Global agierende Firmen, vor allem aber Finanzdienstleister, fassen unter dem Begriff Cross Border eine Vielzahl von Problemen zusammen. Die Medien hingegen setzen den Begriff weit weniger ein. Sie scheinen die Bedeutung von Cross Border beinahe exklusiv für den Steuerstreit mit den USA zu verwenden. Doch Cross Border ist viel mehr als dieser eine Fall.

Der Begriff Cross Border Business bezeichnet grundsätzlich Geschäfte mit einer internationalen Ausrichtung. Es werden darunter grenzüberschreitende Geschäfte verstanden, welche die Ausfuhr einer Dienstleistung, den Verkauf eines Produktes im Ausland oder eine Anlage auf einem ausländischen regulierten Markt beinhalten. Hinsichtlich Banken spricht die FINMA zwar von grenzüberschreitenden Tätigkeiten im internationalen Privatkundengeschäft, jedoch ohne dabei eine genaue Begriffserklärung zu definieren.

Wenn man den Kontext rund um Cross Border nun etwas weiter und allgemeiner fassen möchte, muss man folgende Themen und Sicherheitsfelder berücksichtigen:

• Informationssicherheit
• Cross Border – Access Management (Vor allem Privileged-Access und Admins)
• Kundenvertraulichkeit / Personendatenvertraulichkeit
• Datenschutz
• Information Barriers / Chinese Wall
  • In der Geschäftswelt wird Chinese Wall als Metapher dafür benutzt, dass Unternehmen in der Praxis Abteilungen, Filialen und andere Ressourcen, die in unterschiedlichen Regionen unterschiedlicher Legislatur operieren, voneinander zu trennen. Damit kann es nicht zum Informationsaustausch kommen. Interessenskonflikte werden so einfach vermieden.
• Geschäftsgeheimnis
• Outsourcing
• Records Management

Bei all diesen Themen gibt es natürlich noch weitere Aspekte, wie auch andere Faktoren, die per se eine eigene tiefere Betrachtung verdienen würden und hier aber nur als Denkanstoss Erwähnung finden, da sonst der Rahmen des Artikel gesprengt würde.

Wichtige Vorgaben sind:

• Bankengesetz, BankG: Bundesgesetz über die Banken und Sparkassen (Artikel 47)
• Datenschutzgesetz DSG: Bundesgesetz über den Datenschutz (DSG)
• EU Directive 95/46/EC governing the protection of individuals with regard to the processing of personal data and the free movement of such data
• Finanzmarktaufsicht (FINMA) Rundschreiben 2008/07: Outsourcing Banken
• Finanzmarktaufsicht (FINMA) Rundschreiben 2008/21: Operationelle Risiken Banken / Anhang 3
• Finanzmarktaufsicht (FINMA) Positionspapier der FINMA zu den Rechts- und Reputationsrisiken im grenzüberschreitenden Finanzdienstleistungsgeschäft

Frühere Vorfälle mit folgenschweren Implikationen

Nebst der Diskussion um den Steuerstreit, hat es auch andere Vorfälle mit Implikationen für die Schweiz, im Zusammenhang mit Cross Border gegeben: Einige davon liegen schon Jahre zurück, waren aber für die Entwicklungen und Tendenzen der jüngsten Zeit von massgebender Tragweite, wenn auch in den Medien noch nicht so pointiert im Vordergrund sichtbar. Einen möchte ich kurz aufführen.

Nach den Terroranschlägen vom 11. September 2001 entwickelte das US-Finanzministerium das Terrorist Finance Tracking Program TFTP um Personen oder Organisationen, die terroristische Aktivitäten finanziell unterstützen, zu aufzuspüren und strafrechtlich zu verfolgen. Im Rahmen dieses Programms erliess das US-Finanzministerium unter anderem administrative Anordnungen auf Herausgabe von Daten an die Society for Worldwide Interbank Financial Telecommunication (SWIFT). Aufgrund dieser Anordnungen musste SWIFT ihre Transaktionsdaten dem Finanzministerium übermitteln, das sie scheinbar zum übergeordneten Zwecke der Terrorismusbekämpfung in Bezug auf verdächtige Personen oder Organisationen verwendet.

Durch Berichte der New York Times, wurde vor einigen Jahren bekannt, dass die SWIFT in den USA nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden übermitteln musste. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten, um unter dem Vorwand der Terrorismusbekämpfung Zugang zu SWIFT Transferdaten zu erlangen.

