Geheimhaltung trotz Vernetzung

Kunden einer Bank erwarten von dieser Diskretion. Sie hat die Privatsphäre ihrer Klientel in Finanzangelegenheiten zu schützen und
ist dementsprechend zur Verschwiegenheit verpflichtet. Die Einhaltung des Bankkundengeheimnisses ist heute allerdings nicht nur eine moralische Pflicht, sondern auch eine gesetzliche: Eine Verletzung des Bankkundengeheimnisses kann mit bis zu 6 Monaten Gefängnis oder Geldbusse bis zu 50'000 Franken bestraft werden, und auch die fahrlässige Verletzung kann geahndet werden. Ergänzt wird das Bankkundengeheimnis durch Regelungen des Datenschutzgesetzes, die etwa im Falle eines Exports von Kundendaten Meldepflichten vorsehen oder festhalten, dass Kundendaten (und andere Personendaten) nicht zu Zwecken verwendet werden dürfen, die bei der Beschaffung nicht erkennbar waren.

Für die Informatik einer Schweizer Bank bedeutet dies, dass sie all jene Systeme, auf denen Kundendaten verarbeitet werden, so sichern muss, dass sie vor unbefugtem Zugreifen, Kopieren, Ändern und anderen unerlaubten Bearbeitungen geschützt sind und ebenso vor unbefugtem oder zufälligem Verlust. Diese Aufgabe lässt sich heute in zentral verwalteten, auf die Schweiz beschränkten und gegen aussen mehr oder weniger verschlossenen Bankbetrieben mit den klassischen Instrumenten der IT-Sicherheit gut und zuverlässig erfüllen.
Doch solche überblickbaren Verhältnisse sind je länger je mehr eine Illusion. Banken lagern immer häufiger den Betrieb von IT-Systemen und andere Aufgaben an Drittunternehmen aus, auch im Ausland. Manche Banken in der Schweiz sind Teil international tätiger Finanzkonzerne, die ebenfalls miteinander Kundendaten austauschen wollen und müssen. Dabei geht es keineswegs nur um den Schutz von Kundendaten vor dem Datendieb.

Verschlüsselung der Kundendaten

Ausländische Behörden als Hauptrisiko

Ebenso wichtig ist heute aus Schweizer Sicht der Schutz von Kundendaten vor ausländischen Behörden, die zum Beispiel mehr über die Schweizer Bankaktivitäten ihrer Steuerzahler wissen möchten. Sie sind ein Risiko, weil sie auf ihrem Hoheitsgebiet jeden zwingen können, die ihm zugänglichen Daten offenzulegen. Befinden sich also im US-Rechenzentrum eines Outsourcing-Providers Kundendaten einer Schweizer Bank in einer Form, auf die der Provider selbst zugreifen kann, können dies die US-Behörden auch. Dabei sind gegenteilige vertragliche Zusicherungen des Providers ebenso irrelevant wie der Aufwand zur technischen «Extraktion» der Daten.
Da der Schutz von Kundendaten vor solchen (aus Schweizer Sicht) unbefugten Zugriffen für den Ruf einer Bank in der Schweiz von erheblicher geschäftlicher Bedeutung ist, wird entsprechend viel in den Schutz investiert.

Beschränkte Wirkung rein rechtlicher «Lösungen»

Hinzu kommen die möglichen straf- und zivilrechtlichen Folgen von Verstössen gegen das Bankkundengeheimnis und den Datenschutz. Dabei schützt auch das «Kleingedruckte» in den Kundenverträgen die Banken wegen gesetzlichen Sonderbestimmungen nicht wirklich.
Rechtlich lässt sich diese Problemstellung bei Lichte betrachtet nur teilweise befriedigend lösen. Der einfachste Weg ist jener zum Kunden: Entbindet der Kunde die Bank vom Bankkundengeheimnis, kann es in diesem Umfange nicht mehr verletzt werden. Dasselbe gilt im Bereich des Datenschutzes: Mit einer gültigen Einwilligung des Betroffenen darf auch eine Bank gegen die Grundsätze des Datenschutzgesetzes verstossen. Weitreichende Einwilligungen sind aber in der Regel kein Thema, denn eine Schweizer Bank wird von ihren Kunden schon aus geschäftspolitischen Gründen nicht verlangen, dass diese auf den Schutz ihrer Kundendaten vollständig verzichten. Damit würde sie einen wesentlichen Standortvorteil aufgeben.

