In wenigen Wochen ist es soweit: Microsoft eröffnet in der Schweiz seine neue Datacenter und damit die “Cloud-Region Switzerland”. Microsoft verspricht sich durch die geographische Nähe für seine Kunden nicht nur Performance-Vorteile. Hauptmotivation dürfte dabei vor allem die neue Option der Datenhaltung in der Schweiz, die Microsoft neu vertraglich zugesichert im Angebot hat. Sehr oft hört man allerdings als Vorbehalt, dass durch den US CLOUD ACT ausländische Behörden Cloud Anbieter dazu zwingen können Kundendaten auszuhändigen. Was es damit in der Realität wirklich auf sich hat, erörtert die renommierte Rechtsanwaltskanzlei Homburger in einem kürzlich publizierten Artikel.
Alle reden davon, und immer mehr tun es: Private und Unternehmen gehen mit ihren Daten immer häufiger in die Cloud. 2015 war die Helsana eine der ersten renommierten Schweizer Firmen, die mit ihrem CRM in die (Microsoft) Cloud ging - mit dem ok der lokalen Regulierungsbehörden FINMA und BAG. Mittlerweile speichern etliche Versicherungen und Unternehmen aus anderen Branchen Daten in der Cloud. Aber zwei Branchen taten sich bisher schwer: Banken und Anwälte - aber das könnte sich schnell ändern. Das hat mit verschiedenen Faktoren zu tun:
Auch im Zuge des Zugrabetragens des Bankgeheimnisses, haben Schweizer Banken zahlreiche Massnahmen in organisatorischer aber auch technischer Hinsicht ( BVOK “Bring your own key” und andere). Allerdings brachte das in der Wahrnehmung vieler Institute und Kunden zu wenig. Cloud Anbieter wie Microsoft verpflichten sich, Kundendaten nicht offen zu legen, “sofern nicht gesetzlich vorgeschrieben. [… ] … wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Anforderungen zukommen lassen, sofern dies nicht gesetzlich verboten ist” [aus den Microsoft Bestimmungen für Onlinedienste (“OST”) vom 1. Mai 2019).
Der US CLOUD ACT verpflichtet in der Tat u.a. Cloud Provider dazu Kundendaten offen zu legen, die in ihrem physischen Besitz oder unter ihrer Kontrolle sind. Möglich ist dies nur für Strafuntersuchungen und erfordert einen Gerichtsbeschluss. Diese Regelung entspricht laut dem Beitrag von David Rosenthal von Homburger der “Cybercrime Convention” (Art. 18), welche seit 2012 auch für die Schweiz gilt. “Die Schweiz hat sie freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”, so Rosenthal.
“Die Schweiz hat sie [Cybercrime Convention] freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”. David Rosenthal, Homburger Anwalts Kanzlei, Zürich.
Ein wesentliches einschränkendes Element der Formulierung des US Justizdepartementes: Relevant demnach nicht nur die technische Möglichkeit, sondern auch ob die Kontrolle durch den Provider über die Daten auf “legitime” Art erfolgen kann. Der Zugriff auf die Daten muss durch die normale und legale Geschäftstätigkeit des Providers abgedeckt werden, d.h. der Provider darf z.B. nicht gewungen werden, Encryption keys illegal zu beschaffen (“Hacking” oder “Backdoor”).
Wie so oft im Business ist es am Schluss eine Abwägung von Risiken und Chancen, welcher Strategie ein Unternehmen folgen möchte: einer Komplett-Abschottung einher gehen teilweise signifikant höhere Kosten oder Kompromisse bei Sicherheitsfragen einher, die durch Cloud-Dienste meisten deutlich umfassender und besser gelöst sind. Die Möglichkeit, Daten z.B. von Microsoft Offcie 365 in der Schweiz zu halten, eröffnet eine neue Option, in dem das US Justizdepartement vom Provider nicht mehr die Herausgabe der Daten verlangen kann, da diese nicht mehr “legitim” unter dessen Kontrolle liegen. Aber auch hier: ob dies denn auch wirklich für jedes Unternehmen notwendig ist, muss schlussendlich die eigene Einschätzung bringen.
Die neuen Data-Center von Microsoft und Google in der Schweiz scheinen diese Diskussionen etwas nüchterner zu machen, was sehr wünschenswert ist.
Die Original Präsentation kann auf der Website der Rechtsanwälte Homburger heruntergeladen werden. David Rosenthal, Homburger, Mai 2019.
https://www.homburger.ch/en/current/publications?id=banken-cloud
