Zwischen Vertrauen und Kontrolle

Martin, zum Einstieg: Wer bist du und was genau macht Bucher + Suter?

Martin Wüthrich: Ich bin seit über 30 Jahren bei Bucher + Suter, seit vielen Jahren CEO, ursprünglich mit technischem Hintergrund. Regulatorische Themen habe ich mir sozusagen erarbeiten müssen. Bucher + Suter wurde 1981 gegründet, ist Systemintegrator für Contact Center-Lösungen mit Hauptsitz in der Schweiz, Präsenz im EU-Raum bei Frankfurt und einem Standort in den USA. Mit rund 180 Mitarbeitenden konzentrieren wir uns bewusst auf das, was wir wirklich gut können: Contact Center-Lösungen OnPrem, in der Private Cloud und in der Public Cloud – und auf den regulatorisch konformen Einsatz von KI, insbesondere bei Voice-Automation.

Wann ist Datensouveränität für dich von einer technischen zu einer strategischen Führungsfrage geworden?

Technisch war das Thema immer präsent. Als wir 1996 unser erstes On-Prem-Contact-Center gebaut haben, war klar: Die Kundendaten liegen im eigenen Rechenzentrum, das gibt Sicherheit. Dieses Modell hat fast 20 Jahre stabil funktioniert. Mit dem Aufkommen der Cloud hat sich das verschoben. Spannend war, dass in der Schweiz ausgerechnet Kantonalbanken zu den ersten gehörten, die uns auf Cloud angesprochen haben. 2016 standen wir damit vor der Frage, wie wir diese Anforderungen, etwa nach Datenhaltung in der Schweiz oder spezifische Reporting- und Compliance-Vorgaben, mit einer Cloud-Lösung vereinen können.

Von da an ist Datensouveränität Schritt für Schritt aus der rein technischen Ecke in eine stark regulatorische und damit strategische Dimension gewandert, mit Zertifizierungen, Audits und der Notwendigkeit, Position zu beziehen.

Der Begriff Datensouveränität wird in Europa sehr unterschiedlich verwendet. Wie definierst du ihn für euch?

Am Anfang steht immer die Einhaltung der regulatorischen Vorgaben. Darauf aufbauend geht es um zwei Kernfragen: Wo liegen meine Daten und wer kann tatsächlich darauf zugreifen – technisch, organisatorisch und rechtlich? Wenn diese Fragen klar beantwortet werden können, entsteht Vertrauen. Du kannst Kunden mit ins Rechenzentrum nehmen, ihnen zeigen, wo ihre Daten liegen, Betriebsprozesse erklären und Zugriffsketten transparent machen. So verbinden sich die harte regulatorische Ebene und die emotionale Vertrauensebene. Beides ist für echte Datensouveränität entscheidend.

Ist Datensouveränität heute für dich eher ein Muss oder ein Differenzierungsmerkmal?

Früher war es vor allem ein klares Muss. Heute ist es zusätzlich ein Differenzierungsfaktor, insbesondere mit unserem Schweizer Standortvorteil. Wichtig ist für uns, dass sich unser enger Technologiepartner Cisco ausdrücklich sowohl zu On-Prem als auch zu Cloud bekennt, also dort ist, wo der Kunde es braucht. Ein CEO von einem Kunden in Deutschland hat seinen Mitarbeitenden erklärt, warum sie sich für Bucher + Suter und eine Private-Cloud-Lösung entschieden haben, indem er eine Art Käfig mit den Händen geformt und gesagt hat: «Bucher + Suter nimmt diese amerikanische Software, steckt sie in einen Käfig in der Schweiz und dort bleiben auch die Daten.» Alle haben gelacht, aber auch verstanden, worum es geht, nämlich um klar definierten Rechtsraum und klar definierten Zugriff.

Wenn Entscheider vor der Wahl zwischen On-Prem, Private Cloud und Public Cloud stehen: Welche Fragen sollten sie sich vorher stellen?

Der wichtigste Schritt ist, sich schonungslos klarzumachen, welche Daten im Contact Center verarbeitet werden und welchen Regulierungen das Unternehmen unterliegt. Klassische personenbezogene Daten wie Name, Telefonnummer und E-Mail sind schützenswert, aber bei Banken kommen Finanzdaten hinzu, bei Versicherern oder Spitälern Gesundheitsdaten, und diese gelten als besonders schützenswert und sind teils an klare Vorgaben zur Datenlokation gebunden. Sobald solche Daten im Spiel sind, empfehlen wir On-Prem oder Private Cloud. Wo das nicht der Fall ist oder regulatorisch sauber abbildbar, kann Public Cloud eine sehr gute Option sein.

