31. Juli 2019

«Das Gesetz unterscheidet nicht zwischen in- und ausländischen Clouds»

Interview

Viele Banken haben erst begonnen, sich intensiver mit dem Thema Cloud auseinanderzusetzen. Noch gibt es aber Bedenken, vor allem wie sich die Cloud mit dem Bankgeheimnis vereinbaren lässt. Antworten dazu gibt Martin Hess, Leiter Digitalisierung und Wirtschaftspolitik sowie Direktionsmitglied der Schweizerischen Bankiervereinigung.

ti&m: Wie hat sich das Thema Cloud Computing bei Banken in den letzten Jahren entwickelt? 
Martin Hess: Es ist erfreulich, dass das Bewusstsein, was eine Cloud leistet und wozu sie eine Bank befähigen kann, in den letzten ein bis zwei Jahren sehr stark gewachsen ist. Dazu zählt, dass Banken bessere, kundenfreundlichere und innovativere Produkte anbieten, wie auch eine deutliche Effizienzsteigerung erreichen können. Wir als Schweizerische Bankiervereinigung haben einen Cloud-Leitfaden erarbeitet, der interessierten Banken den Bezug von Cloud-Dienstleistungen erleichtern soll. Besonders auch kleinere und weniger technologieaffine Banken dürften davon profitieren können.


Der Bedarf an Informationen ist also immer noch sehr hoch bei den Banken?
Viele Banken möchten schon in die Cloud gehen, sie tun es aus verschiedenen Gründen mit Kundendaten aber nicht. Diesen Graben zwischen Wollen und Tun wollten wir mit unserem Leit­faden überbrücken. Der Leitfaden umfasst rund fünfzig Seiten. Die Evaluation bzw. die Risikoabschätzung muss jede Bank selber vornehmen. Der Informationsbedarf bleibt hoch.


Was sind aktuell noch die grössten Bedenken, die Banken vom Schritt in die Cloud abhalten?
Die grössten Bedenken sind sicher die Kundendaten. Man sieht die ersten Banken, die mit internen, nicht Business-kritischen Daten oder anonymen Test-Daten in die Cloud gehen. Aber der Knackpunkt sind die Kundendaten. Hier kann man das Kundenvertrauen gewinnen oder auch verlieren. Gleichzeitig ist es aber auch der Bereich, wo die grössten Effizienzsteigerungen und Innovationsgewinne erzielt werden können. Längerfristig dürfte gewisse Software nur noch in der Cloud angeboten werden. 

Die Finma hat im Rundschreiben 2018/3 auch die Daten­haltung von Kundendaten im Ausland erlaubt. Was bedeutet das konkret für die Banken?
Das Bankengesetz macht keine Unterscheidung zwischen In- und Ausland. Jedoch speicherten die Banken bisher Daten immer im Inland und verhinderten den Zugriff aus dem Ausland nach dem Prinzip «Over the Border, out of Control». Man ist davon ausgegangen, dass im Moment, wo Daten im Ausland verarbeitet werden, oder es Zugriff aus dem Ausland gibt, automatisch das Bankgeheimnis verletzt wird. Im Leitfaden argumentieren wir anders. Im Prinzip geht es einzig darum, dass es keinen unberechtigten Zugriff auf die Daten geben darf. Dies ist unabhängig davon, wo sie gespeichert sind. Es war nur eine Praxis, die sich so eingebürgert hat. Es gibt auch Rechtsgutachten, die explizit sagen, dass Daten bei geeigneten Schutzmassnahmen auch im Ausland gespeichert und verarbeitet werden können. 


Das Gesetz unterscheidet nicht zwischen In- und Ausland. Jedoch favorisieren Schweizer Banken immer noch Anbieter aus der Schweiz oder mit Schweizer Rechenzentren. Warum ist dies so? 

Die Banken sind dann indifferent, wenn sie sich sicher fühlen, dass eine Haltung der Daten im Ausland nicht mit mehr Risiko verbunden ist. Wir argumentieren in unserem Leitfaden, dass die Bank nachweisen können muss, dass sie nicht fahrlässig Geheimnisse preisgegeben hat, unabhängig von der Lokation. Diese Verantwortung können wir der Bank nicht abnehmen. Wir sprechen im Leitfaden von technischen, vertraglichen und organisatorischen Elementen, mit denen dies gewährleistet werden kann. Die Elemente müssen in Kombination so greifen, dass unter vernünftigem Aufwand kein Zugriff auf Daten möglich ist. 


