Das SWIFT-Abkommen, ein rechtliches Feigenblatt
Presseerklärung des FIfF e.V. zum "SWIFT" Abkommen zwischen der EU und den USA
Am 30.11.2009 wurde ein Abkommen zwischen der EU-Kommission und den USA
geschlossen, das eine jahrelange illegale Praxis legalisiert.
Das belgische Unternehmen SWIFT verarbeitet als Dienstleister Daten zu
Finanztransaktionen von über 8000 Banken in 200 Ländern. SWIFT betrieb
in den USA ein Backup-Rechenzentrum. Die Daten wurden von den Banken in
Europa erhoben und unterlagen somit europäischem Datenschutzrecht. Die
USA verlangten (und bekamen) von SWIFT Zugriff auf die in den USA
gespeicherten Daten. SWIFT hätte diese Daten nach europäischem Recht
nicht herausgeben dürfen.
Nachdem SWIFT sein Rechenzentrum von den USA in die Schweiz verlegt hat,
drohte den USA der Zugriff auf diesen Bestand verloren zu gehen, den sie
bereits kurz nach dem 11.September 2001 im Rahmen eines zunächst
geheimgehaltenen Regierungsprogramms namens TFTP (Terrorist Finance
Tracking Program) genutzt hatten. Nach offiziellen Angaben soll TFTP der
Aufdeckung von terroristischen Aktivitäten dienen, insbesondere dem
Aufspüren von Organisatoren und Geldgebern.
Der Versuch dieser Datenübermittlung durch das Abkommen einen
verfassungskonformen Anstrich zu geben, muss aus mehreren Gründen als
gescheitert betrachtet werden.
Die EU bestellte Jean-Louis Bruguière als einzigen Gutachter, der dem
TFTP Effektivität bei der Bekämpfung des Terrorismus und den USA eine
Einhaltung der zugesicherten Datenschutzpraxis bescheinigte.
Misstrauisch macht uns schon, dass dieser oberste Ermittlungsrichter
Frankreichs für Terrorismusbekämpfung zuständig ist und als Hardliner
gilt. Sein Gutachten ist nicht öffentlich zugänglich, Zahlen über die
tatsächliche Effektivität sind nicht bekannt.
Jede Verarbeitung personenbezogener Daten muss einer klaren
Zweckbestimmung unterliegen. Diesem Grundsatz kommt das Abkommen
vordergründig nach, indem es ausschließlich eine Verarbeitung erlaubt,
die im Zusammenhang mit einem Ermittlungsverfahren wegen terroristischer
Aktivitäten oder deren Unterstützung steht. Die Definition von
"Terrorismus" umfasst jedoch ein weites Spektrum. Das Abkommen nennt
"Handlungen von Personen oder Organisationen, die mit Gewalt verbunden
sind oder in anderer Weise Menschenleben, Vermögenswerte oder
Infrastrukturen gefährden". Diese fallen u.a. unter Terrorismus, wenn
sie mit dem Ziel begangen werden, durch "Einschüchterung, Zwang oder
Nötigung eine Regierung zu veranlassen, Maßnahmen zu treffen oder zu
unterlassen." Diese Definition könnte interessanterweise auch auf jede
Form des Krieges angewendet werden, z.B. auf den vom ehemaligen US
Präsidenten Bush ausgerufenen Krieg gegen den Terror.
Das Abkommen sieht eine Kontrollinstanz vor, die die Einhaltung der
Bestimmungen überprüfen soll. Während auf europäischer Seite sogar zwei
Datenschutzbeauftragte in diesem Gremium sitzen, wird die amerikanischer
Seite nur durch das US-Finanzministerium vertreten, das gleichzeitig
verantwortlich für die Umsetzung des TFTP ist (in der Vergangenheit
gemeinsam mit der CIA). Damit wird der Bock zum Gärtner gemacht. Eine
Unabhängigkeit ist nicht gewährleistet. Diese hätte etwa ein
Senatsausschuss oder Richter herstellen können. Im Abkommen sind auch
keine Sanktionen festgelegt, sollte eine Partei die Verpflichtungen
verletzen. Solange die USA keine internationale Gerichtsbarkeit
anerkennen, haben die betroffenen EU-Bürger daher keine Möglichkeit, in
den USA rechtlich gegen Verstöße vorzugehen.
Die Beschreibung des Übermittlungsverfahrens im Abkommen suggeriert,
dass es sich dabei um ein Push-Verfahren handelt, also ein bestimmter
Datensatz auf eine Anfrage geschickt wird. Diese Begrenzung wird bereits
dadurch relativiert, dass auch ganze Datenpakte angefordert werden
können, wenn eine präzise Beschränkung nicht möglich ist. Trotzdem würde
ein Push-Verfahren eine Vorabkontrolle erlauben, was überhaupt
ausgewertet werden soll. Das Push-Verfahren wurde u.a. in einer
Entschließung des deutschen Bundesrates gefordert. In dem Abkommen
fanden wir aber zwei Indizien, die darauf hindeuten, dass es sich um ein
Pull-Verfahren handeln könnte, also vom Empfänger (USA) aktiv weitgehend
beliebige Informationen abrufbar sind.
-
Es wird explizit ausgeschlossen, dass Verfahren wie Datamining oder
andere Arten der algorithmischen oder automatischen Profilerstellung
oder computergestützten Filterung verwendet werden. Diese Einschränkung
wäre nicht erforderlich, wenn es sich um einzelne Datensätze handeln
würde, die abgefragt werden und diese wie im Abkommen gefordert auf
einem separierten System gespeichert und ausgewertet würden.
- Zum Zweck einer Überprüfung soll das US-Finanzministerium der EU
Zugang zu Daten u.a. "zur Anzahl der abgerufenen Zahlungsverkehrsdaten"
gewähren. Wenn es sich um ein Push-Verfahren handeln würde, hätte die EU
diese Information bereits.
Durch das Abkommen fließen "Erkenntnisse" der US-Behörden an die
europäischen Behörden zurück. Dies ist dann problematisch, wenn die
Erkenntnisse nicht nach Maßstäben gewonnen wurden, die den
entsprechenden europäischen Strafverfolgungsnormen genügen. Über den
Umweg USA könnten die europäischen Behörden an Informationen gelangen,
die sie nach ihren eigenen Gesetzen gar nicht hätten erheben dürfen.
Es sind nach dem Abkommen auch Auswertungen zulässig, die dazu dienen
sollen, terroristische Anschläge zu verhindern. Dies könnte dazu führen,
die Schwelle, wann überhaupt eine Straftat vorliegt, weiter nach vorn zu
verlagern, in einen Bereich in dem vielleicht nur eine
Gedankenspielerei, vielleicht eine nicht ausgeführte Absicht, nicht aber
bereits eine konkrete Vorbereitungshandlung gegeben ist. Möglicherweise
sind bestimmte Handlungen, die in den USA zu einem Ermittlungsverfahren
führen, in Europa gar nicht strafbar.
Diese formale Legalisierung erweist dem Datenschutz einen Bärendienst.
Sylvia Johnigk und Kai Nothdurft, 8.12.2009
FIfF - Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung
Zurück zur "Terrorismus"-Seite
Zur EU-Europa-Seite
Zurück zur Homepage