Diese Weitergabe der Transaktionsdaten durch die SWIFT hat auch das Bankgeheimnis der Schweiz so wie das Datenschutzgesetz (DSG) in zweifacher Hinsicht verletzt.

1. Die in der Schweiz ansässigen Finanzinstitute ihrer Informationspflicht gegenüber ihren Kunden nicht nachgekommen, indem sie es unterlassen haben, sie über eine Datenweitergabe durch die SWIFT beziehungsweise über die Möglichkeit einer solchen Weitergabe zu informieren.
2. Es erfolgte ein Datentransfer in ein Land mit einer anderen Auffassung von Datenschutz und Privatsphäre, so dass davon ausgegangen werden muss, dass dort Datenschutz nach Verständnis des schweizerischen Datenschutzgesetzes nicht gewährleistet ist.

Ende März 2008 gab SWIFT bekannt, in der Schweiz im Einzugsbereich von Zürich ein neues Rechenzentrum einzurichten um die europäischen Zahlungsverkehrsdaten netzwerktechnisch strikt von den USA zu trennen. Hierdurch sollen die europäischen Transaktionsdaten dem Zugriff der US-amerikanischen Behörden entzogen werden. Die Inbetriebnahme des neuen Rechenzentrums wurde plangemäss 2009 umgesetzt.

Unterschätzte Risiken

Im Schatten des Diskurses rund um die Steuerdebatte befinden sich aber noch ganz andere Problemfelder, die gerne ausser Acht gelassen werden, wenn man von Cross Border spricht.

Wenn im Kontext von Follow the Sun Administratoren rund um den Globus Zugriff auf zentrale Businessapplikationen und -infrastruktur in der Schweiz haben ergeben sich einige weniger populäre Cross-Border-Risiken. So kann nicht per se ausgeschlossen werden, dass unter Anwendung privilegierter Rechte von den USA aus Zugriffe auf Schweizer Business Applikationen und Kernsysteme und -daten stattfinden könnten.

Diese könnte sich auch die US-Regierung und deren Behörden zu Nutzen machen, um sich über diesen neuen Kanal potentiell auch Zugang zu Schweizer Geschäfts-, Kunden- und Mitarbeiterdaten zu verschaffen, indem sie ihre vermeintlich übergeordneten Interessen, vielleicht unter dem Vorwand des Terrorist Finance Tracking Programs, oder der Bekämpfung von Steuerdelikten, extraterritorial, ohne Rücksicht auf die lokalen Schweizer Gesetze, durchsetzen.

Kurzer Exkurs zu Follow the Sun: Weltweit operierende Unternehmen versuchen ihre Aussenstellen, die in mehreren Zeitzonen liegen, so zu organisieren, dass ein sogenannter _Follow-the-Sun_-Service gewährleistet werden kann, mit dem Ziel, 24 Stunden am Tag für die Kunden und die Erbringung von IT-Service-Aufgaben (Support / Administration etc.) erreichbar zu sein.

Unter dieser Betrachtungsweise ergeben sich folgende Risiken, falls bei den Follow-the-Sun Strategien privilegierte Berechtigungen auf Kernsysteme in die Schweiz beteiligt sind:

1. Verletzung lokaler Gesetze und Pflichten
   • Falls die US-Behörden an Schweizer Geschäfts-, Kunden- und Mitarbeiterdaten gelangen, könnten Informationen offengelegt werden, die zu einer Verletzung von Datenschutzbestimmungen und des Bankgeheimnisses in der Schweiz führen.
   • Da auch ein Zugriff auf personenbezogene Daten durch solche Admin-Zugriffe nicht ausgeschlossen werden kann, könnten auch personenbezogene Daten von Mitarbeitenden eingesehen werden.
   • Durch Law Enforcement und unter Berufung auf höhergestellte Interessen (wie zum Beispiel Terrorismusbekämpfung), verschafft sich die US-Regierung extraterritorial Zugang zu Daten, mittels Methoden, die hier auch als illegitim gelten könnten und somit gegen die Schweizerische Gesetzgebung verstossen. Darunter fällt auch der Aspekt der Lawful Interception oder auch Legal Interception, wonach Regierungen die Möglichkeit fordern und auch durchsetzen, dass Verbindungsinformation und Daten von Kommunikationsnetzwerken gemäss gesetzlicher Befugnis zum Zweck der Analyse oder als Beweismittel offengelegt werden müssen.
2. Verlust an Vertraulichkeit / Vertrauensverlust in den Standort Schweiz
   • Bereits das Bekanntwerden, solcher Praktiken, die Zugriffe auf zentrale Systeme, vertrauliche Informationen und Daten zulassen, wird ein erheblicher Reputationsschaden herbeigeführt, der das Vertrauen in Politik und Wirtschaft schwächt.
3. Politisch motivierte Attacken und Wirtschaftsspionage
   • Im Wirtschaftswettbewerb um die Spitzenposition der Finanzmärkte und der einzelnen Akteure untereinander könnten politisch motivierte Attacken über solche Kanäle stattfinden.
   • Die zentralen IT-Dienstleistungen von globalen Unternehmen, sind Eigenentwicklungen, so dass der Source-Code solcher kritischen Businessapplikationen ein sensitives Schutzobjekt darstellt.

