Nutzung von Cloud-Angeboten durch Banken
Zur Zulässigkeit nach Art. 47 BankG – Gutachten erstattet an die Schweizerische Bankiervereinigung am 14. Februar 2019
Die Autoren kommen zum Resultat, dass Banken Clouds im In- und Ausland einsetzen können, ohne Art. 47 BankG zu verletzen. Wenn es im Normalbetrieb beim Cloud-Anbieter zu keinen Klartext-Zugriffen z.B. durch Mitarbeitende des Cloud-Anbieters kommt, erfüllt die Migration von Daten in die IT-Infrastrukturen solcher Cloud-Anbieter bereits das Tatbestandsmerkmal der Offenbarung nicht. Wenn Cloud-Anbieter als Beauftragte im Sinne von Art. 47 Abs. 1 lit. a BankG bestellt werden, bleibt die Nutzung von Clouds auch dann straflos, wenn Klartext-Zugriffe vorkommen. Die Bank muss für diese Form der Arbeitsteilung im IT-Bereich Kontrollen einrichten.
Inhaltsverzeichnis
- Management Summary
- Teil 1: Grundlagen
- I. Anlass und Gegenstand
- A. Anlass für das vorliegende Rechtsgutachten
- B. Gegenstand
- C. Geheimnisschutz heisst Perimeterschutz
- II. Allgemeines zum Bankkundengeheimnis
- A. Rechtsgrundlagen
- 1. Grundlage im Vertrag
- 2. Verstärkung des vertraglichen Schutzes durch Art. 47 BankG
- 3. Ergänzende Überlegungen
- B. Objektiver Tatbestand
- 1. Vorbemerkung
- 2. Zum Begriff der «Offenbarung» in Lehre und Rechtsprechung
- 3. Tatbegehung durch Unterlassung
- C. Subjektiver Tatbestand
- III. Zur Funktion des «Beauftragten» nach Art. 47 Abs. 1 BankG
- A. Vorbemerkungen
- B. Cloud-Anbieter als Beauftragte im Allgemeinen
- 1. Auslegung nach dem Wortlaut und nach der Gesetzgebungshistorie
- 2. Systematische Auslegung
- 3. Teleologische Auslegung
- 4. Weitere Überlegungen zur Auslegung: funktionaler Hilfspersonenbegriff und Zusammenhang zur impliziten Einwilligung des Bankkunden
- 5. Fazit: Cloud-Anbieter können als Beauftragte im Sinne von Art. 47 Abs. 1 lit. a BankG bestellt werden
- C. Bestellung von Beauftragten mit Auslandsbezug
- 1. Einleitung mit Problemstellung
- 2. Auslegung von Art. 47 Abs. 1 lit. a BankG
- a. Auslegung nach dem Wortlaut
- b. Auslegung nach der Gesetzgebungshistorie
- c. Systematische Auslegung
- d. Teleologische Auslegung
- e. Fazit
- Teil 2: Umsetzung Angemessener Schutzmassnahmen
- I. Ableitungen aus den Überlegungen zum objektiven und subjektiven Tatbestand
- A. Vorbemerkungen
- B. Ableitungen aus den Überlegungen zur Beauftragtenstellung
- C. Szenarien ohne Klartext-Zugriff
- 1. Vorbemerkungen
- 2. Analyse unter Differenzierung nach Service-Modellen
- a. Analyse bei Nutzung von reinen IaaS-Angeboten
- b. Analyse bei Nutzung von reinen PaaS-Angeboten
- c. Analyse bei der Nutzung von SaaS-Angeboten ohne Auslandsbezug (oder um SaaS-Komponenten ergänzte IaaS- oder PaaS-Angebote)
- 3. Fazit
- II. Fallback: Absicherung von reinem «Incidental Access»
- 1. Im IaaS-Modell
- 2. Im SaaS-Modell
- 3. Resultat
- Ergebnis: Schweizerische Banken können reife Cloud-Angebote nutzen
- Anhang: Verwendete Begriffe
Loggen Sie sich bitte ein, um den ganzen Text zu lesen.
Es gibt noch keine Kommentare
Ihr Kommentar zu diesem Beitrag
AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.
0 Kommentare