Welche rechtlichen Rahmenbedingungen haben Schweizer Finanzinstitute beim Einsatz von Cloud-Dienstleistern aus nationaler und europäischer Sicht zu beachten und welche Anforderungen ergeben sich hieraus für die Vertragsgestaltung?

Im Mai 2021 hat die „European Cloud User Coalition“ („ECUC“), eine europaweite Interessengruppe aus Vertretern der Finanzindustrie, ihr Positionspapier mit Vorschlägen für einheitliche Anforderungen an die Zusammenarbeit mit und Auslagerung von Daten zu „Cloud Service Providern“ („CSP“), veröffentlicht[1]. Das ECUC Positionspapier enthält Vorschläge zu Vereinbarungen von technischen und organisatorischen Massnahmen, Überwachung und Durchsetzung zur Risikominimierung. Im Folgenden geben wir Ihnen einen kurzen Überblick über den schweizerischen und den europäischen Rechtsrahmen. Anschliessend finden Sie eine Liste mit den wichtigsten Massnahmen zur Risikominimierung als Checkliste.

 

1. Der schweizerische und europäische Rechtsrahmen

a. Datenschutz Schweiz und Europa:

Sofern im Rahmen der Auslagerung von Daten an einen CSP[2] Personendaten betroffen sind, gelten gemäss Art.6, 8 des revidierten Schweizer Datenschutzgesetzes („nDSG“) wie auch gemäss Art. 5 Datenschutzgrundverordnung («DSGVO») Grundsätze, dass die Datenbearbeitung zweckgebunden, verhältnismässig und sicher erfolgen muss. Die Voraussetzungen für eine „Auftragsdatenverarbeitung“ sind in Art.9 nDSG sowie Art.28 DSGVO geregelt, demnach muss der Verantwortliche mittels sorgfältiger Auswahl, Instruktion und Kontrolle sicherstellen, dass der Auftragsbearbeiter nur die von ihm definierte Datenbearbeitung durchführt und der Verantwortliche seinen Pflichten aus dem Datenschutz nachkommen kann[3]. Der Beizug eines Dritten Unterauftragnehmers ist gemäss Art.9 Abs.3 nDSG und Art.28 Abs.2 S.2 DSGVO nur mit Genehmigung des Verantwortlichen zulässig, siehe auch FINMA Rundschreiben Rz.33 „Das Unternehmen stellt sicher, dass es frühzeitig über den Beizug oder Wechsel von Unterakkordanten, die wesentliche Funktionen erbringen, informiert wird, und die Möglichkeit hat, das Outsourcing gemäss Rz 18.1 geordnet zu beenden»[4]. Schliesslich muss bei einem Datentransfer ins Ausland ein adäquates Datenschutzniveau gewährleistet Art.16 nDSG, Art.45 DSGVO, oder es müssen gemäss Art.46 DSGVO entsprechende Garantien abgeschlossen worden sein[5].

 

b. Geheimnisverpflichtungen Schweiz:

 

Neben den datenschutzrechtlichen Vorgaben, die sich mittels entsprechender vertraglicher Vereinbarungen mit dem CSP bezüglich Zwecks, Verhältnismässigkeit und Sicherheit sowie dem richtigen geografischen „Setup“ hinsichtlich Datentransfer und -Speicherung erfüllen lassen, kommen noch die Anforderungen zur Wahrung des Berufsgeheimnisses, für Finanzinstitute namentlich aus Art.47 BankG, Art.69 FINIG und Art.321 StGB.

Im Kontext dieser Ausführungen ist insbesondere das einschlägige Bankengeheimnis aus Art.47 BankG von Interesse, das eine „Offenbarung“, im Sinne tatsächlicher Kenntnisnahme, von Daten / Informationen, die dem Geheimnisträger (Finanzinstitut) in seiner Funktion anvertraut wurden, verlangt. Das heisst, dass ein Unberechtigter Zugang zu den Daten „im Klartext“, also nicht verschlüsselt, erhalten und der Geheimnisträger dies durch Verletzung einer Sorgfaltspflicht (Art.12 Abs.3 StGB) verursacht hat, dies also für ihn vorhersehbar und vermeidbar war[6].
Im Gesamtergebnis ist der aktuelle Meinungsstand, dass die Nutzung von CSP Diensten, und ein damit verbundener, unverschlüsselter Datentransfer, auch ins Ausland, nach Art.47 BankG[7] nicht strafbar ist, sofern technische und organisatorische Massnahmen zum Schutz vor Zugriff durch Unbefugte getroffen wurden[8].

