Clou­dan­bie­ter: Risi­ko­ma­nage­ment und Vertragsverhandlung

Ein­lei­ten­de Überlegungen

Dass Cloud-Dien­ste das The­ma der Stun­de sind, ist kein Geheim­nis, und eben­so wenig, dass dies alle Indu­strien betrifft – ein­ge­schlos­sen regu­lier­te Bran­chen wie z.B. Ban­ken, Ver­si­che­rer und Play­er im Gesund­heits­be­reich, eben­so wie Behör­den auf Bundes‑, auf kan­to­na­ler und auf kom­mu­na­ler Ebe­ne. Beson­ders Gross­kun­den neh­men ver­stärkt Dienst­lei­stun­gen auch von aus­län­di­schen Anbie­tern in Anspruch, etwa Ama­zon Web Ser­vices (AWS), Goog­le oder Micro­soft (und eher im SaaS-Bereich auch von ande­ren Anbie­tern und natür­lich wei­ter­hin von schwei­ze­ri­schen Pro­vi­dern). Mit einer Aus­la­ge­rung ist zwar eine gewis­se Beschrän­kung der eige­nen Kon­trol­le ver­bun­den, oft aber auch eine Erhö­hung der Datensicherheit.

Je nach Anbie­ter, Ser­vice und Daten­stand­ort liegt dar­in eine mehr oder weni­ger star­ke Expo­si­ti­on gegen­über aus­län­di­schen Rechts­ord­nun­gen und Behör­den. Frü­her war die Mei­nung herr­schend – bzw. mehr oder weni­ger allein­ste­hend –, dass eine Aus­la­ge­rung an Cloud-Pro­vi­der (damals eher ASP-Anbie­ter) unzu­läs­sig ist, wenn damit eine Bekannt­ga­be von geheim­nis­ge­schütz­ten Daten ins Aus­land ver­bun­den sein kann. Damit wur­de eine Art «over the bor­der, out of control»-Prinzip ver­tre­ten, in der Annah­me, dass Straf­dro­hun­gen bei Berufs­ge­heim­nis­sen recht­lich oder zumin­dest fak­tisch ins Lee­re lau­fen, wenn aus­län­di­sche Behör­den Zugriff auf Geheim­nis­se neh­men können.

Die Welt ist seit­her eine ande­re. In vie­len Bran­chen sind Cloud­lö­sun­gen zum Stan­dard gewor­den. All­ge­mein ist inzwi­schen aner­kannt, dass kein Ver­bot der Aus­la­ge­rung ins Aus­land oder auf einen aus­län­di­schen Cloud-Anbie­ter existiert.

Dane­ben ste­hen aller­dings regu­la­to­ri­sche Anfor­de­run­gen, die unter ande­rem von Ban­ken und Ver­si­che­rern ein­ge­hal­ten wer­den müs­sen, zum Bei­spiel die Ver­ein­ba­rung von Prüf­rech­ten der FINMA oder die Mel­dung von Sicher­heits­vor­fäl­len.

Im Fol­gen­den zei­gen wir, dass die Nut­zung von Cloud mit pro­duk­ti­ven Workloads auch für regu­lier­te Unter­neh­men mög­lich ist.

Daten­schutz- und Geheim­nis­schutz: Kon­ver­genz in der Risikobetrachtung

Das Daten­schutz- und das Geheim­nis­schutz­recht kon­ver­gie­ren zuneh­mend. Bei­de Berei­che erlau­ben inner­halb der Schweiz eine Bekannt­ga­be von Daten ent­lang der Wert­schöp­fungs­ket­ten, und bei­de sehen stren­ge­re Regeln und im Ergeb­nis eine Risi­ko­be­ur­tei­lung und ‑kon­trol­le vor, wenn Daten ins Aus­land gelan­gen. Auf recht­li­cher Ebe­ne hat sich inzwi­schen die Mei­nung durch­ge­setzt, dass weder das Daten­schutz­recht noch das Geheim­nis­schutz­recht einer Aus­la­ge­rung grund­sätz­lich ent­ge­gen­ste­hen, auch dann nicht, wenn ein Pro­vi­der im Aus­land Zugriff auf Klar­text­da­ten haben kann.

