Gemäss Artikel 1 Absatz 2 der FATCA-Verordnung hätten rapportierende schweizerische Finanzinstitute der US-Steuerbehörde Internal Revenue Service (IRS) die aggregierte Meldung der US-Konten ohne Zustimmungserklärung für das Jahr 2014 bis am 31. Januar 2015 melden müssen. Dieser von Anfang an unrealistische Termin wurde inzwischen mehrfach kurzfristig verschoben respektive aufgeweicht. Diverse Anzeichen lassen erwarten, dass der aktuelle Zustand der Verwirrung und Verunsicherung bis in den Sommer anhalten wird.
Erst im Dezember 2014 hat der IRS bekanntgegeben, wie er sich die Lieferung der FATCA-Daten vorstellt, und dabei tief in die Werkzeugkiste der Kryptographie gegriffen. Insbesondere wird verlangt, dass die Daten in digital signierter und verschlüsselter Form via das International Data Exchange Services (IDES) System eingereicht werden. Anders als von vielen erwartet stellt der IRS hierfür kein Standardwerkzeug zur Verfügung, so dass die zur Datenlieferung verpflichteten Finanzinstitute selber für eine passende Lösung besorgt sein müssen.
[simple-google-ads-ad-tag id=“ip_textad“]
Kryptographie gehört nun aber nicht gerade zu den Kernkompetenzen der meisten Banker und Steuerspezialisten. Angesichts der verbleibenden Zeit von weniger als zwei Monaten abzüglich Feiertage machte sich verständlicherweise eine gewisse Ratlosigkeit respektive Hektik breit.
Erst als sich dann auch die Bereitstellung des zentralen IDES-Systems immer weiter verzögerte, wurde Mitte Januar vom IRS die Frist um zunächst 2 Monate auf Ende März 2015 verlängert. Die auf die Einhaltung von Gesetzen getrimmten Schweizer Finanzinstitute haben grösste Anstrengungen unternommen, diese Frist mit extern in Auftrag gegebenen Werkzeugen oder mit Eigenentwicklungen einzuhalten, und erste Institute haben bis zur Woche vom 23. März ihre Meldungen erfolgreich eingereicht.
[simple-google-ads-ad-tag id=“ip_content_middle“]
Am 24. März 2015, gerade mal eine Woche vor Ablauf der Frist, hat der IRS seine Haltung in Bezug auf die Fristdurchsetzung nochmals revidiert. Die USA betrachten es „nicht als erhebliche Nichterfüllung nach dem anwendbaren FATCA-Abkommen“, wenn das Finanzinstitut in guten Treuen Anstrengungen unternimmt, seine Meldepflichten zu erfüllen, und die aggregierte Meldung der US-Konten ohne Zustimmungserklärung für das Jahr 2014 bis spätestens 90 Tage nach dem 31. März 2015 erfolgt.
Juristen mögen sich unter dieser Regelung etwas vorstellen können, und für die Steuerabteilungen mag sie kurzfristig beruhigend sein, zumal Schweizer Finanzinstitute grundsätzlich in guten Treuen handeln. Projektmanager und IT-Ingenieure, die Probleme vorzugsweise in einem geplanten Prozess lösen, können ob solcher Veränderungen der Vorgaben in letzter Minute allerdings bloss den Kopf schütteln.
Die neue Frist vom 29. Juni deckt sich nun mit der Frist für die Meldung von US-Konten mit Zustimmungserklärung. Vieles spricht dafür, dass man sich dieses Datum getrost heute schon als den nächsten Eskalationszeitpunkt vormerken kann.
Für US-Konten mit Zustimmungserklärung werden nämlich Daten geliefert werden müssen, die gemeinhin als „Client Identifying Data“ oder CID bezeichnet werden und im Brennpunkt der schweizerischen Bankenregulierung liegen. CID unterliegen bei Schweizer Banken einem besonderen Schutz, wie er insbesondere im Anhang 3 des FINMA-Rundschreibens 2008/21 „Operationelle Risiken Banken“ beschrieben ist.
Die Umsetzung dieser Vorgaben steckt vielen Banken noch in den Knochen. Die kombinierten Anforderungen von FINMA RS 2008/21 Anhang 3 und FATCA dürften für die eine oder andere interessante Überraschung sorgen.
Ein voraussehbarer Problemkreis ist erneut die Kryptographie. Es ist zumindest in der Schweiz gängige Praxis, dass die für digitale Signaturen eingesetzten privaten Schlüssel auf einer sicheren Hardware wie einer Smartcard oder einem sogenannten Hardware Security Module (HSM) gespeichert sind.
Dies ist bei den meisten Lösungen für die FATCA-Dateneinlieferung heute nicht der Fall. Weiteres Ungemach droht, seit der Krypto-Guru Bruce Schneier in seinem viel beachteten Blog die Qualität der kryptographischen Spezifikation des IRS in Zweifel gezogen hat. Wir können also davon ausgehen, dass die Lösungen für die kryptographische Aufbereitung der FATCA-Daten bald wieder überarbeitet werden müssen.
Ein weiterer Problemkreis wird sein, dass viele Banken ihre CID heute in dedizierten Systemen verwalten und diese Systeme wie ihren Augapfel hüten (müssen). Es wird keine leichte Aufgabe sein, die Information Security Officer und Risk Manager davon zu überzeugen, dass die für das FATCA-Reporting ab Juni benötigten Daten über US-Konten zu jedem Zeitpunkt ausreichend geschützt sind.
Die bereits gebeutelten Steuerabteilungen der Schweizer Banken sollten sich darauf einstellen, dass das Katz- und Maus-Spiel um die FATCA-Datenlieferung bis in den Sommer weitergeht und dass mit dem Information Security Officer bald ein weiterer Teilnehmer dazukommen wird.
Hmmm… Ich verstehe nicht, warum auch der 30.06. nicht eingehalten werden kann. Wir haben unsere Daten bereits vor Ende März geliefert. Wo liegt das Problem? Liefern tut man über den IDES Gateway – und der funktioniert inzwischen!