Presseerklärung der Artikel 29-Gruppe vom 23.11.2006 zu der SWIFT Affäre

Die Art. 29-Gruppe hat sich auf ihrer letzten Sitzung am 21. und 22. November 2006 erneut mit der SWIFT (Society for Worldwide Interbank Financial Telecommunication) Affäre beschäftigt und dazu einstimmig die Stellungnahme 128 verabschiedet. In dieser Stellungnahme betont die Art.29-Gruppe, dass auch im Kampf gegen Terrorismus und Kriminalität die Grundrechte gewahrt bleiben müssen. Die Art. 29-Gruppe besteht daher auf der Achtung weltweiter Datenschutzprinzipien.

SWIFT ist ein weltweit agierender Geldüberweisungsdienst zur Übermittlung von internationalen Zahlungsanweisungen. SWIFT speichert alle Überweisungsdaten für 124 Tage in zwei Rechenzentren, von denen sich eines in Europa, das andere in den USA befindet –eine Form der Datenverarbeitung, die in diesem Dokument als „Spiegelung“ bezeichnet wird. Die Zahlungsanweisungen enthalten personenbezogene Daten wie Namen des Zahlungsanweisenden oder des Zahlungsempfängers. Nach den Terrorangriffen vom September 2001 verlangte das US Finanzministerium (UST) von SWIFT Zugang zu den in den USA gespeicherten Daten. SWIFT gab diesen Forderungen nach, konnte aber gewisse Einschränkungen aushandeln. Aufgrund von Presseberichten Ende Juni/Anfang Juli 2006 erfuhr die Öffentlichkeit erstmals von dieser Angelegenheit.

SWIFT unterliegt als in Belgien gelegene Genossenschaft belgischem Recht, das die EU-Datenschutzrichtlinie 95/46/EG (Richtlinie) umsetzt. Die Finanzinstitute in der EU, die sich der Dienstleistungen von SWIFT bedienen, unterliegen den jeweiligen nationalen Datenschutzvorschriften - in Umsetzung der Richtlinie - in den Ländern, in denen sie angesiedelt sind.

Schlussfolgerungen

In ihrer Stellungnahme Nr. 128 vom 22. November 2006 zur Verarbeitung von personenbezogenen Daten durch SWIFT (Society for Worldwide Interbank Financial Telecommunication) kommt die Artikel 29-Gruppe zu den folgenden Schlussfolgerungen:

a) Die Datenschutzrichtlinie 95/46/EG ist für den Austausch von personenbezogenen Daten durch den SWIFTNet FIN Service anwendbar.


b) SWIFT und die Finanzinstitute tragen nach den Vorgaben der Richtlinie gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten durch den SWIFTNet FIN Service. Auch wenn SWIFT dabei die Hauptverantwortung trägt, sind die Finanzinstitute in gewissem Umfang für diese Verarbeitung der personenbezogenen Daten ihrer Kunden mitverantwortlich.

c) SWIFT und die Finanzinstitute in der EU haben die Vorgaben der Richtlinie nicht beachtet:

i)

SWIFT: Hinsichtlich der Verarbeitung und der Spiegelung personenbezogener Daten im Rahmen des SWIFTNet FIN Services muss SWIFT seinen Verpflichtungen nach der Richtlinie als der für die Verarbeitung verantwortlichen Stelle nachkommen; dies betrifft insbesondere die Informationspflichten, die Meldepflicht und die Verpflichtung zur Wahrung eines angemessenen Schutzniveaus bei internationalen Datentransfers.

ii)

Finanzinstitute: Die Finanzinstitute in der EU müssen als die für die Verarbeitung von personenbezogenen Daten verantwortlichen Stellen ihrer rechtlichen Verpflichtung nachkommen und sicherstellen, dass SWIFT vollständig die rechtlichen Anforderungen, insbesondere auch des Datenschutzrechts, erfüllt, um den Schutz ihrer Kunden zu gewährleisten. Die Finanzinstitute müssen sich auch über die unterschiedlichen Zahlungssysteme, deren technische und rechtliche Ausgestaltung und die damit verbundenen Risiken informieren. Soweit Finanzinstitute sich nicht (hinreichend) bemüht haben, sich diese Kenntnisse zu beschaffen, haben sie wesentliche rechtliche Risiken hinsichtlich ihrer grundlegenden Sorgfaltspflichten gegenüber ihrer Kunden in Kauf genommen. Die Art. 29-Gruppe hält es für unabdingbar, dass die Finanzinstitute als professionelle Dienstleister ihre Kunden in Übereinstimmung mit den Transparenzforderungen der Richtlinie hinreichend unterrichten, insbesondere über die Inanspruchnahme von Dienstleistern wie z.B. den SWIFTNet FIN Service, die umfangreiche Übermittlungen in Länder ohne adäquates Datenschutzniveau nach der Richtlinie durchführen, oder wenn solche Übermittlungen besondere Bedenken oder Risiken aus Datenschutzsicht hervorrufen.

