SWIFT-Abkommen – Datenschutz beim Bankdatentransfer

Ab 1. August 2010 wird das neue Sicherheitsabkommen der Europäischen Union mit den Vereinigten Staaten gelten, das die Datenübermittlung von Banküberweisungen in EU-Drittstaaten regelt. Im Anti-Terror-Kampf sollen US-Fahnder weiterhin Zugriff auf Namen, Adressen, Personalausweisnummern und Kontonummern von EU-Bürgern und europäischen Unternehmen haben, die Geld ins Ausland überweisen. Nach der Auswertung geben die US-Behörden die Ergebnisse der übermittelten Informationen an ihre Strafverfolgungsbehörden, an Europol und Eurojus und auch an die Polizeibehörden der EU-Mitgliedstaaten weiter. Über die Hintergründe und die datenschutzrechtlichen Aspekte des sog. SWIFT-Abkommens informiert die Redaktion von anwalt.de.

[image]Serverumzug bei SWIFT

SWIFT (Society for Worldwide Internetbank Financial Telecommunication) ist eine internationale Genossenschaft von Geldinstituten, die weltweit täglich an die 15 Millionen Überweisungen zwischen mehr als 8000 Banken und Kreditinstituten abwickelt. Das Unternehmen mit Sitz in Brüssel überließ dem US-Finanzministerium im Kampf gegen den Terrorismus seit mehreren Jahren Zugriff auf ihre Server, einschließlich der Datensätze aus der EU. Die breite Öffentlichkeit wusste nichts davon und der Server befand sich in den USA. Doch als 2006 diese Praxis der Datenübermittlung ans Licht der Öffentlichkeit drang, beschloss SWIFT wegen der Kritik den Server von den USA in die Schweiz zu verlegen und ihn nicht mehr für den innereuropäischen Datenverkehr zu verwenden. Seit Anfang des Jahres ist das neue Rechenzentrum in der Schweiz in Betrieb. Die Finanzdaten aus Europa werden von SWIFT nur noch dort und in den Niederlanden gespeichert.

Neue Verhandlungen

Wegen der Verlegung des Servers in die Schweiz mussten die Vereinigten Staaten Verhandlungen mit der EU aufnehmen, um weiterhin die Finanztransaktionsdaten zu erhalten. Einen Tag vor Inkrafttreten des Lissabon-Vertrages wurde am 30.11.2009 der Entwurf eines Abkommens beschlossen, nach dem der USA weiterhin Bankdaten zur Verfügung gestellt werden sollten, insbesondere die von SWIFT. Kern des Abkommens ist das Aufspüren von terroristischen Finanztransaktionen (Terrorist Finance Tracking Program, kurz: TFTP). Allerdings wurde im ersten Anlauf nicht das erforderliche einstimmige Ergebnis für den Entwurf des Sicherheitsabkommens erzielt, so dass das Parlament schließlich doch am 11.02.2010 über das SWIFT-Abkommen zu entscheiden hatte. Wegen gravierender datenschutzrechtlicher Bedenken lehnte das Europaparlament das SWIFT-Abkommen ab. Daraufhin musste die Kommission neue Verhandlungen mit den Vereinigten Staaten aufnehmen und einige Änderungen im Sinn des EU-Parlamentes vornehmen.

Zustimmung des Parlaments

Schließlich hat das Parlament dem Abkommen am 08.07.2010 zugestimmt. Sein Votum fiel mit 484 zu 109 Stimmen und 12 Enthaltungen zugunsten des Abkommens aus. Es soll zunächst für fünf Jahre gelten. Und obwohl inzwischen einige Verbesserungen auf Wunsch des EU-Parlamentes in das Abkommen aufgenommen wurden, sind die Kritiker auch bei zuletzt beschlossener Variante des Abkommens nicht verstummt. Denn nach wie vor enthält das Abkommen zahlreiche Vorschriften, die weit hinter dem europäischen und deutschen Datenschutzstandard zurückbleiben. Die Gründe dafür liegen vermutlich in dem stark voneinander abweichenden Verständnis für den Datenschutz der Vereinigten Staaten einerseits, die Datenschutz eher in Bezug auf die Privatsphäre verstehen, und dem in Europa andererseits, das eher an den Einfluss zur Verwendung der Daten anknüpft.

