Einleitung

Schweizer Finanzinstitute operieren unter einigen der strengsten Datenschutzregimes der Welt. Bankgeheimnis, Kundenvertraulichkeit und Beschränkungen für grenzüberschreitende Datenübermittlungen bestimmen den Umgang dieser Organisationen mit sensiblen Informationen. Wenn Schweizer Banken, Vermögensverwalter und Versicherungsunternehmen jedoch auf US-amerikanische Cloud-Anbieter oder Softwareanbieter zurückgreifen, setzen sie Kundendaten unwissentlich dem potenziellen Zugriff durch US-amerikanische Strafverfolgungsbehörden nach dem Clarifying Lawful Overseas Use of Data Act (CLOUD Act) aus. Dieses Gesetz räumt US-amerikanischen Behörden die Befugnis ein, amerikanische Technologieunternehmen zur Herausgabe von Daten zu zwingen, die überall auf der Welt gespeichert sind – unabhängig davon, wo sich diese Daten befinden oder welche lokalen Datenschutzgesetze gelten.

Der Konflikt zwischen CLOUD-Act-Verpflichtungen und Schweizer Rechtsanforderungen schafft unmittelbares operatives und rechtliches Risiko. Schweizer Finanzinstitute riskieren strafrechtliche Haftung nach dem Bankgeheimnisrecht, wenn sie Kundeninformationen ohne ordnungsgemäße Rechtsgrundlage offenlegen. Gleichzeitig drohen ihren US-amerikanischen Dienstleistern Missachtungsstrafen, wenn sie sich rechtmäßigen Datenanfragen von Bundesbehörden verweigern. Das Verständnis des CLOUD-Act-Risikos wird daher für Vorstände, Chief Information Security Officers, Datenschutzbeauftragte und Justiziarinnen und Justiziare unerlässlich, die für den Schutz von Kundendaten und die Einhaltung regulatorischer Anforderungen verantwortlich sind.

Dieser Artikel erläutert, wie der CLOUD Act auf Schweizer Finanzinstitute anwendbar ist, welche spezifischen Risiken aus der Abhängigkeit von US-amerikanischen Technologieanbietern entstehen, wie Drittanbieter-Risiken bewertet werden können und welche architektonischen Kontrollen das rechtliche und operative Risiko reduzieren – ohne Cloud-Infrastruktur vollständig aufzugeben.

Zusammenfassung

Schweizer Finanzinstitute, die US-amerikanische Cloud-Dienste, Collaboration-Plattformen, E-Mail-Anbieter oder Datenanalyse-Tools nutzen, schaffen einen direkten rechtlichen Zugangspfad für amerikanische Strafverfolgungsbehörden zu sensiblen Kundendaten – ohne Schweizer Gerichtskontrolle. Der CLOUD Act erlaubt es US-amerikanischen Behörden, Durchsuchungsbefehle, Vorladungen und Sicherheitsbriefe an amerikanische Unternehmen auszustellen und die Offenlegung von Daten zu erzwingen, die auf ausländischem Boden gespeichert sind.

Diese extraterritoriale Reichweite steht im Widerspruch zum Schweizer Bankgeheimnis, den Anforderungen des Bundesgesetzes über den Datenschutz (DSG) und den vertraglichen Vertraulichkeitspflichten, die Schweizer Institute gegenüber ihren Kunden haben. Das Ergebnis ist ein Compliance-Paradoxon, bei dem die Erfüllung des Rechtsmandats einer Jurisdiktion gegen das Strafgesetzbuch einer anderen verstößt.

Schweizer Finanzinstitute müssen identifizieren, wo CLOUD-Act-Risiken in ihrem Anbieter-Ökosystem bestehen, die Wahrscheinlichkeit und die Folgen einer erzwungenen Offenlegung bewerten und technische sowie vertragliche Schutzmaßnahmen implementieren, die das Risiko reduzieren – bei gleichzeitiger Aufrechterhaltung der operativen Flexibilität und der Einhaltung der Schweizer Regulierungsanforderungen.

Zentrale Erkenntnisse

• Der CLOUD Act räumt US-amerikanischen Strafverfolgungsbehörden die Befugnis ein, amerikanische Technologieunternehmen zur Herausgabe von Daten zu zwingen – unabhängig vom Speicherort. Dies steht in direktem Widerspruch zum Schweizer Bankgeheimnis und Datenschutzrecht, das die unbefugte Offenlegung von Kundendaten untersagt.
• Schweizer Finanzinstitute riskieren strafrechtliche Haftung, wenn sie eine unbefugte Datenübermittlung ermöglichen – auch indirekt über Anbieterbeziehungen. Vorstände und Führungskräfte tragen persönliche Verantwortung dafür, dass Drittanbieter-Vereinbarungen den Schweizer Rechtspflichten und Kundenvertraulichkeitsverpflichtungen entsprechen.
• Die Anbieter-Due-Diligence muss das CLOUD-Act-Risiko explizit bewerten, indem die Jurisdiktion der Muttergesellschaft, Datenspeicherorte, administrative Zugriffspfade und vertragliche Offenlegungspflichten identifiziert werden. Standard-Anbieterfragebögen erfassen diese Details selten mit ausreichender Präzision.
• Technische Kontrollen – einschließlich durchgängiger Verschlüsselung mit in der Schweiz ansässigem Schlüsselmanagement, Datenspeicherortdurchsetzung und Zero-Trust-Zugriffsarchitekturen – reduzieren den Umfang und den Wert erzwungener Offenlegungen, indem sie sicherstellen, dass Anbieter niemals Klartextzugriff auf sensible Inhalte erhalten.
• Kontinuierliche Compliance erfordert unveränderliche Prüfpfade, die Datenspeicherort, Zugriffsmuster, Verschlüsselungsstatus und grenzüberschreitende Übertragungsaktivitäten dokumentieren. Diese Aufzeichnungen bieten regulatorische Verteidigungsfähigkeit und ermöglichen eine schnelle Reaktion auf Offenlegungsanfragen oder behördliche Anfragen.

Wie der CLOUD Act Jurisdiktion über Schweizer Finanzdaten schafft

Der CLOUD Act hat den Stored Communications Act dahingehend geändert, dass US-amerikanische Dienstleister rechtmäßigen Datenanfragen amerikanischer Behörden nachkommen müssen – unabhängig davon, wo sich die angeforderten Daten physisch befinden. Wenn eine Schweizer Bank Microsoft 365 für E-Mails, Salesforce für das Kundenbeziehungsmanagement oder Amazon Web Services für das Application-Hosting nutzt, unterliegen diese Anbieter weiterhin der US-amerikanischen Jurisdiktion – auch wenn sie Daten ausschließlich in Schweizer oder europäischen Rechenzentren speichern.

Beispiel 1: Eine Zürcher Privatbank nutzt Microsoft 365 für E-Mails. US-amerikanische Behörden, die einen Kunden untersuchen, stellen Microsoft einen Durchsuchungsbefehl aus. Obwohl die Daten in Schweizer Rechenzentren gespeichert sind, muss Microsoft dem Befehl nach dem CLOUD Act nachkommen – was möglicherweise das Schweizer Bankgeheimnisrecht verletzt.

Beispiel 2: Ein Genfer Vermögensverwalter nutzt Salesforce für das Kundenbeziehungsmanagement. Trotz vertraglicher Datenspeicherverpflichtungen bleibt die US-amerikanische Muttergesellschaft von Salesforce Durchsuchungsbefehlen ausgesetzt, die die Offenlegung von Schweizer Kundendaten erzwingen können.