d) Die Artikel 29-Gruppe vertritt zudem die Auffassung, dass der Mangel an Transparenz sowie an angemessenen und effektiven Kontrollmechanismen beim gesamten Prozess der Übermittlung von personenbezogener Daten in die USA und weiter an das US-Finanzministerium (UST) eine schwere Verletzung der Richtlinie darstellt. Darüber hinaus sind auch die Garantien für die Datenübermittlung in ein Drittland, wie sie die Richtlinie vorsieht, und die Grundsätze der Verhältnismäßigkeit und der Erforderlichkeit nicht beachtet worden.

Bezüglich der Übermittlung von personenbezogenen Daten an UST ist die Artikel 29-Gruppe der Ansicht, dass der intransparente, systematische, massive und dauerhafte Transfer von personenbezogenen Daten von SWIFT an UST in einer heimlichen, intransparenten und systematischen Art über Jahre hinweg ohne geltende Rechtsgrundlage und ohne die Möglichkeit einer unabhängigen Überprüfung durch öffentliche Aufsichtsbehörden eine Verletzung europäischer Datenschutzgrundsätze darstellt und nicht in Übereinstimmung mit belgischem und europäischem Recht steht. Für den Kampf gegen den Terrorismus gibt es bereits einen internationalen Rechtsrahmen. Die dort bestehenden Möglichkeiten sollten konsequent unter Sicherstellung des erforderlichen Schutzes der Grundrechte genutzt werden.

e) Die Artikel 29-Gruppe erinnert noch einmal an die Verpflichtung der demokratischen Gesellschaften, die Grundrechte und Grundfreiheiten des Einzelnen zu achten. Der Schutz der personenbezogenen Daten des Einzelnen ist Teil dieser Grundrechte und Grundfreiheiten. Die Datenschutzrichtlinien 95/46/EG und 2002/58/EG der Gemeinschaft bilden einen Teil dieser Verpflichtung. Beide Richtlinien zielen auf die Achtung der Grundrechte und Grundfreiheiten und insbesondere auf das Recht auf Privatsphäre einschließlich des Schutzes von personenbezogenen Daten ab. Sie zielen auch auf die Achtung der Rechte, die durch Art. 8 der Europäischen Menschenrechtskonvention (EMRK) und durch Art. 8 der Europäischen Charta der Grundrechte geschützt werden. In all diesen Rechtsinstrumenten sind Ausnahmen für die Kriminalitätsbekämpfung unter klar definierten Bedingungen vorgesehen.

Sofortiger Handlungsbedarf zur Verbesserung der gegenwärtigen Situation

Daher fordert die Artikel 29-Gruppe in ihrer Stellungnahme folgende sofortige Maßnahmen zur Verbesserung der derzeitigen Situation:

a) Beendigung der Rechtsverletzungen

SWIFT und die Finanzinstitute müssen ihren rechtlichen Verpflichtungen nach nationalem und Europarecht nachkommen. Dies beinhaltet Maßnahmen, die sicherstellen, dass alle Datenübermittlungen in Übereinstimmung mit geltendem Recht erfolgen. Im Falle der Nichtbeachtung müssen die für die Verarbeitung personenbezogener Daten verantwortlichen Stellen mit Sanktionen zur Rechtsdurchsetzung durch die zuständigen Aufsichtsbehörden nach den Vorgaben der Richtlinie und jeweiligem nationalem Recht rechnen.

b) Rückkehr zur rechtmäßigen Datenverarbeitung

Die Artikel 29-Gruppe fordert SWIFT und die Finanzinstitute dazu auf, unverzüglich Maßnahmen zu ergreifen, die die gegenwärtige unrechtmäßige Situation beenden und nur noch internationale Datenüberweisungen durchzuführen, die in vollständiger Übereinstimmung mit dem Datenschutzrecht stehen. Die Artikel 29-Gruppe begrüßt, dass einige Aufsichtsbehörden die Finanzinstitute bereits dazu drängen, unverzüglich eine Lösung zu suchen.