Gesetzliche Vorgaben in der EU und Deutschland

Natürlich müssen internationale Vereinbarungen wie etwa das SWIFT-Abkommen stets die rechtlichen Grenzen einhalten. Auf europäischer Ebene gewährleistet Art. 8 der Europäischen Grundrechtecharta den Datenschutz. Und auf nationaler Ebene schreibt Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 Grundgesetz das Recht auf informationelle Selbstbestimmung vor. Der dort verankerte Datenschutz muss ebenfalls in dem SWIFT-Abkommen gewährleistet werden. Entscheidend ist also, ob das Sicherheitsabkommen die grundrechtlich garantierten Mindestanforderungen zugunsten der EU-Bürger einhält. Und hier bestehen bei Datenschützern auch bezüglich der zweiten Fassung des Abkommens erhebliche Zweifel. Viele Begriffe sind sehr weit gefasst und viele Punkte sind noch nicht geregelt bzw. nicht transparent. So beschränkte das SWIFT-Abkommen beispielsweise die Datenübermittlung gemäß seinem Wortlaut nicht allein auf den belgischen Finanzdienstleister. Deshalb wurde nun in den Text ausdrücklich aufgenommen, dass SEPA-Überweisungen vom SWIFT-Abkommen ausdrücklich ausgenommen sind. Der Begriff SEPA steht für Single Euro Payments Area. Die Ausnahmeregelung gilt also für alle Überweisungen im einheitlichen Euro-Zahlungsverkehrsraum.

Übermittlung ganzer Datenpakete

Ein gravierendes Problem bei der Übermittlung der Überweisungsdaten hängt mit den technischen Gegebenheiten zusammen. Denn aus technischen Gründen können keine Transaktionen einzelner Personen übermittelt werden, sondern nur ganze Datenpakete mehrerer Personen. Diese Datenpakete werden dann im US-Finanzministerium geöffnet und die Daten verdächtiger Personen extrahiert. Wird beispielsweise von einer verdächtigen Person von München in einen EU-Drittstaat Geld überwiesen, so werden nicht nur die Daten dieser Transaktion übermittelt, sondern alle Daten zu Überweisungen in dieses Land aus dem Großraum München oder sogar aus ganz Bayern. Der europäische Datenschutzbeauftragte Peter Hustinx kritisierte anlässlich der Abstimmung im Parlament deshalb, dass der Datenschutz für unbescholtene Bürger nicht ausreichend gewährleistet sei.

Vorverlagerter Verdacht und Speicherdauer

Darüber hinaus enthält das Abkommen einen sehr weiten Begriff für die eine Datenübermittlung rechtfertigenden terroristischen Aktivitäten. So werden auch die Daten von Kontoinhabern übermittelt, gegen die kein konkreter Anfangsverdacht besteht und die erst in fernerer Zukunft aufgrund weiterer Erkenntnisse möglicherweise in Verdacht geraten könnten. Ein weiteres Problem ist die Speicherdauer der übermittelten Daten. Denn sie sollen laut dem Abkommen bis zu maximal fünf Jahre gespeichert werden dürfen, ebenso die nicht extrahierten Datensätze der unverdächtigen Personen. Besonders das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung deutet allerdings darauf hin, dass diese Speicherdauer unverhältnismäßig ist. Denn die Karlsruher Richter hegten dort bereits Zweifel, ob eine Speicherdauer von sechs Monaten mit dem Grundgesetz vereinbar ist (Urteil vom 02.03. 2010, Az.: 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08).