Diese extraterritoriale Reichweite operiert unabhängig von Rechtshilfeabkommen und umgeht traditionelle diplomatische Kanäle für die grenzüberschreitende Beweiserhebung. US-amerikanische Strafverfolgungsbehörden können einen Durchsuchungsbefehl direkt bei der amerikanischen Muttergesellschaft einreichen, ohne die Schweizer Behörden zu benachrichtigen oder eine Schweizer Gerichtsgenehmigung einzuholen. Das betroffene Institut erfährt möglicherweise nie, dass seine Daten offengelegt wurden. Der Anbieter steht vor einer binären Entscheidung: dem US-amerikanischen Befehl folgen und damit Schweizer Recht verletzen – oder den Befehl verweigern und in den USA mit Missachtungsstrafen rechnen.

Schweizer Finanzinstitute können dieses Risiko nicht durch vertragliche Formulierungen delegieren. Selbst wenn Dienstleistungsvereinbarungen Datenspeicherverpflichtungen und ausdrückliche Verbote unbefugter Offenlegung enthalten, bieten diese Bestimmungen keinen Schutz, wenn ein Anbieter einen rechtmäßigen Durchsuchungsbefehl mit einer Nichtoffenlegungsanordnung erhält. Die gesetzliche Verpflichtung des Anbieters, US-amerikanischem Recht nachzukommen, hat Vorrang vor vertraglichen Verpflichtungen gegenüber dem Schweizer Kunden.

Der Konflikt wird besonders akut, wenn Schweizer Recht genau jene Offenlegung unter Strafe stellt, die US-amerikanisches Recht gebietet. Das Schweizer Bankgeheimnis verbietet die Offenlegung von Kundeninformationen ohne ausdrückliche Rechtsgrundlage durch Schweizer Gerichte oder Regulierungsbehörden. Das Ermöglichen einer unbefugten Offenlegung – auch indirekt durch die Wahl eines Anbieters, der bekanntermaßen ausländischer Jurisdiktion unterliegt – kann zu strafrechtlicher Haftung für Führungskräfte und Compliance-Beauftragte führen.

Schweizer Regulierungsanforderungen und rechtliche Pflichten

Das Bundesgesetz über den Datenschutz (DSG) stellt strenge Anforderungen an grenzüberschreitende Datenübermittlungen und schreibt Rechenschaftspflichten für Datenverantwortliche vor. Schweizer Finanzinstitute tragen die volle Verantwortung für die Sicherheit und Vertraulichkeit von Kundendaten – auch wenn Verarbeitungsaktivitäten an Dritte ausgelagert werden. Die Aufsichtsleitlinien der Eidgenössischen Finanzmarktaufsicht (FINMA) machen deutlich, dass Institute Risiken nicht an Anbieter übertragen können und sicherstellen müssen, dass Auslagerungsvereinbarungen allen anwendbaren Schweizer Rechtsanforderungen entsprechen.

Die im Bankengesetz kodifizierten Bankgeheimsnisvorschriften sehen Strafmaßnahmen bei unbefugter Offenlegung von Kundeninformationen vor. Diese Pflichten erstrecken sich über traditionelle Einlagen- und Kreditgeschäfte hinaus auf Vermögensverwaltung, Wertpapierhandel, Zahlungsabwicklung und Versicherungsaktivitäten. Die Definition geschützter Informationen ist weit gefasst und umfasst nicht nur Kontosalden und Transaktionsdetails, sondern auch die bloße Existenz einer Kundenbeziehung.

FINMA-Leitlinien zum Cloud Computing und CLOUD-Act-Risiko

Schweizer Datenschutzbehörden und die FINMA haben das CLOUD-Act-Risiko in Leitliniendokumenten und Durchsetzungsmaßnahmen explizit adressiert. FINMA-Rundschreiben 2018/3 zu Auslagerungen legt umfassende Anforderungen für Finanzinstitute fest, die Drittanbieter-Dienstleister einschließlich Cloud-Anbieter nutzen. Das Rundschreiben betont, dass Institute folgende Maßnahmen ergreifen müssen:

• Vollständige Kontrolle über ausgelagerte Aktivitäten und die Möglichkeit zur Prüfung von Anbieterbetrieben aufrechterhalten
• Sicherstellen, dass Anbietervereinbarungen allen Schweizer Regulierungsanforderungen entsprechen
• Geeignete Schutzmaßnahmen für Datenvertraulichkeit und -sicherheit implementieren
• Risikobewertungen und Kontrollrahmen für Auslagerungsbeziehungen dokumentieren

Die FINMA hat klargestellt, dass die Nutzung US-amerikanischer Cloud-Anbieter eine grenzüberschreitende Datenübermittlung darstellt, die einer angemessenen Rechtsgrundlage und geeigneter Schutzmaßnahmen bedarf. Standardvertragsklauseln und Anbieterzusicherungen sind unzureichend, wenn die Muttergesellschaft des Anbieters weiterhin extraterritorialen Rechtspflichten unterliegt, die mit Schweizer Recht kollidieren. Institute müssen technische Maßnahmen implementieren, die Anbietern den Zugriff auf Klartextdaten verwehren, oder den Informationstyp beschränken, der über US-amerikanische Systeme verarbeitet wird.

Die regulatorische Erwartung ist eine kontinuierliche Compliance statt einer Zertifizierung zu einem bestimmten Zeitpunkt. Schweizer Finanzinstitute müssen aktuelle Dokumentation über Drittanbieterbeziehungen, Datenflüsse, Speicherorte, Verschlüsselungspraktiken und Zugriffskontrollen pflegen. Wenn sich Anbieterarchitekturen ändern oder neue Rechtspflichten entstehen, müssen Institute Risiken neu bewerten und Kontrollen entsprechend anpassen.

Die FINMA erwartet eine Aufsicht auf Vorstandsebene über das CLOUD-Act-Risiko. Direktoren tragen treuhänderische Pflichten zur Sicherstellung angemessener Datenschutzmaßnahmen und riskieren persönliche Haftung, wenn das Institut durch unzureichendes Anbieter-Management gegen das Schweizer Bankgeheimnis oder Datenschutzrecht verstößt.

Schrems II und die Unzulänglichkeit standardmäßiger Datenübermittlungsmechanismen

Das Urteil des Europäischen Gerichtshofs von 2020 in der Rechtssache Schrems II (Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems) erklärte das EU-US-Datenschutzschild speziell aufgrund von Bedenken hinsichtlich US-amerikanischer Überwachungsgesetze einschließlich des CLOUD Act für ungültig. Obwohl die Schweiz kein EU-Mitgliedstaat ist, hat das Urteil erhebliche Auswirkungen auf Schweizer Finanzinstitute.

Der Gerichtshof stellte fest, dass US-amerikanisches Recht – einschließlich Section 702 des Foreign Intelligence Surveillance Act und Executive Order 12333 – US-amerikanischen Nachrichtendiensten den Zugriff auf personenbezogene Daten in einer Weise erlaubt, die mit europäischen Grundrechten unvereinbar ist. Der CLOUD Act verstärkt diese Bedenken durch einen zusätzlichen rechtlichen Mechanismus für den extraterritorialen Datenzugriff.

Das Schrems-II-Urteil stellte fest, dass Standardvertragsklauseln allein für Übermittlungen in die USA nicht ausreichen, sofern sie nicht durch zusätzliche technische Maßnahmen ergänzt werden, die sicherstellen, dass US-amerikanische Behörden nicht auf die Daten in lesbarer Form zugreifen können. Dies schafft eine direkte Verpflichtung für Schweizer Institute, Verschlüsselung, Zugriffskontrollen und Datenspeicherortmaßnahmen zu implementieren, die über vertragliche Verpflichtungen hinausgehen.

Die anschließenden Leitlinien des Europäischen Datenschutzausschusses zu ergänzenden Maßnahmen betonen, dass wirksame Schutzmaßnahmen technischer und nicht bloß vertraglicher Natur sein müssen, da vertragliche Pflichten keine gesetzlichen Anforderungen im Empfängerland außer Kraft setzen können. Dies unterstreicht die Notwendigkeit eines kundenseitig verwalteten Verschlüsselungssystems mit in der Schweiz ansässigem Schlüsselmanagement.

