SWIFT-Abkommen: Europol verletzt Wächterfunktion
Am 1. März hat das Aufsichtsgremium, die unabhängige Gemeinsame Kontrollinstanz von Europol, den öffentlichen Teil des Kontrollberichts zur Umsetzung des SWIFT-Abkommens veröffentlicht. Der Bericht stellt fest, dass Europol Anfragen aus den USA zur Übermittlung von Bankdaten viel zu großzügig absegnet. Die amerikanischen Terrorermittler stellen vage und allgemein gehaltene Anfragen, die seitens Europol scheinbar kaum überprüft werden. Der Bundesbeauftragte für Datenschutz Peter Schaar kritisiert in einer Mitteilung, dass Europol damit seine Wächterposition verletzen würde.
Europol und seine Kontrollinstanz
Europol ist eine EU-weit agierende Strafverfolgungsbehörde, die seit 1992 den Mitgliedstaaten hilft, Terrorismus und organisierte Kriminalität zu bekämpfen. Seit dem 1. Januar 2010 ist Europol eine europäische Agentur und wird durch den Haushalt der EU finanziert. Eine der wichtigsten Tätigkeiten Europols: den Datenaustausch zwischen den Mitgliedstaaten zu fördern sowie Fachwissen zur Verbrechensanalyse bereitzustellen. Ausführende Gewalt besitzt Europol hierbei nicht.
Datenschutzrechtlich gesehen ist dieser Austausch an Informationen natürlich besonders brisant, denn Europol verfügt über eine große Menge an personenbezogenen Daten. Der Europol-Ratsbeschluss sieht daher strenge Anforderungen an den Datenschutz vor. Die Gemeinsame Kontrollinstanz, die GKI, hat die Aufgabe, Europol bei seinen Tätigkeiten auf die Einhaltung dieser datenschutzrechtlichen Bestimmungen zu überprüfen.
Im Rahmen des SWIFT-Abkommens hat Europol eine ganz besondere Aufgabe, nämlich die Verpflichtung, alle US-Ersuchen auf Auskunft darauf zu überprüfen, ob bestimmte Vorgaben eingehalten worden sind. Hier geht es nämlich um Kontodaten der Bürger, die besondere personenbezogene Daten darstellen – und gerade diese müssen besonders geschützt werden.
Das SWIFT-Abkommen: Lange umstritten
SWIFT (Society for Worldwide Interbank Financial Telecommunication) ist eine internationale Genossenschaft von Geldinstituten, die weltweit täglich ca. 15 Millionen Überweisungen zwischen mehr als 8000 Banken und Kreditinstituten abwickelt. Schon bevor das SWIFT-Abkommen abgeschlossen wurde, überließ SWIFT dem US-Finanzministerium Zugriff auf ihre Server (die sich in den USA befanden). So konnten US-Terror-Ermittler ohne weiteres auf Datensätze aus der EU zugreifen. Zum Jahreswechsel 2009/2010 wurden die SWIFT-Server dann von den USA in die Schweiz und die Niederlande verlegt, um der öffentlichen Kritik zu entgehen.
Das SWIFT-Abkommen (Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung für die Zwecke des Programms der USA zum Aufspüren der Finanzierung des Terrorismus) ist ein völkerrechtliches Abkommen zwischen der EU und den USA, das den Zugriff US-amerikanischer Behörden auf die Daten der SWIFT regelt. Eine erste Fassung des Abkommens wurde am 11. Februar 2010 mit 378 gegen 196 Stimmen vom Europa-Parlament abgelehnt. Der zweiten Fassung – inhaltlich mit höheren Datenschutzanforderungen – stimmten dann alle Mitgliedstaaten zu; das Abkommen wurde Ende Juni 2010 unterzeichnet und Anfang Juli durch das Europäische Parlament gebilligt.
Ausschlaggebend für die Zustimmung war unter anderem der Passus, der die Kontrollfunktion von Europol bestimmte. Im Deutschen Bundestag lobten vor allem CDU/CSU und FDP das neue Abkommen als „respektables Verhandlungsergebnis” „das deutliche Verbesserungen” beim Daten- und Rechtsschutz bringe.
Ziel des SWIFT-Abkommens ist die Terrorabwehr in den Vereinigten Staaten; das Terrorist Finance Tracking Program wertet Geldströme und Daten der SWIFT aus, um Terrorfinanzierungen herauszufiltern. Gespeichert werden unter anderem die Namen von Absender und Empfänger einer Überweisung und die Adresse. Diese können bis zu fünf Jahren gespeichert werden, Betroffene werden nicht informiert. Dass die US-Fahnder hier an so viele Daten wie möglich kommen wollen, ist nicht verwunderlich.
Die Überprüfung durch die GKI: Erhebliche Zweifel an der Kontrollfunktion Europols
Daten europäischer Bankkunden zu Banktransaktionen dürfen nur dann weitergegeben werden, wenn sowohl Europol als auch ein EU-Kontrolleur zugestimmt haben. Nach dem Abkommen ist Europol verpflichtet, vor der Zustimmung alle US-Ersuchen auf die Erforderlichkeit der Datenübermittlung zu überprüfen. Dies erfordert präzise und eindeutige Angaben in den Ersuchen.
