Cloud funktioniert, auch rechtlich, und auch für regulierte Branchen. Banken können Clouds im In- und Ausland einsetzen, ohne das Bankgeheimnis zu verletzen. In einem Gutachten hat der Verfasser dieses Beitrags die Grundlagen dafür nachgewiesen.
Die Schweizerische Bankiervereinigung hat einen Leitfaden für den Weg von Banken in die Cloud erstellt1. Das eingangs erwähnte Gutachten2 war ein wesentlicher Beitrag dazu. Banken müssen den Datenschutz (Personendaten), das Vertragsrecht (Bankkundengeheimnis), das Strafrecht (Verstärkung des Bankkundengeheimnisses, Art. 47 BankG) und das Aufsichtsrecht (Funktionieren des Finanzplatzes) einhalten. In der Wahrnehmung von vielen stand v.a. Art. 47 BankG (siehe Text im Kasten) der Cloud-Nutzung durch Banken bislang entgegen.
Diese Schutzaspekte sind rechtlich beherrschbar. Wenn eine Bank eine Cloud nutzen will, braucht es Planung und Kontrolle. Die Bank muss für technische, organisatorische und vertragliche Massnahmen sorgen und vom Cloud-Anbieter diesbezügliche Transparenz verlangen. Die Bank muss sich mit dessen Reifegrad auseinandersetzen, seinen Umgang mit Daten und die Funktionsweise des Cloud-Angebots verstehen (Erweiterung des physischen und logischen Perimeters der Bank). Mittels vertraglicher Massnahmen ist dieser Zustand abzusichern. Alle Schutzaspekte verlangen die Einhaltung von gewissen Verfahren sowie eine besondere Organisation, teilweise zudem Beschränkungen in der Datennutzung und eine besondere Datenverfügbarkeit; nicht jedoch, dass man alles selber machen müsste. Übersetzt in die Aufgabenstellung «Cloud» bedeutet dies: Der Beizug eines Cloud-Anbieters ist nicht verboten.
Die technische Lösung wird sich je nach Cloud-Anbieter unterscheiden. Die folgende Unterscheidung ist wesentlich für die Würdigung unter Art. 47 BankG:
Aus der Optik des Strafrechts spielt der Speicherort der Daten keine Rolle. Aus der Optik der Finanzmarktaufsicht wird mitunter postuliert, eine parallele Infrastruktur in der Schweiz sei nötig, um jederzeit Zugriff der Aufsichtsbehörde auf die Daten gewährleisten zu können. Eine derartige Lesart des einschlägigen Outsourcing-Rundschreibens der Finma lässt sich aber mit technischen und rechtlich-systematischen Überlegungen widerlegen.
Nach Art. 47 BankG wird bestraft, wer vorsätzlich oder fahrlässig:
1 https://www.swissbanking.org/en/topics/digitisation/cloud-computing-2013-swiss-cloud
2 https://www.swissbanking.org/library/richtlinien/rechtsgutachten