Einleitende Überlegungen
Dass Cloud-Dienste das Thema der Stunde sind, ist kein Geheimnis, und ebenso wenig, dass dies alle Industrien betrifft – eingeschlossen regulierte Branchen wie z.B. Banken, Versicherer und Player im Gesundheitsbereich, ebenso wie Behörden auf Bundes‑, auf kantonaler und auf kommunaler Ebene. Besonders Grosskunden nehmen verstärkt Dienstleistungen auch von ausländischen Anbietern in Anspruch, etwa Amazon Web Services (AWS), Google oder Microsoft (und eher im SaaS-Bereich auch von anderen Anbietern und natürlich weiterhin von schweizerischen Providern). Mit einer Auslagerung ist zwar eine gewisse Beschränkung der eigenen Kontrolle verbunden, oft aber auch eine Erhöhung der Datensicherheit.
Je nach Anbieter, Service und Datenstandort liegt darin eine mehr oder weniger starke Exposition gegenüber ausländischen Rechtsordnungen und Behörden. Früher war die Meinung herrschend – bzw. mehr oder weniger alleinstehend –, dass eine Auslagerung an Cloud-Provider (damals eher ASP-Anbieter) unzulässig ist, wenn damit eine Bekanntgabe von geheimnisgeschützten Daten ins Ausland verbunden sein kann. Damit wurde eine Art «over the border, out of control»-Prinzip vertreten, in der Annahme, dass Strafdrohungen bei Berufsgeheimnissen rechtlich oder zumindest faktisch ins Leere laufen, wenn ausländische Behörden Zugriff auf Geheimnisse nehmen können.
Die Welt ist seither eine andere. In vielen Branchen sind Cloudlösungen zum Standard geworden. Allgemein ist inzwischen anerkannt, dass kein Verbot der Auslagerung ins Ausland oder auf einen ausländischen Cloud-Anbieter existiert.
Daneben stehen allerdings regulatorische Anforderungen, die unter anderem von Banken und Versicherern eingehalten werden müssen, zum Beispiel die Vereinbarung von Prüfrechten der FINMA oder die Meldung von Sicherheitsvorfällen.
Im Folgenden zeigen wir, dass die Nutzung von Cloud mit produktiven Workloads auch für regulierte Unternehmen möglich ist.
Datenschutz- und Geheimnisschutz: Konvergenz in der Risikobetrachtung
Das Datenschutz- und das Geheimnisschutzrecht konvergieren zunehmend. Beide Bereiche erlauben innerhalb der Schweiz eine Bekanntgabe von Daten entlang der Wertschöpfungsketten, und beide sehen strengere Regeln und im Ergebnis eine Risikobeurteilung und ‑kontrolle vor, wenn Daten ins Ausland gelangen. Auf rechtlicher Ebene hat sich inzwischen die Meinung durchgesetzt, dass weder das Datenschutzrecht noch das Geheimnisschutzrecht einer Auslagerung grundsätzlich entgegenstehen, auch dann nicht, wenn ein Provider im Ausland Zugriff auf Klartextdaten haben kann.
Vertreten haben dies insbesondere die Schweizerische Bankiervereinigung (SBVG) auf Basis zweier Gutachten, die in einen entsprechenden Leitfaden mündeten, und David Rosenthal in seinem umfassenden Beitrag im Jusletter vom 10. August 2020. Die Überlegungen waren jeweils ähnlich: Es existiert kein Verbot der Auslagerung ins Ausland, die Bekanntgabe an den Dienstleister ist als solche ebenfalls nicht verboten, und massgebend wäre nach aktueller Rechtsprechung des Bundesgerichts nur ein tatsächlicher Zugriff durch ausländische Behörden im Sinne eines Erfolgsdelikts.
Entscheidend bleibt daher eine angemessene Risikokontrolle. Das Datenschutzrecht etwa verlangt neben dem Abschluss der Standardvertragsklauseln eine Einschätzung des Risikos, dass eine Behörde in einem Drittstaat ohne angemessenem Schutzniveau auf Basis einer rechtsstaatlich unzureichenden Gesetzgebung oder Praxis auf übermittelte Personendaten zugreift.
Die Risikoprüfung ist auch der Schlüssel der Auslandsbekanntgabe beim Geheimnisschutzrecht. Steht fest oder geht ein Unternehmen aus Risikoüberlegungen davon aus, dass ein Geheimnisschutz besteht und verletzt wäre, wenn eine ausländische Behörde auf das Geheimnis Zugriff nimmt, so fragt sich, ob dieser Zugriff durch ein vorsätzliches oder fahrlässiges Verhalten verursacht wurde. Das ist jedenfalls dann nicht der Fall, wenn der Geheimnisträger – z.B. die Bank, aber auch der Anwalt – diejenigen Massnahmen getroffen hat, die ex ante erforderlich und geeignet sind, das Risiko eines solchen Zugriffs unter die Schwelle des sozial Akzeptierten zu senken.
Diese Schwelle bestimmt sich genauso wie der Geheimnisschutz als solcher nach den Erwartungen der Geheimnisherren, die branchentypisch zu konkretisieren sind. Hier drängt sich die Annahme auf, dass ein absoluter Schutz nur in seltenen Ausnahmen erwartet wird. Eine klare Grenze ist zwar nicht zu ziehen, weil die Bestimmung von Risiken weder ex ante noch ex post eine exakte Wissenschaft ist. Eine Bank, ein Wertpapierhaus oder ein anderer Geheimnisträger muss und darf diese Risikoabwägung vornehmen, ohne dass ein Nullrisiko ein Ziel sein kann. Konzeptionell ist diese Risikoeinschätzung nicht anders als jene unter dem Datenschutzrecht, nur hat sie einen etwas anderen Gegenstand und fällt daher eingehender aus.
Die datenschutz- und die geheimnisschutzrechtlichen Überlegungen konvergieren also in Risikoabwägungen, mutatis mutandis. Da ein Nullrisiko nicht existiert, kann das Ergebnis auch nicht anders lauten. Fortgeschrittene Cloud-Anbieter stellen hier «Bordmittel» bereit, um Kundendaten zu schützen, z.B. Verschlüsselungen nach dem Stand der Technik.
Vereinbarungen mit Cloudanbietern
Neben der Frage des akzeptablen Restrisikos stellt sich vor allem auch die Frage, wie regulierte Unternehmen regulatorische Anforderungen umsetzen können. Die Verträge mit den Cloud-Anbietern sind dabei ein wesentliches Element. Allgemein lässt sich aber beobachten, dass der Beitrag, den Cloud-Verträge leisten können, überschätzt wird, was vielleicht mit einem Bias der Juristen gegenüber Verträgen zu begründen ist. Wer das Heil zu sehr im Vertragswortlaut sucht, überschätzt jedoch sowohl Schwächen als auch Wirkung der Verträge und neigt dazu, andere Risiken zu unterschätzen, bspw. die eigene Verantwortung in der Umsetzung technischer Sicherheitsmassnahmen wie Verschlüsselungen, die Redundanz der Datenspeicherung oder überhaupt eine klare Cloud-Strategie. Denn Risiken ergeben sich nicht nur aus einer vertraglichen Unterdeckung, sondern auch etwa aus einer unvollständigen Abgrenzung der Verantwortlichkeiten (im Sinne der «Shared Responsibility»), einem unzureichenden Mapping der kundenseitigen Verantwortung auf interne Prozesse oder sonstigen internen Pflichten wie ggf. der Speicherung von Kundendaten parallel zum ausländischen Standort auch in der Schweiz aufgrund der entsprechenden Vorgaben der FINMA. Gerade bei den Banken und Wertpapierhäusern ergeben sich entsprechende Pflichten aus Sonderregelungen wie bspw. dem Anhang 3 des FINMA-Rundschreibens Operationelle Risiken.
