Ein anonymer Tipp ging bei Inside Paradeplatz ein. Die Mobilitätsfirma Urban Connect, die E-Fahrzeugflotten für Unternehmen bereitstellt, habe ihre IT in einem heiklen Land.
Das klang verdächtig. Nur: Warum eigentlich?
Eine Bestätigung dafür fand sich nicht. Urban Connect hat dazu keine klare Auskunft gegeben.
Dafür zeigte sich beim Nachfragen etwas Grundsätzlicheres: IT-Vorzeigeunternehmen mit Schweizer Grosskunden können nicht präzise sagen, wo überall ihre Entwickler sitzen und wer potenziell Zugriff auf die Systeme hat.
Der Fall steht beispielhaft für ein strukturelles Problem: Schweizer Firmen lagern IT-Leistungen global aus.
Trotz Datenschutzklauseln ist nicht klar, was mit den Daten passiert.
Bekanntlich verlagern viele Firmen ihre IT-Abteilungen ins Ausland – nach Indien etwa oder in den Balkan.
Sollten Informatiker beispielsweise in Russland oder China per se ein Problem sein? Rein technisch nicht. Juristisch aber schon, wie sich zeigt.
Nach einigen Recherchen wurde klar: Nicht der Standort eines Servers oder der IT-Abteilung ist entscheidend, sondern das Recht, das dort gilt.
Wenn ein Land kein gleichwertiges Datenschutzgesetz kennt, kann der Staat jederzeit auf Daten zugreifen.
In Russland etwa dürfen Behörden per Gesetz in IT-Systeme einsehen. Damit wäre jedes Unternehmen, das von dort auf produktive Systeme zugreift, theoretisch nicht datensouverän.
Die Schlieremer Urban Connect zählt namhafte Kunden, darunter SBB, Roche und Google. Also wollten wir wissen: Weiss die SBB, mit wem sie zusammenarbeitet und wohin die Daten gelangen?
Die Antwort kam prompt. Ein SBB-Mediensprecher erklärte, Datenschutz und IT-Sicherheit seien vertraglich geregelt.
Urban Connect verpflichte sich zur Datenverarbeitung in der Schweiz oder in „gleichwertigen Jurisdiktionen“.
Somit würde Russland rausfallen. Aber die SBB prüft das nicht selbst. Man verlässt sich auf die vertragliche Zusicherung und hat im Fall der Fälle Audit-Rechte.
Das heisst im Klartext: Was der Partner technisch wirklich macht, bleibt weitgehend Vertrauenssache.
Urban Connect reagierte zunächst nicht auf eine Anfrage, erst nach einem Telefonat meldete sich Mitgründerin Judith Häberli.
Sie schrieb, Datenschutz und Informationssicherheit hätten „höchste Priorität“. Die Entwicklerteams sässen in der Schweiz, der EU, den USA und Serbien – „sowie in einzelnen weiteren Ländern“.
Personendaten würden gemäss der Datenschutzerklärung nur in der Schweiz, der EU/EWR, den USA und Serbien bearbeitet. Partner in anderen Ländern seien „nicht in den Fluss der Personendaten eingebunden“.
Das ist juristisch sauber formuliert, lässt aber offen, ob externe Partner Zugriff auf Quellcode, System-Logs oder Build-Pipelines haben. Denn auch dort kann theoretisch manipuliert oder mitgelesen werden.
Interessant ist, dass Urban Connect die USA offen nennt, obwohl die Vereinigten Staaten datenschutzrechtlich nicht als gleichwertige Jurisdiktion gelten.
Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten amerikanischer Firmen, selbst wenn die Server ausserhalb der USA stehen.
Urban Connect verweist auf „Standardvertragsklauseln“ – ein legitimer, aber theoretischer Schutz. In der Praxis kann niemand in der Schweiz kontrollieren, was eine US-Behörde abruft oder verlangt.
Ein Schweizer IT-Sicherheitsfachmann ordnet es so ein: „Grundsätzlich sind Server in der Schweiz nicht sicherer als irgendwo anders und Datensicherheit (dass keine Daten geklaut werden) kann niemand garantieren.“
„Wenn der Staat, in dem die Server stehen, per Gesetz einen Zugriff verlangen kann, dann sieht es anders aus.“
Man könne Entwicklungs- und Produktivdaten trennen, „aber man muss selbst verstehen, wie das geht.“
„Wenn also hier eine Pfeife die Vorgaben macht – und das ist leider nicht selten –, dann wird das Ergebnis dessen Handschrift tragen.“
Besonders heikel werde es, wenn Systeme mit echten Nutzerdaten entwickelt werden:
„Die Gefahr ist nicht nur, dass jemand Daten kopiert, sondern dass eine ‚Backdoor’’ in den Code eingebaut wird. Das ist viel nachhaltiger und schwieriger zu erkennen.“
Urban Connect ist kein Ausreisser. Viele Schweizer Firmen lassen Code im Ausland schreiben.
Serbien, Osteuropa oder die USA sind gängige Standorte. Das ist ökonomisch nachvollziehbar, aber datensouverän ist es nicht.
Die Branche verlässt sich auf Verträge statt Kontrolle. Werbung mit „Swiss Engineering“ bleibt oft eine Frage des Brandings, nicht der Realität.
Am 2. Dezember 2024 erklärte Bundesrat Beat Jans im Nationalrat während der Debatte zum neuen Gesetz über den elektronischen Identitätsnachweis (E-ID):
„Wir haben das Datenschutzgesetz; damit sind unsere Daten geschützt.“
Ein schöner Gedanke, aber einer, der mit der Realität der digitalen Wirtschaft wenig zu tun hat. Datensicherheit ist ein frommer Wunsch in einer digitalen Welt, die sich nicht ans Schweizer Gesetz hält.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
und was glaubt ihr wohl, wo IP seinen Server stehen hat?
Gleiche Bilder gehören meistens zum gleichen Kommentator.
IP hat glaub keinen Server. Da wird ja fast nur Schimmel geboten.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Bei uns auf der Kolchose
Gleiche Bilder gehören meistens zum gleichen Kommentator.
China Unicom Beijing province network
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Bei Hetzner in DE.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Ich dachte IP läuft als Troyaner auf einer Kaffeemaschine.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Besser als amerikanische Server. Dort haben x Dienste vollen Zugriff.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
beim Putler nicht ?
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Diese Woche wurde mir meine (zweite) Kreditkarte, die ich einzig und alleine in der SBB-App nutze, gesperrt. Einfach so, ohne Begründung, sofort.
Vielleicht deshalb …
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Was sagte schon Lenin „Vertrauen ist gut, Kontrolle besser. Urban Connect scheint diese Redewendung noch nie gehört zu haben.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
„In Russland etwa dürfen Behörden per Gesetz Einsicht in IT-Systeme nehmen.“ NSA und CIA machen es einfach. Pasta.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Geschrieben werden im Putin Land oder in einem EU Land wo die verurteilte Lagarde und die Flinten-Pfizer Uschi als Ungewählte die totale Macht und das Sagen haben…ausser in Polen und Ungarn;
Weiss wirklich nicht was besser ist für die SBB.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
was bitte sollen Roche und SBB für sensible Daten haben?
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Warum bist Du eigentlich noch hier? Faschisten haben gerne Menschen wie Dich. Einfach zu führen, marschieren brav mit, denken nicht selber.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Ha Ha Ha
Vertraglich geregelt? Eher dümmlich vereinbart!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Urban Connect hat ihre IT nicht in Russland. Auch ihre IT-Leute nicht. Was soll diese Story???
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Lesen Sie doch den Text fertig.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Bitte keine so naiven Artikel. Es ist kein rechtliches Problem, sondern höchstens ein politisches. Auch in USA dürfen Behörden auf die Daten zugreifen, und auch in der Schweiz.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Stell dir vor.. Das steht sogar im Text…
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Der „Sicherheitsfachmann“ ist ein Schwätzer wie Jans auch. Wenn das RZ in CH steht und die Server und die Router zwischen CH RZ und CH Kunde so konfiguriert werden, dass sie das Land nicht verlassen können, dann könnten die Hürden so hoch gestaltet werden, dass die Systeme hier klar sicherer wären als anderswo, man müsste halt schweizer ITler bezahlen. Aber was erwartet man von Unternehmen im Bereich kritische Infrastruktur (SSB, AKW-Betreiber), die essenzielle Systeme mit Microsoft Software betreiben? Richtig: Nüd. Das Klauselgeschwafel wird hoffentlich auch noch von Schrems gebodigt.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Wenn man mal genauer recherchiert, findet man heraus der Datenschutz steht nur auf dem Papier. Zum Beispiel kann Microsoft nicht einmal garantieren, dass Daten in ihrer Cloud nicht in den USA landen.