Aufgrund der Territorialität ergibt sich die Situation, dass Schweizer Behörden das Bankengesetz, das Datenschutzgesetz und Geheimhaltungsvereinbarungen nur in der Schweiz durchsetzen können. Ein Dienstleister im Ausland kann nur auf vertraglicher Basis an die Verpflichtungen des Schweizer Bankkundengeheimnis und Datenschutz wie auch andere lokale Gesetze gebunden werden.

Das heisst sobald relevante Kunden- oder Personendaten aus der Schweiz ins Ausland transferiert wurden, kann durch dortige Gesetze verlangt werden, dass Kundendaten gegenüber den zuständigen Behörden offengelegt werden müssen. Kundendaten dürfen nicht ins Ausland transferiert werden, ohne zuvor mit angemessenen technischen und organisatorischen Massnahmen (Aggregation und Anonymisierung) sicherzustellen, dass die Einhaltung des Schweizer Bankkundengeheimnis und des Datenschutzes gewährleistet sind, und ein Rückschluss auf Kunden- oder Personendaten nicht möglich ist.

Eine Bekannt- oder Weitergabe von Personendaten umfasst daher insbesondere:

• die Auslagerung von Kunden – oder Personendaten auf einen von einem Dritten betriebenen oder im Ausland stehenden Server
• die Einräumung von Zugriffsrechten auf Daten
• die Weitergabe von uncodierten oder codierten aber decodierbaren Daten und Statistiken
• der Austausch von Datenlisten und Datenstatistiken
• die Systembetreuung, sofern damit ein Zugriff auf Kunden- und Personendaten verbunden ist.

Wenn eine schriftliche Zustimmung der betroffenen Kunden oder Personen zur Weitergabe der Daten vorliegt, ist die Weitergabe zulässig, sofern folgender Inhalt in der Zustimmungserklärung zu finden ist:

• Grund des Transfers
• Unmissverständliche Einwilligung, dass Daten transferiert werden
• Identität des Dritten
• Explizite Zustimmung zum Datentransfer ins Ausland.

Die von der betroffenen Kunden/Person unterzeichnete Zustimmungserklärung sollte, soweit eine solche nicht bereits in den massgeblichen Verträgen enthalten ist, als Formalität archiviert werden.

Weiter zu bedenken

• Vertrauliche Informationen (von Kunden, Mitarbeitern oder Dritten) müssen immer streng vertraulich behandelt werden.
• Transparenz in Bezug auf Geschäfts-, Rechts- und regulatorischen Anforderungen und Risiken sowie eine frühe Einbindung von Experten sind für die angemessene und rechtmässige Handhabung und Verarbeitung sensibler Daten von zentraler Bedeutung.

Die regulatorische Komplexität von geschäftlicher Tätigkeit mit Cross Border Aspekten liegt mitunter darin begründet, dass nicht nur die eigenen Vorschriften (wie zum Beispiel der FINMA) einzuhalten sind, sondern verstärkt auch die Vorgaben der lokalen Aufsichtsbehörden im Ziel- und im Kundenland.

