31. Juli 2019

«Das Gesetz unterscheidet nicht zwischen in- und ausländischen Clouds»

Interview

Viele Banken haben erst begonnen, sich intensiver mit dem Thema Cloud auseinanderzusetzen. Noch gibt es aber Bedenken, vor allem wie sich die Cloud mit dem Bankgeheimnis vereinbaren lässt. Antworten dazu gibt Martin Hess, Leiter Digitalisierung und Wirtschaftspolitik sowie Direktionsmitglied der Schweizerischen Bankiervereinigung.

ti&m: Wie hat sich das Thema Cloud Computing bei Banken in den letzten Jahren entwickelt? 
Martin Hess: Es ist erfreulich, dass das Bewusstsein, was eine Cloud leistet und wozu sie eine Bank befähigen kann, in den letzten ein bis zwei Jahren sehr stark gewachsen ist. Dazu zählt, dass Banken bessere, kundenfreundlichere und innovativere Produkte anbieten, wie auch eine deutliche Effizienzsteigerung erreichen können. Wir als Schweizerische Bankiervereinigung haben einen Cloud-Leitfaden erarbeitet, der interessierten Banken den Bezug von Cloud-Dienstleistungen erleichtern soll. Besonders auch kleinere und weniger technologieaffine Banken dürften davon profitieren können.


Der Bedarf an Informationen ist also immer noch sehr hoch bei den Banken?
Viele Banken möchten schon in die Cloud gehen, sie tun es aus verschiedenen Gründen mit Kundendaten aber nicht. Diesen Graben zwischen Wollen und Tun wollten wir mit unserem Leit­faden überbrücken. Der Leitfaden umfasst rund fünfzig Seiten. Die Evaluation bzw. die Risikoabschätzung muss jede Bank selber vornehmen. Der Informationsbedarf bleibt hoch.


Was sind aktuell noch die grössten Bedenken, die Banken vom Schritt in die Cloud abhalten?
Die grössten Bedenken sind sicher die Kundendaten. Man sieht die ersten Banken, die mit internen, nicht Business-kritischen Daten oder anonymen Test-Daten in die Cloud gehen. Aber der Knackpunkt sind die Kundendaten. Hier kann man das Kundenvertrauen gewinnen oder auch verlieren. Gleichzeitig ist es aber auch der Bereich, wo die grössten Effizienzsteigerungen und Innovationsgewinne erzielt werden können. Längerfristig dürfte gewisse Software nur noch in der Cloud angeboten werden. 

Die Finma hat im Rundschreiben 2018/3 auch die Daten­haltung von Kundendaten im Ausland erlaubt. Was bedeutet das konkret für die Banken?
Das Bankengesetz macht keine Unterscheidung zwischen In- und Ausland. Jedoch speicherten die Banken bisher Daten immer im Inland und verhinderten den Zugriff aus dem Ausland nach dem Prinzip «Over the Border, out of Control». Man ist davon ausgegangen, dass im Moment, wo Daten im Ausland verarbeitet werden, oder es Zugriff aus dem Ausland gibt, automatisch das Bankgeheimnis verletzt wird. Im Leitfaden argumentieren wir anders. Im Prinzip geht es einzig darum, dass es keinen unberechtigten Zugriff auf die Daten geben darf. Dies ist unabhängig davon, wo sie gespeichert sind. Es war nur eine Praxis, die sich so eingebürgert hat. Es gibt auch Rechtsgutachten, die explizit sagen, dass Daten bei geeigneten Schutzmassnahmen auch im Ausland gespeichert und verarbeitet werden können. 


Das Gesetz unterscheidet nicht zwischen In- und Ausland. Jedoch favorisieren Schweizer Banken immer noch Anbieter aus der Schweiz oder mit Schweizer Rechenzentren. Warum ist dies so? 

Die Banken sind dann indifferent, wenn sie sich sicher fühlen, dass eine Haltung der Daten im Ausland nicht mit mehr Risiko verbunden ist. Wir argumentieren in unserem Leitfaden, dass die Bank nachweisen können muss, dass sie nicht fahrlässig Geheimnisse preisgegeben hat, unabhängig von der Lokation. Diese Verantwortung können wir der Bank nicht abnehmen. Wir sprechen im Leitfaden von technischen, vertraglichen und organisatorischen Elementen, mit denen dies gewährleistet werden kann. Die Elemente müssen in Kombination so greifen, dass unter vernünftigem Aufwand kein Zugriff auf Daten möglich ist. 


