Ein anonymer Tipp ging bei Inside Paradeplatz ein. Die Mobilitätsfirma Urban Connect, die E-Fahrzeugflotten für Unternehmen bereitstellt, habe ihre IT in einem heiklen Land.
Das klang verdächtig. Nur: Warum eigentlich?
Eine Bestätigung dafür fand sich nicht. Urban Connect hat dazu keine klare Auskunft gegeben.
Dafür zeigte sich beim Nachfragen etwas Grundsätzlicheres: IT-Vorzeigeunternehmen mit Schweizer Grosskunden können nicht präzise sagen, wo überall ihre Entwickler sitzen und wer potenziell Zugriff auf die Systeme hat.
Der Fall steht beispielhaft für ein strukturelles Problem: Schweizer Firmen lagern IT-Leistungen global aus.
Trotz Datenschutzklauseln ist nicht klar, was mit den Daten passiert.
Bekanntlich verlagern viele Firmen ihre IT-Abteilungen ins Ausland – nach Indien etwa oder in den Balkan.
Sollten Informatiker beispielsweise in Russland oder China per se ein Problem sein? Rein technisch nicht. Juristisch aber schon, wie sich zeigt.
Nach einigen Recherchen wurde klar: Nicht der Standort eines Servers oder der IT-Abteilung ist entscheidend, sondern das Recht, das dort gilt.
Wenn ein Land kein gleichwertiges Datenschutzgesetz kennt, kann der Staat jederzeit auf Daten zugreifen.
In Russland etwa dürfen Behörden per Gesetz in IT-Systeme einsehen. Damit wäre jedes Unternehmen, das von dort auf produktive Systeme zugreift, theoretisch nicht datensouverän.
Die Schlieremer Urban Connect zählt namhafte Kunden, darunter SBB, Roche und Google. Also wollten wir wissen: Weiss die SBB, mit wem sie zusammenarbeitet und wohin die Daten gelangen?
Die Antwort kam prompt. Ein SBB-Mediensprecher erklärte, Datenschutz und IT-Sicherheit seien vertraglich geregelt.
Urban Connect verpflichte sich zur Datenverarbeitung in der Schweiz oder in „gleichwertigen Jurisdiktionen“.
Somit würde Russland rausfallen. Aber die SBB prüft das nicht selbst. Man verlässt sich auf die vertragliche Zusicherung und hat im Fall der Fälle Audit-Rechte.
Das heisst im Klartext: Was der Partner technisch wirklich macht, bleibt weitgehend Vertrauenssache.
Urban Connect reagierte zunächst nicht auf eine Anfrage, erst nach einem Telefonat meldete sich Mitgründerin Judith Häberli.
Sie schrieb, Datenschutz und Informationssicherheit hätten „höchste Priorität“. Die Entwicklerteams sässen in der Schweiz, der EU, den USA und Serbien – „sowie in einzelnen weiteren Ländern“.
Personendaten würden gemäss der Datenschutzerklärung nur in der Schweiz, der EU/EWR, den USA und Serbien bearbeitet. Partner in anderen Ländern seien „nicht in den Fluss der Personendaten eingebunden“.
Das ist juristisch sauber formuliert, lässt aber offen, ob externe Partner Zugriff auf Quellcode, System-Logs oder Build-Pipelines haben. Denn auch dort kann theoretisch manipuliert oder mitgelesen werden.
Interessant ist, dass Urban Connect die USA offen nennt, obwohl die Vereinigten Staaten datenschutzrechtlich nicht als gleichwertige Jurisdiktion gelten.
Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten amerikanischer Firmen, selbst wenn die Server ausserhalb der USA stehen.
Urban Connect verweist auf „Standardvertragsklauseln“ – ein legitimer, aber theoretischer Schutz. In der Praxis kann niemand in der Schweiz kontrollieren, was eine US-Behörde abruft oder verlangt.
