Gedanken zum Begriff Cross Border und verwandte Themen

Gedanken zum Begriff Cross Border und verwandte Themen

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 14 Minuten

Global agierende Firmen, vor allem aber Finanzdienstleister, fassen unter dem Begriff Cross Border eine Vielzahl von Problemen zusammen. Die Medien hingegen setzen den Begriff weit weniger ein. Sie scheinen die Bedeutung von Cross Border beinahe exklusiv für den Steuerstreit mit den USA zu verwenden. Doch Cross Border ist viel mehr als dieser eine Fall.

Der Begriff Cross Border Business bezeichnet grundsätzlich Geschäfte mit einer internationalen Ausrichtung. Es werden darunter grenzüberschreitende Geschäfte verstanden, welche die Ausfuhr einer Dienstleistung, den Verkauf eines Produktes im Ausland oder eine Anlage auf einem ausländischen regulierten Markt beinhalten. Hinsichtlich Banken spricht die FINMA zwar von grenzüberschreitenden Tätigkeiten im internationalen Privatkundengeschäft, jedoch ohne dabei eine genaue Begriffserklärung zu definieren.

Wenn man den Kontext rund um Cross Border nun etwas weiter und allgemeiner fassen möchte, muss man folgende Themen und Sicherheitsfelder berücksichtigen:

Bei all diesen Themen gibt es natürlich noch weitere Aspekte, wie auch andere Faktoren, die per se eine eigene tiefere Betrachtung verdienen würden und hier aber nur als Denkanstoss Erwähnung finden, da sonst der Rahmen des Artikel gesprengt würde.

Wichtige Vorgaben sind:

Frühere Vorfälle mit folgenschweren Implikationen

Nebst der Diskussion um den Steuerstreit, hat es auch andere Vorfälle mit Implikationen für die Schweiz, im Zusammenhang mit Cross Border gegeben: Einige davon liegen schon Jahre zurück, waren aber für die Entwicklungen und Tendenzen der jüngsten Zeit von massgebender Tragweite, wenn auch in den Medien noch nicht so pointiert im Vordergrund sichtbar. Einen möchte ich kurz aufführen.

Nach den Terroranschlägen vom 11. September 2001 entwickelte das US-Finanzministerium das Terrorist Finance Tracking Program TFTP um Personen oder Organisationen, die terroristische Aktivitäten finanziell unterstützen, zu aufzuspüren und strafrechtlich zu verfolgen. Im Rahmen dieses Programms erliess das US-Finanzministerium unter anderem administrative Anordnungen auf Herausgabe von Daten an die Society for Worldwide Interbank Financial Telecommunication (SWIFT). Aufgrund dieser Anordnungen musste SWIFT ihre Transaktionsdaten dem Finanzministerium übermitteln, das sie scheinbar zum übergeordneten Zwecke der Terrorismusbekämpfung in Bezug auf verdächtige Personen oder Organisationen verwendet.

Durch Berichte der New York Times, wurde vor einigen Jahren bekannt, dass die SWIFT in den USA nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden übermitteln musste. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten, um unter dem Vorwand der Terrorismusbekämpfung Zugang zu SWIFT Transferdaten zu erlangen.

Diese Weitergabe der Transaktionsdaten durch die SWIFT hat auch das Bankgeheimnis der Schweiz so wie das Datenschutzgesetz (DSG) in zweifacher Hinsicht verletzt.

  1. Die in der Schweiz ansässigen Finanzinstitute ihrer Informationspflicht gegenüber ihren Kunden nicht nachgekommen, indem sie es unterlassen haben, sie über eine Datenweitergabe durch die SWIFT beziehungsweise über die Möglichkeit einer solchen Weitergabe zu informieren.
  2. Es erfolgte ein Datentransfer in ein Land mit einer anderen Auffassung von Datenschutz und Privatsphäre, so dass davon ausgegangen werden muss, dass dort Datenschutz nach Verständnis des schweizerischen Datenschutzgesetzes nicht gewährleistet ist.