Das primäre Kriterium für den Beizug eines Dritten sei nicht die Qualifikation dessen (je nach einschlägigem Gesetzeswortlaut als Hilfsperson oder Dritten), sondern dass Datensicherheit und Kontrolle weiterhin besteh bleibt[9]. Dies wird regelmässig auch für eine Datenbearbeitung im Ausland vertreten[10].

In welchem Masse die Vorkehrungen zu Datenschutz und -Sicherheit zu treffen sind, muss im Einzelfall anhand des jeweiligen Risikos beurteilt werden. Man kann in dem Versuch, das Risiko zu beurteilen, auf den Grundsatz zurückgreifen, dass die Datensicherheit „risikoadäquat“ sein muss und alle Massnahmen getroffen werden müssen, die eine Offenbarung, mit der nach gewöhnlichem Lauf der Dinge zu rechnen wäre, höchstwahrscheinlich verhindern[11], oder dass die Bank ihren Sorgfaltspflichten nachgekommen ist, wenn sie nach „sorgfältiger Prüfung“ zu dem Schluss gelangt, dass „nach dem voraussehbaren Lauf der Dinge im Normalbetrieb“ keine Offenbarung stattfindet[12].
Die Beurteilung eines Offenbarungsrisikos wird sodann nach Service-Modell vorgenommen[13], oder anhand eines statistischen Wahrscheinlichkeitsmodells[14].

 

Grundsätzlich gilt, dass ein robuster Vertrag mit dem CSP geschlossen werden muss, der klare Verantwortlichkeiten sowie Sicherheitsmassenahmen, Zugriffs- und Kontrollrechte enthält[15].

Dies hat auch die ECUC in ihrem Positionspapier entsprechend adressiert und zusammengefasst. Der folgende Massnahmenkatalog basiert auf diesen Empfehlungen und vertieft einzelne Punkte:

 

c. Europäischer Rechtsrahmen und Empfehlungen zur Vertragsgestaltung

 

Die European Banking Association, die mit ihren «EBA Guidelines on Outsourcing», die unter Einbezug der Anforderungen an «kritische Infrastruktur» gemäss Directive 2014/65/EU (MiFID II) Standards für Outsourcing formuliert, fokussiert auf ähnliche Punkte[16] wie die European Cloud User Coalition[17], die alle in untenstehender Checkliste zusammengefasst sind.

Erwähnenswert ist in diesem Zusammenhang noch der für 2022 anvisierte «Digital Operational Resilience Act» («DORA»), mit dem die Europäische Union anstrebt, die bisherigen nationalen Regelungen im Bereich Digitalisierung des Finanzsektors, insbesondere Digital- bzw. Informations- und Kommunikationstechnologien (IKT) zu konsolidieren (darunter auch die EBA Guidelines). Die Regelungspunkte entsprechen wiederum der untenstehenden Liste. Mit DORA sollen vor allem die Vorschriften für das IKT Risikomanagement und die Berichterstattung harmonisiert und deren Prüfung einer Aufsichtsbehörde unterstellt werden[18].

Für die Schweiz hat die FINMA in Anhang 3 ihres Rundschreibens 2008/13[19] Grundsätze für den Umgang mit elektronischen Kundendaten festgelegt.

 

Aus der vorgenannten Aufzählung der regulatorischen Vorschriften oder Vorhaben ist ersichtlich, dass eine Vielzahl einzelner Risiko- und Regelungspunkte besteht, die es zu konsolidieren gilt. In unserem Shop finden Sie eine kostenlose Checkliste, die eine Sammlung der regelungsbedürftigen Punkte enthält, die in einen Vertrag mit einem CSP aufgenommen werden sollten.