Ein Schweizer IT-Sicherheitsfachmann ordnet es so ein: „Grundsätzlich sind Server in der Schweiz nicht sicherer als irgendwo anders und Datensicherheit (dass keine Daten geklaut werden) kann niemand garantieren.“
„Wenn der Staat, in dem die Server stehen, per Gesetz einen Zugriff verlangen kann, dann sieht es anders aus.“
Man könne Entwicklungs- und Produktivdaten trennen, „aber man muss selbst verstehen, wie das geht.“
„Wenn also hier eine Pfeife die Vorgaben macht – und das ist leider nicht selten –, dann wird das Ergebnis dessen Handschrift tragen.“
Besonders heikel werde es, wenn Systeme mit echten Nutzerdaten entwickelt werden:
„Die Gefahr ist nicht nur, dass jemand Daten kopiert, sondern dass eine ‚Backdoor’’ in den Code eingebaut wird. Das ist viel nachhaltiger und schwieriger zu erkennen.“
Urban Connect ist kein Ausreisser. Viele Schweizer Firmen lassen Code im Ausland schreiben.
Serbien, Osteuropa oder die USA sind gängige Standorte. Das ist ökonomisch nachvollziehbar, aber datensouverän ist es nicht.
Die Branche verlässt sich auf Verträge statt Kontrolle. Werbung mit „Swiss Engineering“ bleibt oft eine Frage des Brandings, nicht der Realität.
Am 2. Dezember 2024 erklärte Bundesrat Beat Jans im Nationalrat während der Debatte zum neuen Gesetz über den elektronischen Identitätsnachweis (E-ID):
„Wir haben das Datenschutzgesetz; damit sind unsere Daten geschützt.“
Ein schöner Gedanke, aber einer, der mit der Realität der digitalen Wirtschaft wenig zu tun hat. Datensicherheit ist ein frommer Wunsch in einer digitalen Welt, die sich nicht ans Schweizer Gesetz hält.
und was glaubt ihr wohl, wo IP seinen Server stehen hat?
IP hat glaub keinen Server. Da wird ja fast nur Schimmel geboten.
Bei uns auf der Kolchose
China Unicom Beijing province network
Bei Hetzner in DE.
Ich dachte IP läuft als Troyaner auf einer Kaffeemaschine.
Besser als amerikanische Server. Dort haben x Dienste vollen Zugriff.
beim Putler nicht ?
In der IT spricht man gerne auch von Master und Slave …
ich fragte mich immer, was die Sklaven vom Buana hatten.
achte immer darauf, wen du an deinen Server ran lässt!
Diese Woche wurde mir meine (zweite) Kreditkarte, die ich einzig und alleine in der SBB-App nutze, gesperrt. Einfach so, ohne Begründung, sofort.
Vielleicht deshalb …
Was sagte schon Lenin „Vertrauen ist gut, Kontrolle besser. Urban Connect scheint diese Redewendung noch nie gehört zu haben.
„In Russland etwa dürfen Behörden per Gesetz Einsicht in IT-Systeme nehmen.“ NSA und CIA machen es einfach. Pasta.
Geschrieben werden im Putin Land oder in einem EU Land wo die verurteilte Lagarde und die Flinten-Pfizer Uschi als Ungewählte die totale Macht und das Sagen haben…ausser in Polen und Ungarn;
Weiss wirklich nicht was besser ist für die SBB.
was bitte sollen Roche und SBB für sensible Daten haben?
Warum bist Du eigentlich noch hier? Faschisten haben gerne Menschen wie Dich. Einfach zu führen, marschieren brav mit, denken nicht selber.
Ha Ha Ha
Vertraglich geregelt? Eher dümmlich vereinbart!
Urban Connect hat ihre IT nicht in Russland. Auch ihre IT-Leute nicht. Was soll diese Story???
Lesen Sie doch den Text fertig.
Bitte keine so naiven Artikel. Es ist kein rechtliches Problem, sondern höchstens ein politisches. Auch in USA dürfen Behörden auf die Daten zugreifen, und auch in der Schweiz.
Stell dir vor.. Das steht sogar im Text…
seit wann bestimmt die Politik über Recht?