Ende März 2008 gab SWIFT bekannt, in der Schweiz im Einzugsbereich von Zürich ein neues Rechenzentrum einzurichten um die europäischen Zahlungsverkehrsdaten netzwerktechnisch strikt von den USA zu trennen. Hierdurch sollen die europäischen Transaktionsdaten dem Zugriff der US-amerikanischen Behörden entzogen werden. Die Inbetriebnahme des neuen Rechenzentrums wurde plangemäss 2009 umgesetzt.

Unterschätzte Risiken

Im Schatten des Diskurses rund um die Steuerdebatte befinden sich aber noch ganz andere Problemfelder, die gerne ausser Acht gelassen werden, wenn man von Cross Border spricht.

Wenn im Kontext von Follow the Sun Administratoren rund um den Globus Zugriff auf zentrale Businessapplikationen und -infrastruktur in der Schweiz haben ergeben sich einige weniger populäre Cross-Border-Risiken. So kann nicht per se ausgeschlossen werden, dass unter Anwendung privilegierter Rechte von den USA aus Zugriffe auf Schweizer Business Applikationen und Kernsysteme und -daten stattfinden könnten.

Diese könnte sich auch die US-Regierung und deren Behörden zu Nutzen machen, um sich über diesen neuen Kanal potentiell auch Zugang zu Schweizer Geschäfts-, Kunden- und Mitarbeiterdaten zu verschaffen, indem sie ihre vermeintlich übergeordneten Interessen, vielleicht unter dem Vorwand des Terrorist Finance Tracking Programs, oder der Bekämpfung von Steuerdelikten, extraterritorial, ohne Rücksicht auf die lokalen Schweizer Gesetze, durchsetzen.

Kurzer Exkurs zu Follow the Sun: Weltweit operierende Unternehmen versuchen ihre Aussenstellen, die in mehreren Zeitzonen liegen, so zu organisieren, dass ein sogenannter _Follow-the-Sun_-Service gewährleistet werden kann, mit dem Ziel, 24 Stunden am Tag für die Kunden und die Erbringung von IT-Service-Aufgaben (Support / Administration etc.) erreichbar zu sein.

Unter dieser Betrachtungsweise ergeben sich folgende Risiken, falls bei den Follow-the-Sun Strategien privilegierte Berechtigungen auf Kernsysteme in die Schweiz beteiligt sind:

  1. Verletzung lokaler Gesetze und Pflichten
    • Falls die US-Behörden an Schweizer Geschäfts-, Kunden- und Mitarbeiterdaten gelangen, könnten Informationen offengelegt werden, die zu einer Verletzung von Datenschutzbestimmungen und des Bankgeheimnisses in der Schweiz führen.
    • Da auch ein Zugriff auf personenbezogene Daten durch solche Admin-Zugriffe nicht ausgeschlossen werden kann, könnten auch personenbezogene Daten von Mitarbeitenden eingesehen werden.
    • Durch Law Enforcement und unter Berufung auf höhergestellte Interessen (wie zum Beispiel Terrorismusbekämpfung), verschafft sich die US-Regierung extraterritorial Zugang zu Daten, mittels Methoden, die hier auch als illegitim gelten könnten und somit gegen die Schweizerische Gesetzgebung verstossen. Darunter fällt auch der Aspekt der Lawful Interception oder auch Legal Interception, wonach Regierungen die Möglichkeit fordern und auch durchsetzen, dass Verbindungsinformation und Daten von Kommunikationsnetzwerken gemäss gesetzlicher Befugnis zum Zweck der Analyse oder als Beweismittel offengelegt werden müssen.
  2. Verlust an Vertraulichkeit / Vertrauensverlust in den Standort Schweiz
    • Bereits das Bekanntwerden, solcher Praktiken, die Zugriffe auf zentrale Systeme, vertrauliche Informationen und Daten zulassen, wird ein erheblicher Reputationsschaden herbeigeführt, der das Vertrauen in Politik und Wirtschaft schwächt.
  3. Politisch motivierte Attacken und Wirtschaftsspionage
    • Im Wirtschaftswettbewerb um die Spitzenposition der Finanzmärkte und der einzelnen Akteure untereinander könnten politisch motivierte Attacken über solche Kanäle stattfinden.
    • Die zentralen IT-Dienstleistungen von globalen Unternehmen, sind Eigenentwicklungen, so dass der Source-Code solcher kritischen Businessapplikationen ein sensitives Schutzobjekt darstellt.