Durch den neuen Cloud Act müssen US-Firmen den Zugriff von US-Behörden auf ihre Rechenzentren auch im Ausland ermöglichen. Wie schätzen Sie das Gesetz ein?
Wir beschäftigen uns aktuell sehr intensiv mit dem Cloud Act und der Möglichkeit eines bilateralen «Executive Agreements», wie es die USA bereits mit Grossbritannien haben und gerade mit der EU anstrebt. Da der Cloud Act extraterritoriale Wirkung hat, kann er mit der lokalen Gesetzgebung in Konflikt kommen. Mit einem «Executive Agreement» könnten wir diesen Konflikt bilateral entschärfen. Wir sind aktuell daran, uns ein Bild zu machen, ob dies auch für die Schweiz eine gute Lösung sein kann. Ich denke, es ist realistisch, davon auszugehen, dass es dereinst ein Netz von Executive Agreements unter den wichtigsten Staaten geben wird. Das Department of Justice der USA hat festgestellt, dass der Cloud Act sehr viele Ängste und Unsicherheiten geschürt hat. Daher haben sie ein White Paper dazu veröffentlicht, um die offenen Fragen zu beantworten. Wir studieren diese Informationen gerade und werden dann entsprechende Empfehlungen erarbeiten. Aus meiner Sicht dürften dabei juristische und poli­tische Erwägungen den Ausschlag geben.


Wie lange können Schweizer Banken es sich noch leisten, bei der Cloud abzuwarten?
Ich kann nur von meiner persönlichen Erwartung sprechen. Es gibt Banken mit unterschiedlichem Kundenstamm, Geschäftsmodell und auch Risikoappetit. Ich denke, wir werden sehr bald erste Banken sehen, die vorwärts gehen. Andere Banken wiede­rum werden sich mit dem aktuellen IT-System noch länger arrangieren, weil sie damit gut fahren. Die Frage ist oft, wo die Bank im internen Innovationszyklus steht. Daran entscheidet sich, wie schnell die Cloud eingeführt wird. Es ist schwierig, eine generelle Antwort zu geben, aber es wird ein paar Frontrunner geben und andere, die eher abwarten. Man muss auch nicht davon ausgehen, dass man alles auf einmal migriert. Jede Bank wird mit etwas anderem beginnen. Zumeist mit etwas nicht so Geschäftskritischem. Das strategische Ziel, in einer gewissen Zahl von Jahren in die Cloud zu gehen, dass haben sicherlich viele Banken.  


Martin  Hess
Martin Hess

Als Chefökonom und Direktionsmitglied der Schweizerischen Bankiervereinigung sowie Mitglied der Chief Economist Group des Europäischen Bankenverbands arbeitet Martin Hess seit 2010. Zuvor war er in verschiedenen Positionen im Eidg. Finanzdeparte- ment sowie im Staatssekretariat für internationale Finanzfragen (SIF) tätig. 

Weitere Beiträge

google datacenter
AI und die Cloud – ein Patentrezept für alles?

AI hat sich heute zum wahren Modewort entwickelt. Jedoch ist der Begriff inzwischen so emotional aufgeladen, dass Realität und Vorstellung sehr weit auseinanderliegen. Dieser Artikel soll ein Erklärungsversuch darstellen, was AI heute schon leisten kann und warum Cloud-Technologien dabei so eine entscheidende Rolle spielen.

Mehr erfahren
Setup eines Maven-basierten Multi-Modul-Build incl. RCP- (OSGI-) Komponenten<br/>
Setup eines Maven-basierten Multi-Modul-Build incl. RCP- (OSGI-) Komponenten

Mehr erfahren
2017_06_Rimle-Postauto
Autonome Postautos: unterwegs mit der Zukunft

Autonome Fahrzeuge // Die autonomen Postautos haben keinen Fahrer und können dank ihrer leistungsfähigen Sensoren problemlos navigieren. Zum ersten Mal testet ein Unternehmen diese Technologie in der Schweiz im öffentlichen Raum.

Mehr erfahren
Teppich
Omni-Channel-Banking oder Filiale als heiliger Gral?

Die Zukunft des Bankings liegt im Omni-Channel. Doch der Weg dahin ist gerade für kleinere Banken schwierig. Die Filialen haben darum nach wie vor ihre Berechtigung – wenn auch mit geänderten Voraussetzungen.

Mehr erfahren
Axpo Agile Workshop Lead Image
Wie man mit dem Bau eines Marsrovers agiles, skaliertes Vorgehen lernt

Wie man agiles Arbeiten auch spielerisch erlernen kann, haben wir bei der Axpo gezeigt. Wir bauten einen Marsrover mit agilen Methoden. Was gar nicht so einfach war, jedoch gut gemeistert wurde.

Mehr erfahren