Die zweite Frage betrifft die eigenen Fähigkeiten: Gibt es noch ein Rechenzentrum, gibt es noch Teams, die Plattformen, Betriebssysteme und Datenbanken betreiben können? Viele Unternehmen haben diese Skills ausgelagert und tendieren deshalb nachvollziehbar Richtung Private oder Public Cloud. Wir selbst sind hier bewusst ergebnisoffen und setzen je nach Situation On-Prem, Private Cloud oder Public Cloud um.

In den USA seid ihr stark in der Public Cloud unterwegs. Wie wird dort über Datensouveränität gesprochen und was unterscheidet den US-Blick von der europäischen Perspektive?

Als wir 2010 in den USA gestartet sind, war der Umgang mit Datenschutz und Sicherheit für uns teilweise ein Schock. Themen wie «Bildschirm sperren» oder präzise Zugriffsrestriktionen hatten nicht die gleiche Selbstverständlichkeit wie in Europa. Auch in der Plattformwelt war lange egal, von wo aus wir auf Systeme zugreifen. Das hat sich deutlich geändert. Heute wollen viele US-Kunden genau wissen, aus welchen Regionen zugegriffen wird, manche untersagen ausdrücklich Zugriffe aus Europa. Gleichzeitig laufen wir dort fast ausschliesslich mit Public Cloud-Modellen. Private Cloud-Bedarf wird eher über die Hersteller selbst abgedeckt.

In Europa erleben wir dagegen eine starke, teilweise überbordende Regulierung, die lange ignoriert wurde, jetzt aber konsequenter durchgesetzt wird. Die USA holen auf und gehen inzwischen pragmatisch und bewusster mit dem Thema um, während Europa regulatorisch vorausgerannt ist und sich an einigen Stellen schwertut, wieder Luft zu schaffen.

Ihr arbeitet eng mit Cisco und Salesforce. Wie realistisch sind die Versprechen rund um Sicherheit und Souveränität und wo siehst du Grenzen?

Wenn ein Unternehmen maximale Kontrolle will, führt aus meiner Sicht kaum ein Weg an On-Prem oder Private Cloud vorbei. In der Public Cloud kannst du dich zwar auf Zertifizierungen stützen und auf Zusagen, dass Daten in bestimmten Regionen bleiben, und das ist ernst zu nehmen. Aber sobald der Anbieter ein US-Unternehmen ist, bleibt der US Cloud Act ein Thema – unabhängig davon, wo die Daten physisch liegen. Jeder Zugriff aus den USA kann juristisch einem Datentransfer gleichkommen und damit europäische Vorgaben berühren.

Kunden müssen abwägen, ob ihnen die regulatorische Absicherung auf dieser Basis reicht oder ob sie bewusst eine Grenze ziehen und US-Zugriffsmöglichkeiten von vornherein ausschliessen wollen. Gerade in kritischen Infrastrukturen sehen wir beides: Telefonie und Contact Center werden bewusst On Prem oder in einer strikt kontrollierten Private Cloud gehalten, während andere Bereiche sehr wohl Public Cloud-Services nutzen.

Zum Schluss: Welchen Rat gibst du Entscheiderinnen und Entscheidern, die gerade mitten in Architektur- und Cloud-Entscheidungen stecken?

Triff solche Entscheidungen nicht aus einer Momentaufnahme heraus, weder aus einem Hype noch als spontane Reaktion auf eine Krise.

Hilfreich ist eine einfache Übung: Schau dir an, wie die Situation heute ist, wie sie vor fünf Jahren war und was daraus für die nächsten fünf Jahre ableitbar ist. Legst du diese drei Punkte nebeneinander, erkennst du Trends deutlich besser als im reinen «Jetzt»-Modus. Und verliere nicht aus dem Blick, worum es im Kern geht: Seit Jahrzehnten wollen wir mit Contact Center-Lösungen nur eines, nämlich Unternehmen befähigen, ihre Kundinnen und Kunden bestmöglich zu bedienen. Technologien, Modelle und Deployment-Formen ändern sich, das Ziel hingegen bleibt stabil, und genau darauf sollte jede Architekturentscheidung einzahlen.