Alles eine Frage der Zeit? Das Microsoft Datacenter Schweiz und der US CLOUD ACT

Urs Wermelinger
06.08.2019 17:27:00

In wenigen Wochen ist es soweit: Microsoft eröffnet in der Schweiz seine neue Datacenter und damit die “Cloud-Region Switzerland”. Microsoft verspricht sich durch die geographische Nähe für seine Kunden nicht nur Performance-Vorteile. Hauptmotivation dürfte dabei vor allem die neue Option der Datenhaltung in der Schweiz, die Microsoft neu vertraglich zugesichert im Angebot hat. Sehr oft hört man allerdings als Vorbehalt, dass durch den US CLOUD ACT ausländische Behörden Cloud Anbieter dazu zwingen können Kundendaten auszuhändigen. Was es damit in der Realität wirklich auf sich hat, erörtert die renommierte Rechtsanwaltskanzlei Homburger in einem kürzlich publizierten Artikel.

Schweizer Unternehmen in die Cloud: Steht der US CLOUD Act im Wege?

Alle reden davon, und immer mehr tun es: Private und Unternehmen gehen mit ihren Daten immer häufiger in die Cloud. 2015 war die Helsana eine der ersten renommierten Schweizer Firmen, die mit ihrem CRM in die (Microsoft) Cloud ging - mit dem ok der lokalen Regulierungsbehörden FINMA und BAG. Mittlerweile speichern etliche Versicherungen und Unternehmen aus anderen Branchen Daten in der Cloud. Aber zwei Branchen taten sich bisher schwer: Banken und Anwälte - aber das könnte sich schnell ändern. Das hat mit verschiedenen Faktoren zu tun:

  • FINMA Anforderungen: Die FINMA hat mittlerweile verschiedene Empfehlungen (aka “Rundschreiben”) zum Thema veröffentlicht, denen die wichtigen Anbieter sich verpflichtet fühlen und sie vertraglich garantieren.
  • Auch das Berufsgeheimnis (z.B. Banken) wird nicht durch Cloud Dienste beeinträchtigt, da das Auslagern von IT-Services an Cloud Anbieter grundsätzlich zulässig ist (solange sich diese an die üblichen Voraussetzungen an Datensicherheit halten).
  • Datenschutz: Die kürzlich in Kraft getretene DSGVO ist strenger als das Schweizer Recht. 
  • Publizität: Mit zunehmender Akzeptanz der Cloud-Dienste verschwindet auch die Angst vor Negativschlagzeilen vieler Unternehmen.
  • US CLOUD ACT? Zum Thema wurden in den letzten Jahren allerdings immer mehr die Problematik von möglichen “rechtmässigen Zugriffen” durch ausländische Gerichte und Behörden.

Das eigentliche Problem: “Lawfull access”

Auch im Zuge des Zugrabetragens des Bankgeheimnisses, haben Schweizer Banken zahlreiche Massnahmen in organisatorischer aber auch technischer Hinsicht ( BVOK “Bring your own key” und andere). Allerdings brachte das in der Wahrnehmung vieler Institute und Kunden zu wenig. Cloud Anbieter wie Microsoft verpflichten sich, Kundendaten nicht offen zu legen, “sofern nicht gesetzlich vorgeschrieben. [… ] … wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Anforderungen zukommen lassen, sofern dies nicht gesetzlich verboten ist” [aus den Microsoft Bestimmungen für Onlinedienste (“OST”) vom 1. Mai 2019).

Schweizer Regelungen gehen weiter als der US CLOUD ACT

Der US CLOUD ACT verpflichtet in der Tat u.a. Cloud Provider dazu Kundendaten offen zu legen, die in ihrem physischen Besitz oder unter ihrer Kontrolle sind. Möglich ist dies nur für Strafuntersuchungen und erfordert einen Gerichtsbeschluss. Diese Regelung entspricht laut dem Beitrag von David Rosenthal von Homburger der “Cybercrime Convention” (Art. 18), welche seit 2012 auch für die Schweiz gilt. “Die Schweiz hat sie freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”, so Rosenthal.

“Die Schweiz hat sie [Cybercrime Convention] freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”. David Rosenthal, Homburger Anwalts Kanzlei, Zürich.

Ein wesentliches einschränkendes Element der Formulierung des US Justizdepartementes: Relevant demnach nicht nur die technische Möglichkeit, sondern auch ob die Kontrolle durch den Provider über die Daten auf “legitime” Art erfolgen kann. Der Zugriff auf die Daten muss durch die normale und legale Geschäftstätigkeit des Providers abgedeckt werden, d.h. der Provider darf z.B. nicht gewungen werden, Encryption keys illegal zu beschaffen (“Hacking” oder “Backdoor”).

Kein Schwarz/Weiss - eigene Risiko-Abwägungen notwendig

Wie so oft im Business ist es am Schluss eine Abwägung von Risiken und Chancen, welcher Strategie ein Unternehmen folgen möchte: einer Komplett-Abschottung einher gehen teilweise signifikant höhere Kosten oder Kompromisse bei Sicherheitsfragen einher, die durch Cloud-Dienste meisten deutlich umfassender und besser gelöst sind. Die Möglichkeit, Daten z.B. von Microsoft Offcie 365 in der Schweiz zu halten, eröffnet eine neue Option, in dem das US Justizdepartement vom Provider nicht mehr die Herausgabe der Daten verlangen kann, da diese nicht mehr “legitim” unter dessen Kontrolle liegen. Aber auch hier: ob dies denn auch wirklich für jedes Unternehmen notwendig ist, muss schlussendlich die eigene Einschätzung bringen.

Die neuen Data-Center von Microsoft und Google in der Schweiz scheinen diese Diskussionen etwas nüchterner zu machen, was sehr wünschenswert ist.

Die Original Präsentation kann auf der Website der Rechtsanwälte Homburger heruntergeladen werden. David Rosenthal, Homburger, Mai 2019.
https://www.homburger.ch/en/current/publications?id=banken-cloud

Zusammenfassung aus der Publikation von “Homburger” [Zitat]:

  • Schweizer Banken sind aufgrund des Bankgeheimnisses in einer Sonderposition
    • Erwartungshaltung des typischen Bankkunden, die sich aber im Laufe der zeit ändern wird
    • In anderen Branchen sollte anderen Risiken (z.B. Business Continuity) mehr Augenmerk beigemessen werden, da sie grösser sind als ausländische Behördenzugriffe

  • Es ist nur eine Frage der Zeit, bis Banken & Co. mit Ihren Kundendaten in die Cloud gehen
    • schon heute nur noch eine wesentliche Hürde: Die Gefahr eines rechtmässigen Zugriffs durch ausländische Behörden auf Kundendaten im Klartext
    • Hierfür entwickeln sich derzeit praktikable Lösungsansätze; die praktische Umsetzung und die Nachweise der Sicherheit wird nicht ganz einfach sein.

  • Die Diskussion dominieren allerdings vor allem diffuse Ängste
    • Angst vor dem US CLOUD ACT - zu Unrecht ein Schreckgespenst, da er einen viel engeren und weniger weitgehenden Anwendungsbereich hat, als die meisten befürchten.
    • Angst vor dem Kunden - dass er negativ reagiert, wenn ein Unternehmen in die Cloud geht.

Homburger Datacenter Schweiz Banken

 

CYCLOPEDIA Blog

News, Trends, Insights und Meinungen
über den modernen Arbeitsplatz

Abonnieren

Abonnieren