1. Home
  2. Unternehmen
  3. Bankgeheimnis: Der gläserne Kunde

 
Bankgeheimnis: Der gläserne Kunde

Klick und weg: Die Kamera in Mitarbeiterhandys ist ein allgegenwärtiges Sicherheitsrisiko.

Schweizer Banken haben den Kampf ums Bankgeheimnis aufgegeben. Die Kapitulation ist politisch motiviert – und technisch: Perfekte Datensicherheit für Kunden und Konten lässt sich in der digitalen Welt gar nicht mehr herstellen.

Von Leo Müller
24.01.2012

Der deutsche Kunde bat um ein diskretes Gespräch mit der Geschäftsleitung der Zürcher Kantonalbank. Er war vom Finanzamt Singen unerwartet einbestellt worden. Dort wurde er mit exakten Informationen über sein Konto bei der ZKB konfrontiert. Alles stimmte. Schon bald meldeten sich weitere Kunden aus Deutschland mit dem gleichen Problem. Es musste ein Leck geben.

Diese Geschichte ereignete sich in den Sommermonaten des Jahres 1932. Ein ZKB-Angestellter aus der Depotabteilung hatte die Daten an deutsche Steuerfahnder verraten – für 2500 Reichsmark. Das war einer der Auslöser für den Artikel 47 des Bankengesetzes, der einen Mythos von historischer Grösse begründete: das Bankgeheimnis. Wer als Bankangestellter oder beauftragter Mitarbeiter ein Geheimnis offenbart, wird bestraft. Einem überführten Täter droht eine Gefängnisstrafe, die seit Januar 2009 bis zu drei Jahre währen kann.

Datenverlust und Verlust gehören zum Alltag

Heute sind solche Ereignisse zur Bankenroutine geworden. Wie kürzlich im Fall der Bank Sarasin, deren IT-Mitarbeiter Reto T. im Verdacht steht, Informationen über ein Privatkonto des Ex-Nationalbank-Präsidenten Philipp Hildebrand verraten zu haben. Die Bankmanager wissen inzwischen, was zu tun ist: eine forensische Schnellprüfung der protokollierten Aktivitäten auf dem Rechner des mutmasslichen Täters, eine Analyse seiner Zugriffsrechte zur Abschätzung des Schadenpotenzials. Und wenn es so läuft wie im Fall Reto T., der sich selbst anzeigte und seine Tat gegenüber den Juristen der Bank einräumte, dann beendet man das Arbeitsverhältnis mit einem freundlichen Hinweis auf einen erprobten Psychotherapeuten, der für das professionelle Coaching posttraumatischer Störungen bereitsteht.

Still und diskret, wie es ihre Art ist, haben die Protagonisten der Finanz­industrie Abschied vom lieb gewonnenen Mythos Bankgeheimnis genommen. Nur Politiker und Journalisten führen den hehren Begriff noch im Munde, als wäre nichts geschehen. Längst sind Datenverlust und Datenverrat zum Bankenalltag geworden, Gruppenanfragen, Amts- und Rechtshilfe im grossen Stil zum Justiz­alltag. In den Back Offices machen die ­Datendiebe, angestiftet durch Millionenhonorare der Steuerfahnder, ihre hoch gesicherten Geldtempel zu Glashäusern.

Die Rolle von Christoph Blocher

Der Gesetzesartikel über das Bank­geheimnis wird zum toten Buchstaben. Nicht nur technisch erodiert der Schutz der Kunden, vor allem auch politisch und rechtlich. Die Kunden haben ihre Schutzpatrone verloren, die globalen Leader der Grossbanken und die Lobbyisten in der Bankiervereinigung. Auch Kaspar Villiger, der einst als Bundesrat das Bankgeheimnis als nicht verhandelbar bezeichnete, liess als VR-Präsident der UBS die grösste Datenlieferung an ausländische Behörden seit Bestehen des Bankgeheimnisses geschehen.