c) Handlungsbedarf gegenüber SWIFT

SWIFT als für die Datenverarbeitung verantwortliche Stelle muss hinsichtlich aller seiner Daten verarbeitenden Tätigkeiten die erforderlichen Maßnahmen ergreifen, zu denen sie das belgische Datenschutzgesetz in Umsetzung der Richtlinie verpflichtet.

d) Handlungsbedarf gegenüber den Zentralbanken

Die jetzige Situation bedarf einer Klärung der Aufsichtsstrukturen bei SWIFT. Die Artikel 29-Gruppe empfiehlt deshalb angemessene Lösungen. Dazu gehört insbesondere, dass die Umsetzung von datenschutzrechtlichen Regelungen klar unter diese Aufsichtspflicht fällt, unbeschadet der Befugnisse der nationalen Datenschutzaufsichtsbehörden. Auch gehört dazu sicherzustellen, dass die zuständigen Behörden, wenn notwendig, vorschriftsmäßig und rechtzeitig unterrichtet werden. Die Artikel 29-Gruppe vertritt die Ansicht, dass die Nichtbefolgung von Datenschutzgesetzen das Vertrauen der Kunden in ihre Banken erschüttern kann und dies auch die finanzielle Stabilität von Zahlungssystemen zu beeinträchtigen vermag (Vertrauensrisiko). Rechtliche Hindernisse, wie die Verpflichtung zur Einhaltung des Berufsgeheimnisses durch die Aufsichtsgremien, die als Argumente dazu benutzt werden könnten, die effektive Kontrolle der unabhängigen Aufsichtsbehörden einzuschränken, können im Falle einer möglichen Verletzung von verfassungsmäßigen Rechten oder Menschenrechten nicht angeführt werden.

e) Handlungsbedarf gegenüber den Finanzinstituten

Alle Finanzinstitute in der EU, einschließlich der Zentralbanken, die die Dienstleistungen des SWIFTNet Fin Dienstes benutzen, haben gemäß Art. 10 und 11 der Richtlinie 95/46/EG sicherzustellen, dass sie ihre Kunden angemessen darüber unterrichten, wie deren Daten verarbeitet werden und welche Rechte die Betroffenen haben. Sie haben sie auch darüber zu informieren, dass die US-Behörden Zugriff auf die Daten haben können. Die Datenschutzaufsichtsbehörden werden diese Informationspflicht durchsetzen, um sicherzustellen, dass sie europaweit von allen Finanzinstituten eingehalten werden. Sie werden auch bei der Abfassung einheitlicher Informationstexte zusammenarbeiten. Die Artikel 29-Gruppe erinnert in diesem Zusammenhang an ihre Stellungnahme zu einheitlicheren Bestimmungen über Informationspflichten . Es erscheint auch angemessen, dass die Finanzinstitute und Zentralbanken technische Alternativen zu den derzeitigen Verfahren in Erwägung ziehen, um einen Zahlungstransfer zu gewährleisten, der im Einklang mit den Grundsätzen der Richtlinie steht.

Die Artikel 29-Gruppe hebt folgendes hervor:

f) Wahrung unserer Grundwerte im Kampf gegen das Verbrechen

Die Artikel 29-Gruppe erinnert daran, dass jede im Kampf gegen Verbrechen und Terrorismus getroffene Maßnahme nicht die Standards hinsichtlich des Schutzes von Grundrechten beeinträchtigen soll und darf, die unsere demokratischen Gesellschaften auszeichnen. Im Kampf gegen den Terrorismus ist es unabdingbar, dass die Grundwerte geschützt werden, die die Basis unserer demokratischen Gesellschaft bilden und bei denen es sich genau um die Werte handelt, die Terroristen zu zerstören suchen.

g) Globale Datenschutzgrundsätze

Die Artikel 29-Gruppe erachtet es als wesentlich, dass die Grundsätze zum Schutz personenbezogener Daten einschließlich der Kontrolle durch unabhängige Aufsichtsbehörden auch im Rahmen eines weltweiten Austauschs von Informationen vollständige Beachtung finden.

nach oben