Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Global agierende Firmen, vor allem aber Finanzdienstleister, fassen unter dem Begriff Cross Border eine Vielzahl von Problemen zusammen. Die Medien hingegen setzen den Begriff weit weniger ein. Sie scheinen die Bedeutung von Cross Border beinahe exklusiv für den Steuerstreit mit den USA zu verwenden. Doch Cross Border ist viel mehr als dieser eine Fall.
Der Begriff Cross Border Business bezeichnet grundsätzlich Geschäfte mit einer internationalen Ausrichtung. Es werden darunter grenzüberschreitende Geschäfte verstanden, welche die Ausfuhr einer Dienstleistung, den Verkauf eines Produktes im Ausland oder eine Anlage auf einem ausländischen regulierten Markt beinhalten. Hinsichtlich Banken spricht die FINMA zwar von grenzüberschreitenden Tätigkeiten im internationalen Privatkundengeschäft, jedoch ohne dabei eine genaue Begriffserklärung zu definieren.
Wenn man den Kontext rund um Cross Border nun etwas weiter und allgemeiner fassen möchte, muss man folgende Themen und Sicherheitsfelder berücksichtigen:
Bei all diesen Themen gibt es natürlich noch weitere Aspekte, wie auch andere Faktoren, die per se eine eigene tiefere Betrachtung verdienen würden und hier aber nur als Denkanstoss Erwähnung finden, da sonst der Rahmen des Artikel gesprengt würde.
Wichtige Vorgaben sind:
Nebst der Diskussion um den Steuerstreit, hat es auch andere Vorfälle mit Implikationen für die Schweiz, im Zusammenhang mit Cross Border gegeben: Einige davon liegen schon Jahre zurück, waren aber für die Entwicklungen und Tendenzen der jüngsten Zeit von massgebender Tragweite, wenn auch in den Medien noch nicht so pointiert im Vordergrund sichtbar. Einen möchte ich kurz aufführen.
Nach den Terroranschlägen vom 11. September 2001 entwickelte das US-Finanzministerium das Terrorist Finance Tracking Program TFTP um Personen oder Organisationen, die terroristische Aktivitäten finanziell unterstützen, zu aufzuspüren und strafrechtlich zu verfolgen. Im Rahmen dieses Programms erliess das US-Finanzministerium unter anderem administrative Anordnungen auf Herausgabe von Daten an die Society for Worldwide Interbank Financial Telecommunication (SWIFT). Aufgrund dieser Anordnungen musste SWIFT ihre Transaktionsdaten dem Finanzministerium übermitteln, das sie scheinbar zum übergeordneten Zwecke der Terrorismusbekämpfung in Bezug auf verdächtige Personen oder Organisationen verwendet.
Durch Berichte der New York Times, wurde vor einigen Jahren bekannt, dass die SWIFT in den USA nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden übermitteln musste. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten, um unter dem Vorwand der Terrorismusbekämpfung Zugang zu SWIFT Transferdaten zu erlangen.
Diese Weitergabe der Transaktionsdaten durch die SWIFT hat auch das Bankgeheimnis der Schweiz so wie das Datenschutzgesetz (DSG) in zweifacher Hinsicht verletzt.
Ende März 2008 gab SWIFT bekannt, in der Schweiz im Einzugsbereich von Zürich ein neues Rechenzentrum einzurichten um die europäischen Zahlungsverkehrsdaten netzwerktechnisch strikt von den USA zu trennen. Hierdurch sollen die europäischen Transaktionsdaten dem Zugriff der US-amerikanischen Behörden entzogen werden. Die Inbetriebnahme des neuen Rechenzentrums wurde plangemäss 2009 umgesetzt.
Im Schatten des Diskurses rund um die Steuerdebatte befinden sich aber noch ganz andere Problemfelder, die gerne ausser Acht gelassen werden, wenn man von Cross Border spricht.
Wenn im Kontext von Follow the Sun Administratoren rund um den Globus Zugriff auf zentrale Businessapplikationen und -infrastruktur in der Schweiz haben ergeben sich einige weniger populäre Cross-Border-Risiken. So kann nicht per se ausgeschlossen werden, dass unter Anwendung privilegierter Rechte von den USA aus Zugriffe auf Schweizer Business Applikationen und Kernsysteme und -daten stattfinden könnten.