Ver­tre­ten haben dies ins­be­son­de­re die Schwei­ze­ri­sche Ban­kier­ver­ei­ni­gung (SBVG) auf Basis zwei­er Gut­ach­ten, die in einen ent­spre­chen­den Leit­fa­den mün­de­ten, und David Rosen­thal in sei­nem umfas­sen­den Bei­trag im Jus­let­ter vom 10. August 2020. Die Über­le­gun­gen waren jeweils ähn­lich: Es exi­stiert kein Ver­bot der Aus­la­ge­rung ins Aus­land, die Bekannt­ga­be an den Dienst­lei­ster ist als sol­che eben­falls nicht ver­bo­ten, und mass­ge­bend wäre nach aktu­el­ler Recht­spre­chung des Bun­des­ge­richts nur ein tat­säch­li­cher Zugriff durch aus­län­di­sche Behör­den im Sin­ne eines Erfolgsdelikts.

Ent­schei­dend bleibt daher eine ange­mes­se­ne Risi­ko­kon­trol­le. Das Daten­schutz­recht etwa ver­langt neben dem Abschluss der Stan­dard­ver­trags­klau­seln eine Ein­schät­zung des Risi­kos, dass eine Behör­de in einem Dritt­staat ohne ange­mes­se­nem Schutz­ni­veau auf Basis einer rechts­staat­lich unzu­rei­chen­den Gesetz­ge­bung oder Pra­xis auf über­mit­tel­te Per­so­nen­da­ten zugreift.

Die Risi­ko­prü­fung ist auch der Schlüs­sel der Aus­lands­be­kannt­ga­be beim Geheim­nis­schutz­recht. Steht fest oder geht ein Unter­neh­men aus Risi­ko­über­le­gun­gen davon aus, dass ein Geheim­nis­schutz besteht und ver­letzt wäre, wenn eine aus­län­di­sche Behör­de auf das Geheim­nis Zugriff nimmt, so fragt sich, ob die­ser Zugriff durch ein vor­sätz­li­ches oder fahr­läs­si­ges Ver­hal­ten ver­ur­sacht wur­de. Das ist jeden­falls dann nicht der Fall, wenn der Geheim­nis­trä­ger – z.B. die Bank, aber auch der Anwalt – die­je­ni­gen Mass­nah­men getrof­fen hat, die ex ante erfor­der­lich und geeig­net sind, das Risi­ko eines sol­chen Zugriffs unter die Schwel­le des sozi­al Akzep­tier­ten zu sen­ken.

Die­se Schwel­le bestimmt sich genau­so wie der Geheim­nis­schutz als sol­cher nach den Erwar­tun­gen der Geheim­nis­her­ren, die bran­chen­ty­pisch zu kon­kre­ti­sie­ren sind. Hier drängt sich die Annah­me auf, dass ein abso­lu­ter Schutz nur in sel­te­nen Aus­nah­men erwar­tet wird. Eine kla­re Gren­ze ist zwar nicht zu zie­hen, weil die Bestim­mung von Risi­ken weder ex ante noch ex post eine exak­te Wis­sen­schaft ist. Eine Bank, ein Wert­pa­pier­haus oder ein ande­rer Geheim­nis­trä­ger muss und darf die­se Risi­ko­ab­wä­gung vor­neh­men, ohne dass ein Null­ri­si­ko ein Ziel sein kann. Kon­zep­tio­nell ist die­se Risi­ko­ein­schät­zung nicht anders als jene unter dem Daten­schutz­recht, nur hat sie einen etwas ande­ren Gegen­stand und fällt daher ein­ge­hen­der aus.

Die daten­schutz- und die geheim­nis­schutz­recht­li­chen Über­le­gun­gen kon­ver­gie­ren also in Risi­ko­ab­wä­gun­gen, muta­tis mut­an­dis. Da ein Null­ri­si­ko nicht exi­stiert, kann das Ergeb­nis auch nicht anders lau­ten. Fort­ge­schrit­te­ne Cloud-Anbie­ter stel­len hier «Bord­mit­tel» bereit, um Kun­den­da­ten zu schüt­zen, z.B. Ver­schlüs­se­lun­gen nach dem Stand der Technik.

