Jusletter

Nutzung von Cloud-Angeboten durch Banken

Zur Zulässigkeit nach Art. 47 BankG – Gutachten erstattet an die Schweizerische Bankiervereinigung am 14. Februar 2019

  • Autoren/Autorinnen: Christian Laux / Alexander Hofmann / Mark Schieweck / Jürg Hess
  • Beitragsart: Beiträge
  • Rechtsgebiete: Bankrecht, Informatik und Recht, Datenschutz
  • Zitiervorschlag: Christian Laux / Alexander Hofmann / Mark Schieweck / Jürg Hess, Nutzung von Cloud-Angeboten durch Banken, in: Jusletter 27. Mai 2019
Die Autoren kommen zum Resultat, dass Banken Clouds im In- und Ausland einsetzen können, ohne Art. 47 BankG zu verletzen. Wenn es im Normalbetrieb beim Cloud-Anbieter zu keinen Klartext-Zugriffen z.B. durch Mitarbeitende des Cloud-Anbieters kommt, erfüllt die Migration von Daten in die IT-Infrastrukturen solcher Cloud-Anbieter bereits das Tatbestandsmerkmal der Offenbarung nicht. Wenn Cloud-Anbieter als Beauftragte im Sinne von Art. 47 Abs. 1 lit. a BankG bestellt werden, bleibt die Nutzung von Clouds auch dann straflos, wenn Klartext-Zugriffe vorkommen. Die Bank muss für diese Form der Arbeitsteilung im IT-Bereich Kontrollen einrichten.

Inhaltsverzeichnis

  • Management Summary
  • Teil 1: Grundlagen
  • I. Anlass und Gegenstand
  • A. Anlass für das vorliegende Rechtsgutachten
  • B. Gegenstand
  • C. Geheimnisschutz heisst Perimeterschutz
  • II. Allgemeines zum Bankkundengeheimnis
  • A. Rechtsgrundlagen
  • 1. Grundlage im Vertrag
  • 2. Verstärkung des vertraglichen Schutzes durch Art. 47 BankG
  • 3. Ergänzende Überlegungen
  • B. Objektiver Tatbestand
  • 1. Vorbemerkung
  • 2. Zum Begriff der «Offenbarung» in Lehre und Rechtsprechung
  • 3. Tatbegehung durch Unterlassung
  • C. Subjektiver Tatbestand
  • III. Zur Funktion des «Beauftragten» nach Art. 47 Abs. 1 BankG
  • A. Vorbemerkungen
  • B. Cloud-Anbieter als Beauftragte im Allgemeinen
  • 1. Auslegung nach dem Wortlaut und nach der Gesetzgebungshistorie
  • 2. Systematische Auslegung
  • 3. Teleologische Auslegung
  • 4. Weitere Überlegungen zur Auslegung: funktionaler Hilfspersonenbegriff und Zusammenhang zur impliziten Einwilligung des Bankkunden
  • 5. Fazit: Cloud-Anbieter können als Beauftragte im Sinne von Art. 47 Abs. 1 lit. a BankG bestellt werden
  • C. Bestellung von Beauftragten mit Auslandsbezug
  • 1. Einleitung mit Problemstellung
  • 2. Auslegung von Art. 47 Abs. 1 lit. a BankG
  • a. Auslegung nach dem Wortlaut
  • b. Auslegung nach der Gesetzgebungshistorie
  • c. Systematische Auslegung
  • d. Teleologische Auslegung
  • e. Fazit
  • Teil 2: Umsetzung Angemessener Schutzmassnahmen
  • I. Ableitungen aus den Überlegungen zum objektiven und subjektiven Tatbestand
  • A. Vorbemerkungen
  • B. Ableitungen aus den Überlegungen zur Beauftragtenstellung
  • C. Szenarien ohne Klartext-Zugriff
  • 1. Vorbemerkungen
  • 2. Analyse unter Differenzierung nach Service-Modellen
  • a. Analyse bei Nutzung von reinen IaaS-Angeboten
  • b. Analyse bei Nutzung von reinen PaaS-Angeboten
  • c. Analyse bei der Nutzung von SaaS-Angeboten ohne Auslandsbezug (oder um SaaS-Komponenten ergänzte IaaS- oder PaaS-Angebote)
  • 3. Fazit
  • II. Fallback: Absicherung von reinem «Incidental Access»
  • 1. Im IaaS-Modell
  • 2. Im SaaS-Modell
  • 3. Resultat
  • Ergebnis: Schweizerische Banken können reife Cloud-Angebote nutzen
  • Anhang: Verwendete Begriffe

0 Kommentare

Es gibt noch keine Kommentare

Ihr Kommentar zu diesem Beitrag

AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.