Europol und EU-Beauftragter

Als einen wesentlichen Erfolg verbucht das Europaparlament, dass in der Neufassung eine Kontrolle durch Europol installiert wurde. Die europäische Polizeibehörde soll aus den USA eingehende Anfragen auf ihre Stichhaltigkeit hin überprüfen. Weiter soll vor Ort, also im amerikanischen Finanzministerium in Washington, ein EU-Beamter die Datenverwendung überwachen. Kritikern geht diese Kontrolle nicht weit genug. Sie hegen Zweifel an der Eignung von Europol als objektive Kontrollinstanz, da Europol selbst als Strafverfolgungsbehörde agiert und auf die Ergebnisse der US-Fahnder aus den SWIFT-Daten zurückgreift. Außerdem ist im Abkommen bisher nicht geregelt, wie die Kontrolle genau ablaufen soll. Die Prüfung durch den EU-Beamten ist ebenfalls noch nicht geregelt. Das gilt auch für die Weitergabe der Daten an Drittstaaten.

Auskunfts- und Beschwerderecht

Das Parlament sieht es als einen seiner wichtigsten Erfolge an, dass wenigstens in der zweiten Version des SWIFT-Abkommens den betroffenen Bürgern ein gewisses Maß an Rechtsschutz gegenüber den USA gewährt wird. Zwar ist im neuen Abkommen nicht von Schadensersatzforderungen die Rede, wie dies zuvor von EU-Parlamentariern gefordert wurde. Aber immerhin: Jeder Bürger soll den Zugang zu seinen gespeicherten Daten beanspruchen und gerichtlich durchsetzen können. Zudem soll er auch das Recht haben, die von ihm gespeicherten Daten berichtigen und löschen zu können. Dieses Recht soll jedem Bürger zustehen, unabhängig von seiner Nationalität und seinem Wohnsitz. Wie die Umsetzung tatsächlich gelingt, bleibt aber nach der Formulierung des Abkommens offen. Denn neue Rechte für den Bürger sollen gemäß dem Wortlaut nicht begründet werden.

Rasterfahndung und Datenabgleich

Weiter untersagt das Sicherheitsabkommen Rasterfahndung und eine automatisierte Auswertung der Daten. Jedoch schreibt es zum Beispiel in Artikel 2 fest, dass eine Filterung und Auswertung unter geografischen Gesichtspunkten und bezüglich Bedrohungen und Gefährdungen erfolgen soll. Sinn und Zweck des TFTP ist eine Datenanalyse auf terroristische Zusammenhänge. Gleichzeitig schließt Artikel 5 ausdrücklich das sog. Data-Mining und jede computergestützte Filterung und automatische Profilerstellung aus. Wie die Analyse tatsächlich umgesetzt wird, bleibt daher weiter offen. Unter dem Aspekt des Datenschutzes ist dies problematisch in Hinblick auf die nicht extrahierten Daten bislang unverdächtiger Personen und von Privatunternehmen.

Europäisches Kontrollsystem

Dass das SWIFT-Abkommen in dieser Form trotz einiger datenschutzrechtlicher Mängel letztlich auch vom EU-Parlament akzeptiert wurde, hängt vor allem damit zusammen, dass es in der EU derzeit kein damit vergleichbares Datenauswertungssystem gibt. Die europäischen Polizei- und Justizbehörden sind auf die Informationen aus dem TFTP vom US-Finanzministerium angewiesen. Deshalb plant die Europäische Union die Einführung eines eigenen Systems zur Durchleuchtung von Überweisungen. Es soll innerhalb der nächsten fünf Jahre eingeführt werden. Die Kommission soll in spätestens einem Jahr einen Vorschlag für ein europäisches Kontoüberwachungssystem machen. Allerdings macht sich bereits Skepsis unter den Datenschützern gegen dieses neue Kontrollsystem breit. Es ist also zu erwarten, dass der Datenschutz auch in den nächsten Jahren weiterhin ein wichtiges Thema bleibt und reichlich Diskussionsstoff bietet.

(WEL)