Viele Menschen verwalten ihre Daten mittlerweile in der Cloud. Meist sind das eigene Dateien wie Dokumente oder Fotos und man entscheidet und verantwortet selber, was der Cloud anvertraut wird. Anders sieht es bei Unternehmen aus, die mit den Daten von Kunden arbeiten. Für sie gelten die Regeln des Datenschutzgesetzes. Und für Schweizer Banken gilt zudem, nebst den datenschutzrechtlichen Grundsätzen, das Bankkundengeheimnis jederzeit zu gewährleisten. Wie können sie das tun?
Daten in einer Cloud zu speichern, ist für viele private Nutzerinnen und Nutzer mittlerweile eine Selbstverständlichkeit. So lässt sich begrenzter Speicherplatz persönlicher Geräte erweitern und sogleich ein Backup erstellen, sollte das Gerät beschädigt oder gestohlen werden. Zudem sind in einer Cloud gespeicherte Daten über eine Internetverbindung jederzeit, überall und mit unterschiedlichen Geräten abrufbar.
Für Unternehmen ergeben sich weitere Vorteile, wie zum Beispiel die Skalierbarkeit von Services und Kosten. Mit Pay-as-you-use-Zahlungsmodellen, bei denen nur für das bezahlt wird, was auch tatsächlich genutzt wird, können die Kosten optimiert werden. Weiter können Unternehmen von hohen, implementierten Sicherheitsstandards profitieren. Beispielsweise beschäftigt Microsoft gemäss eigenen Angaben mehr als 3’500 Sicherheitsexperten, die ausschliesslich für Schutz und Sicherheit der Daten zuständig sind.
Das Bankkundengeheimnis in der Cloud
Die Nutzung von Cloud-Dienstleistungen eröffnet auch Banken neue Möglichkeiten. Damit Banken jedoch die Vorteile von Cloud-Diensten nutzen können, müssen sie zusätzlich zu den datenschutzrechtlichen Grundsätzen sicherstellen, dass das Bankkundengeheimnis auch in der Cloud jederzeit gewährleistet ist. Dabei stehen die sogenannten CID (Client Identifying Data) im Fokus, da diese dem Bankkundengeheimnis nach Artikel 47 des Bankengesetzes unterliegen. Zu den CID, den «kundenidentifizierende Daten», gehören sämtliche Personendaten von Bankkunden, die es ermöglichen, die betroffenen Kunden zu identifizieren.
Was können Banken tun, um CID-Daten in der Cloud besonders zu schützen?
Um das Risiko eines Zugriffs auf kundenidentifizierende Daten durch die Cloud-Anbieter zu begrenzen, hat die Schweizerische Bankiervereinigung (SBVg) einen Cloud-Leitfaden erarbeitet, welcher technische, vertragliche und organisatorische Massnahmen beinhaltet.
Technische Massnahmen
Die technischen Massnahmen sollen dazu führen, dass die in der Cloud befindlichen Daten nicht mehr als CID gelten, da sie keiner Person zugeordnet werden können. Folgende Verfahren stehen zur Auswahl:
- Anonymisierung der Daten:
Die Kundendaten sind vollständig anonymisiert, wobei die Anonymisierung nicht mehr rückgängig gemacht werden kann (irreversible Methodik). Die Daten können jedoch beispielsweise weiterhin für Datenanalysen benutzt werden.
- Pseudonymisierung der Daten:
Die Kundendaten werden pseudonymisiert und können mittels einer Referenztabelle wieder der Bankkundin / dem Bankkunden zugeordnet werden. Wichtig ist, dass die Referenztabelle der Kontrolle der Bank in der Schweiz unterliegt und nach dem Need-to-know-Prinzip entsprechend geschützt wird. Mit diesem Verfahren haben die Daten weiterhin eine Aussagekraft, ermöglichen aber ohne den Schlüssel keine Identifikation der «echten» Kunden.
- Verschlüsselung der Daten:
Im Gegensatz zur Pseudonymisierung der Daten, haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da die Originaldaten mithilfe kryptografischer Verfahren in unleserliche Zeichenfolgen verwandelt werden. Auch hier gilt, dass der Schlüssel der Kontrolle der Bank in der Schweiz unterliegt und vor unberechtigten Zugriffen geschützt wird. Das Verschlüsselungsverfahren muss aktuellen Sicherheitsstandards entsprechen.
Organisatorische und vertragliche Massnahmen
Die SBVg empfiehlt, dass die durch den Cloud-Anbieter durchgeführten operativen Massnahmen durch die Bank überwacht werden können. Hierfür werden Prüfungen der Sicherheits- und Vertraulichkeitsstandards des Anbieters anhand von unabhängigen Berichten empfohlen. Schliesslich sollen die definierten technischen und organisatorischen Massnahmen sowie die Überwachung deren Umsetzung und Einhaltung zwischen dem Anbieter und der Bank vertraglich festgelegt werden.
Für weiterführende Informationen…
… sei die Themenseite Cloud Computing von Swiss Banking empfohlen, wo umfangreiche Erklärungen sowie Links und Dokumente zum Thema zu finden sind.