SwissBanking
Das Online-Magazin der Schweizerischen Bankiervereinigung
2018/12/12 02:00:00 GMT+1

Sektionen

Message
Die Cloud ermöglichen

Die Cloud ermöglichen

Das nächste Jahr soll Klarheit schaffen, wie für Banken die Cloud realisierbar wird. Für die Erreichung dieses Ziels arbeitet die Schweizerische Bankiervereinigung (SBVg) in engem Austausch mit verschiedenen Stakeholdern an einer Checkliste für ihre Mitgliedinstitute. Diese soll die risikolose Migration auf die Cloud als strategischen Erfolgsfaktor ermöglichen.

Die Zukunft der Banken liegt in der Cloud. Dort können sie die aktuellen und zukünftigen Kundenbedürfnisse agil und innovativ adressieren. Zum Beispiel auf Basis von künstlicher Intelligenz. Es überrascht deshalb nicht, dass sich die Banken bei den Cloud-Anbietern die Klinke in die Hand geben. Noch scheuen die Banken aber die Migration auf die Cloud.

Hemmnisse abschaffen

Diese Zurückhaltung liegt nicht an Sicherheitsbedenken. Diese haben die Banken schon längst weggewischt. Im Zentrum steht vielmehr die Unsicherheit, wie Banken im neuen technologischen Umfeld die Einhaltung der rechtlichen und regulatorischen Vorschriften sicherstellen können.

Damit die Umsetzung von Vorgaben in der Praxis klar wird, erarbeitet die Bankiervereinigung gegenwärtig eine Auslegungshilfe für Banken in der Schweiz. Inhaltlich spricht die SBVg die konkreten Empfehlungen dieser sogenannten Usanz mit Behörden, Cloud Service Providern (CSP) und Audit Firmen ab. Aufgrund der zum Teil unklaren Rechts- und Rechtsprechungslage wird diese Checkliste auch neuartige Auslegungen berücksichtigen. Eine prinzipienbasierte Formulierung soll zudem verhindern, dass angesichts der kurzen Innovationszyklen die entsprechenden Empfehlungen schnell veralten. In keinem Fall ist die Usanz jedoch rechtsbindend.

Spezifische Herausforderungen

Die grösste Knacknuss ist das Bankgeheimnis. Bei zahlreichen Cloud-Dienstleistungen drängt sich ein Auslandbezug aufgrund der Kosteneinsparung durch Skalierung, Anschluss an internationale Spitzentechnologie oder Fernwartung auf. Von kostengünstigen, innovativen und sicheren Angeboten profitiert in erster Linie der Bankkunde. Die bisher gängige Praxis, dass jegliche Kundendaten in keiner Form weder im Ausland liegen noch von dort aus zugänglich sein dürfen, erweist sich deshalb als Killerkriterium für jede Cloud-Applikation. Vor allem vernebelt sie aber den Blick darauf, dass im Bankgesetz gar keine derartigen Verbote zu finden sind. Strafrechtlich sanktioniert wird nur eine fahrlässige Geheimnisoffenbarung. Die Cloud-Checkliste der SBVg soll dabei auch aufzeigen, mit welchen technischen, organisatorischen und vertraglichen Massnahmen Fahrlässigkeit vermieden werden kann.

Die grösste Knacknuss ist das Bankgeheimnis.

Weiter zu thematisieren sind aufsichtsrechtliche Vorgaben, deren Einhaltung die FINMA auf der Cloud prüfen muss. So ist beispielsweise eine klare Regelung notwendig, mit welchen Firmen die Cloud-Anbieter ihrerseits arbeiten, die mit Bankdienstleistungen in Verbindung stehen könnten.

US CLOUD-Act als Elefant im Raum

Klar und restriktiv zu regeln ist die Frage, wer unter welchen Umständen auf Bankdaten in der Cloud zugreifen kann. Als Mittel im Kampf gegen das Verbrechen erliess die aktuelle US Administration ein Dekret, das für bestimmte Fälle Zugriff auf die Daten eines CSP ohne richterliche Verfügung zulässt. Dies kann selbst Fälle betreffen, in denen die Daten ausserhalb der USA liegen.

Klar und restriktiv zu regeln ist, wer unter welchen Umständen auf Bankdaten in der Cloud zugreifen kann.

Die volle Tragweite dieses US CLOUD-Acts ist noch nicht klar. Es besteht für andere Staaten die Möglichkeit, in einem Executive Agreement den Zugriff genauer zu regeln und für bestimmte Fälle sogar auszuschliessen. Insofern wird die Schweiz gefordert sein, ein entsprechendes Abkommen mit den USA gut auszuhandeln.

Noch bleibt einiges zu tun

Der Teufel steckt bekanntlich im Detail. Es muss sichergestellt sein, dass die Usanz technologie- und wettbewerbsneutral ausgestaltet ist. Um die Relevanz der Usanz zu gewährleisten, muss ihre Anwendbarkeit für verschiedene Use Cases geprüft werden. Schliesslich geht es auch darum, dass alle Stakeholder eingebunden sind und die Usanz als zielführend für die einfachere Migration der Banken in die Cloud akzeptieren.

Es muss sichergestellt sein, dass die Usanz technologie- und wettbewerbsneutral ausgestaltet ist.

Solche Überlegungen nimmt die Bankiervereinigung nun mit an Bord mit dem Ziel, eine Cloud-Checkliste für die Banken in der Schweiz im nächsten Frühling zu veröffentlichen. Gelingt dies, hat die gesamte Schweiz gewonnen. Wenn die strikt regulierten und eng beaufsichtigten Banken die Cloud nutzen, darf man davon ausgehen, dass sie in rechtlicher Hinsicht grundsätzlich für jede andere Branche ebenfalls zugänglich ist.