Seit den Terroranschlägen von 9/11 kontrollieren die USA mit europäischer Duldung Daten von Finanztransfers zwischen der EU und Drittstaaten. Das Ergebnis ist ein Massenzugriff mit fragwürdiger Kontrolle der EU.
Der eben verstrichene zehnte Jahrestag des Terroranschlages der Al Kaida in den USA am 11. September 2001 ruft wieder die "SWIFT-Affaire“ in Erinnerung. Völlig unbemerkt von der europäischen Öffentlichkeit, griffen im Rahmen der Terrorfahndung nach 9/11 US-amerikanische Behörden, darunter auch mehrere Geheimdienste, jahrelang rechtswidrig auf den Datenbestand von SWIFT zu. Die Reaktion der EU kam spät und auch nur halbherzig und wird darüber hinaus durch das laxe Kontrollverhalten von EUROPOL auch noch ad absurdum geführt. Die "SWIFT-Affaire“ zeigt wie kaum eine andere das Spannungsverhältnis zwischen Terrorbekämpfung und Datenschutz.
Zugriff auf Bankdaten
Am 22. Juni 2006 machte die New York Times bekannt, dass sich verschiedene US-Behörden, darunter auch der amerikanische Auslandsgeheimdienst CIA und das FBI, auf der Grundlage verbindlicher Beschlagnahmeanordnungen seit Ende des Jahres 2001 Zugriff auf Zahlungsverkehrsdaten von SWIFT verschafft haben. SWIFT (Society for Worldwide Interbank Financial Telecommunication) ist eine 1973 gegründete und in Belgien ansässige genossenschaftlich organisierte Banken-Kooperation, in der weltweit rund 8000 Kommerzbanken, Brokerhäuser, Börsen und andere Finanzinstitute aus 208 Ländern zusammengeschlossen sind.
SWIFT ist ein Telekommunikationsunternehmen, über das Informationen über Finanztransaktionen ausgetauscht werden. Es wickelt täglich bis zu 15 Mio. Überweisungen und Bankgeschäfte mit einem Volumen von rund 4,8 Mrd. Euro ab und speichert diese Daten für die Dauer von 124 Tagen. SWIFT verarbeitet 90 Prozent des internationalen Zahlungsverkehrs und verfügt über eine Monopolstellung.
Der Zugriff der USA erfolgte zunächst ohne Wissen und Zustimmung von SWIFT und nachträglich damit begründet, dass die Daten zur Terrorbekämpfung im Rahmen des Programms des US-Finanzministeriums zum Aufspüren der Finanzierung des Terrorismus (Terrorist Financing Tracking Program, TFTP), das kurz nach 9/11 eingerichtet wurde, benötigt wurden.
In Presseberichten war dabei von über 20 Mio. übermittelter Bankdaten pro Jahr die Rede.
Der Abruf der SWIFT-Daten ermöglichte es den USA, personenbezogene Daten und Informationen über die wirtschaftliche Tätigkeit von Staaten, Unternehmen und Privatpersonen zu erhalten, was nicht nur zur Verletzung des Rechts auf informationelle Selbstbestimmung, sondern auch zu Formen des "data mining“ im Sinn von Wirtschafts- und Industriespionage führen konnte. Erst durch ein (geheimes) "Memorandum of Understanding“ zwischen dem US-Finanzministerium und SWIFT aus dem Jahre 2004 wurden seitens der USA einige wenige datenschutzrechtliche Zusicherungen gegeben.
Reaktion der EU
Nachdem der "Datenklau“ Mitte 2006 enttarnt wurde, distanzierte sich die EU interessanterweise nicht schärfstens von dieser Vorgangsweise der USA. 2009 begann SWIFT mit der Verlegung seines Operating Center von den USA in die Schweiz, um damit den USA die Möglichkeit zu nehmen, auf die Daten unter dem Schutz der amerikanischen Rechtsordnung zuzugreifen. Als Folge davon traten die USA an die EU mit der Forderung heran, ihr weiterhin Zugriff auf die SWIFT-Daten zu ermöglichen.
Das Abkommen trat gemäß der ursprünglichen Entscheidung des Rates zunächst am 1. Februar 2010 vorübergehend in Kraft, wurde aber in der Folge am 11. Februar 2010 im EP mit nur 196 Pro- aber 378 Kontra-Stimmen bei 31 Enthaltungen massiv abgelehnt, worüber sich die USA mehr als "enttäuscht“ zeigten und ankündigten, den Datenzugang nunmehr bilateral mit den einzelnen EU-Staaten sicherstellen zu wollen.
Nach einer Reihe inhaltlicher Nachbesserungen kam es Ende Juni 2010 zur Unterzeichnung des erneuerten SWIFT-Abkommens, dem das EP mit großer Mehrheit zustimmte, sodass es mit 1. August 2010 in Kraft treten konnte.Inhaltlich werden vom SWIFT-Abkommen lediglich Finanztransfers aus der EU in dritte Staaten erfasst, nicht aber innereuropäische Überweisungen. Lediglich auf innereuropäische Bankdaten, die über das System SWIFTNet FIN prozessiert werden, können die USA zugreifen. 2010 wickelte SWIFT monatlich über 200 Mio. Transaktionen zwischen den Räumen EU/Naher Osten/Afrika über SWIFTNet FIN ab. Von August 2010 bis Jänner 2011 griffen die USA über 27.000 Mal auf SWIFT-Daten zu.
Die Überprüfung, ob die Anforderung und Verwendung der Daten durch die USA datenschutzrechtlich korrekt und nur zu Zwecken der Terrorismusbekämpfung erfolgt, wird durch das Europäische Polizeiamt (EUROPOL) vorgenommen.
Diejenigen, die die Beleihung eines Polizeiamtes und nicht einer unabhängigen, justiziellen Stelle mit den Worten kritisiert hatten, dass man damit "den Bock zum Gärtner“ gemacht habe, sehen sich durch den im März 2011 vorgelegten Bericht der GKI über die Genehmigungspraxis von EUROPOL in der Ausfolgung von SWIFT-Finanzdaten voll bestätigt.
Fragwürdige Kontrolle
Zum einen waren die aus den USA eingegangenen schriftlichen Anträge um Ausfolgung von Bankdaten nicht spezifiziert genug, um eine korrekte Erledigung derselben zu ermöglichen und zum anderen wurden auch eine Reihe mündlicher Informationen - unter der Bedingung, dass darüber keine Aufzeichnungen gemacht werden - erbeten, deren Inhalt demgemäß überhaupt nicht überprüft werden konnte. Im Übrigen gab EUROPOL allen US-Ersuchen um Datenherausgabe statt.
* Der Autor ist Prof. em. für Europarecht der Uni Innsbruck
