Nutzung von Cloud-Angeboten durch Banken
Zur Zulässigkeit nach Art. 47 BankG – Gutachten erstattet an die Schweizerische Bankiervereinigung am 14. Februar 2019
Les auteurs estiment que les banques peuvent utiliser les « clouds » en et hors Suisse sans violer l'art. 47 LB. Si le fournisseur de cloud, par exemple par ses employés, n’y a pas d’accès en texte clair durant son cours normal des opérations, la migration de données vers les infrastructures informatiques de ces fournisseurs ne constitue pas une révélation comme élément constitutif de l’article 47 LB. Si des fournisseurs de cloud sont désignés comme mandataires au sens de l'art. 47 al. 1 let. a LB, l'utilisation de clouds restera impunie même en cas d'accès en texte clair. La banque doit mettre en place des contrôles pour cette forme de division du travail en informatique. (jp)
Inhaltsverzeichnis
- Management Summary
- Teil 1: Grundlagen
- I. Anlass und Gegenstand
- A. Anlass für das vorliegende Rechtsgutachten
- B. Gegenstand
- C. Geheimnisschutz heisst Perimeterschutz
- II. Allgemeines zum Bankkundengeheimnis
- A. Rechtsgrundlagen
- 1. Grundlage im Vertrag
- 2. Verstärkung des vertraglichen Schutzes durch Art. 47 BankG
- 3. Ergänzende Überlegungen
- B. Objektiver Tatbestand
- 1. Vorbemerkung
- 2. Zum Begriff der «Offenbarung» in Lehre und Rechtsprechung
- 3. Tatbegehung durch Unterlassung
- C. Subjektiver Tatbestand
- III. Zur Funktion des «Beauftragten» nach Art. 47 Abs. 1 BankG
- A. Vorbemerkungen
- B. Cloud-Anbieter als Beauftragte im Allgemeinen
- 1. Auslegung nach dem Wortlaut und nach der Gesetzgebungshistorie
- 2. Systematische Auslegung
- 3. Teleologische Auslegung
- 4. Weitere Überlegungen zur Auslegung: funktionaler Hilfspersonenbegriff und Zusammenhang zur impliziten Einwilligung des Bankkunden
- 5. Fazit: Cloud-Anbieter können als Beauftragte im Sinne von Art. 47 Abs. 1 lit. a BankG bestellt werden
- C. Bestellung von Beauftragten mit Auslandsbezug
- 1. Einleitung mit Problemstellung
- 2. Auslegung von Art. 47 Abs. 1 lit. a BankG
- a. Auslegung nach dem Wortlaut
- b. Auslegung nach der Gesetzgebungshistorie
- c. Systematische Auslegung
- d. Teleologische Auslegung
- e. Fazit
- Teil 2: Umsetzung Angemessener Schutzmassnahmen
- I. Ableitungen aus den Überlegungen zum objektiven und subjektiven Tatbestand
- A. Vorbemerkungen
- B. Ableitungen aus den Überlegungen zur Beauftragtenstellung
- C. Szenarien ohne Klartext-Zugriff
- 1. Vorbemerkungen
- 2. Analyse unter Differenzierung nach Service-Modellen
- a. Analyse bei Nutzung von reinen IaaS-Angeboten
- b. Analyse bei Nutzung von reinen PaaS-Angeboten
- c. Analyse bei der Nutzung von SaaS-Angeboten ohne Auslandsbezug (oder um SaaS-Komponenten ergänzte IaaS- oder PaaS-Angebote)
- 3. Fazit
- II. Fallback: Absicherung von reinem «Incidental Access»
- 1. Im IaaS-Modell
- 2. Im SaaS-Modell
- 3. Resultat
- Ergebnis: Schweizerische Banken können reife Cloud-Angebote nutzen
- Anhang: Verwendete Begriffe
Loggen Sie sich bitte ein, um den ganzen Text zu lesen.
Es gibt noch keine Kommentare
Votre commentaire sur cet article
Les abonné-e-s à cette revue peuvent prendre part à la discussion. Veuillez vous connecter pour poster des commentaires.
Aucun commentaire