Warum sich eine Schweizer Cloud für Schweizer Unternehmen lohnt

Die Idee einer "Swiss Cloud" ist nicht neu. Schon 2013 bis 2015 zielte der Bund auf die Minimierung der Abhängigkeit von den grossen Public-Cloud-Anbietern. Er untersuchte die Entwicklung einer eigenständigen öffentlich-rechtlichen cloudtechnischen Infrastruktur, um die Datenhaltung in der Schweiz zu ermöglichen. Die grösste Herausforderung dabei: Der Aufwand für den Aufbau einer solchen Infrastruktur ist immens. Stattdessen kamen die Anstrengungen zur Entwicklung eines nationalen Zertifizierungssystems für Cloud-Lösungen in Gang, um die Datenschutzkonformität zu bewähren und eine sichere Datenhaltung zu ermöglichen.

"Swiss Cloud" und Digitalisierung

Die Cloud ist heute (fast) in allen Unternehmen angekommen. Hierfür gibt es verschiedene Gründe: Die Digitalisierung ist auf dem Vormarsch und verlangt hohe Agilität, Flexibilität und Skalierbarkeit seitens der IT; die Entwicklung von Ökosystemen und Kooperationen über mehrere Unternehmen hinweg macht einen sicheren und vereinfachten Datenaustausch zu einem Muss; die verfügbare Datenmenge wächst (auch dank IoT) und künstliche Intelligenz wird immer breiter genutzt und stärkt die Konkurrenzfähigkeit eines Unternehmens; der Cloud-Markt wächst und die Dominanz der Hyperscaler ist deutlich: globale Präsenz, eine Vielfalt von Cloud-Services, basierend auf enormem Fachwissen und Innovationen.

Das Thema "Swiss Cloud" bleibt auch weiterhin prominent auf der Agenda zur digitalen Transformation und ICT-Lenkung (DTI) des Bundes, dem Nachfolger des Informatiksteuerungsorgans (ISB).

"Swiss Cloud" und die Einhaltung rechtlicher Rahmenbedingungen

Eine Swiss-Cloud-Lösung würde es erleichtern, rechtliche Rahmenbedingungen einzuhalten. Diese hängen nicht nur vom Speicherort ab, also vom Standort des Servers, sondern auch davon, ob Daten aus dem Ausland vom SaaS-Anbieter abgegriffen werden können. Hier liegt der Vorteil einer Swiss Cloud darin, dass ein Schweizer IaaS-Anbieter, die Vorgaben des Schweizer Datenschutzgesetzes erfüllen muss. Darüber hinaus muss er unter Umständen auch die Europäische Datenschutz-Grundverordnung (DSGVO) erfüllen, wenn Waren und Dienstleistungen an im Ausland betroffene Personen erbracht werden.

Werden ausländische SaaS-Dienste bei Schweizer IaaS-Anbietern gehostet, so könnte Compliance erreicht werden, indem sich der Schweizer IaaS-Anbieter verpflichtet, sicherzustellen, dass keine Daten an den ausländischen SaaS-Anbieter gelangen, ausser den zuvor – oftmals lizenztechnisch notwendigen – vereinbarten Informationen. Zudem müsste er sich verpflichten, jeglichen Datenabfluss ausserhalb der vereinbarten Information zu überwachen und gegebenenfalls einzugreifen. Somit ist es dem ausländischen SaaS-Anbieter nicht nur rechtlich, sondern auch technisch nicht mehr möglich, Daten aus der Schweiz abzugreifen. Damit kann sowohl Compliance als auch Resilienz und grösstmögliche Unabhängigkeit von ausländischen Anbietern erzielt werden.

Diese beiden Aspekte der Compliance und Resilienz sind insbesondere für Berufsgeheimnisträger, wie Rechtsanwälte, Ärzte, Banken usw. von Relevanz. Sie machen sich im Falle eines Datentransfers strafbar, wenn es dadurch zur Offenbarung von dem Berufsgeheimnis unterstehenden Tatsachen kommt. Derzeit kann nur durch Datensegregation, Verschlüsselung mit Bring your own Key, dem erwähnten Set-up oder der Einwilligung von Betroffenen im Sinne von Art. 321 Abs. 2 StGB Compliance hergestellt werden.