Aufgrund der Territorialität ergibt sich die Situation, dass Schweizer Behörden das Bankengesetz, das Datenschutzgesetz und Geheimhaltungsvereinbarungen nur in der Schweiz durchsetzen können. Ein Dienstleister im Ausland kann nur auf vertraglicher Basis an die Verpflichtungen des Schweizer Bankkundengeheimnis und Datenschutz wie auch andere lokale Gesetze gebunden werden.

Das heisst sobald relevante Kunden- oder Personendaten aus der Schweiz ins Ausland transferiert wurden, kann durch dortige Gesetze verlangt werden, dass Kundendaten gegenüber den zuständigen Behörden offengelegt werden müssen. Kundendaten dürfen nicht ins Ausland transferiert werden, ohne zuvor mit angemessenen technischen und organisatorischen Massnahmen (Aggregation und Anonymisierung) sicherzustellen, dass die Einhaltung des Schweizer Bankkundengeheimnis und des Datenschutzes gewährleistet sind, und ein Rückschluss auf Kunden- oder Personendaten nicht möglich ist.

Eine Bekannt- oder Weitergabe von Personendaten umfasst daher insbesondere:

Wenn eine schriftliche Zustimmung der betroffenen Kunden oder Personen zur Weitergabe der Daten vorliegt, ist die Weitergabe zulässig, sofern folgender Inhalt in der Zustimmungserklärung zu finden ist:

Die von der betroffenen Kunden/Person unterzeichnete Zustimmungserklärung sollte, soweit eine solche nicht bereits in den massgeblichen Verträgen enthalten ist, als Formalität archiviert werden.

Weiter zu bedenken

Die regulatorische Komplexität von geschäftlicher Tätigkeit mit Cross Border Aspekten liegt mitunter darin begründet, dass nicht nur die eigenen Vorschriften (wie zum Beispiel der FINMA) einzuhalten sind, sondern verstärkt auch die Vorgaben der lokalen Aufsichtsbehörden im Ziel- und im Kundenland.

Wenn also eine Bank in der Schweiz heute ausländische Vermögen verwalten will, muss sie nicht nur die Schweizer Gesetze berücksichtigen und einhalten, sondern auch die Legislaturen der Länder, aus denen ihre Kunden stammen. Bei Verstössen drohen dann Strafverfahren. Daher sieht die FINMA in diesen ausländischen Vorschriften ein erhebliches Potential als Ursache von Rechts- und Reputationsrisiken. Aus der Perspektive der FINMA ist es, in Anbetracht der Geschehnisse der jüngsten Zeit daher unerlässlich, dass die Finanzdienstleister ihre _Cross-Border_-Geschäfte einer fundierten Analyse aller Rahmenbedingungen unterziehen und die damit verbundenen Risiken erörtern, inklusive einer Anpassung von Prozessen und der IT. Die tatsächlichen _Cross-Border_-Aktivitäten der Finanzdienstleister sind auf ihre Compliance hin zu prüfen. Die damit verbundenen Risiken sollen erfasst, begrenzt und mittels Risikoframework kontrolliert werden. Es soll nicht nur einseitig dem bekannten und breit diskutierten _Cross-Border_-Vermögensverwaltungsgeschäft grosse Beachtung geschenkt werden, ein gleichwertiger Fokus ist auch auf den grenzüberschreitenden Zahlungsverkehr zu richten, wie auch auf die ganz allgemeine Aspekte des Datenschutzes, der Vertraulichkeit und Privatsphäre.

Einige Aspekte zu Cross Border und Outsourcing

Im Zusammenhang mit Cross Border und Outsourcing ergeben sich Szenarien für die grenzüberschreitende Übertragung oder den Zugang zu Schweizer Daten, abhängig vom Service Provider und dem Outsourcing- Unternehmen:

