Das neue SWIFT-Abkommen – kein Ruhmesblatt für den transatlantischen Datenschutz
Grundrechte-Report 2011, Seiten 41 – 46
Im Nachgang zu den Anschlägen vom 11. September 2001 hatten die USA jahrelang ohne Kenntnis der Öffentlichkeit Daten von transatlantischen Finanztransaktionen ausgewertet. Sie bedienten sich dabei des in Belgien ansässigen Finanztransaktionsmonopolisten SWIFT, der weltweite Geldtransfers europäischer und damit auch deutscher Banken und deren Kunden abwickelt. Den Sicherheitsbehörden der USA wurden umfänglich Informationen über die Finanzverbindungen Tausender EU-Bürger und -Geschäftsleute übermittelt. Begründet wurde dieser massenhafte Eingriff in den Datenschutz mit der Terrorismusbekämpfung. Mit seinem Bekanntwerden stieß der Transfer sensibler Finanzdaten in die USA auf massive Kritik in der Öffentlichkeit. Das Europäische Parlament (EP) stellte sich aufgrund datenschutzrechtlicher Bedenken zunächst quer,
stimmte aber letztlich im Juni 2010 dem unter großem Zeitdruck
ausgehandelten modifizierten Abkommen mit den USA zu. Seit dem 1. August 2010 ist das sogenannte SWIFT-Abkommen in Kraft.
Datenschutzrechtliche Mängel
Das Abkommen genügt den grundrechtlichen Anforderungen nicht -weder nach den Standards der europäischen Charta der Grundrechte noch nach dem Grundgesetz. Zentrale datenschutzrechtliche Probleme wurden nicht gelöst, sondern mit dem Hinweis auf vermeintliche »Sachzwänge« beiseitegeschoben.
Kritisiert wird, dass anstatt der Daten konkret verdächtiger Personen ganze Datenpakete (»bulk data«) übermittelt werden dürfen, etwa sämtlicher Transaktionen innerhalb eines bestimmten Zeitraumes zwischen den Banken bestimmter Staaten. Wie groß der Kreis der Betroffenen ist, kann bis heute niemand sagen. Fest steht, dass es sich in der Regel um unbescholtene Bürger handelt. Begründet werden die Datenbündel damit, dass es dem Dienstleister SWIFT technisch nicht
möglich sei, die Datenpakete aufzuschnüren, um einen konkreteren
Zugriff zu tätigen. Dieses rein technische Argument überzeugt nicht. Ein konsequent an Grundrechten orientierter Ansatz hätte auch zu einer völligen Untersagung der Übermittlung kommen können.
Eine wirksame Begrenzung der Datenmenge, die den USA zugeleitet wird, ist nicht vorgesehen. Es ist deswegen zu befürchten, dass in der Praxis mit abstrakten und weitestgehend anlasslosen Rasterprofilen gearbeitet wird. So können etwa all diejenigen Personen unter Verdacht geraten, die »Überweisungen aus dem Euro-Raum nach Pakistan« getätigt haben. Sie werden unter Generalverdacht gestellt, ohne dass sie gegen irgendein Gesetz verstoßen hätten. Immerhin ist mittlerweile
klargestellt, dass rein innereuropäische Überweisungen überhaupt nicht mehr übermittelt werden dürfen.
Problematisch ist weiterhin die lange Dauer von fünf Jahren, innerhalb derer die entsprechenden Datenpakete in den USA vorgehalten und zur Recherche genutzt werden dürfen. Sie wird begründet mit der Durchschnittsdauer von Gerichtsverfahren bei Terrorstraftaten. Ein solcher Maßstab kann indes nicht einer verlässlichen Eingrenzung des Grundrechtseingriffs dienen, da er beliebig veränderbar und sogar steuerbar ist. Auch der von der Bundesregierung zur Rechtfertigung
herangezogene Verweis auf eine fünfjährige Speicherfrist im
Geldwäschegesetz überzeugt deshalb nicht, weil es sich dabei um Daten handelt, die aufgrund von bestimmteren und konkreteren
Verdachtskriterien vorgehalten werden müssen und auch konkret quantifizierbar sind.
Die Europäische Union betont, dass sie innerhalb der nächsten fünf Jahre selbst in der Lage sein will, die SWIFT-Datenbestände auszuwerten. Der Datentransfer in die USA wäre somit hinfällig. Aber auch dann stellt sich die Frage, welchen Nutzen die Auswertung der SWIFT-Daten im Anti-Terror-Kampf bringt. Einen Nachweis blieben die USA und die EU den betroffenen Bürgern bislang schuldig.
Schutz mit geringer Reichweite
Zum Schutz der Bürger wählt das SWIFT-Abkommen lediglich kompensierend Schutz durch Zugriffsbestimmungen. Anders als bei der Vorratsdatenspeicherung ist eine Begrenzung der Datenzugangsrechte durch bestimmte Behörden jedoch nicht vorgesehen. Es erhalten potentiell sämtliche für den Schutz der öffentlichen Sicherheit zuständigen US-Behörden zumindest die Ergebnisse individueller Suchabfragen, wobei diese Suchabfragen keinesfalls auf konkrete Namen von Verdächtigten beschränkt sind, sondern »Gegenstand der Anfrage« (Artikel 5 Absatz 6 des SWIFT-Abkommens) auch jedes andere Merkmal wie etwa ein Datum oder auch ein Zeitraum sein kann. Gleichwohl muss anerkannt werden, dass die automatisierte und potentiell mehr Unbeteiligte betreffende »Rasterung« der Daten nach bestimmten Kriterien ausdrücklich nicht mehr zugelassen ist.