Deutsche Schelte: Und nun auch Christoph Blocher, ausgerechnet Blocher. Es ist noch keine drei Jahre her, seitdem der SVP-Stratege vorgab, dafür zu kämpfen, das Bankgeheimnis in der Bundesverfassung zu fixieren. Für immer. Tempi passati. Nun ist auch sein Ruf nach der Ewigkeitsgarantie Geschichte geworden. Blocher wird nur noch ein zynisches Lächeln auslösen, wenn er das Wort Bankgeheimnis in den Mund nimmt. Seitdem ruchbar wurde, dass er in seiner Villa in Herrliberg mit einem mutmasslichen Datendieb aus der Bank Sarasin über die politische und mediale Verwertung von geheimgeschützten Bankdaten verhandelte, ist er als ­Fürsprecher der internationalen Bankkundschaft nicht mehr tragbar. Blocher beschimpfte an seinem traditionellen Zürcher Albisgütli-Auftritt die Schweizer Medien, beklagte den «Wertezerfall im Schweizerland», lobte die ausländischen Medien.

Fragt sich nur, wie er liest oder lesen lässt. Denn in den Heimatländern der Bankenkundschaft wurde der Wertewechsel rasch und deutlich bemerkt. So zum Beispiel in der konservativ-bürgerlichen «Frankfurter Allgemeinen Zeitung» («FAZ»), die den Schweizer Finanzplatz jahrzehntelang freundlich-sympathisierend begleitet hat. «Dieses Team, das ­unlängst so heftig gegen die Verletzung des schweizerischen Bankgeheimnisses trommelte, müsste sich jetzt eigentlich selbst festnehmen lassen», kommentierte das Blatt die jüngsten Ereignisse.

CS lieferte Daten

Gemeint waren Blocher und der ihm ­wohlergebene «Weltwoche»-Chefredaktor Roger Köppel. Als «weitere Pikanterie» bezeichnete die Zeitung, dass ­Blocher «im Rahmen der Steuerdatenklau-Affäre antideutsche Ressentiments in der Schweiz geschürt hat, indem er die deutsche Regierung als kriminell bezeichnete, da sie Datensätze ihrer Steuerzahler ausnutzte, die nur durch einen Bruch des Bankgeheimnisses in ihren Besitz gelangen konnten. Roger Köppel verlangte gar mehrfach die Verhaftung von deutschen Ministern auf Schweizer Boden.» Die deutschen Bankkunden, nicht wenige davon traditionelle und treue Abonnenten der «FAZ», haben den Knall gehört. Selten hat das Blatt so deutlich, noch nie so hart über einen Schweizer geurteilt. Kein Zweifel, Blocher, das letzte politische Bollwerk zum Schutz des Bankgeheimnisses, ist gefallen.

Und die Banken schicken sich in die neue Lage. Jüngster Fall, Mitte Januar von der «Neuen Zürcher Zeitung» enthüllt: eine geplante Datenlieferung der Credit Suisse an die Eidgenössische Steuerverwaltung (ESTV) zum Weiterreichen an die amerikanischen Steuerbehörden. Eigentlich wollten die Amerikaner nur die Daten über die Konti von US-Bürgern, doch die Credit Suisse sendete 4812 Seiten Dokumente an die ESTV, die Informationen über mehr als 125 nicht amerikanische Kunden enthielten.

Unter den übermittelten Kunden waren Norweger, Russen und Deutsche, obwohl diese in der Rechtshilfeanfrage mit keinem Wort erwähnt waren und keinen Bezug zu den verdächtigten Steuerbetrügern haben. Sie alle waren nur Inhaber von Subkonten, die unter dem gleichen Dach eines Sammelkontos des vermögensverwaltenden Anwaltes geführt wurden, der auch fünf verdächtige US-Bürger betreute. Schlimmer noch: Die ESTV lieferte ihrerseits den kompletten Datenbestand an die Anwälte der fünf betroffenen amerikanischen Bürger weiter, wieder ohne Anonymisierung der Unbeteiligten.

«Ein grober Fehler», dachte die «NZZ»-Redaktorin, als sie die Datensammlung studierte. Nein, kein Fehler, lautet die Antwort der Credit Suisse. Die CS-Juristen waren zum Ergebnis gekommen, dass der gesamte Bestand des Sammelkontos auszuliefern sei, Bern wolle es so. Das wäre etwa so, wie wenn alle betreuten Konti eines Kundenberaters offengelegt würden, sobald nur ein Kunde ins Visier der Steuerbehörden gerät. Die schmallippige Stellungnahme der Credit Suisse: «Aufgrund des Amtshilfegesuchs der US-Steuerbehörden wurde die Credit Suisse von der Eidgenössischen Steuerverwaltung verpflichtet, ihr Informationen zu Geschäftsbeziehungen zu übermitteln. Die Credit Suisse hat dies strikt nach den Vorgaben der ESTV getan.»