Bezüglich der Daten ergeben sich vier Fälle

  1. Cross Border / Cross Entity Prozesse umfassen keine Kunden- / Personendaten (unproblematisch: kein Vertraulichkeitsproblem damit verbunden)
  2. Aggregierte, konsolidierte Daten: Kein Individuelle Rückschlüsse möglich auch anhand zusätzlicher sekundärer Daten, kann die Identität der Kunden nicht abgeleitet werden (Industrie- und Ländercodes, Informationen mittels Internet oder im Besitz eines Dritten oder Behörden…). Ist ein Rückschluss anhand der sekundären Daten möglich besteht ein Vertraulichkeitsproblem, andernfalls nicht.
  3. Anonymisierte (maskierte) Kundendaten: Sind Best-Practices für Anonymisierung berücksichtigt? Das Schlüsselmanagement muss in der Schweiz stattfinden. Das Demaskieren am Zielort ist nicht Bestandteil des Prozesses und kann ausgeschlossen werden. Es muss ausgeschlossen werden, dass maskierte Daten anhand von zusätzlicher, sekundärer Information soweit aufgedeckt werden können, dass die Kundenidentität offenbart wird. Es muss Überprüft werden, ob zusätzliche Massnahmen nötig sind, um die Kundenidentität zu schützen.
  4. Kundeneinwilligung nicht vorhanden: Keine Cross Border / Cross Entity Zugriff oder Transfer möglich.

Die wichtigsten Datenfelder, mit Kundendaten, die nicht verschlüsselt oder anonymisiert werden können, müssen so identifiziert und bewertet werden, dass sichergestellt werden kann, dass anhand dieser Felder kein Identitätsrückschluss möglich ist.

Fazit

Im Kontext von Cross Border war und ist aus internationaler Perspektive vor allem das Schweizer Bankkundengeheimnis ein auffälliges Ärgernis. Die Medien hätten differenzierter über die Ziele des Bankgeheimnisses berichten sollen. Denn nebst der – aus Sicht Dritter zurecht kritisierten – ungenügenden Amts- und Rechtshilfe bei Steuerhinterziehung, soll mit dem Bankgeheimnis auch völlig legitim die Privatsphäre von unbescholtenen Bankkunden geschützt werden.

Das gravierende Problem mit der Steuerhinterziehung wird nun mit dem Automatischen Informationsaustausch (AIA) mit dem Ausland, das von den teilnehmenden Mitgliedsländern der G20 und OECD bis 2017 (spätestens 2018) und weiteren wichtigen Finanzplätzen umgesetzt wird, angegangen. Der AIA ist ein Verfahren, das regelt, wie die Steuerbehörden der teilnehmenden Länder untereinander Daten über Bankkonten und Wertschriftendepots von Steuerpflichtigen austauschen. Ziel ist es, Steuerhinterziehung zu verunmöglichen. Siehe auch den Standard für den automatischen Informationsaustausch über Finanzkonten der OECD.

Die Problematik des Schutzes unserer Privatsphäre im Allgemeinen bleibt aber erhalten oder verschärft sich sogar. Denn die allgegenwärtige Kontrolle durch Geheimdienste (NSA Affäre) und die Datenspitzelei durch private Unternehmen, gegen die man im Einzelnen weitgehend machtlos ist, scheint mir besorgniserregend, besonders dann, wenn private und staatliche Überwachungen auch noch zunehmend Zusammenschmelzen (Big Data). Denn wenn demokratische Staaten die Privatsphäre ihrer Bürger nicht mehr wirksam schützen können oder wollen und eingriffe in die Privatsphäre nicht mehr rechtsstaatlich begründet und geregelt sind, dann sind bedeutende Aspekte eines Rechtsstaates eindeutig bedroht. Doch auch hier sind demokratisch gestützte Regulationen, um diesen relativ neuen Bedrohungsformen zu begegnen absehbar.

Es kann daher aus optimistischer Sicht davon ausgegangen werden, dass der Standort Schweiz auch nebst dem Bankgeheimnis viele wertvolle Vorteile bietet, die bei Kunden weiterhin sehr geschätzt sein werden und in Zukunft im internationalen Wettbewerb an Bedeutung gewinnen werden. Die traditionellen Stärken wie die politische und wirtschaftliche Stabilität, der Schutz von Privatsphäre und Eigentum, sowie der starke Franken, aber auch die hohe Qualität der Dienstleistungen, die Mehrsprachigkeit und die Diskretion bleiben wohl weiterhin sehr attraktiv.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Links

Herausforderung Datenschutz-Grundverordnung DSGVO?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv