“Bei Schönwetter kann jede:r zu Berge gehen.” Dieses Sprichwort bewahrheitet sich in der IT immer wieder. Solange Systeme laufen, Zertifikate aktuell sind und Dienstleister verfügbar bleiben, ist der Betrieb einer Plattform Routine. Die Realität der digitalen Abhängigkeit zeigt sich oft erst, wenn unvorhergesehene Ereignisse schnelles Handeln erfordern. 

Dieses Szenario trat Ende 2024 für swissICT ein, als die Infrastruktur sowie die technische Betreuung der Salärstudie unter hohem Zeitdruck migriert werden mussten. Der abstrakte Begriff der «Souveränität» wurde zur operativen Realität. Im Zentrum standen für swissICT weniger neue Features, sondern Werte wie Rechtssicherheit, Verfügbarkeit und das Vertrauen, sensible Lohndaten in einem Schweizer Rechtstraum zu wissen. 

Souveränität durch Nähe und Rechtsraum

Die Übernahme einer bestehenden Applikation (Ruby on Rails App) unter Zeitdruck ist herausfordernd. Kündigungsfristen drängen, Serverkonfigurationen müssen verstanden sowie Eigentumsverhältnisse und Zugriffsrechte geklärt werden. In solchen Krisen zeigt sich der Wert lokaler Verankerung. Es ist ein Trugschluss zu glauben, digitale Dienstleistungen seien ortsunabhängig. Es macht einen fundamentalen Unterschied, sich bei Problemen direkt an einen Tisch zu setzen. Souveränität bedeutet auch operative Handlungsfähigkeit. Die Möglichkeit, zum Telefon zu greifen oder persönlich vorbeizugehen, schafft operative Resilienz, die rein vertraglich kaum abzubilden ist. Gerade weil swissICT und die neue Technologiepartnerin Renuo AG im selben kulturellen und rechtlichen Umfeld agieren, konnten komplexe Fragen zur Migration pragmatisch und ohne interkulturelle Reibungsverluste gelöst werden. 

Die Frage des Hostings

Ein Rechenzentrum in der Schweiz allein sagt wenig über die anwendbaren Rechtsräume aus. Werden Daten bei internationalen Hyperscalern gehalten, gelten deren rechtliche Rahmenbedingungen. In Kombination mit europäischen Regulierungen oder dem künftigen AI Act entstehen so reale Druckpunkte. Die Wahl rein schweizerischer Partner ist daher eine strategische Notwendigkeit für den Datenschutz und die Compliance-Sicherheit der Salärstudie. 

Bei der Migration der Plattform stand eine strategische Entscheidung im Zentrum: Wo und wie betreiben wir die Applikation künftig? Der Entscheid fiel bewusst auf die  Schweizer Platform-as-a-Service (PaaS) Lösung Deploio, welche auf offenen Standards basiert und keinen Vendor-Lock-in erzwingt.

Die Entscheidung für eine PaaS-Lösung auf offenen Standards erzwingt eine technische Disziplin, die sich auszahlt. Durch die Trennung von Applikations-Code und Konfiguration steigen Portabilität und Sicherheit massiv an. Eine Software nach diesem Standard lässt sich jederzeit verschieben. Das ist die technische Definition von Unabhängigkeit. 

Diese Architektur hat auch eine politische Dimension. Durch die Kombination eines lokalen Dienstleistungspartners, einem rein schweizerischen Hosting sowie einem Setup, das die Portabilität maximiert, entsteht eine durchgängige Swiss-Made-Kette. Von der Software-Entwicklung durch eine in der Schweiz ansässige Agentur über die Datenbank bis hin zum ausliefernden Server unterliegt die Wertschöpfung dem Schweizer Recht. Damit werden für den Betrieb und die Datenhaltung jegliche Berührungspunkte mit dem US CLOUD Act vermieden. 

Rechtssicherheit als höchstes Gut

Digitale Souveränität definiert sich nicht nur über Technik, sondern über rechtliche Kontrolle. Die Eigentumsfrage des Codes ist bei der ICT-Salärstudie klar geregelt und liegt vollumfänglich bei swissICT. Das stellt sicher, dass der Verband jederzeit die Kontrolle über das Kern-Asset der Studie behält.

Ebenso wurden die Herausgabepflichten geregelt. Da alle Parteien ausschliesslich dem Schweizer Recht unterstehen, entfällt das Risiko, dass ausländische Behörden Zugriff auf die Daten fordern könnten. Eine Datenherausgabe ist damit klar definiert: Sie kann nur aufgrund einer Schweizer Verfügung erfolgen. Für die teilnehmenden Unternehmen bedeutet dies einen konkreten Schutz ihrer Anonymität, der fest im Schweizer Datenschutzgesetz (DSG) verankert ist. 

Bereit für die Zukunft

Ein weiterer zentraler Baustein ist die externe Validierung der Partnerunternehmen. Sicherheit ist kein Zustand, den man einfach behauptet, sondern muss belegt werden. Darum setzt swissICT für den Betrieb der Plattform auf Technologiepartner, deren Standards durch anerkannte Labels wie CyberSeal zertifiziert sind. Ein klares Signal, dass swissICT die Messlatte für Auftragnehmer hoch legt. Selbst ist swissICT CyberSAFE zertifiziert und trägt ebenso aktiv zur Sicherheit bei.

Die Migration der Salärstudie ist anfangs 2025 geglückt und hat bewiesen: Digitale Souveränität ist machbar. Im Fall von swissICT erforderte sie einen bewussten Entscheid für den sicheren Weg mit lokalen Partnerunternehmen. Die Salärstudie liefert damit nicht nur wertvolle Marktdaten, sondern vertritt auch in ihrer technischen DNA die Grundwerte der Schweizer ICT: Unabhängigkeit, Qualität und Sicherheit. 

CyberSeal 

CyberSeal ist ein Schweizer Gütesiegel, das von der Allianz Digitale Sicherheit Schweiz vergeben und vom Bundesamt für Cybersicherheit (BACS) unterstützt wird. Es zertifiziert, dass eine Organisation angemessene technische und organisatorische Massnahmen zum Schutz vor Cyberrisiken umgesetzt hat.

www.digitalsecurityswitzerland.ch

CyberSAFE

CyberSAFE ist ein Schweizer Cybersicherheits-Label, das Organisationen ein verantwortungsbewusstes Cyber-Risk-Management auf einem von öffentlichen und privaten Partnern als akzeptabel definierten Niveau attestiert. Es basiert auf einer neutralen, praxisorientierten Bewertung von IT-Systemen, Prozessen und menschlichen Kompetenzen.

www.cyber-safe.ch

Technologiepartnerin Renuo AG

Die Renuo AG ist eine Schweizer Software-Agentur. Das 25-köpfige Team hat sich auf die Entwicklung von massgeschneiderten Webapplikationen auf Basis von Ruby on Rails spezialisiert. Als swissICT-Mitglied begleitet Renuo den Verband als technischer Partner. 

www.renuo.ch