Existiert Bankgeheimnis nur noch auf dem Papier?

Das Resultat: eine weitere Aufweichung der Rechtshilfepraxis und ein Meilenstein in der Arbeit von IRS-Chef Douglas Shulman, der nicht aufgeben wird, bis alle Konten geöffnet sind. Erst als der systematische Steuerbetrug in der US-Abteilung der UBS im September 2007 aufflog, brach der Rechtsschutz-Wall. Die US-Behörden drohten der Bank mit einem existenzgefährdenden Strafverfahren gegen das ganze Unternehmen. Seither werden die Banken mit dem Gezerre um die Kundendaten zermürbt. Am Ende liefern sie, umfassend und kollektiv.

Rechtsverständnis korrigiert. Bis zum UBS-Fall galten nach gängiger Justizpraxis die gewöhnlichen Praktiken der Geldverstecker mit Trusts, Stiftungen, verdeckten Nebenkonten und gezinkten Formularen zumeist nicht als Steuerbetrug, sondern als – nicht rechtshilfefähige – Steuerhinterziehung. Man legte die Hürden hoch. Dann änderten die Behörden ihren Blick, sahen die Fälle plötzlich so, wie sie auch ausländische Justizbehörden sahen: Wer seine Steuerschuld in Millionenhöhe mit Hilfe von speziellen juristischen Konstruktionen verschleiert, gilt als Steuerbetrüger. Für solche Steuerstraftaten wird seit dem UBS-Fall in der Regel die Rechtshilfe gewährt.

«Steuerhinterziehung, nicht Steuerbetrug», so protestierten die Steuerstrafrechtler der Kunden. Für eine Rechtshilfe, so argumentierten sie, fehlte ihnen der Nachweis, dass die Kunden Urkunden gefälscht hätten. Vergebens. Es spielte plötzlich keine Rolle mehr, dass eine Steuererklärung in der Schweiz, anders als im Heimatland der Kunden, vor den Gerichten nicht als Urkunde gilt. So war durch den imperialen Schlag der Amerikaner das gesamte dogmatische Gebilde zum Schutz der Bankkunden im Steuerrecht, im Strafrecht und im Rechtshilferecht zusammengebrochen. Nur Artikel 47 im Bankengesetz hatte noch Bestand, wurde sogar im Strafmass verschärft – eine Show-Nummer ohne nennenswerte faktische Bedeutung.

ZKB verweigerte sich Kundin

In keinem Fall konnte ein Kunde die Rechtshilfe unter Berufung auf den Bankgeheimnis-Artikel vor den Gerichten vereiteln. Die amerikanisch geführte CS wird aus einer Gruppenanfrage der Amerikaner eine Massensendung machen. Für US-Bürger existiert das Bankgeheimnis faktisch nicht mehr. Und die Industrieländer haben OECD-Generalsekretär Angel Gurría angewiesen, künftig Steuerstraftaten als Vortat der Geldwäscherei international durchzusetzen.

Formalistisch. Ist das die neue Kultur der Schweizer Banken? Jedenfalls tendiert die Bankenpraxis inzwischen zur Null-Toleranz, sobald Kunden steuerliche Deklarationsschwächen zeigen. Das spüren seit Monaten auch deutsche Kunden. Mit dem Beginn der Verhandlungen über ein deutsch-schweizerisches Abkommen, das die Altlasten mit einer Amnestie und die bleibenden Kunden mit einer Abgeltungssteuer regeln soll, lernen deutsche Kontoinhaber ihre Schweizer Kundenbetreuer von der harten Seite kennen. Grössere Bargeldentnahmen werden untersagt, zweifelhafte Transfers nicht ausgeführt.