Möglich und nicht ungewöhnlich ist es immerhin, Kunden um ihre Einwilligung in die Auslagerung der Bearbeitung ihrer Kundendaten an einen Outsourcing-Provider im Ausland zu bitten. Bei wesentlichen IT-Aktivitäten verlangt die Eidgenössische Bankenkommission sogar ein besonderes Schreiben mit detaillierter Information und dem Angebot, die Beziehung zur Bank ohne Nachteile zu beenden. Zuweilen ergibt sich die Zustimmung eines Kunden zu einem geplanten Datenaustausch auch aus den Umständen, etwa wenn er die Konzernzugehörigkeit einer Bank kennt und so mit einer konzerninternen Kontrolle rechnen muss. In gewissen Fällen sieht das Gesetz diesen Datenaustausch im Konzern sogar ausdrücklich vor.
Frei ist die Bank aber selbst beim konzerninternen Datenaustausch nicht: Jeder einzelne betriebs- oder grenzüberschreitende Datenfluss muss rechtlich vorgängig geprüft werden. Und selbst dort, wo er grundsätzlich zulässig ist, muss die Bank weiterhin mit angemessenen technischen und organisatorischen Mitteln für den Schutz der Kundendaten vor unbefugter Bearbeitung sorgen.

Datenschutz durch Weisungen und Verträge

Solche Mittel umfassen im organisatorischen Bereich den Erlass von klaren Weisungen oder Vertragsabschlüssen, die regeln, wer welche Daten wie bearbeiten darf und wie zu schützen hat. Das gilt nicht nur im Fall von Outsourcing-Projekten, sondern auch bei Datentransfers innerhalb einer Bankengruppe und sogar des eigenen Betriebs: Verlangt zum Beispiel die Mutter einer Schweizer Auslandsbank Zugriff auf hiesige Kundendaten und wäre dies nach Schweizer Recht nicht zulässig, so muss ihr die Schweizer Tochter diesen Zugriff verweigern. Die Schweizer Tochter (und ihre Organe) haben in erster Linie das Schweizer Recht einzuhalten und erst in zweiter Linie die Weisungen der Muttergesellschaft.
Im technischen Bereich wird typischerweise mit rollenspezifischen Zugangsberechtigungen und Verschlüsselungssystemen gearbeitet, wobei der Grundsatz gilt, dass, je heikler die Daten und die fragliche Anwendung sind, desto stärker der Schutz sein muss (Art. 9 der Verordnung zum Datenschutzgesetz zählt die Anforderungen auf). Besonders kritisch sind Anwendungen ausserhalb der geschützten Umgebung des Bankbetriebs, so etwa der Einsatz von Notebooks oder eines Fernzugriffs, selbst wenn dieser über ein stark gesichertes VPN erfolgt. Mitunter muss auf besondere technische Konzepte zurückgegriffen werden, wie etwa den Einsatz von Terminalservern im Falle von Fernzugriffen, um so gut wie möglich zu verhindern, dass Kundendaten auf Rechnern vor Ort temporär oder dauerhaft abgelegt werden und um den Zugang zentral jederzeit sperren zu können.

Technische Lösungsansätze im Trend

Alle Risiken lassen sich freilich nie ausschliessen. Dies wird auch nicht verlangt; verlangt wird die von einer Bank üblicherweise erwartete Sorgfalt. Die von ihr getroffenen Vorkehrungen müssen angemessen sein, was sich nach dem Zweck, Art und Umfang der Datenbearbeitung, nach der Einschätzung der möglichen Risiken und dem gegenwärtigen Stand der Technik richtet. Mit zunehmenden Bedrohungen und dem technischen Fortschritt steigen die Anforderungen an den technischen Schutz von Kundendaten freilich ständig.
Dabei gewinnt die Informatik zunehmend an Bedeutung. Denn wo eine Bank aus irgendwelchen Gründen für eine Auslagerung oder Datenübermittlung ins Ausland eine erforderliche Einwilligung ihrer Kunden nicht einholen kann oder will, muss sie nach Alternativen suchen. Dabei wird immer häufiger auf technische Lösungsansätze zurückgegriffen. Diese können unter anderem darin bestehen, dass die fraglichen Daten so anonymisiert oder geschützt werden, dass für den Empfänger keine Rückschlüsse auf die Identität eines Kunden mehr möglich sind (siehe Kasten). Wird dies erreicht, liegen im rechtlichen Sinne aus der Sicht des Empfängers keine Bankkunden- oder Personendaten mehr vor und die Weitergabe beziehungsweise der Export der Daten ist aus Sicht des Bankkundengeheimnisses oder Datenschutzes nicht mehr relevant.
Mit anderen Worten: Wo «nur» anonymisierte oder nicht lesbare Bankkundendaten vorliegen, kommt das Bankkundengeheimnis und der Datenschutz gar nicht erst zum Zug, und damit entfällt auch das Erfordernis einer Information oder Einwilligung des Kunden.