Wenn also eine Bank in der Schweiz heute ausländische Vermögen verwalten will, muss sie nicht nur die Schweizer Gesetze berücksichtigen und einhalten, sondern auch die Legislaturen der Länder, aus denen ihre Kunden stammen. Bei Verstössen drohen dann Strafverfahren. Daher sieht die FINMA in diesen ausländischen Vorschriften ein erhebliches Potential als Ursache von Rechts- und Reputationsrisiken. Aus der Perspektive der FINMA ist es, in Anbetracht der Geschehnisse der jüngsten Zeit daher unerlässlich, dass die Finanzdienstleister ihre _Cross-Border_-Geschäfte einer fundierten Analyse aller Rahmenbedingungen unterziehen und die damit verbundenen Risiken erörtern, inklusive einer Anpassung von Prozessen und der IT. Die tatsächlichen _Cross-Border_-Aktivitäten der Finanzdienstleister sind auf ihre Compliance hin zu prüfen. Die damit verbundenen Risiken sollen erfasst, begrenzt und mittels Risikoframework kontrolliert werden. Es soll nicht nur einseitig dem bekannten und breit diskutierten _Cross-Border_-Vermögensverwaltungsgeschäft grosse Beachtung geschenkt werden, ein gleichwertiger Fokus ist auch auf den grenzüberschreitenden Zahlungsverkehr zu richten, wie auch auf die ganz allgemeine Aspekte des Datenschutzes, der Vertraulichkeit und Privatsphäre.

• Legal & Compliance und IT Security müssen über die geltenden örtlichen Vorschriften und Sicherheitsvorkehrungen Bescheid wissen und Auskunft geben können. Awareness und Schulungen zum Datenschutz und zur Vertraulichkeit von sensitiven Daten von Kunden, Mitarbeiter oder Dritten müssen entsprechend durchgeführt werden.
• Kundenzustimmung, falls verfügbar, ist zwingend notwendig, wenn
  • Cross Border / Cross Entity Übertragung vertraulicher Informationen stattfinden soll
  • Cross Border / Cross Entity Unternehmenszugang zu sensiblen Informationen / Systeme gewährleistet werden soll und gesetzliche oder vertragliche Geheimhaltungspflichten gelten
• Wenn möglich, sollen aggregierte, konsolidierte Daten verwendet werden, die grenzübergreifend und Cross Entity ohne Verstösse gegen gesetzliche oder vertragliche Geheimhaltungspflichten übertragen werden können.
• Für Regionalmanagement und Aufsichtszwecke kann abhängig vom Need-to-Know der Funktionen ein Zugriff auf bestimmte sensitive Informationen vor Ort (on-Site) ermöglicht werden, aber keine grenzüberschreitenden Informationsaustausch, sowie kein grenzüberschreitender privilegierter Zugriff auf sensitive Systeme wenn gesetzliche oder vertragliche Geheimhaltungspflichten gelten (Ausnahme: aggregiert, konsolidiert oder anonymisierter Daten mit Einwilligung der betroffenen Kunden / Personen).

Einige Aspekte zu Cross Border und Outsourcing

Im Zusammenhang mit Cross Border und Outsourcing ergeben sich Szenarien für die grenzüberschreitende Übertragung oder den Zugang zu Schweizer Daten, abhängig vom Service Provider und dem Outsourcing- Unternehmen:

• Internal: Service Provider gehört dem Konzern
• Domestic: Outsourcing-Unternehmen und Service-Provider sind beide entweder in der Schweiz oder in Regionen für die das Outsourcing Rundschreiben der FINMA gilt.
• External: Service Provider gehört nicht dem Konzern an.
• Cross-Border: Outsourcing-Unternehmen und Service-Provider befinden sich nicht im gleichen Land.

Bezüglich der Daten ergeben sich vier Fälle

1. Cross Border / Cross Entity Prozesse umfassen keine Kunden- / Personendaten (unproblematisch: kein Vertraulichkeitsproblem damit verbunden)
2. Aggregierte, konsolidierte Daten: Kein Individuelle Rückschlüsse möglich auch anhand zusätzlicher sekundärer Daten, kann die Identität der Kunden nicht abgeleitet werden (Industrie- und Ländercodes, Informationen mittels Internet oder im Besitz eines Dritten oder Behörden…). Ist ein Rückschluss anhand der sekundären Daten möglich besteht ein Vertraulichkeitsproblem, andernfalls nicht.
3. Anonymisierte (maskierte) Kundendaten: Sind Best-Practices für Anonymisierung berücksichtigt? Das Schlüsselmanagement muss in der Schweiz stattfinden. Das Demaskieren am Zielort ist nicht Bestandteil des Prozesses und kann ausgeschlossen werden. Es muss ausgeschlossen werden, dass maskierte Daten anhand von zusätzlicher, sekundärer Information soweit aufgedeckt werden können, dass die Kundenidentität offenbart wird. Es muss Überprüft werden, ob zusätzliche Massnahmen nötig sind, um die Kundenidentität zu schützen.
4. Kundeneinwilligung nicht vorhanden: Keine Cross Border / Cross Entity Zugriff oder Transfer möglich.