Überlegungen auf Vorstandsebene und persönliche Haftung

Direktoren von Schweizer Finanzinstituten tragen spezifische Verantwortlichkeiten hinsichtlich des CLOUD-Act-Risikos, die über allgemeine Aufsichtspflichten hinausgehen. Das Schweizer Bankgeheimnis und Datenschutzrecht schaffen eine potenzielle strafrechtliche Haftung für Personen, die eine unbefugte Offenlegung von Kundeninformationen ermöglichen – auch indirekt durch Anbieterauswahlentscheidungen.

Treuhänderische Pflichten und Due Diligence

Vorstandsmitglieder müssen sicherstellen, dass das Management angemessene Kontrollen implementiert, um Kundendaten vor unbefugtem Zugriff zu schützen – einschließlich des durch ausländisches Gerichtsverfahren erzwungenen Zugriffs. Dies erfordert:

• Regelmäßige Berichterstattung über Anbieterbeziehungen, die CLOUD-Act-Risiken schaffen
• Dokumentation der Risikobewertungsmethodik und Risikoakzeptanzentscheidungen
• Nachweis, dass technische Schutzmaßnahmen der Datensensibilität angemessen sind
• Belege, dass das Institut alternative Anbieter ohne US-amerikanische Jurisdiktion in Betracht gezogen hat
• Klare Eskalationsverfahren, wenn Anbieter staatliche Datenanfragen erhalten

Fragen, die Vorstände dem Management stellen sollten

Direktoren sollten das Management regelmäßig zum CLOUD-Act-Risiko befragen:

• Welche Anbieter haben US-amerikanische Muttergesellschaften oder administratives Personal in den Vereinigten Staaten?
• Welches Volumen und welche Sensibilität von Kundendaten können diese Anbieter abrufen?
• Welche Verschlüsselungs- und Schlüsselmanagementarchitektur verhindert, dass Anbieter auf Klartextdaten zugreifen?
• Wie erkennt und verhindert das Institut Schatten-IT, die nicht verwaltetes CLOUD-Act-Risiko schafft?
• Welche Benachrichtigungsverfahren bestehen, wenn ein Anbieter eine staatliche Datenanfrage erhält?
• Wie häufig bewertet das Institut das Anbieterrisiko neu, wenn sich rechtliche und technische Rahmenbedingungen weiterentwickeln?
• Welche Migrationspläne bestehen für Hochrisikobeziehungen mit Anbietern?

Dokumentationsanforderungen

Vorstände sollten sicherstellen, dass das Institut eine umfassende Dokumentation pflegt, die die Due Diligence bei der Anbieterauswahl und das laufende Risikomanagement belegt. Diese Dokumentation wird essenziell, wenn Schweizer Behörden mutmaßliche Verletzungen des Bankgeheimnisses oder Datenschutzrechts untersuchen oder wenn Kunden rechtliche Ansprüche wegen Verletzung von Vertraulichkeitspflichten geltend machen.

Die Dokumentation sollte umfassen:

• Anbieterrisikobeurteilungen mit spezifischer Analyse des CLOUD-Act-Risikos
• Protokolle von Vorstandsdiskussionen zu Hochrisikobeziehungen mit Anbietern
• Technische Architekturdokumentation mit Verschlüsselungs- und Zugriffskontrollen
• Vertragliche Bestimmungen zum Datenschutz und zu staatlichen Datenanfragen
• Verfahren zur Incident Response bei Szenarien erzwungener Offenlegung
• Regelmäßige Compliance-Berichte zur Quantifizierung des CLOUD-Act-Risikos im gesamten Anbieter-Ökosystem

Identifizierung des CLOUD-Act-Risikos und Anbieter-Due-Diligence

Die Bewertung des CLOUD-Act-Risikos erfordert eine Analyse von Anbieterbeziehungen auf mehreren Ebenen. Die Jurisdiktion der Muttergesellschaft bestimmt die rechtlichen Pflichten unabhängig von Konzernstruktur oder Rechenzentrumsstandort. Eine europäische Tochtergesellschaft eines amerikanischen Technologieunternehmens unterliegt weiterhin der US-amerikanischen Jurisdiktion über ihre Muttergesellschaft. Schweizer Institute müssen Eigentumsstrukturen kartieren, letztendliche Muttergesellschaften identifizieren und das durch diese Beziehungen entstehende Jurisdiktionsrisiko bewerten.

Der Datenspeicherort bietet unvollständigen Schutz. Auch wenn Anbieter sich vertraglich zu einem Schweizer oder europäischen Datenspeicherort verpflichten, können administrative Zugriffspfade über US-amerikanische Infrastruktur verlaufen. Supportpersonal in den Vereinigten Staaten, zentralisierte Schlüsselverwaltungssysteme oder gemeinsam genutzte administrative Portale können Zugriffspfade schaffen, die Daten dem US-amerikanischen Rechtsverfahren aussetzen.

Umfassender Anbieterfragebogen

Standard-Anbieterfragebögen erfassen das CLOUD-Act-Risiko selten mit ausreichender Präzision. Eine effektive Due Diligence erfordert spezifische Fragen:

Unternehmensstruktur und Jurisdiktion:

• Wer ist die ultimative Muttergesellschaft und in welcher Jurisdiktion ist sie eingetragen?
• Hat eine US-amerikanische Einheit Eigentums-, Kontroll- oder administrative Zugriffsrechte?
• Welche Tochtergesellschaften oder verbundene Unternehmen können auf Kundendaten zugreifen?

Administrativer Zugriff und Personal:

• Wo sind Datenbankadministratoren, Security-Operations-Teams und Infrastrukturingenieure ansässig?
• Können US-amerikanische Mitarbeiter auf Schweizer Kundendaten zugreifen – auch für Support oder Wartung?
• Welche technischen Kontrollen verhindern unbefugten administrativen Zugriff?

Schlüsselmanagementarchitektur:

• Wer verwaltet Verschlüsselungsschlüssel für ruhende und übertragene Daten?
• Wo befinden sich Schlüsselverwaltungssysteme physisch?
• Kann der Anbieter Kundendaten entschlüsseln, oder behält der Kunde die ausschließliche Schlüsselkontrolle?

Historische staatliche Datenanfragen:

• Wie viele staatliche Datenanfragen hat der Anbieter in den vergangenen drei Jahren erhalten?
• Wie viele dieser Anfragen betrafen Nicht-US-Kunden?
• Wie geht der Anbieter mit übermäßig breiten Anfragen um?

Datenflüsse und Übertragungspfade:

• Über welche Netzwerkpfade laufen administrative Verbindungen?
• Sind US-amerikanische Systeme an Datenverarbeitung, Backup oder Notfallwiederherstellung beteiligt?
• Welche Kontrollen verhindern unbefugte grenzüberschreitende Datenübertragungen?

Institute sollten Anbieter verpflichten, die Nationalität und den Standort von Personal mit administrativem Zugriff auf Kundendaten offenzulegen. Dies umfasst Datenbankadministratoren, Security-Operations-Teams und Infrastrukturingenieure. Auch wenn Daten in Schweizer Rechenzentren gespeichert sind, schafft administrativer Zugriff durch US-amerikanisches Personal ein CLOUD-Act-Risiko.

Die Schlüsselmanagementarchitektur bestimmt, ob Verschlüsselung einen wirksamen Schutz vor erzwungener Offenlegung bietet. Wenn ein US-amerikanischer Anbieter Verschlüsselungsschlüssel verwaltet, kann eine erzwungene Offenlegung sowohl die verschlüsselten Daten als auch die zur Entschlüsselung benötigten Schlüssel umfassen. Effektiver Schutz erfordert ein kundenseitig verwaltetes Verschlüsselungssystem mit Schlüsseln, die in Schweizer Hardware-Sicherheitsmodulen (HSMs) gespeichert sind und von in der Schweiz eingetragenen Einheiten ohne US-amerikanische Muttergesellschaft betrieben werden.