Die Schweizer E-ID-Lösung wird eine Android/iOS-App, da landen die Daten schon mal in den USA. Aber der technisch Ahnungslose glaubt einfach dem Bund.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Jedes amerikanische Unternehmen muss die Daten liefern. Daher wurde bei der ALV Software ASALFUTUR auch zwingend ein US Kompenente in der Architektur vorgeschrieben.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Der technisch Ahnungslose bist offenbar du selber. Informiere dich über das technische Konzept der E-ID. Dann erfährst du auch, wo die Daten wirklich abgelegt werden.
Im Gegensatz zur E-ID ist bei der Verwaltung (Bund, Kantone, Gemeinden) die Datenhaltung bei US-Hyperscalern (vor allem M365) höchst problematisch. Dort stört es die Anti-E-ID-Schwurbler aber offenbar nicht.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
dann wusste der Pudding halt, dass die Tante Helga grosse Herzprobleme hat und jeden Tag mit dem GA von Bimbelmannsgreuth nach Stronzernone reiste. Dass die Schweizer einen Dachschaden haben, weiss er auch so!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Sehr geehrter Frau Auevefo vielen Dank für Ihre Recherchen sievzaigen dass auch Frauen (wie Männer ]klug UND Mut [siehe René Zeyer Betreiber von http://www.zackbum.ch der gegen Moster Presindet of the World (;-) bitte weiter so Hans Gerhard
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Was soll einen in der Schweiz noch erstaunen? Wenns ums Geld geht und ins Portemonaie klimpert, ist man hier nach wie vor blind, hört nichts und sagt nichts…aber eigentlich lässt sich alles noch viel treffender mit einem Wort umwschreiben:Blöd.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
‚Vertraglich geregt‘ ist in der heutigen digitalen Welt – mit viel Unfug und krimineller Energie – einfach eine simple Ausrede für Naivlinge.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Die Zuwanderung (Import) wollen wir unterbinden oder mindestens massiv einschränken – beim Export scheinen wir grosszügiger zu sein – da lassen wir offensichtlich Drittländer sogar an heikle Daten ran –
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Was für Code schreiben? Was für IT-Server und Datenzentren?
Die Firma vermietet Fahrzeuge.
Da reicht ein Excel-Sheet in der Schweiz!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Die 90er haben angerufen und wollen ihre (Host Sidekick-) IT zurück.
„End User Aplications“ aka Excel oder Access Gefrickel werden heute im Enterprise Umfeld als Risiken geführt.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Hören Sie Mal, Fred Eiti, zur Not reicht bei diesem Geschäft auch noch Blatt und Papier
Gleiche Bilder gehören meistens zum gleichen Kommentator.
@ Pears – Sie meinen wohl Stift und Brot
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Ich habe alle meine Daten in einem Zettelkasten, den ich im Küchenschrank zwischen Ravioli-Konserven, Aromat- und Dinkelhörnli-Vorrat versorgt habe. Kein Zugriff durch CIA, KGB, SFE, MI6, BND, NDB und Co. Und niemand kann meine Klaue entziffern ;-). – Sicherer geht nimmer.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Im ernst jetzt? Raviolibüchsen???
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Server in Russland. Typisch Schweizer Staatsbetriebe. Benützt die Swisscom nicht Server von Huawei? Die Schweiz als Lachnummer wieder einmal.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Nur eigene Server können sicher sein. Alle Claud Applikationen sind unsicher.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
„Serbien, Osteuropa oder die USA sind gängige Standorte. Das ist ökonomisch nachvollziehbar, aber datensouverän ist es nicht.“
Warum ist das ökonomisch nachvollziehbar?
