Alles eine Frage der Zeit? Das Microsoft Datacenter Schweiz und der US CLOUD ACT

In wenigen Wochen ist es soweit: Microsoft eröffnet in der Schweiz seine neue Datacenter und damit die “Cloud-Region Switzerland”. Microsoft verspricht sich durch die geographische Nähe für seine Kunden nicht nur Performance-Vorteile. Hauptmotivation dürfte dabei vor allem die neue Option der Datenhaltung in der Schweiz gewesen sein, die Microsoft neu vertraglich im Angebot hat. Dem zum Trotz hört man bei Schweizer Kunden oft den Vorbehalt, dass durch den US CLOUD ACT ausländische Behörden Cloud Anbieter dennoch dazu zwingen können Kundendaten auszuhändigen. Was es damit in der Realität wirklich auf sich hat, erörtert die renommierte Rechtsanwaltskanzlei Homburger in einem kürzlich publizierten Artikel.

Der Anlass zum Thema: “Innovation Switzerland” - das CYCL Kunden-Forum am 29. August 2019 zum Microsoft Datacenter Launch in der Schweiz ANMELDUNG

Schweizer Unternehmen gehen in die Cloud: Steht nur noch der US CLOUD Act im Wege?

Alle reden davon, und immer mehr tun es: Private und Unternehmen gehen mit ihren Daten immer häufiger in die Cloud. 2015 war die Helsana eine der ersten renommierten Schweizer Firmen, die mit ihrem CRM in die (Microsoft) Cloud ging - mit dem ok der lokalen Regulierungsbehörden FINMA und BAG. Mittlerweile speichern etliche Versicherungen und Unternehmen aus anderen Branchen Daten in der Cloud. Aber einige Branchen taten sich bisher schwerer als andere - aber das könnte sich laut David Rosenthal, von der Rechtsanwaltskanzlei Homburger, schnell ändern. Das hat mit verschiedenen Faktoren zu tun:

  • FINMA Anforderungen: Die FINMA hat mittlerweile verschiedene Empfehlungen (aka “Rundschreiben”) zum Thema veröffentlicht, denen sich die wichtigen Anbieter verpflichtet fühlen und sie mittlerweile auch vertraglich garantieren.

  • Auch das Berufsgeheimnis (z.B. Banken) wird nicht durch Cloud Dienste beeinträchtigt, da das Auslagern von IT-Services an Cloud Anbieter grundsätzlich zulässig ist (solange sich diese an die üblichen Voraussetzungen an Datensicherheit halten).

  • Datenschutz: Die kürzlich in Kraft getretene DSGVO in der EU ist strenger als das Schweizer Recht.

  • Publizität: Mit zunehmender Akzeptanz der kommerziellen Cloud-Dienste verschwindet auch die Angst vor Negativschlagzeilen vieler Unternehmen.

  • US CLOUD ACT? Zum Thema wurde in den letzten Jahren allerdings immer mehr die Problematik von möglichen “rechtmässigen Zugriffen” durch ausländische Gerichte und Behörden.

Das eigentliche Problem: “Lawfull Access”

Auch im Zuge der Daten-CD Skandale und der faktischen Aushölung des Bankgeheimnisses haben Schweizer Banken zahlreiche Massnahmen in organisatorischer aber auch technischer Hinsicht ( BYOK “Bring Your Own Key” und andere) implementiert. Allerdings brachte das in der Wahrnehmung vieler Institute und Kunden noch zu wenig. Zudem: Cloud Anbieter wie Microsoft verpflichten sich, Kundendaten nicht offen zu legen, “… sofern nicht gesetzlich vorgeschrieben … ” [aus den Microsoft Bestimmungen für Onlinedienste (“OST”) vom 1. Mai 2019). Aber was schreibt denn der US CLOUD ACT tatsächlich vor, dem sich globale Cloud-Dienste allenfalls fügen müssten?

Weitere Berichte zum Thema auf CYCL.ch:

Interview mit Marc Holitscher (NTO Microsoft Schweiz): “Microsoft macht im Sommer ernst: Schweizer Microsoft Cloud-Region mobilisiert den Markt.”
Lesen Sie das Interview zum Thema mit Marc Holitscher, National Technology Officer von Microsoft Switzerland, in unserem Blog. Interview mit Marc Holitscher

Hintergrund-Artikel: “Schweizer "Banken reagieren unterschiedlich auf das Microsoft Schweizer Datacenter”: Beitrag auf dem CYCL Blog lesen.

Schweizer Regelungen gehen weiter als der US CLOUD ACT

Der US CLOUD ACT verpflichtet in der Tat u.a. Cloud Provider dazu Kundendaten offen zu legen, die in ihrem physischen Besitz oder unter ihrer Kontrolle sind. Möglich ist dies nur für Strafuntersuchungen und erfordert einen Gerichtsbeschluss. Diese Regelung entspricht laut dem Beitrag von David Rosenthal von Homburger der Europäischen “Cybercrime Convention” (Art. 18), welche seit 2012 auch für die Schweiz gilt. “Die Schweiz hat sie freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”, so Rosenthal.

“Die Schweiz hat sie [Cybercrime Convention] freizügiger umgesetzt. Zugriffe auf die Cloud erfolgen i.d.R. ohne Gerichtsbeschluss”. David Rosenthal, Homburger Rechtsanwalts Kanzlei, Zürich, 2019.

Ein wesentliches einschränkendes Element der Formulierung des US Justizdepartementes: Relevant demnach nicht nur die technische Möglichkeit, sondern auch ob die Kontrolle durch den Provider über die Daten auf “legitime” Art erfolgen kann. Der Zugriff auf die Daten muss durch die normale und legale Geschäftstätigkeit des Providers abgedeckt werden, d.h. der Provider darf z.B. nicht gewungen werden, Encryption keys illegal zu beschaffen (“Hacking” oder “Backdoors”).

Kein Schwarz/Weiss - eigene Risiko-Abwägungen notwendig

Wie so oft im Business ist es am Schluss eine Abwägung von Risiken und Chancen, welcher Strategie ein Unternehmen folgen möchte: Mit einer Komplett-Abschottung einher gehen teilweise signifikant höhere Kosten oder Kompromisse bei Sicherheitsfragen, die durch Cloud-Dienste meisten deutlich umfassender gelöst sind. Die Möglichkeit, Daten z.B. von Microsoft Offcie 365 in der Schweiz zu halten, eröffnet eine neue Option, in dem das US Justizdepartement vom Provider nicht mehr die Herausgabe der Daten verlangen kann, da diese nicht mehr “legitim” unter dessen Kontrolle liegen.

Aber auch hier: ob eine geographisch eingeschränkte Datenhaltung denn auch wirklich für die meisten Unternehmen notwendig ist, muss schlussendlich die eigene Einschätzung bringen. Die neuen Data-Center von Microsoft und Google in der Schweiz scheinen diese Diskussionen noch etwas nüchterner zu machen, was wünschenswert ist.

Zusammenfassung aus der Publikation von “Homburger” [Zitat, Quelle am Ende des Artikels]:

  • Schweizer Banken sind aufgrund des Bankgeheimnisses in einer Sonderposition

    • Erwartungshaltung des typischen Bankkunden, die sich aber im Laufe der zeit ändern wird

    • In anderen Branchen sollte anderen Risiken (z.B. Business Continuity) mehr Augenmerk beigemessen werden, da sie grösser sind als ausländische Behördenzugriffe

  • Es ist nur eine Frage der Zeit, bis Banken & Co. mit Ihren Kundendaten in die Cloud gehen

    • schon heute nur noch eine wesentliche Hürde: Die Gefahr eines rechtmässigen Zugriffs durch ausländische Behörden auf Kundendaten im Klartext

    • Hierfür entwickeln sich derzeit praktikable Lösungsansätze; die praktische Umsetzung und die Nachweise der Sicherheit wird nicht ganz einfach sein.

  • Die Diskussion dominieren allerdings vor allem diffuse Ängste

    • Angst vor dem US CLOUD ACT - zu Unrecht ein Schreckgespenst, da er einen viel engeren und weniger weitgehenden Anwendungsbereich hat, als die meisten befürchten.

    • Angst vor dem Kunden - dass er negativ reagiert, wenn ein Unternehmen in die Cloud geht.

Homburger Datacenter Schweiz Banken.png

Die Original Präsentation kann auf der Website der Rechtsanwälte Homburger heruntergeladen werden.
https://www.homburger.ch/en/current/publications?id=banken-cloud


CYCL hilft Unternehmen, die Möglichkeiten der Schweizer Microsoft Cloud bestmöglich zu nutzen. Unsere ausgewiesene Erfahrung in Azure AD / Azure B2C, Identity Relationship Management und SaaS Development hilft unseren Kunden Cloud-Strategien effektiv zu entwickeln und umzusetzen. www.cycl.ch