Publikationen / Grundrechte-Report / Grundrechte-Report 2007

Kontodaten für die CIA

Wie der Bankendienstleister SWIFT das Bankgeheimnis durch Datenübermittlung in die USA aushöhlt

Grundrechte-Report 2007, Seiten 46 – 50

Das deutsche Bundesfinanzministerium sah im Herbst 2006 zu Recht das Bankgeheimnis verletzt, als US-Beteiligungsgesellschaften Darlehen von deutschen Banken im Milliardenumfang aufkauften. Die Daten der Darlehensnehmer fänden in den USA nicht ausreichenden Schutz. Kein großes Problem konnte das selbe Ministerium dagegen erkennen, als kurz zuvor bekannt wurde, dass der belgische Bankendienstleister SWIFT weltweit sämtliche Daten von internationalen Geldtransaktionen in ein Rechenzentrum in die USA übermittelte, die dann von der Central Intelligente Agency, dein US-amerikanischen Auslandsgeheimdienst, oder von der Bundespolizei FBI erfasst und ausgewertet werden. SWIFT steht für »Society for Worldwide Interbank Financial Telecommunications«. Es handelt sich dabei um eine seit 30 Jahren bestehende Datendrehscheibe, über die weltweit sämtliche grenzüberschreitenden Banküberweisungen abgewickelt werden – dies sind täglich oft über 12 Millionen Transaktionen mit einem Gesamtumfang von bis zu 4,8 Billionen Euro. Diese von dem Unternehmen bei Brüssel verarbeiteten und weitergeleiteten Daten werden in den USA für Sicherungszwecke gespiegelt, d. h. in Kopie gespeichert, und zwecks Terrorismusbekämpfung ausgewertet.

Jede Überweisung eine potenzielle Terror­fi­nan­zie­rung?

Seit kurz nach den Terroranschlägen vom 11. September 2001 beschaffen sich die US-Sicherheitsbehörden mit Hilfe der US-Finanzbehörde diese Daten, um die Finanzierungsströme des Terrorismus aufzuspüren. Dies erfolgt auf Grund »administrativer Vollmachten«, also durch reine Regierungsanweisung des US-Präsidenten George W. Bush, ohne dass hierbei eine gerichtliche Überprüfung stattfindet. Obwohl von Anfang an selbst im US-Finanzministerium rechtliche Bedenken gegen diese Praxis bestanden, wird diese bis heute fortgesetzt. Seit dem Jahr 2003 lässt sich SWIFT zwar nicht mehr mit mündlichen Zusagen abspeisen und lässt die Datenbeschaffung durch eine »unabhängige« Firma beobachten. Bis heute haben aber weder SWIFT noch die beauftragenden Banken, geschweige den die Bankkundinnen und -kunden auch nur ansatzweise eine Garantie, dass ihre Daten in der »größten Bankdatenbank der USA« – so die US-Regierung – nicht zweckwidrig genutzt werden.

Zur Auswertung kommen die Bankdaten aller Menschen und Unternehmen, die Geld ins Ausland transferieren – nicht nur von des Terrorismus, der Geldwäsche oder der Terrorfinanzierung Verdächtigen. Dieser Vorgang wurde nach Veröffentlichungen in US-Zeitungen Ende Juli 2006 bekannt. Kein Wunder, dass die europäische Wirtschaft Befürchtungen äußerte, diese Daten könnten zugunsten der US-Industrie zur Wirtschaftsspionage genutzt werden. Tatsächlich gibt es in den USA bzgl. der Datenverwendung keine wirksame Kontrolle: kein Datenschutzgesetz, keine Zweckbindung, keine Ansprüche auf Auskunft und Transparenz, keine unabhängige Kontrollinstanz. Dennoch sah sich nach Bekanntwerden kein Verantwortlicher veranlasst, diese offensichtlich illegale Aktion zu beenden.

Toleranz für milli­o­nen­fache Grund­rechts­ver­stöße

Erschreckend wenig Sinn zeigte auch die deutsche Bundesregierung, die nach Bekanntwerden der Fakten zunächst deren bisherige Kenntnis vehement bestritt, um auf intensive parlamentarische Nachfrage selbst nach Monaten keine Stellungnahme zu geben und es gezielt zu unterlassen, die bürgerrechtlichen Interessen der deutschen Bankkunden zu vertreten. Die Europäische Zentralbank hatte nach eigenem Bekunden seit Juni 2002 von dem Bruch des Bankgeheimnisses Kenntnis, ohne aber etwas zu veranlassen. Die EU-Kommission, die zunächst jede Zuständigkeit bzgl. dieses Vorgangs bestritt, ließ sechs Monate nach dessen Bekanntwerden durch Justizkommissar Frattini verlauten, die EU sei für rasche Verhandlungen mit den USA über den Umgang mit den Bankdaten.