Warum nicht auch das Private Banking nach Simbabwe oder den Kongo auslagern.
Meine Erfahrungen mit outsourcing zeigt, dass im Endeffekt alles teurer wird und die Qualität leidet massiv.
Und die Inder sind nicht bessere Informatiker als Schweizer …
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Schon länger basiert die ICT-Branche primär auf sog. SLAs, in welchen kleingedruckt die Pflichten des Anbieters und die Rechte des Kunden festgehalten sind. Meistens stehen dort ganz viele Wörter drin, aber der Inhalt ist unter dem Strich ziemlich knapp und fast immer gleich: Der Anbieter darf fast alles, muss fast nichts und der Kunde hat es im Wesentlichen zu akzeptieren. Egal, ob es ihm passt oder nicht. Sehr klar sieht es dann bei der Pflichten des Kunden aus: Bezahlen muss er immer pünktlich oder sogar im Voraus. Bei Nichtbefolgen folgen immer Konsequenzen. Sofort.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
… wählen ihren Metzger selber!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Die naive Judith Häberli wird bestimmt an die 1. Mai Parade in Moskau von Putin persönlich eingeladen. Auch erstaunlich das die SBB nicht genauer hinschaut!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
„Urban Connect“ speichert Daten in den USA? Das ist ja extrem grob fahrlässig. a) Die US-Behörden können nahezu wie die russischen zugreifen, b) zwingt die EU sogar grosse Techkonzerne, Europäische Datencenter aufzubauen, damit das eben nicht passiert. Unter anderem auch mit Busandrohungen. Und das inmho zurecht. Sollte also „Urban Connect“ Daten von EU-Personen in den USA speichern oder aber die Schweiz GDPR lückenlos übernehmen, ist „Urban Connect“s Datenschutzerklärung als ein Stück Toilettenpapier zu betrachten, mit dem man sich den A* abwischen kann.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Joyce hat offenbar eine Ausbildung von der Asylrechts- zur Datenschutzexpertin hinter sich. Gratuliere ganz herzlich.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Auch ohne eine solche Ausbildung findet sie mehr heraus und beweist mehr Mut, als Sie je haben werden.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Desinformation zu verbreiten, braucht heutzutage keinen Mut mehr, Lorenz Loser.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Wer seine Daten sehr sicher verwahrt und bearbeitet haben will, muss das mit eigenem Personal am eigenen Standort machen. Und auch dann ist keine 100% Sicherheit möglich.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Dieser Artikel sah doch gestern anders aus? Da kommentieren wir uns hier die Finger wund, und am Morgen steht ein anderer Text drüber. Was war da los, IP?
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Die Autorin würde lieber mal ihren eigenen Disclaimer auf https://www.nischenmarketing.ch/datenschutz überarbeiten, statt hier herumzulärmen, dass sie soeben die Länderliste des EDÖB gefunden hat. Ist ja sowas von lächerlich! 😂
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Ich verwalte keine System- oder Kundendaten grosser Unternehmen.
Meine Seite dient ausschliesslich redaktionellen und Marketingzwecken.
Der Artikel behandelt strukturelle Fragen der Datensouveränität – nicht die Praxis einzelner Firmenwebsites.
Lachen kann man erst, wenn man über dasselbe spricht.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Es ist eine alte Binsenweisheit: „Cloud“ heisst, deine Daten liegen auf dem Computer eines anderen. Jede vertragliche Vereinbarung – ich sage das als Rechtskundiger – ist zuerst nicht viel mehr als eingebrannter schwarzer Tonerstaub auf weissem Papier. Echte (kostspielige) „Sicherheit“ gibt es nur, wenn ich System und Daten wirklich kontrollieren kann (können die meisten nicht) oder wenn die Daten dezentralisiert und verschlüsselt verteilt sind (z.B. IPFS). Das macht die Verarbeitung jedoch langsam.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Hier möchte man die Leute auf den Begriff DevOps aufmerksam machen. Wer nach dieser Methodologie arbeitet, muss den Entwicklern praktisch immer Zugriff auf die Produktionsumgebung geben. Dort sind auch die Live-Daten und die Logs, welche man sich ansehen muss, um Fehler zu beheben.