Diese könnte sich auch die US-Regierung und deren Behörden zu Nutzen machen, um sich über diesen neuen Kanal potentiell auch Zugang zu Schweizer Geschäfts-, Kunden- und Mitarbeiterdaten zu verschaffen, indem sie ihre vermeintlich übergeordneten Interessen, vielleicht unter dem Vorwand des Terrorist Finance Tracking Programs, oder der Bekämpfung von Steuerdelikten, extraterritorial, ohne Rücksicht auf die lokalen Schweizer Gesetze, durchsetzen.
Kurzer Exkurs zu Follow the Sun: Weltweit operierende Unternehmen versuchen ihre Aussenstellen, die in mehreren Zeitzonen liegen, so zu organisieren, dass ein sogenannter _Follow-the-Sun_-Service gewährleistet werden kann, mit dem Ziel, 24 Stunden am Tag für die Kunden und die Erbringung von IT-Service-Aufgaben (Support / Administration etc.) erreichbar zu sein.
Unter dieser Betrachtungsweise ergeben sich folgende Risiken, falls bei den Follow-the-Sun Strategien privilegierte Berechtigungen auf Kernsysteme in die Schweiz beteiligt sind:
Aufgrund der Territorialität ergibt sich die Situation, dass Schweizer Behörden das Bankengesetz, das Datenschutzgesetz und Geheimhaltungsvereinbarungen nur in der Schweiz durchsetzen können. Ein Dienstleister im Ausland kann nur auf vertraglicher Basis an die Verpflichtungen des Schweizer Bankkundengeheimnis und Datenschutz wie auch andere lokale Gesetze gebunden werden.
Das heisst sobald relevante Kunden- oder Personendaten aus der Schweiz ins Ausland transferiert wurden, kann durch dortige Gesetze verlangt werden, dass Kundendaten gegenüber den zuständigen Behörden offengelegt werden müssen. Kundendaten dürfen nicht ins Ausland transferiert werden, ohne zuvor mit angemessenen technischen und organisatorischen Massnahmen (Aggregation und Anonymisierung) sicherzustellen, dass die Einhaltung des Schweizer Bankkundengeheimnis und des Datenschutzes gewährleistet sind, und ein Rückschluss auf Kunden- oder Personendaten nicht möglich ist.
Eine Bekannt- oder Weitergabe von Personendaten umfasst daher insbesondere:
Wenn eine schriftliche Zustimmung der betroffenen Kunden oder Personen zur Weitergabe der Daten vorliegt, ist die Weitergabe zulässig, sofern folgender Inhalt in der Zustimmungserklärung zu finden ist:
Die von der betroffenen Kunden/Person unterzeichnete Zustimmungserklärung sollte, soweit eine solche nicht bereits in den massgeblichen Verträgen enthalten ist, als Formalität archiviert werden.
Weiter zu bedenken
Die regulatorische Komplexität von geschäftlicher Tätigkeit mit Cross Border Aspekten liegt mitunter darin begründet, dass nicht nur die eigenen Vorschriften (wie zum Beispiel der FINMA) einzuhalten sind, sondern verstärkt auch die Vorgaben der lokalen Aufsichtsbehörden im Ziel- und im Kundenland.
Wenn also eine Bank in der Schweiz heute ausländische Vermögen verwalten will, muss sie nicht nur die Schweizer Gesetze berücksichtigen und einhalten, sondern auch die Legislaturen der Länder, aus denen ihre Kunden stammen. Bei Verstössen drohen dann Strafverfahren. Daher sieht die FINMA in diesen ausländischen Vorschriften ein erhebliches Potential als Ursache von Rechts- und Reputationsrisiken. Aus der Perspektive der FINMA ist es, in Anbetracht der Geschehnisse der jüngsten Zeit daher unerlässlich, dass die Finanzdienstleister ihre _Cross-Border_-Geschäfte einer fundierten Analyse aller Rahmenbedingungen unterziehen und die damit verbundenen Risiken erörtern, inklusive einer Anpassung von Prozessen und der IT. Die tatsächlichen _Cross-Border_-Aktivitäten der Finanzdienstleister sind auf ihre Compliance hin zu prüfen. Die damit verbundenen Risiken sollen erfasst, begrenzt und mittels Risikoframework kontrolliert werden. Es soll nicht nur einseitig dem bekannten und breit diskutierten _Cross-Border_-Vermögensverwaltungsgeschäft grosse Beachtung geschenkt werden, ein gleichwertiger Fokus ist auch auf den grenzüberschreitenden Zahlungsverkehr zu richten, wie auch auf die ganz allgemeine Aspekte des Datenschutzes, der Vertraulichkeit und Privatsphäre.
