Ein bisschen cloudy: Dürfen Bankkundendaten in die Cloud?

Cloud Computing ist in aller Munde. Mit Cloud wird die IT-Dienstleistung zum Gebrauchsgut wie Strom: Man bezieht einen Anschluss und bezahlt nach Verbrauch. Doch hinter Cloud stehen komplexe Technologien, die niemand versteht und eine schwammige Rechtsgrundlage die jede Industrie herausfordert, so auch die Finanzindustrie, welche mit dem Bankgeheimnis speziell gefordert ist.

Cloud die Allerweltswaffe

Günstiger, schneller und besser wird es mit der Cloud. Mit solchen Sales Pitches stossen Verkäufer bei sämtlichen Geschäftsleitungen offene Türen ein. Vorbei soll es sein mit den schlaflosen Nächten wegen Budgetüberschreitungen oder IT-Problemen. Neu bestellt man eine neue Applikation per Knopfdruck. Keine aufwändigen Analysen, kein Server aufsetzen. Viel Sparpotential und Planungssicherheit für den CFO und eine exponentiell verbesserte Time to Market für den CEO.

Die Kehrseite der Medaille

Gegenüber den schlagkräftigen Argumenten für die Cloud, liegen Herausforderungen die gemeistert werden müssen. Ein Nachteil liegt in den Aufwänden für die Sicherheit. Die Cloud-Rechner müssen mit grossem technischen und finanziellen Aufwand gewartet und abgesichert werden, da sie durch Ihre Datenmengen mehr Begehrlichkeit bei Hackern wecken und mit steigender Funktionalität auch mehr Angriffsfläche bieten.

Dazu ist eine Herkulesaufgabe die Datenschutzrichtlinien der Behörden und Aufsichten zu überblicken und sicherzustellen. Bei Schweizer Banken muss zusätzlich das Bankgeheimnis gewahrt werden, welches die Weitergabe von Kundendaten an Dritte verbietet. Alle Schweizer Finanzdienstleister werden diesbezüglich auch durch die eidgenössische Finanzmarkt Aufsicht (FINMA) kontrolliert.

Rechte und Pflichten in der Finanzwelt

Prinzipiell können Schweizer Firmen Daten in der Cloud und auch im Ausland speichern, wenn das Schweizer Datenschutzniveau sichergestellt wird. Die Finanzbranche muss dabei zusätzlich die Anforderungen der Finma bezüglich «Outsourcing – Banken und Versicherer» einhalten und überprüfen. Diese Anforderungen werden von der Aufsichtsbehörde aber regelmässig angepasst, präzisiert und ergänzt.

Die Cloud Kunden und Anbieter werden auch immer wieder mit neuen regulatorischen Anforderungen und neuen Gesetzen konfrontiert.

Uncle Sams langer Arm

Vor einem Jahr hat sich die USA mit dem «Cloud Act» die rechtlichen Grundlagen geschaffen, für ausländischen Daten-Zugriff. Die amerikanischen Strafverfolgungsbehörden haben nun ein Mittel, um bei Unternehmen die einen vagen Bezug zur USA haben, die Herausgabe aller Kundendaten zu erzwingen ohne den Rechtshilfeweg. Die Möglichkeiten und Grenzen, die nun die Amerikaner durch den Cloud Act haben, sind umstritten. Die UBS hatte bereits vor dem Cloud Act Kundendaten in der Cloud und möchte sich dennoch nicht zur Gefahren durch den Cloud Act äussern. Trotz versicherter «swissness», kann sich auch Swisscom aufgrund einer Tochterfirma in den USA nicht aus der medialen Diskussion halten. Ihre Ansicht ist aber, «Eine Offenlegungspflicht eines US-Anbieters bestehe nur, wenn sich die Daten in dessen Besitz, Obhut oder Kontrolle befänden.», was bei den Swisscom Cloud Daten nicht der Fall ist. Viele Rechtsexperten teilen die Ansicht der Swisscom aber nicht und das Grossbritannien aufgrund des Cloud Act mit den USA verhandelt, unterstreicht die Meinung dieser Rechtsexperten.

Sollte Uncle Sam nun tatsächlich anklopfen könnte es für Cloud Anbieter wie auch indirekt für dessen Kunde zum Dilemma kommen, gegen amerikanisches oder gegen Schweizer Gesetz zu verstossen. Denn die Herausgabe von Kundendaten an eine ausländische Behörde ist in der Schweiz strafbar.

 

Beitrag teilen

Schreibe einen Kommentar