Bonn, den 4. Oktober 2006
Pressemitteilung 40/2006
Schaar: Datenweitergabe durch SWIFT an US-Behörden mit europäischem Datenschutzrecht nicht vereinbar
Der Bundesbeauftragte für den Datenschutz hat bei einem Hearing des Europäischen Parlaments zu der Ende Juni bekannt gewordenen Weitergabe einer Vielzahl von personenbezogenen Daten über den internationalen Zahlungsverkehr durch SWIFT (Society for Worldwide Interbank Financial Telecommunication) an US-Behörden Stellung genommen.
Er berichtete davon, dass sich die Artikel 29-Gruppe der Datenschutzbeauftragten der EU-Mitgliedstaaten, deren Vorsitzender er ist, eingehend mit der Datenweitergabe befasst habe, jedoch vor der Verabschiedung einer Entschließung noch weitere Klärungen vornehmen will.
Die von den Datenschutzbeauftragten in den letzten Wochen geführten Gespräche mit SWIFT, mit Vertretern der Regierungen und von Zentralbanken haben ergeben, dass es sich bei SWIFT um ein sehr komplexes Gebilde handelt, dessen Aktivitäten auf dem internationalen Finanzmarkt zwar einerseits unverzichtbar für ein reibungsloses Abwickeln der Finanztransaktionen scheinen. Andererseits ist es aufgrund dieser dominierenden Rolle sehr schwierig, die Verantwortlichkeiten von SWIFT und den einzelnen Kreditinstituten für die Datenübermittlungen genau auseinander zu halten.
Da SWIFT seinen Hauptsitz in Belgien habe, geht Schaar davon aus, dass die Datenverarbeitung nach belgischem Datenschutzrecht zu bewerten ist. Die belgische Datenschutzbehörde habe deshalb in der letzten Woche einen Bericht vorgelegt, der allerdings noch vertraulich sei.
Sämtliche Zahlungsüberweisungen, die weltweit über die jeweiligen Kreditinstitute von SWIFT vorgenommen werden, führen aufgrund des Sicherungskonzepts von SWIFT zu einer Datenspeicherung sowohl in Europa als auch in den USA. Diese Datenübermittlungen dürfen nur in Übereinstimmung mit der Europäischen Datenschutzrichtlinie 95/46/EC erfolgen.
Peter Schaar ist der Ansicht, dass zumindest für die Zahlungsüberweisungen, in denen ausschließlich europäische Bankkunden involviert waren, nach EU-Recht keine Rechtsgrundlage für die Datenweitergabe an die amerikanischen Behörden bestanden hat. Gerade dies, so betont Schaar, zeige jedoch die Schwierigkeit dieses Falles, da sich amerikanische Behörden zwar nach US-Recht zulässigerweise Zugang zu Daten verschafft haben, den sie nach europäischem Recht jedoch nicht hätten erhalten dürfen.
Die durch die EU-Datenschutzrichtlinie definierten Garantien für einen Datentransfer in einen Drittstaat sind nach Meinung des Bundesbeauftragten für den Datenschutz bei der Weitergabe von Daten an die US-Behörden in wesentlichen Punkten nicht gewährleistet gewesen. Dies gelte insbesondere für die unzureichende Beachtung des Verhältnismäßigkeitsgrundsatzes, das Fehlen einer effektiven Datenschutzkontrolle durch eine unabhängige Stelle und die Nichtbeachtung des Rechts der Betroffenen auf Information über die Verwendung ihrer Daten. Zwar hat sich SWIFT bemüht, den Zugriff auf die Daten auf Ermittlungen gegen terroristische Straftäter zu beschränken und mit den US-Behörden entsprechende Begrenzungen vereinbart. Diese Sicherungen würden jedoch nicht verhindern, dass auch Daten ohne US-Bezug, also z.B. Überweisungsdaten zwischen einer deutschen und einer österreichischen Bank, auf diese Weise den US-Behörden zur Kenntnis gelangen können. Erschwerend komme hinzu, dass der Zugriff in den USA nicht einmal unter einem Richtervorbehalt stehe.
Schaar wies darauf hin, dass beim Kampf gegen den Terrorismus die Grundrechte gewahrt bleiben müssen: „Die Bürgerinnen und Bürger müssen sicher sein, dass auch bei einer Übermittlung von Daten in einen Nicht-EU-Staat ein angemessenes Datenschutzniveau gewährleistet ist. Dies war hier nicht der Fall. Ich erwarte von den EU-Mitgliedstaaten, dass sie sich für eine Lösung einsetzen, die den Datenschutz der Bankkunden wahrt“.
Aus diesem Grund ist es dringend erforderlich, international verbindliche Lösungen zu finden. Dabei sind insbesondere der Grundsatz der Verhältnismäßigkeit, die Transparenz des Verfahrens sowohl gegenüber den beteiligten Banken als auch gegenüber den Bankkunden und eine unabhängige Kontrolle von besonderer Bedeutung. Ggf. müsse auch darüber nachgedacht werden, ob es Alternativen zu dem derzeit von SWIFT abgewickelten Verfahren zur Übermittlung von Zahlungsdaten gebe.