Der „Sicherheitsfachmann“ ist ein Schwätzer wie Jans auch. Wenn das RZ in CH steht und die Server und die Router zwischen CH RZ und CH Kunde so konfiguriert werden, dass sie das Land nicht verlassen können, dann könnten die Hürden so hoch gestaltet werden, dass die Systeme hier klar sicherer wären als anderswo, man müsste halt schweizer ITler bezahlen. Aber was erwartet man von Unternehmen im Bereich kritische Infrastruktur (SSB, AKW-Betreiber), die essenzielle Systeme mit Microsoft Software betreiben? Richtig: Nüd. Das Klauselgeschwafel wird hoffentlich auch noch von Schrems gebodigt.
Wenn man mal genauer recherchiert, findet man heraus der Datenschutz steht nur auf dem Papier. Zum Beispiel kann Microsoft nicht einmal garantieren, dass Daten in ihrer Cloud nicht in den USA landen.
Die Schweizer E-ID-Lösung wird eine Android/iOS-App, da landen die Daten schon mal in den USA. Aber der technisch Ahnungslose glaubt einfach dem Bund.
Jedes amerikanische Unternehmen muss die Daten liefern. Daher wurde bei der ALV Software ASALFUTUR auch zwingend ein US Kompenente in der Architektur vorgeschrieben.
Der technisch Ahnungslose bist offenbar du selber. Informiere dich über das technische Konzept der E-ID. Dann erfährst du auch, wo die Daten wirklich abgelegt werden.
Im Gegensatz zur E-ID ist bei der Verwaltung (Bund, Kantone, Gemeinden) die Datenhaltung bei US-Hyperscalern (vor allem M365) höchst problematisch. Dort stört es die Anti-E-ID-Schwurbler aber offenbar nicht.
dann wusste der Pudding halt, dass die Tante Helga grosse Herzprobleme hat und jeden Tag mit dem GA von Bimbelmannsgreuth nach Stronzernone reiste. Dass die Schweizer einen Dachschaden haben, weiss er auch so!
Sehr geehrter Frau Auevefo vielen Dank für Ihre Recherchen sievzaigen dass auch Frauen (wie Männer ]klug UND Mut [siehe René Zeyer Betreiber von http://www.zackbum.ch der gegen Moster Presindet of the World (;-) bitte weiter so Hans Gerhard
Was soll einen in der Schweiz noch erstaunen? Wenns ums Geld geht und ins Portemonaie klimpert, ist man hier nach wie vor blind, hört nichts und sagt nichts…aber eigentlich lässt sich alles noch viel treffender mit einem Wort umwschreiben:Blöd.
‚Vertraglich geregt‘ ist in der heutigen digitalen Welt – mit viel Unfug und krimineller Energie – einfach eine simple Ausrede für Naivlinge.
Die Zuwanderung (Import) wollen wir unterbinden oder mindestens massiv einschränken – beim Export scheinen wir grosszügiger zu sein – da lassen wir offensichtlich Drittländer sogar an heikle Daten ran –
Was für Code schreiben? Was für IT-Server und Datenzentren?
Die Firma vermietet Fahrzeuge.
Da reicht ein Excel-Sheet in der Schweiz!
Die 90er haben angerufen und wollen ihre (Host Sidekick-) IT zurück.
„End User Aplications“ aka Excel oder Access Gefrickel werden heute im Enterprise Umfeld als Risiken geführt.
Hören Sie Mal, Fred Eiti, zur Not reicht bei diesem Geschäft auch noch Blatt und Papier
@ Pears – Sie meinen wohl Stift und Brot
Ich habe alle meine Daten in einem Zettelkasten, den ich im Küchenschrank zwischen Ravioli-Konserven, Aromat- und Dinkelhörnli-Vorrat versorgt habe. Kein Zugriff durch CIA, KGB, SFE, MI6, BND, NDB und Co. Und niemand kann meine Klaue entziffern ;-). – Sicherer geht nimmer.
Im ernst jetzt? Raviolibüchsen???
Server in Russland. Typisch Schweizer Staatsbetriebe. Benützt die Swisscom nicht Server von Huawei? Die Schweiz als Lachnummer wieder einmal.
Nur eigene Server können sicher sein. Alle Claud Applikationen sind unsicher.