Erkennung und Management von Schatten-IT

Die informelle Nutzung von Cloud-Diensten durch einzelne Geschäftsbereiche schafft nicht verwaltetes CLOUD-Act-Risiko. Wenn Händler persönliche Dropbox-Konten zum Teilen von Research-Berichten nutzen oder Vermögensberater Gmail für die Kundenkommunikation verwenden, entstehen Datenpfade, die für Compliance- und Security-Teams unsichtbar sind.

Technische Kontrollen zur Erkennung von Schatten-IT erfordern eine kontinuierliche Überwachung durch mehrere Erkennungsmechanismen:

• Cloud Access Security Broker (CASB): CASB-Lösungen überwachen den Netzwerkverkehr, um Verbindungen zu Cloud-Diensten zu identifizieren – auch wenn Mitarbeiter nicht verwaltete Geräte oder externe Netzwerke nutzen.
• Netzwerkverkehrsanalyse: Deep Packet Inspection und Flow-Analyse identifizieren Verbindungen zu bekannten Cloud-Dienstleistern.
• Endpunkt-Monitoring: Auf Mitarbeitergeräten installierte Agenten erkennen installierte Anwendungen, Browser-Erweiterungen und Web-Service-Nutzung.
• DNS-Query-Analyse: Die Überwachung von DNS-Anfragen zeigt Versuche, auf nicht autorisierte Cloud-Dienste zuzugreifen.
• User Behavior Analytics: Basismodelle des Nutzerverhaltens erkennen anomale Datenübertragungsmuster.

Institute sollten technische Kontrollen implementieren, die den Zugriff auf nicht genehmigte Cloud-Dienste einschränken, während sie genehmigte Alternativen bereitstellen, die den geschäftlichen Anforderungen ohne inakzeptables rechtliches Risiko gerecht werden.

Risikoquantifizierungsrahmen

Schweizer Finanzinstitute benötigen eine strukturierte Methodik zur Bewertung des CLOUD-Act-Risikos über ihr Anbieter-Ökosystem hinweg. Ein praktischer Risikoquantifizierungsrahmen bewertet sowohl Wahrscheinlichkeit als auch Folgen und ermöglicht es Instituten, Abhilfemaßnahmen zu priorisieren und fundierte Risikoakzeptanzentscheidungen zu treffen.

Wahrscheinlichkeitsfaktoren

Häufigkeit von US-amerikanischen Strafverfolgungsanfragen: Anbieter mit hohem Aufkommen staatlicher Datenanfragen weisen eine höhere Wahrscheinlichkeit erzwungener Offenlegungen auf. Transparenzberichte großer Cloud-Anbieter zeigen, dass Microsoft, Google und Amazon jährlich Zehntausende von Anfragen im Rahmen rechtlicher Verfahren erhalten.

Historisches Kooperationsverhalten des Anbieters: Einige Anbieter fechten staatliche Anfragen aggressiver an als andere. Prüfen Sie Anbieter-Transparenzberichte, öffentliche Erklärungen zu staatlichen Datenanfragen und eingereichte Rechtsmittel gegen übermäßig breite Durchsuchungsbefehle.

Merkmale des Kundenstamms: Institute, die vermögende Privatpersonen, politisch exponierte Personen oder Kunden aus Ländern betreuen, die US-amerikanischen Sanktionen oder Untersuchungen unterliegen, sind mit einer höheren Wahrscheinlichkeit konfrontiert, dass US-amerikanische Behörden Kundendaten anfordern.

Geografischer Umfang der US-Aktivitäten des Anbieters: Anbieter mit bedeutenden US-Aktivitäten, großen US-amerikanischen Mitarbeiterpopulationen oder US-Hauptsitz stehen unter größerem praktischem und rechtlichem Druck, US-amerikanischem Strafverfolgungsrecht nachzukommen.

Konsequenzfaktoren

Volumen der Kundendaten, auf die der Anbieter zugreifen kann: Bewerten Sie, wie viele Kundendatensätze, Transaktionen, Kommunikationen oder Dateien der Anbieter im Fall einer erzwungenen Offenlegung abrufen kann. Anbieter mit Zugriff auf gesamte Kundendatenbanken stellen ein höheres Risiko dar als Anbieter mit Zugriff auf begrenzte operative Daten.

Sensibilität der Daten: Durch das Bankgeheimnis geschützte Informationen (Kontosalden, Transaktionsdetails, Anlagepositionen) haben höhere Konsequenzen als operative Daten. Personenbezogene Daten, Finanzdaten und anwaltlich privilegierte Kommunikationen erfordern besonderen Schutz.

Mögliche strafrechtliche Haftung für Führungskräfte: Das Schweizer Bankgeheimnis sieht Strafmaßnahmen für Personen vor, die eine unbefugte Offenlegung ermöglichen. Prüfen Sie, ob die Anbieterbeziehung Führungskräfte und Compliance-Beauftragte einem Strafverfolgungsrisiko aussetzen könnte.

Reputationsschäden und Kundenverlustrisiko: Die unbefugte Offenlegung von Kundendaten gegenüber ausländischen Behörden beschädigt Vertrauen und Wettbewerbsposition. Schweizer Finanzinstitute vermarkten Diskretion und Vertraulichkeit als Kernwertversprechen. CLOUD-Act-Offenlegungen untergraben diese Verpflichtungen.

Regulatorische Sanktionen der FINMA: Die FINMA kann Sanktionen verhängen, Abhilfemaßnahmen fordern, Geschäftsaktivitäten einschränken oder Lizenzen für Institute entziehen, die Kundendaten nicht angemessen schützen.

Risikobewertungsmatrix

Kombinieren Sie Wahrscheinlichkeits- und Konsequenzfaktoren zu einem Risikoscore, der die Priorisierung leitet:

• Kritisches Risiko (Score 16-25): Hohe Wahrscheinlichkeit und hohe Konsequenz. Erfordert sofortige Abhilfe durch Migration zu in der Schweiz ansässigen Anbietern, Implementierung kundenseitig verwalteter Verschlüsselung oder Entfernung sensibler Daten aus Anbietersystemen.
• Hohes Risiko (Score 11-15): Mittlere bis hohe Wahrscheinlichkeit oder Konsequenz. Implementierung kompensierender Kontrollen innerhalb von 3-6 Monaten. Risikoakzeptanz dokumentieren, wenn eine Migration nicht praktikabel ist.
• Mittleres Risiko (Score 6-10): Mittlere Wahrscheinlichkeit und Konsequenz. Engmaschig überwachen und Kontrollen nach verfügbaren Ressourcen implementieren.
• Niedriges Risiko (Score 1-5): Geringe Wahrscheinlichkeit und Konsequenz. Risiko mit Dokumentation akzeptieren. Im Rahmen normaler Anbieterzyklen überprüfen.

Technische Kontrollen zur Reduzierung des CLOUD-Act-Risikos

Technische Architektur kann den Umfang und den Wert erzwungener Offenlegungen wesentlich reduzieren, selbst wenn Schweizer Institute US-amerikanische Anbieter nicht vollständig vermeiden können. Durchgängige Verschlüsselung mit in der Schweiz ansässigem Schlüsselmanagement stellt sicher, dass selbst wenn ein Anbieter einem rechtmäßigen Durchsuchungsbefehl nachkommen muss, die Daten ohne die entsprechenden Entschlüsselungsschlüssel nicht lesbar sind. Wenn Schlüssel ausschließlich vom Schweizer Institut oder einem Schweizer Anbieter ohne US-amerikanische Muttergesellschaft verwaltet werden, liefert eine erzwungene Offenlegung nur verschlüsselte Chiffretexte ohne praktischen Nachrichtenwert.