Rückschlüsse auf Identität verhindern

Das Bankkundengeheimnis und Datenschutzgesetz findet im Grunde nur Anwendung auf Bankkundendaten, die Rückschlüsse auf die Identität der Kunden ermöglichen. Wird dies mit technischen Mitteln verhindert, sind Outsourcing-Vorhaben und Datenübermittlungen ins Ausland sehr viel einfacher möglich. Drei typische Verfahren:

•
Anonymisierung: Die Kundendaten sind zwar im Klartext vorhanden, die Kundennamen und anderen Angaben (allenfalls auch Konto-Nummer), aus denen Rückschlüsse auf die Identität des Kunden möglich sind, werden aber gelöscht oder verschlüsselt. Die einzelnen Datensätze werden mit anonymen Identifikatoren gekennzeichnet, deren Zuordnung zu den einzelnen Bankkunden nur die Bank, nicht aber der Bearbeiter der Daten kennt. Diese Lösung eignet sich nur für strukturierte Daten. Die Herausforderung besteht darin, dass die Anonymisierung möglichst automatisiert und dennoch zuverlässig vorgenommen werden kann. Zu beachten ist, dass gewisse Bankkunden nicht nur anhand ihres Namens identifiziert werden können, sondern etwa auch anhand der von ihnen gehaltenen Depotpositionen oder der Angaben im Zahlungsverkehr.

•
Verschlüsselung: Die Kundendaten werden nur in vollständig verschlüsselter Form übergeben, wobei nur die Bank den Schlüssel hat. Dies funktioniert auch bei unstrukturierten Daten und ist vollständig automatisierbar. Der Nachteil der Methode ist, dass sich mit verschlüsselten Daten, selbst wenn die Verschlüsselung auf Datensatz-Ebene stattfindet, anwendungsmässig kaum mehr etwas anfangen lässt. Diese Lösung kommt also oft nur dort in Frage, wo der Grund für die Weitergabe beziehungsweise den Export der Daten deren Lagerung oder Transport ist, der Empfänger die Daten aber nicht bearbeiten muss.

•
Zugriffsschutz: Die Kundendaten werden zwar auf Anlagen im Ausland bearbeitet (z.B. in einem Rechenzentrum), doch ist der Zugang zu diesen Daten und deren Bearbeitung nur von der Bank in der Schweiz möglich. Ist dies gewährleistet, liegt datenschutzrechtlich kein Datenexport vor. Die Herausforderung dieser Lösung besteht darin, einen wirksamen Schutz zu bewerkstelligen, ohne die Wartung des Systems zu sehr zu beeinträchtigen. Weder darf es möglich sein, über einen physischen Zugriff auf die Server an die Daten in verwendbarer Form zu gelangen (Ausbau der Festplatten, Zugriff auf Backups, Mitschneiden von Klartext-Datenübertragungen zwischen zwei lokalen Servern etc.), noch über Administratoren- oder andere Zugriffsrechte. Dies bedeutet, dass auch die System- und Anwendungswartung, einschliesslich des Rechte- und Key-Managements, aus der Schweiz erfolgen muss; lediglich der Betrieb der physischen Server erfolgt vor Ort.

Der Autor

David Rosenthal ist Konsulent
für Informations- und Telekommunikationsrecht der Zürcher Wirtschaftskanzlei Homburger Rechtsanwälte und Lehrbeauftragter der Universität Basel.