Zwar begannen Datenschutzkontrollinstanzen mit der Aufklärung der rechtlichen und technischen Fakten. Von den Banken oder von den Regierungen waren jedoch keine Aktivitäten zu erkennen, um die millionenfache Verletzung des Rechts auf informationelle Selbstbestimmung und des Bankgeheimnisses zu beenden. Der deutsche Zentrale Kreditausschuss (ZKA), der Zusammenschluss aller Bankenverbände, meinte feststellen zu müssen, es sei unrealistisch, dass sich deutsche Banken als Kunden des konkurrenzlosen SWIFT durchsetzen könnten. Statt die Einhaltung von Recht und Gesetz zu unterstützen, plädierte der ZKA für eine »politische Lösung«.

Die Bemühungen der europäischen Datenschutzinstanzen erwiesen sich als schwerfällig. Obwohl nach einer Analyse der bestehenden Verträge und der stattfindenden Datenverarbeitung durch ein Gutachten des Unabhängigen Landeszentrunis für Datenschutz Schleswig-Holstein nicht mehr ernsthaft bestritten werden konnte, dass SWIFT als Dienstleister an die rechtlichen Vorgaben der Banken gebunden ist, kam sowohl die belgische Aufsichtsbehörde wie auch die Artikel-29-Gruppe – der Zusammenschluss der Datenschutzkontrollbehörden in der EU – zunächst zu dem Ergebnis, dass den betroffenen Banken sowie deren Kunden praktisch keine rechtlichen Möglichkeiten zur Verfügung stünden. Begründet wurde dies mit den technischen Umständen und dem zwingenden Verhalten der US-Administration. Erst fünf Monate, nachdem die deutschen Aufsichtsbehörden einen massiven Datenschutzverstoß von SWIFT und den Finanzinstitute in der EU festgestellt hatten, erkannte auch die Gruppe die Verletzung der Datenschutzrichtlinie an.

Erpressung und Ignoranz

Tatsächlich haben die USA von Anfang an massiven Druck auf SWIFT ausgeübt, das ein Rechenzentrum in den USA betreibt. SWIFT hätte diesem Druck nicht nachgeben müssen und dürfen und hätte – spätestens nach Bekanntwerden des milliardenfachen Gesetzesbruchs – sich diesem entziehen müssen. Mittelfristig besteht kein Grund, die Datensicherung des belgischen Unternehmens in den USA vorzunehmen. Selbst kurzfristig wäre es SWIFT möglich gewesen, die in die USA gespiegelten Daten so zu verschlüsseln, dass diese von den US-Behörden nicht hätten gelesen werden können. Allenfalls auf die Daten der Absender und Empfänger in den USA könnten die dortigen Behörden berechtigterweise zugreifen, wenn hierfür die gesetzlichen Vorschriften und die formalen Anforderungen vorlägen – was anscheinend mit den administrativen Anordnungen auch nicht der Fall ist. SWIFT-Chef Leonard Schrank und die sonstigen Verantwortlichen erwiesen sich aber zu keinem Zeitpunkt problembewusst oder wegen der eindeutigen Rechtslage einsichtig.

Offensichtlich lassen sich SWIFT, die Banken und Bankenverbände, die Politik wie auch die Behörden in Europa und im Rest der Welt von den USA bei der Datenbeschaffung erpressen. Ein Interesse hieran können die Banken nicht wirklich haben. Diese sind ihren Kundinnen und Kunden gegenüber zum vertraulichen Umgang mit den Daten – zum Bankgeheimnis – verpflichtet. Auch die Politik und die Behörden müssen sich darüber bewusst sein, dass die weitergeführte Praxis unzweifelhaft gegen die Europäische Datenschutzrichtlinie verstößt.

Über die Konsequenzen dieses Verstoßes gegen das Recht auf informationelle Selbstbestimmung kann nur spekuliert werden. Dieses Recht besteht nicht nur nach deutschem Verfassungsrecht aus Artikel 2 Absatz 1 i. V. in. Artikel 1 Absatz 1 GG, sondern auch auf Grund von Artikel 8 der Europäischen Menschenrechtskonvention und Artikel 8 der EU-Grundrechte-Charta. Die abgeschöpften Daten stehen den US-Behörden, die an der Terrorismusbekämpfung beteiligt sind, in einem Investigative Data Warehouse (IWD) zur Verfügung. Daran sind über 50 Behörden, von FBI- und CIA-Dienststellen bis hin zu Regierungsbüros beteiligt. Diese Daten werden hei den weltweiten amerikanischen Terrorismusermittlungen herangezogen, bei denen – wie sich immer wieder zeigt – viele absolut Unschuldige getroffen werden. Die Daten werden aber z.B. auch genutzt, um bestimmten Personen die Einreise in die USA zu verweigern. Über die wirtschaftlichen Schäden, die mit der vermuteten Wirtschaftsspionage verbunden sind, kann nur gemutmaßt werden.

nach oben