Durch den neuen Cloud Act müssen US-Firmen den Zugriff von US-Behörden auf ihre Rechenzentren auch im Ausland ermöglichen. Wie schätzen Sie das Gesetz ein?
Wir beschäftigen uns aktuell sehr intensiv mit dem Cloud Act und der Möglichkeit eines bilateralen «Executive Agreements», wie es die USA bereits mit Grossbritannien haben und gerade mit der EU anstrebt. Da der Cloud Act extraterritoriale Wirkung hat, kann er mit der lokalen Gesetzgebung in Konflikt kommen. Mit einem «Executive Agreement» könnten wir diesen Konflikt bilateral entschärfen. Wir sind aktuell daran, uns ein Bild zu machen, ob dies auch für die Schweiz eine gute Lösung sein kann. Ich denke, es ist realistisch, davon auszugehen, dass es dereinst ein Netz von Executive Agreements unter den wichtigsten Staaten geben wird. Das Department of Justice der USA hat festgestellt, dass der Cloud Act sehr viele Ängste und Unsicherheiten geschürt hat. Daher haben sie ein White Paper dazu veröffentlicht, um die offenen Fragen zu beantworten. Wir studieren diese Informationen gerade und werden dann entsprechende Empfehlungen erarbeiten. Aus meiner Sicht dürften dabei juristische und poli­tische Erwägungen den Ausschlag geben.


Wie lange können Schweizer Banken es sich noch leisten, bei der Cloud abzuwarten?
Ich kann nur von meiner persönlichen Erwartung sprechen. Es gibt Banken mit unterschiedlichem Kundenstamm, Geschäftsmodell und auch Risikoappetit. Ich denke, wir werden sehr bald erste Banken sehen, die vorwärts gehen. Andere Banken wiede­rum werden sich mit dem aktuellen IT-System noch länger arrangieren, weil sie damit gut fahren. Die Frage ist oft, wo die Bank im internen Innovationszyklus steht. Daran entscheidet sich, wie schnell die Cloud eingeführt wird. Es ist schwierig, eine generelle Antwort zu geben, aber es wird ein paar Frontrunner geben und andere, die eher abwarten. Man muss auch nicht davon ausgehen, dass man alles auf einmal migriert. Jede Bank wird mit etwas anderem beginnen. Zumeist mit etwas nicht so Geschäftskritischem. Das strategische Ziel, in einer gewissen Zahl von Jahren in die Cloud zu gehen, dass haben sicherlich viele Banken.  


Martin  Hess
Martin Hess

Als Chefökonom und Direktionsmitglied der Schweizerischen Bankiervereinigung sowie Mitglied der Chief Economist Group des Europäischen Bankenverbands arbeitet Martin Hess seit 2010. Zuvor war er in verschiedenen Positionen im Eidg. Finanzdeparte- ment sowie im Staatssekretariat für internationale Finanzfragen (SIF) tätig. 

Weitere Beiträge

2017_04_artificial-intelligence
Artificial Intelligence: Taking a Closer Look

Rapid advancements in and around our current state as a species have always challenged us to innovate new technologies: from farming to transportation, building to space exploration. Right now, Artificial Intelligence is experiencing a revolution. But how do you build such an advanced intelligence? Let’s take a closer look at history and some basics.

Mehr erfahren
Digitale Identität 750x410
Unsere Digitale Identität – Wege aus dem Einheitsbrei

Mehr erfahren
commerce-container-export-379964
OpenShift vs. Kubernetes

Welche Vor- und Nachteile haben Kubernetes und OpenShift? Dieser Frage geht ti&m-Surfer Bernd Leinfelder in seinem aktuellen Blog-Beitrag nach.

Mehr erfahren
Taking Agile to the Next Level
The End of All Projects, or: Taking Agile to the Next Level

Imagine a world without projects, project leaders and product owners. Imagine a broader product definition, a larger backlog and multiple feature teams all working on the same effort. In this article, ti&m's CTO Martin Fabini explores an organizational design based on LeSS, the framework for scaling agile software development to multiple teams.

Mehr erfahren
cloud_man_mountain
Von der Hybrid Cloud zur Multi-Cloud – Neue Möglichkeiten für Ihren Erfolg

So. Da haben wir jetzt Private Cloud, Public Cloud und Hybrid Cloud. Und jetzt kommt dann noch eine Multi-Cloud. Wozu? Was ist da überhaupt der Unterschied?

Mehr erfahren