Das letzte Mal, dass ich es mit Leuten zu tun hatte, die IT- und Datensicherheit wirklich ernst nahmen, war Mitte 90er bei einer Schweizer Großbank. Seither nur noch haarsträubende Inkompetenz und komplettes Desinteresse, meist aus finanziellen Gründen gesehen. Man sichert nur noch seinen Hintern rechtlich ab.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Haha… Ich war Anfang 00er Jahre als Entwickler bei einer CH-Grossbank mit Zwei-Buchstaben-Abkürzung tätig. Damals hatte jeder Entwickler (auch Externe!) Zugang zur produktiven Datenbank und zwar a gogo, ohne jegliche Kontrolle oder Beschränkung. Die DB enthielt personenbezogene Daten und Vermögensdaten von Retail-Kunden bis UHNWIs und PEPs. Die einzig wirklich sicher verwahrten Daten waren die Identitäten hinter den Nummernkonti.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Daher ist diese Methode mit äusserster Vorsicht zu geniessen.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Wenn Firmen korrekt arbeiten, dann ist der Standort der Entwickler kein Problem. UBS verwendet rein synthetische Testdaten für Entwickler. Die echten Tester sind dann business-nahe Leute im entsprechenden Land.
Wenn aber die Daten in „falschen“ Ländern gehostet werden, oder aber in Clouds, dann ist äusserste Vorsicht am Platze. Insbesondere Clouds von US-Anbietern sollten wegen dem Cloud Act und dem Gag Order von Schweizer Firmen unbedingt vermieden werden. Ebenso jegliche Art von SaaS-Lösungen in Firmen mit amerikanischem Firmensitz (diese können schnell ändern!) sind fehl am Platze.
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Entwickler sollte nie mit „scharfen Daten“ in Berührung kommen. Die ersten Tests macht man mit künstlichen Testdaten. Erst die späteren Testphasen sollten Leute involvieren, welche etwas vom Geschäft verstehen (und diese Daten auch sehen dürfen – d.h. Ausland ist kritisch!).
Gleiche Bilder gehören meistens zum gleichen Kommentator.
„Nach einigen Recherchen wurde klar: Nicht der Standort eines Servers oder der IT-Abteilung ist entscheidend, sondern das Recht, das dort gilt.“
Jäsoo. Aber die Build-Pipelines!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Kann mir jemand zuverlässig sagen, welches der ca. 117 Apps auf meinem Handy (7/24/365) im background welche Daten, wann absaugt? Resp. wohin die Daten überall vereteilt? Hab die selbe blöde Frage zum gesamten SmartHome Set-up inkl. FitnessWatch. Meine eCar Mietautos haben alle auch so ’nen modernen Chip & BT etc. Keine Ahnung, wen es überall global noch interessiert, wo ich gerade bin & wie ich so lebe. 👉“Das Wasser im Topf, ist jetzt zur WasserdampfWolke geworden ✌️😅🙏🏼🥸 new physics!
Gleiche Bilder gehören meistens zum gleichen Kommentator.
keine Ahnung wer sich alles bei den vielen Apps um diese rein, privaten Verhaltensdaten kümmert. Beim Business ist es jedoche primär Microsoft (resp. die Regierung im Lande dort) ✌️
Gleiche Bilder gehören meistens zum gleichen Kommentator.
Besonders gut gefällt mir der Satz „Wir haben das Datenschutzgesetz; damit sind unsere Daten geschützt.“
Analog sagt man wohl bei den Drogen: „Bei uns sind Drogen verboten; deshalb haben wir keine.“ Hier ist es offensichtlich, dass man eigentlich kapituliert hat. Jede Art von Drogen kann in Zürich leicht und in fast beliebiger Menge gekauft und konsumiert werden. Die Gefahr, dabei erwischt zu werden, ist höchst theoretisch.
Nicht viel anders ist es beim Datenschutzgesetz: Verstösse sind nicht leicht nachzuweisen, also lässt man es gleich sein. Das Recht ist ein reiner Papiertiger.