Die wichtigsten Datenfelder, mit Kundendaten, die nicht verschlüsselt oder anonymisiert werden können, müssen so identifiziert und bewertet werden, dass sichergestellt werden kann, dass anhand dieser Felder kein Identitätsrückschluss möglich ist.

Fazit

Im Kontext von Cross Border war und ist aus internationaler Perspektive vor allem das Schweizer Bankkundengeheimnis ein auffälliges Ärgernis. Die Medien hätten differenzierter über die Ziele des Bankgeheimnisses berichten sollen. Denn nebst der – aus Sicht Dritter zurecht kritisierten – ungenügenden Amts- und Rechtshilfe bei Steuerhinterziehung, soll mit dem Bankgeheimnis auch völlig legitim die Privatsphäre von unbescholtenen Bankkunden geschützt werden.

Das gravierende Problem mit der Steuerhinterziehung wird nun mit dem Automatischen Informationsaustausch (AIA) mit dem Ausland, das von den teilnehmenden Mitgliedsländern der G20 und OECD bis 2017 (spätestens 2018) und weiteren wichtigen Finanzplätzen umgesetzt wird, angegangen. Der AIA ist ein Verfahren, das regelt, wie die Steuerbehörden der teilnehmenden Länder untereinander Daten über Bankkonten und Wertschriftendepots von Steuerpflichtigen austauschen. Ziel ist es, Steuerhinterziehung zu verunmöglichen. Siehe auch den Standard für den automatischen Informationsaustausch über Finanzkonten der OECD.

Die Problematik des Schutzes unserer Privatsphäre im Allgemeinen bleibt aber erhalten oder verschärft sich sogar. Denn die allgegenwärtige Kontrolle durch Geheimdienste (NSA Affäre) und die Datenspitzelei durch private Unternehmen, gegen die man im Einzelnen weitgehend machtlos ist, scheint mir besorgniserregend, besonders dann, wenn private und staatliche Überwachungen auch noch zunehmend Zusammenschmelzen (Big Data). Denn wenn demokratische Staaten die Privatsphäre ihrer Bürger nicht mehr wirksam schützen können oder wollen und eingriffe in die Privatsphäre nicht mehr rechtsstaatlich begründet und geregelt sind, dann sind bedeutende Aspekte eines Rechtsstaates eindeutig bedroht. Doch auch hier sind demokratisch gestützte Regulationen, um diesen relativ neuen Bedrohungsformen zu begegnen absehbar.

Es kann daher aus optimistischer Sicht davon ausgegangen werden, dass der Standort Schweiz auch nebst dem Bankgeheimnis viele wertvolle Vorteile bietet, die bei Kunden weiterhin sehr geschätzt sein werden und in Zukunft im internationalen Wettbewerb an Bedeutung gewinnen werden. Die traditionellen Stärken wie die politische und wirtschaftliche Stabilität, der Schutz von Privatsphäre und Eigentum, sowie der starke Franken, aber auch die hohe Qualität der Dienstleistungen, die Mehrsprachigkeit und die Diskretion bleiben wohl weiterhin sehr attraktiv.

Über den Autor

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

• http://en.wikipedia.org/wiki/Data_Protection_Directive
• http://en.wikipedia.org/wiki/Society_for_Worldwide_Interbank_Financial_Telecommunication
• http://en.wikipedia.org/wiki/Terrorist_Finance_Tracking_Program
• http://www.admin.ch/opc/de/classified-compilation/19340083/index.html
• http://www.admin.ch/opc/de/classified-compilation/19340083/index.html#a47
• http://www.admin.ch/opc/de/classified-compilation/19920153/index.html
• http://www.finma.ch/d/finma/publikationen/Documents/positionspapier_rechtsrisiken_d.pdf
• http://www.finma.ch/d/regulierung/Documents/finma-rs-2008-07.pdf
• http://www.finma.ch/d/regulierung/Documents/finma-rs-2008-21.pdf
• http://www.keepeek.com/Digital-Asset-Management/oecd/taxation/standard-for-automatic-exchange-of-financial-account-information-for-tax-matters_9789264216525-en#page11
• http://www.nytimes.com
• http://www.swissbanking.org/home/dossiers-link/aia.htm