Ver­ein­ba­run­gen mit Cloudanbietern

Neben der Fra­ge des akzep­ta­blen Rest­ri­si­kos stellt sich vor allem auch die Fra­ge, wie regu­lier­te Unter­neh­men regu­la­to­ri­sche Anfor­de­run­gen umset­zen kön­nen. Die Ver­trä­ge mit den Cloud-Anbie­tern sind dabei ein wesent­li­ches Ele­ment. All­ge­mein lässt sich aber beob­ach­ten, dass der Bei­trag, den Cloud-Ver­trä­ge lei­sten kön­nen, über­schätzt wird, was viel­leicht mit einem Bias der Juri­sten gegen­über Ver­trä­gen zu begrün­den ist. Wer das Heil zu sehr im Ver­trags­wort­laut sucht, über­schätzt jedoch sowohl Schwä­chen als auch Wir­kung der Ver­trä­ge und neigt dazu, ande­re Risi­ken zu unter­schät­zen, bspw. die eige­ne Ver­ant­wor­tung in der Umset­zung tech­ni­scher Sicher­heits­mass­nah­men wie Ver­schlüs­se­lun­gen, die Red­un­danz der Daten­spei­che­rung oder über­haupt eine kla­re Cloud-Stra­te­gie. Denn Risi­ken erge­ben sich nicht nur aus einer ver­trag­li­chen Unter­deckung, son­dern auch etwa aus einer unvoll­stän­di­gen Abgren­zung der Ver­ant­wort­lich­kei­ten (im Sin­ne der «Shared Respon­si­bi­li­ty»), einem unzu­rei­chen­den Map­ping der kun­den­sei­ti­gen Ver­ant­wor­tung auf inter­ne Pro­zes­se oder son­sti­gen inter­nen Pflich­ten wie ggf. der Spei­che­rung von Kun­den­da­ten par­al­lel zum aus­län­di­schen Stand­ort auch in der Schweiz auf­grund der ent­spre­chen­den Vor­ga­ben der FINMA. Gera­de bei den Ban­ken und Wert­pa­pier­häu­sern erge­ben sich ent­spre­chen­de Pflich­ten aus Son­der­re­ge­lun­gen wie bspw. dem Anhang 3 des FIN­MA-Rund­schrei­bens Ope­ra­tio­nel­le Risiken.

Damit soll die Bedeu­tung der Ver­trags­wer­ke der Anbie­ter selbst­ver­ständ­lich nicht geschmä­lert wer­den. Nicht zuletzt wer­den die Anfor­de­run­gen an Pro­vi­der­ver­trä­ge zumin­dest für wesent­li­che Aus­la­ge­run­gen durch das Out­sour­cing-Rund­schrei­ben der FINMA näher beschrie­ben (und der erwähn­te Leit­fa­den der SBVg ent­hält eben­falls Hin­wei­se). Das Out­sour­cing-Rund­schrei­ben gilt als ent­spre­chen­de Leit­li­nie für die Pro­vi­der. Hier ist zu beob­ach­ten, dass in den letz­ten Jah­ren, Mona­ten und Wochen gro­sse Fort­schrit­te erzielt wur­den. Alle der gro­ssen Cloud-Anbie­ter bie­ten eige­ne Ver­trä­ge oder Ver­trags­zu­sät­ze an, mit denen sie die Min­dest­an­for­de­run­gen des FIN­MA-Rund­schrei­bens abdecken, ins­be­son­de­re was Prüf­rech­te der Kun­den, ihrer inter­nen und exter­nen Revi­so­ren und der FINMA betrifft. Bei allen Anbie­tern erhält etwa die FINMA nun ein ver­trag­li­ches Recht, selbst direkt beim Anbie­ter Prü­fun­gen vor­zu­neh­men, ohne dass der Kun­de dazwi­schen­tre­ten müss­te. Auch der Aspekt der Busi­ness Con­ti­nui­ty im Zusam­men­hang mit Kün­di­gungs- und Ein­stel­lungs­mög­lich­kei­ten der Anbie­ter und Rech­te von Lei­stungs­be­zü­gern inner­halb des Kun­den­kon­zerns wur­de aus­ge­baut. Gene­rell lässt sich beob­ach­ten, dass die Cloud-Pro­vi­der Rück­mel­dun­gen von Kun­den und auch der FINMA ernst neh­men und grund­sätz­lich umset­zen. Das lässt sich in der Histo­rie der Ver­trags­wer­ke gut nach­zeich­nen. Die FINMA hat die Ver­trags­wer­ke der drei gro­ssen Anbie­ter denn auch bereits akzep­tiert. Kun­de müs­sen daher nicht befürch­ten, bezüg­lich des ent­spre­chen­den Ver­trags­werks auf erheb­li­chen Gegen­wind der FINMA zu stossen.