 

 

Fußnoten und Anmerkungen

[1] Der Terminus „Cloud Service Provider“ ist in dem Positionspapier der ECUC nicht legal definiert, verweist aber auf drei verschiedene „Operating Models“, derer sich weitgehend zur Definition von „Cloud services“ bedient wird, siehe: European Cloud User Coalition (ECUC) : Position Paper Requirements for standardisation of compliant use of public cloud technology in regulated European financial institutions, Version 1.0, 12 May 2021S.6. Auch die Schweizerischen Bankenvereinigung basiert ihre Definition auf diesem Modell: „Cloud Computing ist ein Modell der Datenverarbeitung, mit dem bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zugegriffen werden kann. Diese können schnell und mit minimalem Verwaltungsaufwand beziehungsweise geringer Serviceprovider-Interaktion zur Verfügung gestellt werden. Die Cloud kann in drei Varianten (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (Saas) genutzt werden. Die Art der Cloud unterscheidet sich je nach Art der Bereitstellung (Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud). Cloud Banking wird in diesem Zusammenhang als die Bereitstellung und Erbringung von Bank- und Finanzdienstleistungen auf Grundlage der Cloud-Technologie definiert.“ in: Schweizerische Bankenvereinigung „Cloud Leitfaden Wegweiser für sicheres Cloud Banking“, Juni 2020, 2. Auflage, S.8.

Anmerkung: Die Unterscheidung nach Service-Varianten und das Merkmal der Nutzung von externen Datennetzen über sog.
„Cloud-Anbieter“ im Gegensatz zur Bereitstellung einer eigenen IT-Infrastruktur wird auch hier als Definition verwendet, wobei hier noch das Kriterium „reifer“ Cloud-Lösungen angeführt wird, was aber nicht näher erläutert wird, siehe: Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur- Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.III, 27

[2] Siehe Rosenthal zur Definition „Cloud-Provider“: „Gemeint ist damit ein gruppeninterner oder externer Anbieter von IT-bezogenen Dienstleistungen, welcher die ihm anvertrauten Informationen mit einer Cloud-basierten Infrastruktur speichert und bearbeitet.“ In: Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US-CLOUD Act, in: Jusletter 10. August 2020, S.5

[3] Es wird angenommen, dass der CSP im Cloud Banking als Auftragsverarbeiter zu qualifizieren ist, siehe Schwaniger, David; Merz, Michelle: Cloud Computing: Ausgewählte rechtliche Probleme in der Wolke 2.0, in: Jusletter 21. Juni 2021,
S.83. Zu den Abgrenzungsfragen Rosenthal, David; Epprech, Barbara: Banken und ihre datenschutzrechtliche Verantwortlichkeit im Verkehr mit ihren Dienstleistern, in: Susanne Emmenegger (Hrsg.), Banken und Datenschutz, Basel 2019, S.130 (http://www.rosenthal.ch/downloads/Rosenthal-Epprecht-ControllerProcessor.pdf) Stand 15. Dez.2021

[4] FINMA Rundschreiben 2018/3 zum Outsourcing bei Banken und Versicherer, Rz. 33.

[5] Übermittlung ins Ausland (admin.ch) Mit dem Hinweis des EDÖB, dass auch eine Verwendung von Standardvertragsklauseln den Zugriff von ausländischen Behörden auf Personendaten nicht verhindern: Positionspapier_PS_ EDÖB_DE.pdf.

[6] Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10. August 2020, S.6 und 29 sowie Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.5

[7] Verwiesen wird hier regelmässig auch auf den Willen des Gesetzgebers, der ermöglichen wollte, dass in einer zunehmend arbeitsteiligen Welt auch Dritte, insbesondere Rechenzentren, der Risikosphäre der Bank zugerechnet werden können, siehe: Günter Stratenwert, Art. 47 Rn. 7, 15 in: Rolf Watter, Nedim Peter Vogt, Thomas Bauer, Christoph Winzeler, Basler Kommentar zum Bankengesetz, 2. Auflage, Helbing Lichtenhahn Verlag, 2013 und Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.9. Sowie verweis auf die Botschaft über die Revision des Bankengesetzes, BBl 1970 1182 in: Bundesgerichtsurteil, Strafrechtliche Abteilung, 10. Oktober 2018, 6B_1314/2016, 6B_1318/2016 «Fall Elmer».