Im Zusammenhang mit Cross Border und Outsourcing ergeben sich Szenarien für die grenzüberschreitende Übertragung oder den Zugang zu Schweizer Daten, abhängig vom Service Provider und dem Outsourcing- Unternehmen:
Bezüglich der Daten ergeben sich vier Fälle
Die wichtigsten Datenfelder, mit Kundendaten, die nicht verschlüsselt oder anonymisiert werden können, müssen so identifiziert und bewertet werden, dass sichergestellt werden kann, dass anhand dieser Felder kein Identitätsrückschluss möglich ist.
Im Kontext von Cross Border war und ist aus internationaler Perspektive vor allem das Schweizer Bankkundengeheimnis ein auffälliges Ärgernis. Die Medien hätten differenzierter über die Ziele des Bankgeheimnisses berichten sollen. Denn nebst der – aus Sicht Dritter zurecht kritisierten – ungenügenden Amts- und Rechtshilfe bei Steuerhinterziehung, soll mit dem Bankgeheimnis auch völlig legitim die Privatsphäre von unbescholtenen Bankkunden geschützt werden.
Das gravierende Problem mit der Steuerhinterziehung wird nun mit dem Automatischen Informationsaustausch (AIA) mit dem Ausland, das von den teilnehmenden Mitgliedsländern der G20 und OECD bis 2017 (spätestens 2018) und weiteren wichtigen Finanzplätzen umgesetzt wird, angegangen. Der AIA ist ein Verfahren, das regelt, wie die Steuerbehörden der teilnehmenden Länder untereinander Daten über Bankkonten und Wertschriftendepots von Steuerpflichtigen austauschen. Ziel ist es, Steuerhinterziehung zu verunmöglichen. Siehe auch den Standard für den automatischen Informationsaustausch über Finanzkonten der OECD.
Die Problematik des Schutzes unserer Privatsphäre im Allgemeinen bleibt aber erhalten oder verschärft sich sogar. Denn die allgegenwärtige Kontrolle durch Geheimdienste (NSA Affäre) und die Datenspitzelei durch private Unternehmen, gegen die man im Einzelnen weitgehend machtlos ist, scheint mir besorgniserregend, besonders dann, wenn private und staatliche Überwachungen auch noch zunehmend Zusammenschmelzen (Big Data). Denn wenn demokratische Staaten die Privatsphäre ihrer Bürger nicht mehr wirksam schützen können oder wollen und eingriffe in die Privatsphäre nicht mehr rechtsstaatlich begründet und geregelt sind, dann sind bedeutende Aspekte eines Rechtsstaates eindeutig bedroht. Doch auch hier sind demokratisch gestützte Regulationen, um diesen relativ neuen Bedrohungsformen zu begegnen absehbar.
Es kann daher aus optimistischer Sicht davon ausgegangen werden, dass der Standort Schweiz auch nebst dem Bankgeheimnis viele wertvolle Vorteile bietet, die bei Kunden weiterhin sehr geschätzt sein werden und in Zukunft im internationalen Wettbewerb an Bedeutung gewinnen werden. Die traditionellen Stärken wie die politische und wirtschaftliche Stabilität, der Schutz von Privatsphäre und Eigentum, sowie der starke Franken, aber auch die hohe Qualität der Dienstleistungen, die Mehrsprachigkeit und die Diskretion bleiben wohl weiterhin sehr attraktiv.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!