Presseerklärung zum „SWIFT“ Abkommen zwischen der EU und den USA
Das SWIFT-Abkommen, ein rechtliches Feigenblatt
Am 30.11.2009 wurde ein Abkommen zwischen der EU-Kommission und den USA geschlossen, das eine jahrelange illegale Praxis legalisiert.
Das belgische Unternehmen SWIFT verarbeitet als Dienstleister Daten zu Finanztransaktionen von über 8000 Banken in 200 Ländern. SWIFT betrieb in den USA ein Backup-Rechenzentrum. Die Daten wurden von den Banken in Europa erhoben und unterlagen somit europäischem Datenschutzrecht. Die USA verlangten (und bekamen) von SWIFT Zugriff auf die in den USA gespeicherten Daten. SWIFT hätte diese Daten nach europäischem Recht nicht herausgeben dürfen.
Nachdem SWIFT sein Rechenzentrum von den USA in die Schweiz verlegt hat, drohte den USA der Zugriff auf diesen Bestand verloren zu gehen, den sie bereits kurz nach dem 11.September 2001 im Rahmen eines zunächst geheimgehaltenen Regierungsprogramms namens TFTP (Terrorist Finance Tracking Program) genutzt hatten. Nach offiziellen Angaben soll TFTP der Aufdeckung von terroristischen Aktivitäten dienen, insbesondere dem Aufspüren von Organisatoren und Geldgebern.
Der Versuch dieser Datenübermittlung durch das Abkommen einen verfassungskonformen Anstrich zu geben, muss aus mehreren Gründen als gescheitert betrachtet werden.
Die EU bestellte Jean-Louis Bruguière als einzigen Gutachter, der dem TFTP Effektivität bei der Bekämpfung des Terrorismus und den USA eine Einhaltung der zugesicherten Datenschutzpraxis bescheinigte. Misstrauisch macht uns schon, dass dieser oberste Ermittlungsrichter Frankreichs für Terrorismusbekämpfung zuständig ist und als Hardliner gilt. Sein Gutachten ist nicht öffentlich zugänglich, Zahlen über die tatsächliche Effektivität sind nicht bekannt.
Jede Verarbeitung personenbezogener Daten muss einer klaren Zweckbestimmung unterliegen. Diesem Grundsatz kommt das Abkommen vordergründig nach, indem es ausschließlich eine Verarbeitung erlaubt, die im Zusammenhang mit einem Ermittlungsverfahren wegen terroristischer Aktivitäten oder deren Unterstützung steht. Die Definition von „Terrorismus“ umfasst jedoch ein weites Spektrum. Das Abkommen nennt „Handlungen von Personen oder Organisationen, die mit Gewalt verbunden sind oder in anderer Weise Menschenleben, Vermögenswerte oder Infrastrukturen gefährden“. Diese fallen u.a. unter Terrorismus, wenn sie mit dem Ziel begangen werden, durch „Einschüchterung, Zwang oder Nötigung eine Regierung zu veranlassen, Maßnahmen zu treffen oder zu unterlassen.“ Diese Definition könnte interessanterweise auch auf jede Form des Krieges angewendet werden, z.B. auf den vom ehemaligen US Präsidenten Bush ausgerufenen Krieg gegen den Terror.
Das Abkommen sieht eine Kontrollinstanz vor, die die Einhaltung der Bestimmungen überprüfen soll. Während auf europäischer Seite sogar zwei Datenschutzbeauftragte in diesem Gremium sitzen, wird die amerikanischer Seite nur durch das US-Finanzministerium vertreten, das gleichzeitig verantwortlich für die Umsetzung des TFTP ist (in der Vergangenheit gemeinsam mit der CIA). Damit wird der Bock zum Gärtner gemacht. Eine Unabhängigkeit ist nicht gewährleistet. Diese hätte etwa ein Senatsausschuss oder Richter herstellen können. Im Abkommen sind auch keine Sanktionen festgelegt, sollte eine Partei die Verpflichtungen verletzen. Solange die USA keine internationale Gerichtsbarkeit anerkennen, haben die betroffenen EU-Bürger daher keine Möglichkeit, in den USA rechtlich gegen Verstöße vorzugehen.
Die Beschreibung des Übermittlungsverfahrens im Abkommen suggeriert, dass es sich dabei um ein Push-Verfahren handelt, also ein bestimmter Datensatz auf eine Anfrage geschickt wird. Diese Begrenzung wird bereits dadurch relativiert, dass auch ganze Datenpakte angefordert werden können, wenn eine präzise Beschränkung nicht möglich ist. Trotzdem würde ein Push-Verfahren eine Vorabkontrolle erlauben, was überhaupt ausgewertet werden soll. Das Push-Verfahren wurde u.a. in einer Entschließung des deutschen Bundesrates gefordert. In dem Abkommen fanden wir aber zwei Indizien, die darauf hindeuten, dass es sich um ein Pull-Verfahren handeln könnte, also vom Empfänger (USA) aktiv weitgehend beliebige Informationen abrufbar sind.
1.Es wird explizit ausgeschlossen, dass Verfahren wie Datamining oder andere Arten der algorithmischen oder automatischen Profilerstellung oder computergestützten Filterung verwendet werden. Diese Einschränkung wäre nicht erforderlich, wenn es sich um einzelne Datensätze handeln würde, die abgefragt werden und diese wie im Abkommen gefordert auf einem separierten System gespeichert und ausgewertet würden.
2.Zum Zweck einer Überprüfung soll das US-Finanzministerium der EU Zugang zu Daten u.a. „zur Anzahl der abgerufenen Zahlungsverkehrsdaten“ gewähren. Wenn es sich um ein Push-Verfahren handeln würde, hätte die EU diese Information bereits.
Durch das Abkommen fließen „Erkenntnisse“ der US-Behörden an die europäischen Behörden zurück. Dies ist dann problematisch, wenn die Erkenntnisse nicht nach Maßstäben gewonnen wurden, die den entsprechenden europäischen Strafverfolgungsnormen genügen. Über den Umweg USA könnten die europäischen Behörden an Informationen gelangen, die sie nach ihren eigenen Gesetzen gar nicht hätten erheben dürfen.
Es sind nach dem Abkommen auch Auswertungen zulässig, die dazu dienen sollen, terroristische Anschläge zu verhindern. Dies könnte dazu führen, die Schwelle, wann überhaupt eine Straftat vorliegt, weiter nach vorn zu verlagern, in einen Bereich in dem vielleicht nur eine Gedankenspielerei, vielleicht eine nicht ausgeführte Absicht, nicht aber bereits eine konkrete Vorbereitungshandlung gegeben ist. Möglicherweise sind bestimmte Handlungen, die in den USA zu einem Ermittlungsverfahren führen, in Europa gar nicht strafbar.
Diese formale Legalisierung erweist dem Datenschutz einen Bärendienst.
Sylvia Johnigk und Kai Nothdurft, 8.12.2009
Kontakt für Rückfragen: Sylvia Johnigk sylvia@fiff.de Tel: 0179 2897714