[8] Zum Meinungsstand siehe Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US-CLOUD Act, in: Jusletter 10. August 2020, S.7-10:

Anmerkung: Die Anforderungen reichen von einem Einverständnis des Geheimnisträgers (siehe Wohlers, Wolfgang: Outsourcing durch Berufsgeheimnisträger, in: digma – Zeitschrift für Datenrecht und Informationssicherheit, 2016) über ein „vernünftiges Interesse“ der Bank und keine entgegenstehende Kundenabrede (siehe Walder Wyss AG; Isler, Michael; Kunz, Oliver M.; Müller, Thomas; Schneider, Jürgen, Vasella, David: Zulässigkeit der Bekanntgabe von Bankkundendaten durch schweizerische Banken an Beauftragte im Ausland unter Art. 47 BankG Datum 15. Februar 2019 erstattet an Schweizerische   Bankiervereinigung (SBVg), S.4) bis hin zu dem Ansatz, dass von einer „impliziten Einwilligung“ des Bankkunden in Bezug auf die arbeitsteilige Arbeitsweise einschliesslich Beizug eines CSP durch die Bank auszugehen ist (siehe Laux, Dr. Christian; Hofmann, Alexander; Schieweck, mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.11).

[9] Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US-CLOUD Act, in: Jusletter 10. August 2020, S.14.

[10]Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US CLOUD Act, in: Jusletter 10. August 2020, S.20 sowie Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.15 sowie Walder Wyss AG; Isler, Michael; Kunz, Oliver M.; Müller, Thomas; Schneider, Jürgen, Vasella, David): Zulässigkeit der Bekanntgabe von Bankkundendaten durch schweizerische Banken an Beauftragte im Ausland unter Art. 47 BankG Datum 15. Februar 2019 erstattet an Schweizerische   Bankiervereinigung (SBVg), S.24 und auch die SBVg sieht ihren Grundsatz „Over-the-border-out-of-control“ aufgrund dessen CID (personenidentifizierende Daten) weder ausserhalb der Schweiz gehalten, noch ein Zugriff auf diese möglich wäre, als überholt an – siehe: SwissBanking: Cloud-Leitfaden Wegweiser für sicheres Cloud Banking, 2. Auflage, Juni 2020, S1.

[11] Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US-CLOUD Act, in: Jusletter 10. August 2020, S.30, 33

[12] Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.16

[13] Laux, Dr. Christian; Hofmann, Alexander; Schieweck, Mark; Hess, Dr. Jürgen: Rechtsgutachten Nutzung von Cloud-Angeboten durch Banken: Zur Zulässigkeit nach Art.47 BankG, zugleich Diskussionsbeitrag aus Anlass der Publikation eines Cloud-Leitfadens der Schweizerischen Bankenvereinigung (SBVg) zum Einsatz von Cloud-Dienstleistungen durch Banken und Effektenhändler“, 14. Februar 2019, S.18ff

[14] siehe zur Wahrscheinlichkeit eines Zugriffs im Ausland Rosenthal, David: Mit Berufsgeheimnissen in die Cloud: So geht es trotz US-CLOUD Act, in: Jusletter 10. August 2020, S.34ff

[15] FINMA, Rundschreiben 2018 / 3, Outsourcing – Banken und Versicherer, 21. September 2017, Rz.30 FINMA, Rundschreiben 2018 / 3, Outsourcing – Banken und Versicherer, 31. Januar 2017, S. 39

[16] European Banking Authority (EBA) Final Report on EBA Guidelines on outsourcing arrangements, 25 February 2019, S.9 – zum Risk Assessment siehe S.40 werden auch hier die Punkte «Monitoring» und «Governance», Dokumentation und Kontrolle sowie Datensicherheit und Business Continuity bei Beendigung genannt, S.27ff und die wichtigsten vertraglich zu regelnden Punkte aufgelistet, S.44

Eine teilweise Aufzählung der Punkte zur Vertragsgestaltung findet sich auch hier: Schwaninger, David; Merz, Michelle: Cloud Computing Ausgewählte rechtliche Probleme in der Wolke 2.0 in: Jusletter 21. Juni 2021, S.12f.

[17] European Cloud User Coalition (ECUC): Position Paper Requirements for standardisation of compliant use of public cloud technology in regulated European financial institutions, Version 1.0, 12 May 2021

[18] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020PC0595&from=DE

[19] FINMA Rundschreiben 2008/13 Operationelle Risiken – Banken, Anhang 3, S.29ff