Sven Kohlmeier und Christian Laux sind Anwälte, beide spezialisiert auf IT-Recht. Für inside-it.ch diskutieren sie regelmässig aktuelle Themen. Heute: Swiss Cloud.
Sven Kohlmeier: Ja, traut Euch. Das ist eine Zukunftsinvestition in Datensouveränität.
Sven Kohlmeier
"Daten sind das Gold des 21. Jahrhunderts" und ich möchte gerne die Entscheidungsmöglichkeit haben, ob meine beruflichen, privaten und dem Staat anvertrauten Daten bei einem Hyperscale-Cloud-Anbieter gespeichert werden oder nicht. Insbesondere zur Gewährleistung der Souveränität und der jederzeitigen Zugriffsmöglichkeiten seiner Daten sollte jeder Staat die vollständige Datenhoheit über seine Bürger- und Behörden-Daten behalten. Dabei geht es nicht um ohnedies öffentlich verfügbare Daten; wo diese gespeichert werden, ist letztendlich egal. Es geht mir vielmehr um Behördendaten, Regierungsdaten und Personendaten, die nicht öffentlich verfügbar sind.
Die Hyperscale-Cloud-Anbieter, in der Regel mit Sitz in den USA, haben einen entscheidenden Vorteil: Die Datensicherheit vor Cyberangriffen ist dort besser gewährleistet als sie eine IT-Abteilung mit seinem Server im Büro oder eigener IT-Infrastruktur umsetzen könnte. Und ich habe auch mehr Vertrauen in einen US-Hyperscaler als in einen chinesischen Anbieter. Auf der anderen Seite, und hier kommt mein Veto, entsteht eine infrastrukturelle Abhängigkeit. Zweitens bieten die USA oder China kein angemessenes Datenschutzniveau. In dem immer volatileren Weltgeschehen braucht es Datensouveränität: Was passiert, wenn aus gesellschaftlichen oder politischen Gründen eine Sanktion erfolgt und man auf seine im Ausland gespeicherten Daten nicht mehr zugreifen kann? Und auch die Marktmacht der grossen Hyperscaler und damit bestehenden Abhängigkeiten, beispielsweise für Kostensteigerungen, muss in den Blick genommen werden.
Für ein Unternehmen ist es von essentieller Bedeutung, jederzeit auf seine Daten zugreifen zu können. Und auch für staatliche Daten mit besonderem Geheimhaltungsinteresse oder Datensätzen seiner Bürger besteht ein Bedürfnis, jederzeit die alleinige staatliche Verfügungsbefugnis auf diese Daten zu behalten. Dies kann mit einer Swiss-Cloud gelingen, und zwar in Ergänzung zu dem Vorhaben "Public Cloud Bund", die für allgemeine Behörden- und Anwendungsdaten seine Berechtigung hat.
Einen eigenen Hyperscaler-Dienst in der Schweiz als Konkurrent zu AWS, Microsoft oder Google aufzubauen, dürfte nahezu aussichtslos sein. Der Zug scheint mir aktuell abgefahren zu sein: Zu hoch wären die Investitionskosten, die Infrastruktur müsste geschaffen werden, Fachkräfte gewonnen und Server-Parks gebaut werden. Aber heute den Grundstein für eine zukünftige Swiss-Cloud zu legen, halte ich für richtig. Es ist davon auszugehen, dass sich Datenspeicherung weiterentwickelt und zukünftig auf anderen Medien gespeichert wird – so wie es früher Floppy-Disks und CD-Roms gab. In die Weiterentwicklung von Speichermodulen zu investieren und hierauf eine Swiss-Cloud-Lösung aufzubauen, halte ich für ein lohnendes Projekt.
Eine Swiss-Cloud kann auch für andere Staaten und Unternehmen eine Möglichkeit sein, seine Daten in der Schweiz zu speichern. Die Schweiz als neutraler und seriöser Anbieter von Datenspeichern? Ja, ich halte das für ein Erfolgsmodell, das zukünftig neben Schweizer Schokolade und Uhrenmanufaktur eine neue Branche für die Schweiz darstellen kann. Die Schweiz sollte sich das selbstbewusst zutrauen.