Der jüngste Fall: Die ZKB stellte sich quer, als die deutsche Kundin des ETF-Goldfonds mit physisch hinterlegtem Edelmetall tatsächlich einen Goldbarren verlangte, den sie in ihr Schliessfach legen wollte. Die ZKB verweigerte zunächst die Herausgabe des rund 630 000 Franken teuren Standardbarrens. Weil sie diese wie eine Bargeldtransaktion bewertet, die den Auflagen der Bankiervereinigung widerspreche und mit der eine Umgehung und Verschleierung des ­Steuerabkommens vorbereitet werden könnte. Einen Barren bekam die Kundin schliesslich geliefert – mit dem Hinweis, eine weitere Transaktion dieser Art werde die Bank nicht mehr zulassen.

Alle Daten im Computer

Nur beim Apéro lassen Banker mit grau meliertem Haar und respektablem Dienstalter die guten alten Zeiten aufleben: als ein Schweizer Bankier noch den Ruf hatte, nicht einmal einem James Bond ein Nummernkonto zu verraten. Als die Kundenbetreuer der Kreditanstalt das Geld ihrer italienischen Kunden noch Woche für Woche in der Hotelsuite einer Mailänder Edelherberge entgegennahmen. Ohne Quittung, ohne Formulare, einfach so – im Koffer. Ihr Wort galt, auf ihre Haltung war Verlass.

So war es noch 1977, als die Strafuntersuchungen im Chiasso-Skandal tiefere Einblicke in die gelebte Praxis gewährten. Es gab geheime Nummernkonten, deren Inhabernamen nur wenige Mitarbeiter mit Bleistift-Notizen festhielten. Es gab Compte-joint-Konten zur Verschleierung, gemeinschaftliche Konten auf mehrere Namen lautend. Es gab Zebra-Konten, ein weisses kleines für den Steuerausweis und ein schwarzes grosses. Es gab Konten, die auf den dritten Vornamen lauteten oder auf den Mädchennamen der Ehegattin.

Dann kamen die Computer. Und die Enthüllungen der Pizza-Connection der US-Mafia, die Anti-Geldwäsche-Gesetze provozierten. Die Geldwäsche-Regulierung wurde zur Routine, das Schwarzgeld-Geschäft boomte – es war davon nicht betroffen. Es kam die grosse Zeit der Treuhänder, die immer erfindungsreicher neue gesellschaftsrechtliche Versteckspiele mit Stiftungen, Trusts und Private Funds kreierten, die zumeist nur zum Schein das Vermögen vom Kunden trennten, indem dessen Zugriff auf die Stiftungs- und Trustvermögen de jure unterbunden wurde. Und schliesslich die Lebensversicherungs-Policen, mit denen Multi-Millionen-Vermögen scheinbar steuerlich korrekt abgewickelt wurden.

Die Rolle der IT

Und alles, was Kundenberater, Vermögensverwalter und Treuhänder sich ausdachten, wurde nun mit dem Computer erfasst, verwaltet und archiviert. Einfach alles. Ein vertraulicher Fax an die Anwälte des Kunden wurde mit der Textverarbeitung auf dem Rechner erstellt, verschickt – und als Word-Dokument gespeichert. Das Konto wurde mit einer Datenbank verwaltet – und mit anderen Konten in einem Datenbankdokument archiviert. Die Stiftungsstatuten und Trustdokumente wurden mit dem Computer geschrieben – und gespeichert. Und wenn der Kunde seine geheimen Stiftungsstatuten samt Testament und Reglement über die Begünstigten in den Safe legen wollte, verfasste die Sekretärin auf einem Blatt Papier ein Inhaltsverzeichnis über die Dokumentensammlung mit dem Namen des Kunden und der Kontonummer.

Das Blatt Papier wurde als Deckblatt in den Safe gelegt, das Bankgeschäft ist schliesslich eine ordentliche Verwaltungsarbeit. Das Blatt Papier war ordentlich weggeschlossen im Safe, nahmen die Kundenbetreuer an und bedachten nicht, dass die Word-Kopie des Inhaltsverzeichnisses irgendwo auf der Festplatte vom Computer der Sekretärin oder auf einem Server gespeichert war.

