power Platform CMK Doku:
https://learn.microsoft.com/en-us/power-platform/admin/customer-managed-key

Welche Rolle spielt Azure Key Vault / HSM bei der Schlüsselstrategie?

Für viele CMK-Szenarien ist Azure Key Vault (oder Managed HSM) das zentrale Element. Wichtig ist die Support-Matrix, welche Services CMK wie unterstützen.
Support-Übersicht:
https://learn.microsoft.com/en-us/azure/security/fundamentals/encryption-customer-managed-keys-support

Was ist der grösste Hebel für sichere Power-Platform-Nutzung im Public Sector?

Eine belastbare Governance-Baseline:

• DLP-Policies (Connectoren & Datenflüsse steuern)

• Environment-Strategie (DEV/TEST/PROD, Trennung nach Risiko/Use Case)

• ALM & Betrieb (Deployment, Versionierung, Monitoring, Rollen & Verantwortlichkeiten)

So bleibt Low Code kontrollierbar, auditierbar und skalierbar.

Welche Sovereign-Cloud-Optionen gibt es grundsätzlich?

Je nach Regulatorik und Risiko gibt es unterschiedliche Modelle (z. B. sovereign-orientierte Cloud-Ansätze oder Partner-Modelle). Entscheidend ist, die Option zu wählen, die Anforderungen an Residenz, Betrieb und Kontrolle erfüllt.
Überblick:
https://learn.microsoft.com/en-us/industry/sovereign-cloud/

Wie plane ich Exit-Strategie & Datenexport richtig?

Digitale Souveränität umfasst auch Portabilität und Exit: Datenexport, Dokumentation, Prozesse und klare Verantwortlichkeiten.
Microsoft Guidance:
https://learn.microsoft.com/en-us/compliance/assurance/assurance-exporting-customer-data

Gibt es einen Microsoft-Artikel zur digitalen Souveränität in der Schweiz?

Ja. Microsoft hat das Thema digitale Souveränität in der Schweiz in eigenen Beiträgen aufgegriffen.

https://news.microsoft.com/source/emea/2026/02/wie-microsoft-digitale-souveraenitaet-in-der-schweiz-angehtEnglisch: https://news.microsoft.com/source/emea/2025/09/how-microsoft-is-addressing-digital-sovereignty-in-switzerland/

Wo finde ich eine kompakte Microsoft-FAQ zu “Digital Sovereignty Specs”?

Kurzlink aus den Microsoft-Unterlagen:
https://aka.ms/digitalsovereigntyspecfaq