Ver­trags­ver­hand­lun­gen

Es bleibt oft rich­tig oder not­wen­dig, Ver­trä­ge zu dis­ku­tie­ren und nach­zu­ver­han­deln, aus unter­schied­li­chen Über­le­gun­gen, auch auf­grund inter­ner Vor­ga­ben, des eige­nen Risi­ko­ap­pe­tits, der Bran­chenus­an­zen, der kom­mer­zi­el­len Gewich­te usw. Nicht jeder Man­gel eines Ver­trags ent­schei­det aber über die Zuläs­sig­keit der Aus­la­ge­rung. Gewis­se Unklar­hei­ten kön­nen etwa hin­ge­nom­men wer­den, wenn viel­leicht nicht der Wort­laut, wohl aber der Sinn ein­deu­tig ist. Je nach­dem kön­nen Lücken auch durch Kun­den geschlos­sen wer­den. Ein Bei­spiel ist der schwei­ze­ri­sche Daten­stand­ort. Die gro­ssen Anbie­ter betrei­ben Daten­cen­ter in der Schweiz oder haben Schwei­zer Regio­nen ange­kün­digt, aber lösen las­sen sich dies­be­züg­li­che regu­la­to­ri­sche Anfor­de­run­gen auch dadurch, dass Daten zwar im Aus­land gespei­chert, aber kun­den­sei­tig in der Schweiz repli­ziert werden.

Übli­che Ver­hand­lungs­punk­te betref­fen auch Klar­stel­lun­gen und natür­lich kom­mer­zi­el­le Punk­te. Die Haf­tung – um ein Bei­spiel her­aus­zu­grei­fen – ist im Ansatz zwar nicht nur kom­mer­zi­el­ler Natur, nach­dem das Bun­des­ge­richt im Ent­scheid BGE 145 II 229 bei der Beur­tei­lung der Ange­mes­sen­heit einer Aus­la­ge­rung durch eine Anwalts­kanz­lei auch auf die Haf­tungs­re­ge­lung Bezug genom­men hat. Es hat aber nicht die Aus­sa­ge getrof­fen, dass die Haf­tung als sol­che mass­ge­bend sei. Man­gel­haft war im beur­teil­ten Fall viel­mehr ein Ver­trag, der in mehr­fa­cher Hin­sicht und offen­bar ins­ge­samt unzu­rei­chend war. Die Haf­tung kann im Kon­text des Berufs­ge­heim­nis­ses nur die Bedeu­tung eines Anrei­zes zu ver­trags­kon­for­mem Ver­hal­ten haben. Eine unzu­läs­si­ge Offen­ba­rung kann sie aber nicht unge­sche­hen machen; sie führt hier ledig­lich zu einer Ver­mö­gens­ver­schie­bung. Die­se ist selbst­ver­ständ­lich wich­tig, aber eine Fra­ge nicht des Berufs­ge­heim­nis­ses, son­dern der Sol­venz. Die Haf­tung kann ent­spre­chend nur dann regu­la­to­ri­sche Bedeu­tung haben, wenn ohne sie ein aus­rei­chen­der Anreiz fehlt, die ver­trag­lich ver­ein­bar­te Sicher­heit, Ver­trau­lich­keit und Zweck­bin­dung des Geheim­nis­ses zu gewähr­lei­sten. Zumin­dest bei grö­sse­ren Anbie­tern ist die­ser Anreiz aber weni­ger eine Fra­ge der Haf­tung, son­dern vor allem der Repu­ta­ti­on. Käme etwa die FINMA zum Schluss, ein Cloud-Anbie­ter sei unzu­ver­läs­sig, wäre der schwei­ze­ri­sche Markt für die­sen Cloud-Pro­vi­der nur noch schwer zu erschliessen.

Die­se Ent­wick­lung ist nicht abge­schlos­sen, und zukünf­ti­ge Ver­sio­nen der Ver­trä­ge wer­den bestimm­te Auf­la­gen («Con­trols») noch robu­ster aus­ge­stal­ten, aber es wäre ein Feh­ler, das Gewicht der Risi­ko­ein­schät­zung zu ein­sei­tig auf den Wort­laut der Ver­trä­ge zu legen. Mit zuneh­men­der Matu­ri­tät der Ver­trags­wer­ke ver­schiebt sich der Schwer­punkt aus Kun­den­op­tik wei­ter auf die inter­ne Steue­rung der Lie­fe­ran­ten­be­zie­hung und die Kom­mu­ni­ka­ti­on gegen aussen, auch etwa in all­ge­mei­nen Geschäfts­be­din­gun­gen – bei­des ist bereits zu beob­ach­ten und wird zunehmen.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter