Die Beauftragte für den Datenschutz und die Informationsfreiheit

Häufig gestellte Fragen zu SWIFT

Über Ihre Rechte nach dem so genannten SWIFT-Abkommen geben die folgenden Fragen und Antworten Auskunft.

Weitere ausführliche Informationen finden Sie unter Datenschutz - Finanzen und Versicherung

Welche Daten werden an die US-Behörden übermittelt?

Das SWIFT-Abkommen erlaubt die Übermittlung von Transaktionsdaten zu Überweisungen in das außereuropäische Ausland. Dazu zählen Angaben zu Auftraggeber und Empfänger einer Überweisung, einschließlich Name, Kontonummer und Anschrift. Innereuropäische Überweisungen sind nur dann ausgeschlossen, wenn sie über das SEPA-System abgewickelt werden. SEPA steht für Single European Payment Area (Einheitlicher Euro-Zahlungsverkehrsraum) und basiert auf der europaweit einheitlichen Verwendung von IBAN-(Internationale Bankkontonummer) und BIC-Nummern (international gültige Bankleitzahl) bei Überweisungen.

Wie bewertet die Bundesdatenschutzbeauftragte, dass zur Geltendmachung der Rechte weitere Angaben zum Betroffenen an die US-Behörden übermittelt werden müssen?

Um das Auskunftsbegehren zu spezifizieren und Missbrauch zu verhindern, kann unter Umständen die Übermittlung weiterer personenbezogener Angaben (Anschrift, gegebenenfalls Bankverbindung) geboten sein. Die BfDI bemüht sich derzeit, auf verschiedenen Ebenen eine Konkretisierung und Vereinfachung der Verfahrensregelungen zu erreichen. Dazu zählt auch, dass weitere personenbezogene Daten so wenig Stellen wie nötig bekannt gegeben werden.

Welche Möglichkeit hat ein Betroffener, wenn im Rahmen des SWIFT-Abkommens unrichtige Daten über ihn verarbeitet werden?

Der Betroffene hat nach Artikel 16 des SWIFT-Abkommens ein Recht auf Berichtigung, Löschung oder Sperrung, wenn die über ihn gespeicherten Daten nicht richtig sind oder bei ihrer Verarbeitung gegen die Regelungen des SWIFT-Abkommens verstoßen wurden. Beruft sich der Betroffene auf diese Rechte, werden die unrichtigen Daten in der Datenbank der US-Behörden gesperrt oder als unrichtig gekennzeichnet. Da es jedoch nicht möglich ist, die übermittelten unrichtigen Zahlungsverkehrsdaten zu korrigieren, muss der Betroffene eine Korrektur der fehlerhaften Daten zugleich auch bei seiner Bank geltend machen.

Was kann der Betroffene machen, wenn seine Rechte nicht gewahrt werden?

Wer der Auffassung ist, dass seine personenbezogenen Daten unter Verstoß gegen das SWIFT-Abkommen verarbeitet wurden, kann gemäß den Rechtsvorschriften der Europäischen Union, seines jeweiligen Mitgliedsstaates oder der Vereinigten Staaten einen wirksamen administrativen und gerichtlichen Rechtsbehelf einlegen.

Was ist SWIFT?

Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) ist eine 1973 gegründete, internationale Genossenschaft der Geldinstitute, die ein Telekommunikationsnetz (das SWIFT-Netz) für den Nachrichtenaustausch zwischen den Mitgliedern betreibt.

Der Sitz ist in La Hulpe (Belgien). In Zoeterwoude (Niederlande), in Culpeper (Virginia/USA) und im Raum Zürich (Schweiz) befindet sich jeweils ein Operating Center (OPC).

SWIFT transportiert Nachrichten der Finanzinstitute untereinander, führt jedoch keine Konten für die Partner und gleicht Zahlungen nicht aus.

Zu den SWIFT-Nachrichten gehören u.a.:

• Zahlungen, u.a. die EU (EU)-Standardüberweisung
• Deckungsanschaffungen aus Wertpapier- und Devisengeschäften
• Kontoauszüge für gegenseitig unterhaltene Konten zwischen Kreditinstituten
• Zahlungsavise mit Angabe der Deckungsadressen
• Avise von Akkreditiveröffnungen (Bescheinigung eines Schuldversprechens der eröffnenden Bank)
• Wertpapiertransaktionen.

Seit den Terroranschlägen am 11. September 2001 in den USA musste SWIFT nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden übermitteln. Ende Juli 2009 beschlossen die EU-Außenminister, Terrorfahndern der Vereinigten Staaten einen Zugriff auf europäische Kontodaten zu ermöglichen. Sie beauftragten die Europäische Kommission mit der Aushandlung eines Abkommens (das sogenannte TFTP-Abkommen). Dieses wurde am 28. Juni 2010 von der EU und den USA unterzeichnet. Da die oben genannten Daten fast ausschließlich über SWIFT übermittelt werden, wird das Abkommen oft vereinfacht als SWIFT-Abkommen bezeichnet.

Hat ein Betroffener das Recht auf Auskunft über die zu seiner Person gespeicherten Daten?

Regelungen zum Recht auf Auskunft enthält Artikel 15 des SWIFT-Abkommens.

Ein Betroffener, der von seinem Recht auf Auskunft gegenüber den US-Behörden Gebrauch macht, kann auf Antrag eine Bestätigung darüber erhalten, dass alle erforderlichen datenschutzrechtlichen Überprüfungen durchgeführt wurden und bei der Verarbeitung der übermittelten Daten nicht gegen das SWIFT-Abkommen verstoßen wurde.

Weiterhin erlaubt das SWIFT-Abkommen den zuständigen US-Behörden, die Auskunftserteilung bei Vorliegen bestimmter Gründe zu verweigern. In diesem Fall erfährt der Betroffene nicht, ob oder weshalb seine Daten in dem US-System gespeichert sind.

Bei welcher Behörde wird das Recht auf Auskunft geltend gemacht?

Der Betroffene wendet sich zur Geltendmachung seines Rechts auf Auskunft an die nationale Datenschutzbehörde. In Deutschland ist dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die die Anfrage anschließend an den Datenschutzbeauftragten des US-Finanzministeriums weiterleitet. Dort wird der Antrag geprüft und weiter bearbeitet. Die US-Behörde teilt der BfDI anschließend mit, ob die Rechte des Betroffenen ordnungsgemäß gewahrt wurden. Die BfDI gibt diese Informationen schließlich an den Betroffenen weiter.

Welche Voraussetzungen müssen erfüllt werden, um das Recht auf Auskunft geltend zu machen?

In Absprache mit dem U.S. Treasury Department (US-Finanzministerium) ist ein neues vereinfachtes Verfahren beschlossen worden, das am 01.09.2013 in Kraft getreten ist. Demnach wird die Identität des Antragstellers durch die nationalen Datenschutzbehörden überprüft. Eine Übersendung von Kopien von Ausweisdokumenten an die US-Behörden ist nicht mehr erforderlich.

Zur Weiterleitung des Auskunftsersuchens sind folgende Unterlagen erforderlich:

- Bestätigung der Identität (wird ohne Kopie des Identitätsnachweises weitergeleitet)
- Antrag auf Auskunftsersuchen bzw. Ersuchen auf Berichtigung, Löschung oder Sperrung
- Formular für die Autorisierung der nationalen Datenschutzbehörde.

Diese Unterlagen werden zusammen mit einem Anschreiben an das U.S. Treasury Department weitergeleitet.