Kundenseitig verwaltete Verschlüsselungsarchitektur

Bring-Your-Own-Key (BYOK): Das Schweizer Institut generiert Verschlüsselungsschlüssel mit in der Schweiz ansässigen HSMs und stellt diese dem Cloud-Anbieter für Verschlüsselungsoperationen zur Verfügung. Obwohl dieser Ansatz die Sicherheit gegenüber anbieterverwaltetem Schlüssel verbessert, besitzt der Anbieter die Schlüssel während der Verschlüsselungsoperationen dennoch im Arbeitsspeicher, was potenzielle Risiken schafft.

Hold-Your-Own-Key (HYOK): Das Schweizer Institut behält die ausschließliche Kontrolle über Verschlüsselungsschlüssel. Schlüssel verlassen die in der Schweiz ansässigen HSMs niemals. Der Cloud-Anbieter muss für jede Verschlüsselungs- und Entschlüsselungsoperation auf die Schlüsselverwaltungsinfrastruktur des Instituts zurückgreifen. Diese Architektur bietet stärkeren Schutz, da der Anbieter Schlüssel niemals besitzt – auch nicht vorübergehend.

Durchgängige Verschlüsselung: Daten werden auf Client-Geräten verschlüsselt, bevor sie an Cloud-Dienste übertragen werden. Nur der vorgesehene Empfänger besitzt Entschlüsselungsschlüssel. Der Cloud-Anbieter transportiert und speichert verschlüsselte Chiffretexte, kann Inhalte aber nicht entschlüsseln. Dieser Ansatz bietet maximalen Schutz, kann jedoch Such-, Indizierungs- und Kollaborationsfunktionen einschränken.

Zero-Trust-Architektur

Zero-Trust-Architektur begrenzt den Umfang des Anbieterzugriffs auf das für die Leistungserbringung erforderliche Minimum. Anstatt Anbietern breiten Zugriff auf gesamte Umgebungen zu gewähren, können Institute folgende Maßnahmen implementieren:

• Just-in-Time-Zugriffsbereitstellung: Administrativer Zugriff wird nur bei Bedarf für spezifische Wartungs- oder Supportaufgaben gewährt und nach Aufgabenabschluss automatisch entzogen.
• Rollenbasierte Berechtigungen: Zugriffsrechte sind an spezifische Aufgaben statt an breite administrative Rollen gebunden.
• Obligatorische Genehmigungsworkflows: Administrative Operationen, die auf sensible Daten zugreifen könnten, erfordern die Genehmigung von Schweizer Compliance- oder Sicherheitsmitarbeitern.
• Kontinuierliche Verifikation: Anstelle von perimeterbasierter Sicherheit erfordert Zero-Trust-Architektur Authentifizierung und Autorisierung für jede Zugriffsanfrage und überwacht Verhaltensmuster, um anomale Aktivitäten zu erkennen.

Inhaltsbewusste Zugriffskontrollen

Inhaltsbewusste Zugriffskontrollen analysieren die Sensibilität einzelner Dateien, Nachrichten und Datenbankeinträge, bevor sie den Zugriff oder die Übertragung erlauben. Data-Loss-Prevention-Technologien (DLP) klassifizieren Inhalte anhand von Mustern, Schlüsselwörtern, regulatorischen Kennungen und kontextuellen Signalen.

Institute können Richtlinien implementieren, die automatisch:

• Die Übertragung durch das Bankgeheimnis geschützter Informationen an US-amerikanische Systeme blockieren
• Die Übertragung weniger sensibler operativer Daten zur Funktionsoptimierung erlauben
• Eine manuelle Genehmigung für die Übertragung mäßig sensibler Daten erfordern
• Alarme auslösen, wenn Benutzer unbefugte Übertragungen versuchen

Datenspeicherortdurchsetzung

Die Durchsetzung des Datenspeicherorts erfordert eine kontinuierliche Überwachung anstelle einer Konfiguration zu einem bestimmten Zeitpunkt. Institute müssen automatisierte Kontrollen implementieren, die:

• Den Datenspeicherort in Echtzeit mit Geolokalisierungs-APIs und Metadatenprüfung verifizieren
• Unbefugte grenzüberschreitende Übertragungen an Netzwerkgrenzen blockieren
• Security-Teams benachrichtigen, wenn Daten aus erlaubten Jurisdiktionen herausbewegt werden
• Prüfaufzeichnungen erstellen, die den Datenspeicherort während des gesamten Lebenszyklus dokumentieren

Hardware-Sicherheitsmodule

Hardware-Sicherheitsmodule (HSMs) bieten manipulationssicheren Schlüsselspeicher und kryptografische Operationen. Wenn sie in Schweizer Rechenzentren eingesetzt und von Schweizer Personal betrieben werden, schaffen HSMs eine technische und rechtliche Barriere, die US-amerikanischen Anbietern den Zugriff auf Verschlüsselungsschlüssel verwehrt – selbst wenn diese einen rechtmäßigen Durchsuchungsbefehl erhalten.

HSM-Implementierungen sollten umfassen:

• Physische Sicherheitskontrollen, die unbefugten Zugriff auf HSM-Hardware verhindern
• Vier-Augen-Prinzip für sensible Operationen
• Prüfprotokolle, die jede Schlüsselgenerierung, -speicherung und kryptografische Operation dokumentieren
• Backup- und Notfallwiederherstellungsverfahren, die Schlüssel innerhalb der Schweizer Jurisdiktion halten

Vertragliche und rechtliche Schutzmaßnahmen

Vertragliche Formulierungen können einen Anbieter nicht daran hindern, einem rechtmäßigen Durchsuchungsbefehl nachzukommen, können jedoch Benachrichtigungsanforderungen festlegen, den erlaubten Offenlegungsumfang definieren und Rechtsbehelfe bei unbefugten Übertragungen schaffen. Dienstleistungsvereinbarungen sollten das CLOUD-Act-Risiko explizit adressieren, Anbieter zur Benachrichtigung des Schweizer Instituts über Datenanfragen verpflichten, wenn dies rechtlich zulässig ist, und Anbieter zur Anfechtung übermäßig breiter Anfragen durch geeignete rechtliche Kanäle verpflichten.

Wesentliche Vertragsbestimmungen

Benachrichtigungsanforderungen: Der Anbieter soll den Kunden innerhalb von 24 Stunden nach Erhalt einer staatlichen Datenanfrage benachrichtigen, sofern dies nicht gesetzlich untersagt ist. Die Benachrichtigung soll die anfragende Behörde, die Rechtsgrundlage für die Anfrage, den Umfang der angeforderten Daten und die Frist für die Einhaltung enthalten. Der Anbieter soll bei der anfragenden Behörde die Genehmigung beantragen, den Kunden zu benachrichtigen, wenn Nichtoffenlegungsanordnungen gelten.

Verpflichtung zur Anfechtung übermäßig breiter Anfragen: Der Anbieter soll alle verfügbaren Rechtsmittel gegen staatliche Datenanfragen geltend machen, die übermäßig breit sind, keine ordnungsgemäße Rechtsgrundlage haben oder mit Schweizer Recht in Konflikt stehen. Der Anbieter soll den Offenlegungsumfang auf das erforderliche Minimum beschränken und rechtliche Rechtsbehelfe einschließlich eines Antrags auf Aufhebung verfolgen, wenn dies angemessen ist.

Datenverarbeitungsverträge: Datenverarbeitungsverträge sollten Schweizer Recht als geltendes Recht vorsehen und Schweizer Gerichte als ausschließliche Jurisdiktion für Streitigkeiten benennen. Verträge sollten ausdrückliche Zusicherungen enthalten, dass der Anbieter Kundendaten nicht freiwillig offenlegen und alle verfügbaren Rechtsmittel gegen erzwungene Offenlegung geltend machen wird.