Bei den Einflussrechten der potentiell von Datenübermittlungen
betroffenen Bürgerinnen und Bürger gibt es ebenfalls nicht hinnehmbare Mängel. Das in Deutschland verfassungsrechtlich verbürgte Auskunftsrecht zu den persönlichen Daten ist jedenfalls nicht mit dem verkümmerten Rest von Auskunft vergleichbar, wie er im Abkommen formuliert wird: lediglich eine über mehrere Stellen vermittelt anzufordernde allgemeine Bestätigung lässt sich erreichen, dass Datenschutzrechte bei der Verarbeitung der eigenen Daten gewahrt wurden. Allerdings kann nach dem Abkommen selbst diese Auskunft, ob überhaupt die eigenen Daten in US-Dateien gelangt sind, unter Verweis auf nationale Sicherheitsinteressen umfänglich verweigert werden; dies muss dann aber begründet werden.
Außerdem fehlt es an einem überzeugenden Kontrollregime, um die Einhaltung des Datenschutzes in den USA sicherzustellen. Zwar gibt es offenbar einen »eingebetteten« EU-Mitarbeiter vor Ort, dessen Prüfungsauftrag sich auf die Bestimmungen des Abkommens bezieht. Er kann aber eine wirklich unabhängige Kontrolle durch eine den europäischen Datenschutzbeauftragten vergleichbare Stelle nicht ersetzen. Als »Einzelkämpfer« vor Ort ist er ohnehin völlig von der Kooperationsbereitschaft des US-Finanzministeriums abhängig. Noch weniger überzeugend ist die nunmehr ausgerechnet Europol zugewiesene Rolle: sie soll die eingehenden Ersuchen um Datenübermittlungspakete auf ihre Vereinbarkeit mit dem Abkommen überprüfen, bevor es zu Übermittlungen kommt. Damit müssen sich die europäischen Polizeibeamten nicht nur mit denselben nicht ausreichend
bestimmten Formulierungen des Abkommens herumschlagen. Es handelt sich vielmehr um einen klassischen Fall des Bockes, der zum Gärtner gemacht wird. Denn ausgerechnet Europol wird ja zuerst und vorrangig informiert, wenn die US-Amerikaner etwas in den SWIFT-Datenbeständen gefunden haben. Denn Europol koordiniert in bestimmten Fällen auf europäischer Ebene die Terrorismusbekämpfung in informationeller Hinsicht. Europol-Beamte verfolgen deshalb kein genuin eigenes Interesse, die Menschen- und Bürgerrechte der EU-Bürger bei der Straftatverfolgung zu wahren. Ihr vordringlicher Auftrag
dient der Bekämpfung selbst. Insgesamt fehlt es deshalb an einer hinreichenden Unabhängigkeit der Aufsicht über die im Abkommen geschaffenen Standards, wie sie in Europa als unabdingbarer Standard des Grundrechtsschutzes zu fordern ist.
SWIFT: Worst Practice für den Datenschutz
Zusammenfassend lässt sich festhalten, dass die Vertragspartner
ersichtlich an einer Beibehaltung des status quo der Datenübermittlungen interessiert waren. Den notwendigen
Grundrechtsschutzstandards wurde dabei nicht hinreichend Rechnung getragen. Für die anstehenden wichtigen Verhandlungen mit den USA über Abkommen in anderen sensitiven Bereichen der Datenübermittlung bietet das SWIFT-Abkommen deshalb keinen guten Orientierungspunkt. Vielmehr wäre es aus Sicht der Bürgerrechte weitaus sinnvoller gewesen, zunächst ein allgemeines Datenschutzabkommen zu erarbeiten, in dem eine grundlegendere Übereinkunft über zentrale Prinzipien des Datenaustausches und Gewährleistungen von Schutzstandards hätte erreicht werden können. Ein solches Vorgehen hätte der europäischen Position vermutlich größeres Gewicht verliehen und womöglich eine größere Sensibilität für die Datenschutzproblematik auf US-Seite schaffen können.
Der SWIFT-Skandal zeigt, dass die Einhaltung der Bürgerrechte auf europäischer Ebene weiterhin unserer besonderen Aufmerksamkeit bedarf. Das SWIFT-Abkommen jedenfalls bietet nicht den notwendigen Schutz, der den Bürgern in Europa verfassungsrechtlich zusteht. Der völlige Verzicht auf die Datenweitergabe und die baldige europäische Auswertung innerhalb der bestehenden rechtsstaatlichen Grenzen für solche Eingriffe sollten Ziele für die Zukunft sein.
Literatur
Beschluss des Rates über den Abschluss des Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus, 11222/1/10 REV 1
Bundesverfassungsgericht, Urteil vom 2. März 2010, 1 BvR 256/08,
1 BvR 263/08, 1 BvR 586/08