Damit soll die Bedeutung der Vertragswerke der Anbieter selbstverständlich nicht geschmälert werden. Nicht zuletzt werden die Anforderungen an Providerverträge zumindest für wesentliche Auslagerungen durch das Outsourcing-Rundschreiben der FINMA näher beschrieben (und der erwähnte Leitfaden der SBVg enthält ebenfalls Hinweise). Das Outsourcing-Rundschreiben gilt als entsprechende Leitlinie für die Provider. Hier ist zu beobachten, dass in den letzten Jahren, Monaten und Wochen grosse Fortschritte erzielt wurden. Alle der grossen Cloud-Anbieter bieten eigene Verträge oder Vertragszusätze an, mit denen sie die Mindestanforderungen des FINMA-Rundschreibens abdecken, insbesondere was Prüfrechte der Kunden, ihrer internen und externen Revisoren und der FINMA betrifft. Bei allen Anbietern erhält etwa die FINMA nun ein vertragliches Recht, selbst direkt beim Anbieter Prüfungen vorzunehmen, ohne dass der Kunde dazwischentreten müsste. Auch der Aspekt der Business Continuity im Zusammenhang mit Kündigungs- und Einstellungsmöglichkeiten der Anbieter und Rechte von Leistungsbezügern innerhalb des Kundenkonzerns wurde ausgebaut. Generell lässt sich beobachten, dass die Cloud-Provider Rückmeldungen von Kunden und auch der FINMA ernst nehmen und grundsätzlich umsetzen. Das lässt sich in der Historie der Vertragswerke gut nachzeichnen. Die FINMA hat die Vertragswerke der drei grossen Anbieter denn auch bereits akzeptiert. Kunde müssen daher nicht befürchten, bezüglich des entsprechenden Vertragswerks auf erheblichen Gegenwind der FINMA zu stossen.
Vertragsverhandlungen
Es bleibt oft richtig oder notwendig, Verträge zu diskutieren und nachzuverhandeln, aus unterschiedlichen Überlegungen, auch aufgrund interner Vorgaben, des eigenen Risikoappetits, der Branchenusanzen, der kommerziellen Gewichte usw. Nicht jeder Mangel eines Vertrags entscheidet aber über die Zulässigkeit der Auslagerung. Gewisse Unklarheiten können etwa hingenommen werden, wenn vielleicht nicht der Wortlaut, wohl aber der Sinn eindeutig ist. Je nachdem können Lücken auch durch Kunden geschlossen werden. Ein Beispiel ist der schweizerische Datenstandort. Die grossen Anbieter betreiben Datencenter in der Schweiz oder haben Schweizer Regionen angekündigt, aber lösen lassen sich diesbezügliche regulatorische Anforderungen auch dadurch, dass Daten zwar im Ausland gespeichert, aber kundenseitig in der Schweiz repliziert werden.
Übliche Verhandlungspunkte betreffen auch Klarstellungen und natürlich kommerzielle Punkte. Die Haftung – um ein Beispiel herauszugreifen – ist im Ansatz zwar nicht nur kommerzieller Natur, nachdem das Bundesgericht im Entscheid BGE 145 II 229 bei der Beurteilung der Angemessenheit einer Auslagerung durch eine Anwaltskanzlei auch auf die Haftungsregelung Bezug genommen hat. Es hat aber nicht die Aussage getroffen, dass die Haftung als solche massgebend sei. Mangelhaft war im beurteilten Fall vielmehr ein Vertrag, der in mehrfacher Hinsicht und offenbar insgesamt unzureichend war. Die Haftung kann im Kontext des Berufsgeheimnisses nur die Bedeutung eines Anreizes zu vertragskonformem Verhalten haben. Eine unzulässige Offenbarung kann sie aber nicht ungeschehen machen; sie führt hier lediglich zu einer Vermögensverschiebung. Diese ist selbstverständlich wichtig, aber eine Frage nicht des Berufsgeheimnisses, sondern der Solvenz. Die Haftung kann entsprechend nur dann regulatorische Bedeutung haben, wenn ohne sie ein ausreichender Anreiz fehlt, die vertraglich vereinbarte Sicherheit, Vertraulichkeit und Zweckbindung des Geheimnisses zu gewährleisten. Zumindest bei grösseren Anbietern ist dieser Anreiz aber weniger eine Frage der Haftung, sondern vor allem der Reputation. Käme etwa die FINMA zum Schluss, ein Cloud-Anbieter sei unzuverlässig, wäre der schweizerische Markt für diesen Cloud-Provider nur noch schwer zu erschliessen.
Diese Entwicklung ist nicht abgeschlossen, und zukünftige Versionen der Verträge werden bestimmte Auflagen («Controls») noch robuster ausgestalten, aber es wäre ein Fehler, das Gewicht der Risikoeinschätzung zu einseitig auf den Wortlaut der Verträge zu legen. Mit zunehmender Maturität der Vertragswerke verschiebt sich der Schwerpunkt aus Kundenoptik weiter auf die interne Steuerung der Lieferantenbeziehung und die Kommunikation gegen aussen, auch etwa in allgemeinen Geschäftsbedingungen – beides ist bereits zu beobachten und wird zunehmen.