„Serbien, Osteuropa oder die USA sind gängige Standorte. Das ist ökonomisch nachvollziehbar, aber datensouverän ist es nicht.“
Warum ist das ökonomisch nachvollziehbar?
Warum nicht auch das Private Banking nach Simbabwe oder den Kongo auslagern.
Meine Erfahrungen mit outsourcing zeigt, dass im Endeffekt alles teurer wird und die Qualität leidet massiv.
Und die Inder sind nicht bessere Informatiker als Schweizer …
Schon länger basiert die ICT-Branche primär auf sog. SLAs, in welchen kleingedruckt die Pflichten des Anbieters und die Rechte des Kunden festgehalten sind. Meistens stehen dort ganz viele Wörter drin, aber der Inhalt ist unter dem Strich ziemlich knapp und fast immer gleich: Der Anbieter darf fast alles, muss fast nichts und der Kunde hat es im Wesentlichen zu akzeptieren. Egal, ob es ihm passt oder nicht. Sehr klar sieht es dann bei der Pflichten des Kunden aus: Bezahlen muss er immer pünktlich oder sogar im Voraus. Bei Nichtbefolgen folgen immer Konsequenzen. Sofort.
… wählen ihren Metzger selber!
Die naive Judith Häberli wird bestimmt an die 1. Mai Parade in Moskau von Putin persönlich eingeladen. Auch erstaunlich das die SBB nicht genauer hinschaut!
„Urban Connect“ speichert Daten in den USA? Das ist ja extrem grob fahrlässig. a) Die US-Behörden können nahezu wie die russischen zugreifen, b) zwingt die EU sogar grosse Techkonzerne, Europäische Datencenter aufzubauen, damit das eben nicht passiert. Unter anderem auch mit Busandrohungen. Und das inmho zurecht. Sollte also „Urban Connect“ Daten von EU-Personen in den USA speichern oder aber die Schweiz GDPR lückenlos übernehmen, ist „Urban Connect“s Datenschutzerklärung als ein Stück Toilettenpapier zu betrachten, mit dem man sich den A* abwischen kann.
Joyce hat offenbar eine Ausbildung von der Asylrechts- zur Datenschutzexpertin hinter sich. Gratuliere ganz herzlich.
Auch ohne eine solche Ausbildung findet sie mehr heraus und beweist mehr Mut, als Sie je haben werden.
Desinformation zu verbreiten, braucht heutzutage keinen Mut mehr, Lorenz Loser.
Wer seine Daten sehr sicher verwahrt und bearbeitet haben will, muss das mit eigenem Personal am eigenen Standort machen. Und auch dann ist keine 100% Sicherheit möglich.
Dieser Artikel sah doch gestern anders aus? Da kommentieren wir uns hier die Finger wund, und am Morgen steht ein anderer Text drüber. Was war da los, IP?
Die Autorin würde lieber mal ihren eigenen Disclaimer auf https://www.nischenmarketing.ch/datenschutz überarbeiten, statt hier herumzulärmen, dass sie soeben die Länderliste des EDÖB gefunden hat. Ist ja sowas von lächerlich! 😂
Ich verwalte keine System- oder Kundendaten grosser Unternehmen.
Meine Seite dient ausschliesslich redaktionellen und Marketingzwecken.
Der Artikel behandelt strukturelle Fragen der Datensouveränität – nicht die Praxis einzelner Firmenwebsites.
Lachen kann man erst, wenn man über dasselbe spricht.
Es ist eine alte Binsenweisheit: „Cloud“ heisst, deine Daten liegen auf dem Computer eines anderen. Jede vertragliche Vereinbarung – ich sage das als Rechtskundiger – ist zuerst nicht viel mehr als eingebrannter schwarzer Tonerstaub auf weissem Papier. Echte (kostspielige) „Sicherheit“ gibt es nur, wenn ich System und Daten wirklich kontrollieren kann (können die meisten nicht) oder wenn die Daten dezentralisiert und verschlüsselt verteilt sind (z.B. IPFS). Das macht die Verarbeitung jedoch langsam.