Prüfungsrechte: Der Kunde behält das Recht, die Datenschutzpraktiken, Sicherheitskontrollen und Verfahren zur Handhabung staatlicher Datenanfragen des Anbieters zu prüfen. Prüfungen können durch Kundenpersonal oder Drittprüfer durchgeführt werden. Der Anbieter soll vollständige Kooperation und Dokumentation innerhalb von 30 Tagen nach der Prüfungsankündigung bereitstellen.

Rechtshilfeabkommen

Rechtshilfeabkommen (MLATs) etablieren diplomatische Verfahren für die grenzüberschreitende Beweiserhebung. Schweizer Finanzinstitute können verlangen, dass US-amerikanische Behörden MLAT-Verfahren anstelle direkter Durchsuchungsbefehle bei US-amerikanischen Anbietern nutzen.

Das Schweizer-US-amerikanische Rechtshilfeabkommen bietet einen formellen Mechanismus für Beweisanfragen, der umfasst:

• Diplomatische Kanäle über das Schweizer Bundesamt für Justiz
• Schweizer Gerichtsprüfung der Anfragen, bevor Daten offengelegt werden
• Die Möglichkeit für Schweizer Institute, benachrichtigt zu werden und übermäßig breite Anfragen anzufechten
• Größere Transparenz hinsichtlich Umfang und Zweck der Datenanfragen

Obwohl US-amerikanische Behörden nicht rechtlich verpflichtet sind, MLAT-Verfahren zu nutzen, wenn der CLOUD Act direkte Durchsuchungsbefehle erlaubt, kann diplomatisches Engagement manchmal zu engeren Anfragen oder ausgehandelten Offenlegungsparametern führen, die den Schaden für die Kundenvertraulichkeit begrenzen.

Transparenz- und Kundenbenachrichtigungsverpflichtungen

Anbieterverpflichtungen zu Transparenz und Kundenbenachrichtigung bieten eine frühzeitige Warnung vor potenziellen erzwungenen Offenlegungen. Wenn Anbieter sich verpflichten, Kunden innerhalb eines bestimmten Zeitrahmens über staatliche Datenanfragen zu benachrichtigen, sofern dies gesetzlich nicht verboten ist, erhalten Institute die Möglichkeit, einzugreifen oder technische Maßnahmen zu ergreifen, um das Risiko zu begrenzen.

Institute sollten vertragliche Bestimmungen aushandeln, die Anbieter verpflichten:

• Transparenzberichte zu veröffentlichen, die Anzahl, Art und Jurisdiktion staatlicher Datenanfragen detaillieren
• Kunden zu benachrichtigen, wenn dies rechtlich zulässig ist, bevor Datenanfragen nachgekommen wird
• Kunden Kopien rechtlicher Vorgänge zur Verfügung zu stellen, wenn keine Nichtoffenlegungsanordnungen gelten
• Den ungefähren Umfang der in Reaktion auf Anfragen bereitgestellten Daten offenzulegen

Aufbau eines verteidigungsfähigen Compliance-Programms

Ein verteidigungsfähiges Compliance-Programm belegt, dass das Institut das CLOUD-Act-Risiko identifiziert, die damit verbundenen Risiken bewertet, angemessene Schutzmaßnahmen implementiert und kontinuierlich auf Änderungen überwacht hat, die die Anfälligkeit erhöhen könnten. Diese Dokumentation wird essenziell bei der Beantwortung von Kundenanfragen, FINMA-Prüfungen oder rechtlichen Streitigkeiten über mutmaßliche unbefugte Offenlegungen.

Umfassendes Anbieterinventar

Das Programm sollte mit einem umfassenden Inventar der Drittanbieterbeziehungen beginnen, das folgendes umfasst:

• Jurisdiktion der Muttergesellschaft und wirtschaftliches Eigentum
• Datenspeicherorte und Rechenzentrumsgeografie
• Geografischer Standort des administrativen Zugriffs und Personalstandorte
• Verschlüsselungsarchitektur und Schlüsselmanagementansatz
• Historisches Volumen staatlicher Datenanfragen und Reaktionspraktiken des Anbieters
• Risikoscore auf Basis von Wahrscheinlichkeits- und Konsequenzfaktoren

Dieses Inventar muss als lebendes Dokument gepflegt werden, das Änderungen in Anbieterbeziehungen und Unternehmenseigentum widerspiegelt.

Risikobewertungsmethodik

Die Risikobewertung sollte sowohl Wahrscheinlichkeit als auch Konsequenz mithilfe des zuvor beschriebenen Rahmens quantifizieren. Dokumentieren Sie die spezifisch berücksichtigten Faktoren, die konsultierten Datenquellen und die angewandte Bewertungsmethodik.

Für Hochrisikoanbieter sollte dokumentiert werden:

• Warum die Anbieterbeziehung notwendig ist und welche Alternativen in Betracht gezogen wurden
• Welche kompensierenden Kontrollen zur Risikominderung implementiert wurden
• Welche Zeitplanung für die Migration zu risikoärmeren Alternativen besteht
• Welche Bedingungen eine sofortige Migration oder Vertragskündigung auslösen würden

Unveränderliche Prüfpfade

Unveränderliche Prüfpfade dokumentieren Datenspeicherort, Zugriffsmuster, Verschlüsselungsstatus und grenzüberschreitende Übertragungsaktivitäten. Diese Protokolle liefern die Beweisgrundlage für den Nachweis der Einhaltung Schweizer Datenschutzanforderungen und die Reaktion auf regulatorische Anfragen.

Prüfpfade müssen erfassen:

• Erfolgreiche und abgelehnte Zugriffsversuche
• Berechtigungsänderungen und Rollenzuweisungen
• Generierung, Speicherung, Nutzung und Rotation von Verschlüsselungsschlüsseln
• Administrative Aktivitäten, die den Anbieterzugriffsumfang erweitern könnten
• Grenzüberschreitende Datenübertragungen und Datenspeicherortverifizierung
• Sicherheitsvorfälle und Incident-Response-Aktivitäten

Prüfprotokolle sollten in einem manipulationssicheren System separat von der operativen Infrastruktur gespeichert werden, mit Write-once-Read-many-Speicher, kryptografischem Hashing, Drittanbieter-Zeitstempeln und geografischer Trennung von operativen Systemen.

Regelmäßige Compliance-Berichterstattung

Regelmäßige Compliance-Berichte sollten Prüfdaten zu Risikokennzahlen zusammenfassen, die Führungskräften ermöglichen, Risikoentwicklungen zu verfolgen und die Kontrollwirksamkeit zu bewerten. Berichte sollten umfassen:

• Gesamtzahl der Anbieter mit US-amerikanischen Muttergesellschaften
• Volumen und Sensibilität der Daten, auf die Hochrisikoanbieter zugreifen können
• Anzahl der Kundendatensätze, die möglicherweise dem CLOUD-Act-Risiko ausgesetzt sind
• Verschlüsselungsabdeckungsrate für Daten bei der Übertragung und im Ruhezustand
• Adoptionsrate kundenseitig verwalteter Verschlüsselung
• Erkennungs- und Behebungskennzahlen für Schatten-IT
• Anbieterbenachrichtigungsereignisse und Reaktionsmaßnahmen des Instituts

Migrationsstrategie für bestehende US-amerikanische Anbieterbeziehungen

Schweizer Finanzinstitute mit umfangreichen US-amerikanischen Anbieterbeziehungen können das CLOUD-Act-Risiko nicht über Nacht eliminieren. Eine phasenweise Migrationsstrategie balanciert Risikominderung mit operativer Kontinuität und Ressourcenbeschränkungen.

