Wenn der Cloud-Anbieter pleite geht

Das Europainstitut der Universität Zürich hat zu einer neuen Ausgabe seiner Veranstaltungsreihe "ICT – Recht und Praxis" eingeladen. Am 18. September stand das Thema: "ICT-Outsourcing 2.0: Neue Möglichkeiten der Virtualisierung – Neue Regelungspunkte" auf der Agenda.

Die Veranstaltung eröffneten Rolf Auf der Maur, Rechtsanwalt und Partner bei Vischer, und Peter Neuenschwander, Rechtsanwalt und Partner bei Suffert Neuenschwander und Partner. ICT-Outsourcing 2.0 verstanden sie als die nächste Stufe des Outsourcings. Durch die nächste Generation des Internets können immer mehr Bereiche und auch kleinere Kunden Outsourcing-Dienste in Anspruch nehmen. Der Motor hinter allem sei dabei die Virtualisierung. Neben den Vorteilen wie höhere Effizienz und Kostensenkungen berge das Outsourcing auch erhebliche Risiken. Diese unter dem juristischen Gesichtspunkt zu beleuchten, war das Ziel der Veranstaltung. Mehrheitlich waren daher Rechtsanwälte und ICT-Entscheider aus dem Rechtsbereich anwesend.

Die neuesten ICT-Trends

Zunächst gab Peter Moser, Head of Technical Product Management, Senior Solution Architect – Large Accounts bei Swisscom, einen Einblick in die fünf Megatrends: Big Data, Social, Mobile, Security und Cloud.

Alle Trends werden zunehmend durch Software vorangetrieben. Software-Defined Networking etwa ermöglicht eine höhere Auslastung in Rechenzentren. Dabei werden Workloads und Daten nicht nur zwischen Servern, sondern sogar über Rechenzentren hinweg verteilt. Besonders bei grossen Anbietern geschieht dies auch über Ländergrenzen hinweg. Dies alles passiert unbemerkt vom Dateninhaber. Daher kann nicht mehr gesagt werden, wann und wo welche Daten liegen, wie Moser erklärte.

Besondere Anforderungen an Banken

Lukas Morscher, Rechtsanwalt und Partner bei Schellenberg Wittmer, eröffnete seinen Beitrag mit den Worten: "Das Bankgeheimnis ist tot, es lebe der 'Personen-Datenschutz'". Die alte Welt des Bankings gebe es nicht mehr. Onshore-Banking und Steuertransparenz seien die neue Realität. Der Kunde von heute sei mobil und wolle immer und überall Zugriff auf seine Bankkonten haben, beraten werden und handeln können, sagte Morscher.

Dies stelle viele Anforderungen an die Banken. Morscher sieht die Antwort in der digitalen Transformation der Banken. Für die Banken gebe es aber ein "regulatorisches Dilemma". Beispielsweise müsste bei jeder Aktion der Kunden eine Verbindung zu den rechtlich geschützten Kundendaten hergestellt werden. Hierbei Sicherheit und Anonymität bei gleichzeitiger Gewährleistung der gesetzlichen Vorschriften sicherzustellen, sei keine einfache Aufgabe.

Eine Rückkehr in die gute alte Welt sei aber keine Option, sagte Morscher weiter. Er plädierte daher für einen Paradigmenwechsel in der Finanzbranche. Die ICT sieht er als einen Erfolgsfaktor für die Unternehmen. Wobei das Outsourcing inzwischen ein "must have" und nicht mehr "nice to have" sei.

Laut Morscher spielt die Eidgenössische Finanzmarktaufsicht (Finma) hier eine gute Rolle. Sie mache keine expliziten Vorschriften, sondern gebe einen groben regulatorischen Rahmen vor. Morscher bezog sich dabei auf den Anhang 3 des Rundschreibens 2008/7 Outsourcing Banken. Wichtig sei der Finma allein, dass die Sicherheitsmechanismen "State of the Art" seien. Wie dies gewährleistet werde, sei der Finma nicht wichtig. Einzig die Schlüssel und Konkordanztabellen müssten lokal in der Schweiz liegen. Daher könnten die anderen Daten an sich überall liegen, denn ohne die Schlüssel könnten sie nicht verwendet werden. Bei Inter-Group-Outsourcing seien die Vorschriften sogar noch lockerer. Insgesamt zeigte sich Morscher mit diesem pragmatischen Ansatz der Finma zufrieden.

