Cloud funktioniert, auch rechtlich, und auch für regulierte Branchen. Banken können Clouds im In- und Ausland einsetzen, ohne das Bankgeheimnis zu verletzen. In einem Gutachten hat der Verfasser dieses Beitrags die Grundlagen dafür nachgewiesen.
Die Schweizerische Bankiervereinigung hat einen Leitfaden für den Weg von Banken in die Cloud erstellt1. Das eingangs erwähnte Gutachten2 war ein wesentlicher Beitrag dazu. Banken müssen den Datenschutz (Personendaten), das Vertragsrecht (Bankkundengeheimnis), das Strafrecht (Verstärkung des Bankkundengeheimnisses, Art. 47 BankG) und das Aufsichtsrecht (Funktionieren des Finanzplatzes) einhalten. In der Wahrnehmung von vielen stand v.a. Art. 47 BankG (siehe Text im Kasten) der Cloud-Nutzung durch Banken bislang entgegen.
Diese Schutzaspekte sind rechtlich beherrschbar. Wenn eine Bank eine Cloud nutzen will, braucht es Planung und Kontrolle. Die Bank muss für technische, organisatorische und vertragliche Massnahmen sorgen und vom Cloud-Anbieter diesbezügliche Transparenz verlangen. Die Bank muss sich mit dessen Reifegrad auseinandersetzen, seinen Umgang mit Daten und die Funktionsweise des Cloud-Angebots verstehen (Erweiterung des physischen und logischen Perimeters der Bank). Mittels vertraglicher Massnahmen ist dieser Zustand abzusichern. Alle Schutzaspekte verlangen die Einhaltung von gewissen Verfahren sowie eine besondere Organisation, teilweise zudem Beschränkungen in der Datennutzung und eine besondere Datenverfügbarkeit; nicht jedoch, dass man alles selber machen müsste. Übersetzt in die Aufgabenstellung «Cloud» bedeutet dies: Der Beizug eines Cloud-Anbieters ist nicht verboten.
Die technische Lösung wird sich je nach Cloud-Anbieter unterscheiden. Die folgende Unterscheidung ist wesentlich für die Würdigung unter Art. 47 BankG:
- Ohne Klartextzugriff: Wenn die Bank Cloud-Anbieter auswählt, die sicherstellen können, dass im Normalbetrieb keinerlei Offenbarungen an unbefugte Dritte (auch eigene Mitarbeitende) erfolgen, darf die Bank deren CloudAngebote nutzen. Dies kann heute für reife Cloud-Anbieter bereits bestätigt werden. Die Migration von Daten in die IT-Infrastrukturen solcher Cloud-Anbieter erfüllt das Tatbestandsmerkmal der strafbaren Offenbarung nicht.
- Mit Klartextzugriff: Die Bank kann auch Cloud-Anbieter beiziehen, deren Mitarbeitende Klartextzugriff auf Bankkundendaten erhalten. Dies ist gesetzlich seit 1971 ausdrücklich anerkannt (sog. strafrechtliche Privilegierung). Ein Cloud-Anbieter muss dafür als «Beauftragter» eingebunden werden: Damit wird der Cloud-Anbieter wie eine Bank strafbar und der personelle Perimeter der Bank wird erweitert. Es geht hier um die Frage, wo die Bank «anfängt und wo sie aufhört»
Aus der Optik des Strafrechts spielt der Speicherort der Daten keine Rolle. Aus der Optik der Finanzmarktaufsicht wird mitunter postuliert, eine parallele Infrastruktur in der Schweiz sei nötig, um jederzeit Zugriff der Aufsichtsbehörde auf die Daten gewährleisten zu können. Eine derartige Lesart des einschlägigen Outsourcing-Rundschreibens der Finma lässt sich aber mit technischen und rechtlich-systematischen Überlegungen widerlegen.
Nach Art. 47 BankG wird bestraft, wer vorsätzlich oder fahrlässig:
- ein Geheimnis offenbart, das ihm in seiner Eigenschaft als Organ, Angestellter, Beauftragter oder Liquidator einer Bank oder einer Person nach Artikel 1b […] anvertraut worden ist oder das er in dieser Eigenschaft wahrgenommen hat;
- […]
- ein ihm nach Buchstabe a offenbartes Geheimnis weiteren Personen offenbart oder für sich oder einen anderen ausnützt.
1 https://www.swissbanking.org/en/topics/digitisation/cloud-computing-2013-swiss-cloud
2 https://www.swissbanking.org/library/richtlinien/rechtsgutachten