Phase 1: Inventar und Risikobewertung (1-2 Monate)

Führen Sie ein umfassendes Inventar aller Drittanbieterbeziehungen durch, die Datenverarbeitung, -speicherung oder -übertragung beinhalten. Für jeden Anbieter: Jurisdiktion der Muttergesellschaft identifizieren, Datenflüsse und Speicherorte kartieren, Volumen und Sensibilität der exponierten Daten bewerten, Risikoscore berechnen und Anbieter für Abhilfemaßnahmen priorisieren.

Ergebnisse: Vollständiges Anbieterinventar, Risikobewertungsdokumentation, priorisierte Abhilfemaßnahmen-Roadmap.

Phase 2: Implementierung kundenseitig verwalteter Verschlüsselung für Hochrisikosysteme (2-3 Monate)

Für Hochrisikoanbieter, bei denen eine sofortige Migration nicht praktikabel ist, implementieren Sie kundenseitig verwaltete Verschlüsselung mit in der Schweiz ansässigem Schlüsselmanagement. Konzentrieren Sie sich auf: E-Mail-Systeme mit Kundenkommunikation, File-Sharing-Plattformen mit durch das Bankgeheimnis geschützten Dokumenten, Kundenbeziehungsmanagement-Systeme mit Kundendaten und Collaboration-Plattformen für sensible Diskussionen.

Ergebnisse: Hold-Your-Own-Key-Architektur für Hochrisikosysteme implementiert, Verschlüsselungsschlüsselverwaltungsverfahren, Schlüsselverwahrungsdokumentation.

Phase 3: Migration sensibler Daten zu in der Schweiz ansässigen Plattformen (3-6 Monate)

Migrieren Sie sensible Daten von US-amerikanischen Anbietern zu in der Schweiz ansässigen Alternativen ohne US-amerikanische Muttergesellschaft. Priorisieren Sie: Kundenkommunikationsplattformen, Dokumentenspeicher- und File-Sharing-Systeme, Transaktionsverarbeitungs- und Kernbankensysteme sowie Datenanalyseplattformen mit Zugriff auf Kundeninformationen.

Ergebnisse: Migrationsprojektpläne, Datenübertragungsdokumentation, Validierungstests, Umstellungsverfahren, Rollback-Pläne.

Phase 4: Kontinuierliches Monitoring und Compliance-Validierung (fortlaufend)

Implementieren Sie kontinuierliches Monitoring zur Erkennung von: neuen Anbieterbeziehungen mit CLOUD-Act-Risiko, Änderungen in Anbietereigentum oder Unternehmensstruktur, Schatten-IT, die genehmigte Plattformen umgeht, Konfigurationsänderungen, die Daten grenzüberschreitend verschieben, sowie Verschlüsselungsschlüsseloperationen und Verwahrungsänderungen.

Ergebnisse: Kontinuierliche Monitoring-Dashboards, quartalsweise Compliance-Berichte, jährliche Risikoneubewertung, FINMA-Berichtsdokumentation.

Kundenkommunikation und Transparenz

Schweizer Finanzinstitute vermarkten Diskretion und Vertraulichkeit als Kernwertversprechen. Kunden wählen Schweizer Banken speziell wegen des starken Bankgeheimnisschutzes. Das CLOUD-Act-Risiko steht in direktem Widerspruch zu diesen Verpflichtungen und erfordert eine sorgfältige Kundenkommunikation.

Was Kunden wissen müssen

Kunden sollten verstehen:

• Dass US-amerikanische Technologieanbieter potenzielle Zugangspfade für US-amerikanische Behörden schaffen
• Welche spezifischen Systeme und Datentypen möglicherweise dem CLOUD-Act-Risiko ausgesetzt sind
• Welche technischen Schutzmaßnahmen das Institut implementiert hat, um ihre Daten zu schützen
• Welche Benachrichtigungsverfahren bestehen, wenn das Institut von einer erzwungenen Offenlegung erfährt
• Wie Kunden in der Schweiz ansässige Alternativen wählen können, wenn sie maximalen Schutz bevorzugen

Technische Schutzmaßnahmen in kundenfreundlicher Sprache erläutern

Vermeiden Sie Fachjargon in der Kundenkommunikation. Anstatt von "Hold-Your-Own-Key-Architektur mit in der Schweiz ansässigen HSMs" zu sprechen, erklären Sie: "Wir behalten die ausschließliche Kontrolle über Verschlüsselungsschlüssel in der Schweiz. Selbst wenn ein Technologieanbieter eine rechtliche Anfrage erhalten würde, könnten sie nur verschlüsselte Daten bereitstellen, die sie nicht lesen können."

Konzentrieren Sie sich auf Ergebnisse statt auf Mechanismen: "Ihre Kommunikation mit unseren Vermögensberatern ist durch das Schweizer Bankgeheimnis und Verschlüsselungstechnologie geschützt, die unbefugten Zugriff verhindert – auch durch Unternehmen, die unsere Technologieinfrastruktur bereitstellen."

Vertragliche Offenlegungen und Einwilligungsanforderungen

Das DSG verpflichtet Institute, Kunden über grenzüberschreitende Datenübermittlungen zu informieren und gegebenenfalls eine Einwilligung einzuholen. Dienstleistungsvereinbarungen sollten folgendes enthalten:

"Die Bank nutzt bestimmte Technologiedienste von Unternehmen, die ausländischer Jurisdiktion unterliegen, einschließlich US-amerikanischer Jurisdiktion. Obwohl wir technische und vertragliche Schutzmaßnahmen zum Schutz Ihrer Daten implementieren, können diese Anbieter rechtlichen Verpflichtungen zur Offenlegung von Daten gegenüber ausländischen Behörden unterliegen. Wir unterhalten Verschlüsselungs- und Zugriffskontrollen, die unbefugten Zugriff auf Ihre Informationen verhindern sollen."

Für vermögende oder datenschutzsensible Kunden sollten erweiterte Datenschutzoptionen angeboten werden: dedizierte in der Schweiz ansässige Kommunikationskanäle, Opt-out-Optionen für US-amerikanische Plattformen und papierbasierte Kommunikationsalternativen.

Wettbewerbsvorteil durch in der Schweiz ansässige Infrastruktur

Institute, die erfolgreich zu in der Schweiz ansässigen Alternativen migrieren, können diese Fähigkeit als Wettbewerbsdifferenzierungsmerkmal vermarkten:

• "Alle Kundendaten werden ausschließlich in Schweizer Rechenzentren unter Schweizer Jurisdiktion gespeichert"
• "Verschlüsselungsschlüssel werden ausschließlich in der Schweiz verwaltet, ohne ausländischen Zugriff"
• "Technologieinfrastruktur, die Ihre Privatsphäre vor extraterritorialem rechtlichem Risiko schützt"
• "Bankgeheimnis geschützt durch Schweizer Recht und Schweizer Technologieinfrastruktur"

Schutz sensibler Daten bei der Übertragung unter Einhaltung Schweizer Rechtsanforderungen

Schweizer Finanzinstitute können das CLOUD-Act-Risiko nicht vollständig eliminieren, ohne Cloud-Infrastruktur und digitale Collaboration-Tools aufzugeben. Die praktische Lösung ist die Implementierung architektonischer Kontrollen, die das Risiko auf ein akzeptables Niveau reduzieren und dabei die operative Flexibilität erhalten. Dies erfordert einen Plattformansatz, der sensible Daten während ihres gesamten Lebenszyklus sichert, Zero-Trust- und inhaltsbewusste Zugriffsrichtlinien durchsetzt, unveränderliche Prüfpfade für regulatorische Verteidigungsfähigkeit generiert und sich in bestehende Security-Operations-Workflows integriert.