Damit sollen durch Europol die Interessen der EU-Bürger gewahrt werden; die strikte Beachtung der Beschränkungen und Verfahrensvorgaben durch die US-Anfragen soll dies gewährleisten. Auf einem Treffen am 11. Oktober 2010 wurde festgelegt, dass eine „inspection group“ des GKI Europol auf die Einhaltung der Datenschutzbestimmungen im Rahmen des SWIFT-Abkommens überprüfen soll. Die tatsächliche Überprüfung fand am 11. November 2010 statt.
Der Bericht bestätigt das, was SWIFT-Gegner von Anfang an befürchteten und kritisierten: Daten von EU-Bürgern, die sensible Kontodaten enthalten und damit ein hohes datenschutzrechtliches Schutzniveau benötigen, werden vorschnell an die USA übermittelt.
Europol verletzt seine Wächterfunktion
Der Kontrollbericht der GKI belegt, dass entgegen der im Abkommen vorgesehenen Beschränkungen EU-Zahlungsdaten auf der Grundlage sehr allgemein gehaltener und abstrakter US-Ersuchen in die USA übermittelt wurden. Zudem werden abstrakte Anfragen z.B. auf breite Datentypen ohne Beanstandung von Europol durchgewinkt.
Europol wird damit seiner hohen Verantwortung nicht gerecht; vor allem die Prüfung der Erforderlichkeit, zu der Europol verpflichtet ist, kann rein faktisch gar nicht stattfinden, wenn auch allgemein formulierte Anfragen zu einer Übermittlung führen. Ohne eine ausreichende Entscheidungsgrundlage ist eine Prüfung der Zulässigkeit der Anfragen nicht möglich, so der Bericht. Europol verweist darauf, dass mündlich Zusatzinformationen eingeholt worden sein. Dies ist jedoch kaum zu überprüfen, so dass Europol damit wiederum eine Datenschutzaufsicht – die vorgeschrieben ist – unmöglich macht.
Diese Vorgehensweise sei mit dem Abkommen und der Europol dort neu zugewiesenen datenschutzrechtlichen Wächterfunktion nicht vereinbar, so auch der Beauftragte für den Datenschutz Peter Schaar. Nach Auffassung Schaars rückten die Kontrollergebnisse die bereits im Vorfeld des Abkommens kritisch gestellte Frage in den Blickpunkt, ob Europol die ihr zugewiesene Wächterfunktion überhaupt angemessen wahrnehmen könne.
„Bereits der rudimentäre öffentliche Teil des Kontrollberichts bestätigt meine Befürchtungen. Es bestehen massive Defizite. Die politisch Verantwortlichen auf europäischer und nationaler Ebene müssen umgehend dafür sorgen, dass die festgestellten Mängel beseitigt werden.”
Zudem sind große Teile des Berichts, die geheime Feststellungen von Europol enthalten, für die Öffentlichkeit und das Europäische Parlament nicht einsehbar. Auch dies bewertet Schaar als sehr kritisch.
Auch die Grünen kritisieren das Vorgehen Europols in einer Mitteilung auf Ihrer Homepage heftig. Dr. Konstantin von Notz, Sprecher für Innenpolitik, geht sogar noch weiter als Schaar und fordert die Kündigung des SWIFT-Abkommens:
Die Ergebnisse des Prüfberichts – soweit sie überhaupt öffentlich wurden – sind niederschmetternd. Die Konsequenz kann nur die umgehende Aufkündigung des bestehenden Abkommens sein.
(…)
Die Gewährleistung unabhängiger Datenschutzaufsicht ist in Europa und Deutschland Verfassungsgebot. Die Glaubwürdigkeit der Bundesregierung steht auf dem Spiel: Sie hat sich für das Abkommen unter Verweis auf Datenschutzgarantien stark gemacht. Sie sollte jetzt den Mut aufbringen, die Konsequenzen zu ziehen. Innenminister Friedrich darf der Umgang Brüssels mit den Finanzdaten der Bundesbürger nicht gleichgültig sein.
Dass gerade einer der Punkte, der das Europäische Parlament dazu bewegte, dem SWIFT-Abkommen letztendlich doch zuzustimmen, nun von Europol nicht ernsthaft durchgeführt wird, lässt in der Tat daran zweifeln, ob das SWIFT-Abkommen eine Zukunft haben wird.
Zum Prüfbericht der Gemeinsamen Kontrollinstanz von EUROPOL zum SWIFT-Abkommen.
Update:
SWIFT weist uns darauf hin, dass ein Zugriff auf einzelne Datensätze lediglich aufgrund rechtsgültiger Beschlagnahme-Anordnungen des amerikanischen Finanzministerium gewährt worden sei. Außerdem betreibe SWIFT nach wie vor ein Rechenzentrum in den USA, wobei Daten aus der europäischen Verarbeitungszone ausschließlich in Europa gespeichert werden. Ein Zugriff von Behörden auf die eropäischen Daten sei nur nach den Vorschriften des SWIFT-Abkommens möglich.