Die Festplatten wurden immer voller, erst Megabytes an geheimen Daten, dann Gigabytes, schliesslich Terabytes. Das Geschäft mit den «Hen-Wees», wie man die Kunden nach dem Branchenkürzel HNWI (High Net Worth Individual) nannte, boomte wie nie zuvor, das verwaltete Vermögen am Finanzplatz wuchs jährlich um dreistellige Milliardensummen. Es kam das Jahr 2004, als Hans J. Bär, der Grand Old Man der Zürcher Bankiers, in seinen Memoiren eine abschätzige Bemerkung zum Bankgeheimnis fallen liess: «Es macht uns fett, aber impotent.»

Macht und Ohnmacht der IT. In diesen Jahren verwandelten sich die Papierverwaltungen der Bankbeamten in gewaltige IT-Unternehmen, allerdings mit dem merkwürdigen Effekt, dass die leitenden Angestellten immer noch meinten, eine Bank zu führen. Die IT-Systeme überlies­sen sie einem IT-Fachmann, dessen Geschäft sie nur ganz grob verstanden. Schliesslich lösten die IT-Leute die ­Papierarchive auf, scannten sämtliche Akten mit Hochleistungs-Dokumentenscannern ein und legten gewaltige elektronische Archive an. Nun war auch die Vergangenheit der Kunden, als das eine oder andere Multi-Millionen-Vermögen gemacht wurde, für die Kundenberater nur noch einen Mausklick entfernt.

Finma will beruhigen

Nicht nur für die Kundenbetreuer, auch für deren Assistenten, für die Leute im Back Office. Und nicht zuletzt für die IT-Mitarbeiter, die den gesamten Bankenbetrieb am Laufen halten. Sie fühlen sich mitunter wie moderne Sklaven im Maschinenraum, während sich die Kundenbetreuer auf dem Sonnendeck einen Drink mit ihren Kunden gönnen. Sie sind oft schlecht bezahlt, werden kollegial kaum wahrgenommen, und ihre Arbeit geniesst wenig Wertschätzung. Zudem wechseln sie schneller als die Kundenbetreuer den Arbeitgeber, auch ausserhalb der Finanzindustrie. Doch sie haben eine ungeheure Informationsmacht, sie können in ihrem Maschinenraum alles sehen und lesen, was auf dem Deck passiert, notiert und transferiert wird.

Das Management der Banken versucht, sich vor der Gefahr in der IT-Abteilung mit aufwendiger Software zu schützen. Für diese Produkte ist ein grosser Markt entstanden: Die IT-Security-Industrie wächst rasant. Das neuste Zauberkürzel der Branche heisst DLP, es steht für Data Loss Prevention und soll die Unternehmen vor Datenklau und Datenverlust schützen. «Das sind Beruhigungspillen fürs Management», sagt der Zuger IT-­Sicherheitsexperte Bernd Fix, ein Enfant terrible der Szene. Fix zählt zu den Gründern des deutschen Hacker-Vereins Chaos Computer Club, er hat eine Schweizer Grossbank beraten und hilft Angriffe zu simulieren. «Nein», sagt Fix, «es gibt dafür keine technische Lösung.» Pfiffige IT-Leute wie der Ex-HSBC-Mitarbeiter Hervé Falciani könnten jeden technischen Schutz umgehen.

Solche Beruhigungspillen will auch die Finanzaufsicht Finma. Sie verlangt die gesetzlich geforderte «angemessene Organisation» der Bank, die auch zur Einhaltung des Bankgeheimnisses notwendig ist. Die Prüfgesellschaften müssen diese auch bei ihren aufsichtsrechtlichen Kontrollgängen überwachen, zum Beispiel die Zugriffsrechte bei den IT-Systemen.

Daten weiterreichen ohn Kundenwissen

So war es auch im Fall Sarasin ein IT-Mann, der das Geheimnis offenbarte. Ein Screenshot des Transaktionsdokuments vom Konto Hildebrand genügte. Gespeichert in einem Word-Dokument, konnte er es ausdrucken und mitnehmen. Von all den technischen Anstrengungen, Menschen und Maschinen in den Geldtempeln zu kontrollieren, bemerken die Kunden wenig. Für sie ist die elektronische Bank vordergründig nur sichtbar beim Online-Banking. Hier ist beim Publikum die Furcht vor betrügerischen Zugriffen auf das eigene Konto gross, und hier sind die Banken immer noch am besten geschützt. Der klassische Fall: Die Angreifer zielen eben auch auf die Kunden, nicht auf die Bank. Hacker stehlen Konto- und Kreditkartendaten oder installieren heimlich einen Trojaner-Virus im Kundenrechner.

