Codey-Souveränität: Von Infrastruktur bis Applikation in Schweizer Hand
Codey ist VSHNs eigene Managed-Forgejo-Plattform. Anders als bei GitHub (Microsoft), GitLab.com (US-SaaS) oder Bitbucket (Atlassian) ist bei Codey jede Ebene in Schweizer Besitz und wird in der Schweiz betrieben: die Applikation, die Plattform, die Infrastruktur und das Unternehmen dahinter.
Wenn Sie GitHub, GitLab.com oder Bitbucket nutzen, liegen Ihr Quellcode, Ihre Pull Requests, CI/CD-Pipelines und Projektmanagement-Daten auf US-kontrollierter Infrastruktur, unterliegen US-Recht und sind via CLOUD Act ohne Schweizer Rechtsverfahren zugänglich.
Codey bietet maximale Souveränität für Code-Hosting, weil kein ausländischer Anbieter im Stack steckt. Forgejo selbst ist Open Source (MIT-Lizenz), und VSHN AG ist eine Schweizer Firma mit Schweizer Aktionären. Doch Souveränität ist mehr als Eigentümerschaft. Das EU Cloud Sovereignty Framework definiert acht Dimensionen, die bestimmen, ob ein Anbieter wirklich souverän ist.
Warum Codey maximale Code-Hosting-Souveränität erreicht
Die meisten «souveränen» Code-Hosting-Optionen hängen irgendwo im Stack von einem ausländischen Anbieter ab — einer US-Plattform, einem US-Cloud-Provider oder einem US-Mutterkonzern. Codey ist anders:
- Schweizer Plattform — Codey wird von VSHN AG gebaut und betrieben, einem Schweizer Unternehmen
- Open-Source-Applikation — Forgejo ist MIT-lizenziert, Community-verwaltet, ohne Unternehmenseigentümer
- Schweizer Infrastruktur — läuft auf Schweizer Rechenzentren (cloudscale.ch, Exoscale)
- Keine Auslandsabhängigkeiten — kein US-Mutterkonzern, kein US-Cloud-Provider, keine proprietären Komponenten
- Volle Datenportabilität — Standard-Git-Repositories, exportierbare Issues und Projekte
Code-Hosting-Souveränität im Vergleich
| Dimension | GitHub (Microsoft) | GitLab.com SaaS | Bitbucket (Atlassian) | Codey by VSHN |
|---|---|---|---|---|
| Eigentümer | Microsoft (USA) | GitLab Inc. (USA) | Atlassian (USA/Australien) | VSHN AG (Schweiz) |
| Anwendbares Recht | US-Recht | US-Recht | US-/australisches Recht | Schweizer Recht |
| CLOUD Act | Betroffen | Betroffen | Betroffen | Nicht betroffen |
| Datenstandort | USA (Azure) | USA (Google Cloud) | USA/EU (AWS) | Schweiz (cloudscale.ch, Exoscale) |
| Quellcode | Proprietär | Open Core | Proprietär | Open Source (Forgejo, MIT-Lizenz) |
| Plattform-Betreiber | Microsoft (USA) | GitLab Inc. (USA) | Atlassian (USA) | VSHN AG (Schweiz) |
| Operations-Team | USA | USA | USA/Australien | Schweiz (Swiss-only-Option) |
| Zertifizierungen | SOC 2, ISO 27001 | SOC 2 | SOC 2, ISO 27001 | ISO 27001, ISAE 3402 Type II |
VSHN-Souveränitäts-Selbstbewertung
Wir haben das Cloud Sovereignty Framework der EU (v1.2.1, Oktober 2025) auf unsere eigenen Dienste angewandt. Dieses Framework wurde im April 2026 bei der EUR-180-Mio.-Ausschreibung der EU für souveräne Cloud zur Bewertung von Anbietern eingesetzt — drei rein europäische Anbieter erreichten SEAL-3, während ein Konsortium mit Google Cloud nur SEAL-2 erzielte.
Dies ist eine Selbstbewertung, keine formale SEAL-Zertifizierung. Wir veröffentlichen sie aus Transparenzgründen, damit Kunden unser Souveränitätsprofil anhand derselben strukturierten Kriterien bewerten können, die auch die EU verwendet.
| # | Dimension | Gewichtung | Bewertung | Nachweis |
|---|---|---|---|---|
| SOV-1 | Strategisch | 15% | Stark | Schweizer AG, kein ausländischer Mutterkonzern, alle Aktionäre Schweizer Bürger (Handelsregister) |
| SOV-2 | Rechtlich | 10% | Stark | Schweizer Recht (AGB), kein CLOUD Act, EU-Angemessenheitsbeschluss |
| SOV-3 | Daten & KI | 10% | Stark | Schweizer Rechenzentren als Standard. Souveränes Key Management via Managed OpenBao + Swiss HSM |
| SOV-4 | Operativ | 15% | Stark | Schweizer 24/7-Betrieb, Swiss-only-Support-Option. Alle Services auf Vanilla Kubernetes |
| SOV-5 | Lieferkette | 20% | Stark | Infrastruktur-agnostisch — Kunde wählt Anbieter. Open-Source-Software |
| SOV-6 | Technologie | 15% | Stark | 100% Open Source. VSHN trägt bei zu K8up (CNCF), Crossplane Providers, Project Syn |
| SOV-7 | Sicherheit | 10% | Stark | ISO 27001, ISAE 3402 Type II, Swiss SOC. FINMA-regulierte Kunden |
| SOV-8 | Umwelt | 5% | Mittel | DC-Betreiber: Green Datacenter AG (ISO 22301/27001/27701), Exoscale Sustainability. VSHN-CSR-Richtlinie |
Gesamtbewertung: SEAL-3-Äquivalent — dieselbe Stufe, die auch die Gewinner der EU-eigenen Souveränitätsausschreibung erreicht haben. Kein Anbieter weltweit erreichte SEAL-4, da dies vollständig EU/EWR-basierte Hardware-Lieferketten und Open-Source-Grundlagen erfordert — strukturelle Lücken, die alle Cloud-Anbieter teilen.
Souveränitätsanalyse für Ihr Code-Hosting
Sie hosten Code auf GitHub, GitLab.com oder Bitbucket und prüfen souveräne Alternativen? Wir bewerten Ihr aktuelles Setup anhand des EU-Frameworks und planen eine Migration zu Codey, damit Ihr Quellcode und Ihre Entwicklungsdaten unter Schweizer Jurisdiktion bleiben.