Christian Laux: Nein, die Schweiz muss nicht zum Hyperscaler werden.
Christian Laux
Ich bin auch der Meinung, dass wir auf dauerhafte Datenverfügbarkeit achten sollten (Business Continuity). In einem Cloud-Projekt von Bedeutung, gerade in regulierten Branchen, braucht es ein gutes Rückführungskonzept. "Datenhaltung immer in der Schweiz" ist aber keine Pflicht.
Auch Business Continuity spricht noch nicht für eine "Swiss Cloud". Dass ein hybrides Cloud-Konzept auch auf IT-Infrastrukturen in der Schweiz und teilweise mit Betreiberorganisation in der Schweiz setzt, kann sinnvoll sein. Aber das führt nicht gleich zu dem, was gemeinhin als "Swiss Cloud" verstanden wird.
Nein, die Schweiz soll keine Infrastruktur mit der Leistungsfähigkeit eines Hyperscalers aufbauen. Die US-amerikanischen Hyperscaler haben Jahresausgaben von rund 60 Milliarden Dollar. Demgegenüber beträgt der Gesamthaushalt der Schweiz jährlich etwa100 Milliarden Franken. Aus meiner Sicht gehört der Betrieb eines Marktangebots in dieser Grössenordnung nicht zu den Aufgaben der Schweiz.
Beim Thema Nutzung von Hyperscalern gehen die Wogen schnell hoch, insbesondere, wenn es um die Speicherung von Behördendaten geht. Die Analyse der rechtlichen Grundlagen zeigt, dass auch Behörden, Banken und Spitäler die grossen Hyperscaler rechtmässig nutzen können. Natürlich müssen sie die Projekte richtig aufgleisen. Aber das geht. Die US-Hyperscaler standen in jüngster Zeit im Fokus, weswegen wir gerade über die USA sehr breite Kenntnisse haben:
Datenschutz: Dass die USA ein anderes Datenschutzkonzept haben, ist kein Grund gegen die Nutzung von Hyperscalern aus den USA.
Der US-Cloud-Act ist auch kein Grund. Unsere Projektarbeit und Rechtsgutachten zeigen dies.
Überwachung durch Geheimdienste: Die Aktivitäten in den USA unterscheiden sich strukturell zwar nicht von jenen in der Schweiz oder im Rest von Europa, aber es gibt seit dem Entscheid des Europäischen Gerichtshofes dennoch die Herausforderung, bei Datentransfers in die USA den Rechtmässigkeitsnachweis zu führen. Die Anfechtungsmöglichkeiten vor Gericht sind für Ausländer unterschiedlich. Transfer in die USA ist zwar möglich, aber die Diskussion bricht dennoch nicht ab. Aus Projektsicht braucht es Lösungen, die dann auch mal zu einem endgültigen Resultat führen.
Datensouveränität ist ein wichtiges Thema und die Eidgenossenschaft sollte sich dem annehmen, um ihrer Garantieverantwortung gerecht zu werden. Hat die Schweiz die Chance für "Gute Dienste" in diesem Bereich? Ich meine ja. Ausserdem sollte die Schweiz ein Schutzkonzept für das internationale Genf bereitstellen.
Für mich heisst das Folgendes: Swissness ja, aber nicht mittels Investition in Hard- oder Software, sondern über die systematische Absicherung der Garantieverantwortung mittels bilateralen und multilateralen internationalen Verträgen. So werden der grenzüberschreitende Handel und die internationale Kooperation in Sachen Cybersicherheit gestärkt. Hier darf man durchaus mutig sein. Und innerhalb der Schweiz sollte man sich weiterhin für gute Ingenieursleistungen und einen starken Bildungsstandort einsetzen. Wir sollten nicht versuchen, die Stärken anderer zu imitieren. Wir sollten unsere eigenen Stärken kultivieren und diese in die Welt tragen.