Hier möchte man die Leute auf den Begriff DevOps aufmerksam machen. Wer nach dieser Methodologie arbeitet, muss den Entwicklern praktisch immer Zugriff auf die Produktionsumgebung geben. Dort sind auch die Live-Daten und die Logs, welche man sich ansehen muss, um Fehler zu beheben.
Das letzte Mal, dass ich es mit Leuten zu tun hatte, die IT- und Datensicherheit wirklich ernst nahmen, war Mitte 90er bei einer Schweizer Großbank. Seither nur noch haarsträubende Inkompetenz und komplettes Desinteresse, meist aus finanziellen Gründen gesehen. Man sichert nur noch seinen Hintern rechtlich ab.
Haha… Ich war Anfang 00er Jahre als Entwickler bei einer CH-Grossbank mit Zwei-Buchstaben-Abkürzung tätig. Damals hatte jeder Entwickler (auch Externe!) Zugang zur produktiven Datenbank und zwar a gogo, ohne jegliche Kontrolle oder Beschränkung. Die DB enthielt personenbezogene Daten und Vermögensdaten von Retail-Kunden bis UHNWIs und PEPs. Die einzig wirklich sicher verwahrten Daten waren die Identitäten hinter den Nummernkonti.
Daher ist diese Methode mit äusserster Vorsicht zu geniessen.
Wenn Firmen korrekt arbeiten, dann ist der Standort der Entwickler kein Problem. UBS verwendet rein synthetische Testdaten für Entwickler. Die echten Tester sind dann business-nahe Leute im entsprechenden Land.
Wenn aber die Daten in „falschen“ Ländern gehostet werden, oder aber in Clouds, dann ist äusserste Vorsicht am Platze. Insbesondere Clouds von US-Anbietern sollten wegen dem Cloud Act und dem Gag Order von Schweizer Firmen unbedingt vermieden werden. Ebenso jegliche Art von SaaS-Lösungen in Firmen mit amerikanischem Firmensitz (diese können schnell ändern!) sind fehl am Platze.
Entwickler sollte nie mit „scharfen Daten“ in Berührung kommen. Die ersten Tests macht man mit künstlichen Testdaten. Erst die späteren Testphasen sollten Leute involvieren, welche etwas vom Geschäft verstehen (und diese Daten auch sehen dürfen – d.h. Ausland ist kritisch!).
„Nach einigen Recherchen wurde klar: Nicht der Standort eines Servers oder der IT-Abteilung ist entscheidend, sondern das Recht, das dort gilt.“
Jäsoo. Aber die Build-Pipelines!
Kann mir jemand zuverlässig sagen, welches der ca. 117 Apps auf meinem Handy (7/24/365) im background welche Daten, wann absaugt? Resp. wohin die Daten überall vereteilt? Hab die selbe blöde Frage zum gesamten SmartHome Set-up inkl. FitnessWatch. Meine eCar Mietautos haben alle auch so ’nen modernen Chip & BT etc. Keine Ahnung, wen es überall global noch interessiert, wo ich gerade bin & wie ich so lebe. 👉“Das Wasser im Topf, ist jetzt zur WasserdampfWolke geworden ✌️😅🙏🏼🥸 new physics!
keine Ahnung wer sich alles bei den vielen Apps um diese rein, privaten Verhaltensdaten kümmert. Beim Business ist es jedoche primär Microsoft (resp. die Regierung im Lande dort) ✌️
Besonders gut gefällt mir der Satz „Wir haben das Datenschutzgesetz; damit sind unsere Daten geschützt.“
Analog sagt man wohl bei den Drogen: „Bei uns sind Drogen verboten; deshalb haben wir keine.“ Hier ist es offensichtlich, dass man eigentlich kapituliert hat. Jede Art von Drogen kann in Zürich leicht und in fast beliebiger Menge gekauft und konsumiert werden. Die Gefahr, dabei erwischt zu werden, ist höchst theoretisch.
Nicht viel anders ist es beim Datenschutzgesetz: Verstösse sind nicht leicht nachzuweisen, also lässt man es gleich sein. Das Recht ist ein reiner Papiertiger.