Zertifizierungssystem für Cloud-Leistungen wird geprüft
Social Bookmarks
Cloud-Leistungen eröffnen neue Möglichkeiten für innovative Geschäftsmodelle und effizientere Prozesse. Die sichere Nutzung von Cloud-Leistungen stärkt deshalb die Wettbewerbsfähigkeit der Schweizer Wirtschaft. Rechtliche und regulatorische Unsicherheiten verzögern die Migration in die Cloud, namentlich auch der Bankeninfrastruktur. Im Frühling gab der Bundesrat deshalb vertiefte Abklärungen zum Bedarf und zur Machbarkeit einer «Swiss Cloud» in Auftrag.
Das Eidgenössische Finanzdepartement EFD weist im soeben erschienenen Bericht den Bedarf einer «Swiss Cloud» als Label für eine sichere Nutzung von Cloud-Leistungen und hinsichtlich besonderer Anforderungen an die Datensouveränität aus. Damit soll das Risiko von nicht autorisierten Datenzugriffen minimiert werden. Zahlreiche Rechtsfragen für den Einsatz von Cloud-Leistungen bedürfen einer Klärung und führen gegebenenfalls zu angepassten rechtlichen und regulatorischen Rahmenbedingungen. Der Bedarf für eine «Swiss Cloud» in Gestalt einer eigenständigen öffentlich-rechtlichen technischen Infrastruktur wird klar nicht ausgewiesen.
Verschiedene Rechtsfragen sind für die Bankenbranche besonders relevant und wurden bereits im Cloud-Leitfaden der Schweizerischen Bankiervereinigung thematisiert. Es stellt sich die Frage, unter welchen Voraussetzungen in der Cloud eine Verletzung des Bankengeheimnisses stattfindet oder inwiefern in einer Cloud Personendaten von nicht-personenbezogenen Daten sinnvoll unterschieden und entkoppelt werden können. Die SBVg begrüsst insbesondere die in ihrem Positionspapier geforderte Klärung der Rechtslage im Hinblick auf die Konsequenzen des CLOUD Act der USA auf die Schweizer Wirtschaft.
Aufgrund der Ergebnisse des Berichts zur Bedarfserhebung «Swiss Cloud» beauftragt der Bundesrat ein umfangreiches Paket weiterführender Massnahmen. Aus Bankensicht von besonderem Interesse ist dabei die Prüfung und Konkretisierung eines Zertifizierungssystems für Cloud-Leistungen. Der Bundesrat strebt an, IKT- und Cloud-Lösungen, die bestimmten Service-Güteklassen (bezüglich Amtsgeheimnis, Informationsschutz, Datenschutz, Verfügbarkeit etc.) entsprechen, in einem öffentlichen Verzeichnis aufzuführen. Dies soll es Nutzer erleichtern, sich auf diesbezüglich vertrauenswürdige Dienstleister abstützen zu können. Dazu sollen IKT- und Cloud-Standards auditierbar gestaltet werden können.
Die Schweizerische Bankiervereinigung ist bereit, sich bei den weiteren Arbeiten des Bundes aktiv einzubringen und wird bei Bedarf ihren Cloud-Leitfaden den Entwicklungen anpassen.