Reicht EU Data Boundary oder Hosting in der Schweiz aus?

Diese Massnahmen helfen bei Residenz- und Betriebsrisiken, ändern aber nicht die Schlüsselhoheit. Wenn Microsoft technisch auf Schlüssel zugreifen kann, bleibt das Setup für sensible bzw. gesetzlich vertrauliche Daten problematisch.

Warum gilt BYOK / Customer Key oft als ungenügend?

Bei BYOK liegt der Schlüssel in Azure Key Vault, der von Microsoft betrieben wird. Das kann Microsoft technische Zugriffsmöglichkeiten auf den Schlüssel und damit Entschlüsselung erhalten – weshalb Schweizer Hinweise dies für besonders schützenswerte Kategorien teils ausschliessen.

Was ist der praktische Unterschied bei Double Key Encryption?

DKE verlangt zwei Schlüssel zur Entschlüsselung. Microsoft besitzt nur einen Schlüssel; der zweite Schlüssel bleibt in einer souveränen, externen Infrastruktur der Verwaltung. Ohne beide Schlüssel sind die Daten nicht entschlüsselbar.

Wie startet man, wenn M365 bereits im Einsatz ist?

Zuerst Datenkategorien und Prozesse erfassen (inkl. sensible/gesetzlich vertrauliche Daten), das bestehende Schlüssel-/Verschlüsselungsmodell bewerten und dann eine Architektur umsetzen, bei der der entscheidende Schlüssel unter ausschliesslicher Kontrolle der Verwaltung bleibt (z. B. DKE).

Microsoft 365 in der Schweizer öffentlichen Verwaltung

Nov. 2025

Schweizer Guidance hat die Messlatte erhöht: Anbieterzugriff auf Schlüssel ist für sensible bzw. gesetzlich vertrauliche Daten in M365 nicht mehr akzeptabel.

US CLOUD Act

Hosting in der Schweiz/EU beseitigt extraterritoriale Zugriffsrisiken nicht, wenn der Anbieter eine US-Entität ist.

Double Key Encryption

Den entscheidenden Schlüssel ausserhalb von Microsoft halten und so Anbieterzugriff ausschliessen – bei erhaltener M365-Usability.

Warum „Standard“-Verschlüsselung in Microsoft 365 nicht mehr genügt

Schweizer Guidance macht das Entscheidungskriterium klar (Quelle): Wenn der Cloud-Anbieter technisch auf Entschlüsselungsschlüssel zugreifen kann, ist das Schutzniveau für sensible Personendaten oder Daten mit gesetzlicher Geheimhaltungspflicht nicht ausreichend.

Genau dieser Punkt betrifft typische Microsoft-365-Deployments, bei denen Verschlüsselung letztlich von Schlüsseln abhängt, die Microsoft betreiben kann – selbst wenn „customer-managed“-Optionen aktiviert sind.

Grenzen der Microsoft-Standardverschlüsselung

In „Standard“-Microsoft-365-Setups hängt der Schutz letztlich von Schlüsseln ab, die innerhalb der operativen Kontrolle von Microsoft verbleiben. Damit gibt es keine strikte technische Trennung zwischen den verschlüsselten Daten und der Fähigkeit, sie zu entschlüsseln – der Anbieter kann einen Weg zum Klartextzugriff behalten, was für sensible und gesetzlich vertrauliche Kategorien in der Schweiz problematisch ist.

Konforme Architektur: Double Key Encryption (DKE) mit souveränem externem Schlüssel

Double Key Encryption (DKE) wird als Beispiel für wirksame Verschlüsselung gegenüber dem Anbieter genannt. DKE arbeitet mit zwei getrennten Schlüsseln:

Ein Schlüssel wird von Microsoft verwaltet (in Azure Key Vault)
Ein zweiter Schlüssel liegt bei der Verwaltung in einer externen, souveränen Infrastruktur

Für die Entschlüsselung werden beide Schlüssel gleichzeitig benötigt. Da Microsoft nur einen Schlüssel besitzt, kann Microsoft die Daten nicht im Klartext lesen.

Bei einem CLOUD-Act-Anordnungsfall kann Microsoft verschlüsselte Daten herausgeben – sie bleiben ohne den zweiten, ausserhalb von Microsoft gehaltenen Schlüssel unlesbar.

DKE schafft eine strikte technische Trennung zwischen verschlüsselten Daten und dem entscheidenden Entschlüsselungsschlüssel.

Vorteile für Schweizer öffentliche Stellen

Compliance und operative Effizienz in Microsoft 365 zusammenbringen.

Schlüsselhoheit ohne Anbieter

Der entscheidende Schlüssel bleibt ausserhalb von Microsoft – kein Klartextzugriff durch den Anbieter.

Regulatorische Robustheit

Ausrichtung auf die erhöhten Anforderungen seit 2025 für sensible und gesetzlich vertrauliche Daten.

M365-Funktionalität erhalten

Microsoft-365-Workflows beibehalten und gleichzeitig die kryptografische Kontrolle stärken.

Frequently Asked Questions (FAQs)

Microsoft 365 behalten – ohne Souveränität zu verlieren

Ob bereits migriert oder mitten in der Migration: Eine konforme Verschlüsselungsarchitektur lässt sich integrieren, ohne auf M365-Funktionalität zu verzichten.