Wenn die Zeit reif ist, transferieren sie eine überschaubare Summe von einigen tausend Franken auf das Konto eines ahnungslosen Gehilfen im Inland, der mit einer abenteuerlichen Story über Nigeria-Style-E-Mails angefragt wird, die Zahlung anzunehmen und 90 Prozent des Betrages an ein Auslandskonto zu überweisen, wobei er den Restbetrag einbehalten darf. Der simple Trick wird dauerhaft angewendet, und wegen der niedrigen Einzelbeträge werden die Geldflüsse bis hin zu den Betrügerbanden nur selten recherchiert. Das Spiel wird als unvermeidliches Grundrauschen des Online-Banking ignoriert.

Für die Banken sind die Transaktionen über das E-Banking technisch weitgehend beherrschbar, jedenfalls überschaubarer als die Geldtransfers über das internationale Transaktionssystem Swift (siehe «Observiert» auf Seite 34). Im modernen Online-Banking gelten aber mitunter auch lockere Regeln innerhalb der Geldhäuser. So erhalten die E-Banking-Kunden der Bank Sarasin ein Dokument unter dem Titel «Bestimmungen für die E-Services» mit deutlichen Hinweisen zu den Grenzen des Bankgeheimnisses: «Der Kunde bzw. sein Bevollmächtigter ist damit einverstanden, dass die Bank Kundendaten bzw. die Daten von Bevollmächtigten zu eigenen Marketingzwecken bearbeitet und dass diese Daten gegebenenfalls unter den Mitgliedern der Sarasin-Gruppe sowie der Sarasin-Fondsgesellschaften, welche sich teilweise im Ausland befinden, ausgetauscht werden.»

Diskretion ja - Geheimnis nein

Somit hat die Bank die Freiheit, Kundendaten an ausländische Tochtergesellschaften weiterzureichen, was ihr ohne Zustimmung der Kunden aufsichtsrechtlich verboten wäre. Ein Sarasin-Sprecher erklärt nun gegenüber der BILANZ, dass nur an die Analyse anonymisierter Nutzungsdaten gedacht war: «Der Austausch dieser anonymisierten Nutzerdaten mit anderen Gesellschaften der Sarasin-Gruppe bzw. Sarasin-Fondsgesellschaften wäre zwar möglich, erfolgt aber in der Praxis nicht.»

Wie es um das Bankgeheimnis steht, lässt sich am besten an den Marketingäusserungen der Banken ablesen. Der einfache Test: Wir geben die Wörter «Bankgeheimnis» oder den früheren Lieblingsterminus der Branche «Bankkundengeheimnis» in das Suchfeld der Banken-Websites ein. Das Ergebnis ist frappierend. Bei der Bank ­Julius Bär kommen beide Begriffe nicht mehr vor, nur hin und wieder das Wort «Diskretion». Bei der Bank Vontobel finden wir einen namentlich nicht gezeichneten Text der Vermögensverwaltungseinheit, der die Lage unverblümt beschreibt: «Für die institutionellen Anleger» sei das Bankgeheimnis «kein Thema. Das Bankgeheimnis ist aber auch für die meisten privaten Anleger kein Thema.»

Andere Privatbanken publizieren den Begriff nur noch im Rahmen von Redetexten, Kommentaren, Geschäfts- und Nachhaltigkeitsberichten über den aktuellen politischen Druck auf das Bankgeheimnis. Die ZKB erwähnt den Begriff nur einmal, nämlich als Warnung, dass das Bankgeheimnis beim Besuch der Website nicht gewahrt werde. «Die Politik und auch das Land müssen sich Gedanken darüber machen, was wir in Zukunft als Bankgeheimnis bezeichnen», sagt Ex-UBS-Chef Oswald Grübel. Die neuen Technologien hätten das Bankgeheimnis «ausgehebelt». Zum 100-jährigen Bestehen der Bankiervereinigung nannte Präsident Patrick Odier die Kernwerte für den Bankenplatz: «Exzellenz, Stabilität, Universalität und Verantwortung.» Das Bankgeheimnis nannte er nicht. Es ist nur noch ein Nebenwert.

Anzeige