Sein Fazit war, dass Cloud und virtuelle Systeme mit den Schweizer Regulierungen in Einklang gebracht werden könnten. Hierfür sei aber zunächst eine gründliche Analyse nötig, die auch die Kundenbedürfnisse berücksichtige. Auf ein Cloud-Sourcing von persönlichen Daten sollte möglichst verzichtet werden, soweit dies nicht vom Kunden gewollt sei. Wichtig sei zudem, dass es eine Exit-Strategie gebe und immer ein Back-up vorbehalten werde.

Was passiert bei der Insolvenz eines Anbieters

Mit dem Ende der Outsourcing-Partnerschaft beschäftigt sich Mark Reutter, Rechtsanwalt und Partner bei Walder Wyss. In seiner Präsentation klärte er die Anwesenden über die Probleme auf, die eine Insolvenz oder Geschäftsaufgabe eines Rechenzentrumsanbieters mit sich bringt. Als Beispiel nannte er den US-Cloud-Anbieter Nirvanix. Dieser beantragte im September 2013 Gläubigerschutz. Daraufhin hatten die Kunden noch 15 Tage Zeit, um ihre Daten zu migrieren. Im Anschluss wurde die Frist noch einmal um 15 Tage verlängert, bevor die Daten gelöscht wurden, wie Reutter berichtete.

In der Schweiz sei der Konkurs eines Cloud-Anbieters noch problematischer. Das Insolvenzgesetz verlange, dass am ersten Tag der Insolvenz alle Geschäftsaktivitäten eingestellt und die Mitarbeiter entlassen werden. Daraufhin seien alle Daten der Kunden im Rechenzentrum gefangen und fielen zunächst in die Konkursmasse. Erst nach einer monatelangen Inventur könne ein Kollokations- und Aussonderungsverfahren eingeleitet werden. "Bis dahin ist jedes Business tot", brachte Reutter das Problem auf dem Punkt.

Zudem würden die Daten im RZ der Verwertung durch den Insolvenzverwalter unterliegen. Auch vertraglich könne dies für den Konkursfall nicht umgangen werden. Es gebe daher "mehr als erhebliche Unsicherheiten", sagte Reutter.

Wie es anders gehe, zeige Luxemburg. Dort habe der Kunde das Recht auf Herausgabe seiner Daten. Er müsse zwar die Kosten für die Separierung aufbringen, die Daten seien aber nicht verloren. Ein ähnliches Vorgehen wäre für Reutter auch in der Schweiz sinnvoll, insbesondere da verschiedene Konkursämter die rechtlichen Bestimmungen sehr unterschiedlich auslegen würden.

Als Lösung führte Reutter mehrere Punkte an. Zunächst sollte vertraglich sehr genau festgelegt werden, welche Daten konkret im Eigentum der Vertragsparteien seien. Auch solle der Standort sorgfältig gewählt werden, Luxemburg etwa könne in Betracht gezogen werden. Zudem sei es sinnvoll, die Daten zu separieren, um sie so schneller aus dem RZ herauszubekommen. Mit dem Nachteil von höheren Kosten komme auch eine Doppel-Provider-Strategie infrage, die für ein Back-up sorge. Allgemein sollte ein Lock-in vermieden und es sollten offene Strukturen gewählt werden.

Risikobereitschaft selbst einschätzen

In der anschliessenden Podiumsdiskussion wurde das Konkursthema heiss diskutiert. Insbesondere Moser von Swisscom ergänzte aus Sicht des Providers noch einige Punkte. Seiner Meinung nach sollten sich Unternehmen beim Outsourcing über den Grad ihrer Risikobereitschaft gewiss sein. Die grösste Sicherheit biete immer noch die private Cloud. Danach folge die eigene physische Infrastruktur in einem Colocation Center, darauf dann die Public Cloud und schliesslich globale Anbieter. In der Regel bestehe bei den grossen Anbietern ein höherer Grad an Sicherheit, sagte Moser.

Mehrheitlich brannte den Podiumsteilnehmer die Outsourcing-Problematik bei Banken unter den Nägeln. KMUs kamen kaum zur Sprache, obwohl diese zunehmend mit Outsourcing-Fragen konfrontiert sind. Diese etwas einseitige Diskussion mag der Zusammensetzung des Publikums und der Brisanz des Themas im Bankenbereich geschuldet gewesen sein.