Schweizer Finanzinstitute können DRACOON on-premises in Schweizer Rechenzentren oder über in der Schweiz ansässige private Cloud-Infrastruktur einsetzen und so sicherstellen, dass Daten unter ausschließlicher Schweizer Rechtsjurisdiktion verbleiben. Dieses Bereitstellungsmodell eliminiert den Zugriff von Unternehmen mit US-amerikanischer Muttergesellschaft auf Verschlüsselungsschlüssel, administrative Funktionen und Kundendaten und entfernt damit das CLOUD-Act-Risiko effektiv – während sichere E-Mail, File-Sharing, Managed File Transfer, Webformulare und Programmierschnittstellen über eine einheitliche Plattform bereitgestellt werden.

Bei einer Bereitstellung auf Schweizer Infrastruktur durchqueren sensible Kundenkommunikationen, Transaktionsdateien, Research-Berichte und regulatorische Meldungen niemals Systeme, die der US-amerikanischen Rechtsjurisdiktion unterliegen.

Inhaltsbewusste Zugriffskontrollen klassifizieren Daten automatisch anhand ihrer Sensibilität, wenden der Klassifizierungsstufe angemessene Verschlüsselung und Zugriffsbeschränkungen an und setzen Datenspeicherortanforderungen durch – ohne Benutzereingriff. Zero-Trust-Architektur erfordert eine kontinuierliche Verifikation anstelle perimeterbasierter Zugriffsannahmen. Die Plattform authentifiziert jede Zugriffsanfrage, bewertet den Gerätezustand, wertet das Benutzerverhalten anhand von Baseline-Mustern aus und setzt Least-Privilege-Berechtigungen durch, die den Zugriff auf das für jede Transaktion erforderliche Minimum beschränken.

Unveränderliche Prüfpfade dokumentieren jede Übertragung, jedes Zugriffsereignis, jede Berechtigungsänderung und jede administrative Operation mit kryptografischem Echtheitsbeweis. Diese Protokolle umfassen Sender- und Empfängeridentität, Inhaltsklassifizierung, Verschlüsselungsstatus, geografischen Standort, Zugriffsmethode und Geschäftskontext. Der Prüfpfad liefert die Beweisgrundlage für FINMA-Prüfungen, Kundenanfragen und Incident-Response-Aktivitäten.

Die Integration mit SIEM-Plattformen, SOAR-Tools und ITSM-Systemen ermöglicht es Schweizer Instituten, Prüfdaten in zentralisierte Security-Operations-Workflows einzubeziehen. Wenn ungewöhnliche Übertragungsmuster auftreten oder wenn Inhaltsklassifizierungsregeln sensible Daten erkennen, die sich in Richtung nicht autorisierter Ziele bewegen, fließen Alarme direkt in bestehende Incident-Response-Verfahren.

Testen Sie DRACOON 14 Tage lang kostenlos oder kontaktieren Sie uns fuer ein unverbindliches Beratungsgespraech.

Häufig gestellte Fragen

Eliminiert die Speicherung von Daten in Schweizer Rechenzentren das CLOUD-Act-Risiko bei der Nutzung US-amerikanischer Cloud-Anbieter?

Nein. Der Datenspeicherort allein bietet unzureichenden Schutz, da der CLOUD Act auf Basis der Jurisdiktion des Dienstleisters und nicht des Datenspeicherorts gilt. Ein US-amerikanisches Unternehmen, das Schweizer Rechenzentren betreibt, unterliegt weiterhin US-amerikanischen Durchsuchungsbefehlen, die die Offenlegung von Daten weltweit erzwingen können. Effektiver Schutz erfordert in der Schweiz ansässige Anbieter ohne US-amerikanische Muttergesellschaft in Kombination mit kundenseitig kontrollierter Verschlüsselung.

Können vertragliche Bestimmungen Anbieter daran hindern, CLOUD-Act-Durchsuchungsbefehlen nachzukommen?

Vertragliche Formulierungen können gesetzliche Verpflichtungen nicht außer Kraft setzen. Wenn ein US-amerikanischer Anbieter einen rechtmäßigen Durchsuchungsbefehl erhält, muss er diesem unabhängig von vertraglichen Verpflichtungen gegenüber dem Schweizer Kunden nachkommen. Verträge können Benachrichtigungsanforderungen festlegen, Anbieter zur Anfechtung übermäßig breiter Anfragen verpflichten und Rechtsbehelfe für unbefugte Offenlegung schaffen – sie können jedoch die Einhaltung gültiger rechtlicher Verfahren nicht verhindern.

Wie sollten Schweizer Institute mit bestehenden US-amerikanischen Anbieterbeziehungen umgehen, die ein CLOUD-Act-Risiko schaffen?

Institute sollten Risikobewertungen durchführen, die das Risiko anhand der Datensensibilität, des Zugriffsumfangs und der Anbieterjurisdiktion quantifizieren. Für Hochrisikobeziehungen sollten sie kundenseitig verwaltete Verschlüsselung mit in der Schweiz ansässigem Schlüsselmanagement implementieren, sensible Daten auf in der Schweiz ansässige Plattformen beschränken oder zu Anbietern ohne US-amerikanische Muttergesellschaft migrieren. Risikoakzeptanzentscheidungen dokumentieren und kompensierende Kontrollen implementieren, wo eine Migration nicht praktikabel ist.

Welcher Verschlüsselungsansatz bietet wirksamen Schutz vor erzwungener Offenlegung nach dem CLOUD Act?

Durchgängige Verschlüsselung mit kundenseitig kontrolliertem Schlüsselmanagement, bei dem Verschlüsselungsschlüssel in Schweizer Hardware-Sicherheitsmodulen gespeichert sind, die von in der Schweiz eingetragenen Einheiten ohne US-amerikanische Muttergesellschaft betrieben werden. Dies stellt sicher, dass eine erzwungene Offenlegung nur verschlüsselte Chiffretexte ohne entsprechende Entschlüsselungsschlüssel liefert. Anbieterseitig verwaltete Verschlüsselung bietet minimalen Schutz, da Durchsuchungsbefehle die Offenlegung sowohl der Daten als auch der Schlüssel erzwingen können.

Sind Schweizer Finanzinstitute rechtlich verpflichtet, Kunden zu benachrichtigen, wenn ihre Daten nach dem CLOUD Act offengelegt werden könnten?

Das Schweizer Bankgeheimnis und Datenschutzrecht schreiben Benachrichtigungs- und Einwilligungspflichten vor, wenn Kundendaten offengelegt oder grenzüberschreitend übermittelt werden. Wenn ein Institut erfährt, dass Kundendaten durch eine erzwungene Offenlegung eines Anbieters an US-amerikanische Behörden weitergegeben wurden, muss es prüfen, ob Schweizer Benachrichtigungsanforderungen gelten. Proaktives Anbieter-Monitoring und vertragliche Benachrichtigungsanforderungen ermöglichen es Instituten, von Offenlegungen zu erfahren und Schweizer Rechtspflichten zu erfüllen.

Wie interagiert der CLOUD Act mit dem Schweizer-US-amerikanischen Rechtshilfeabkommen?

Der CLOUD Act operiert unabhängig von Rechtshilfeabkommen (MLATs) und verpflichtet US-amerikanische Behörden nicht zur Nutzung diplomatischer Kanäle. Obwohl die Schweiz und die USA ein Rechtshilfeabkommen haben, das Verfahren für die Beweiserhebung etabliert, erlaubt der CLOUD Act US-amerikanischen Behörden, diese Verfahren zu umgehen, indem sie Durchsuchungsbefehle direkt bei US-amerikanischen Unternehmen einreichen. Schweizer Institute können verlangen, dass US-amerikanische Behörden MLAT-Verfahren nutzen, jedoch besteht dafür keine rechtliche Verpflichtung. Der CLOUD Act enthält auch Bestimmungen für Exekutivvereinbarungen, die grenzüberschreitende Datenanfragen erleichtern könnten, jedoch besteht derzeit keine solche Vereinbarung zwischen der Schweiz und den USA.