rating service  security service privacy service
 
2007/08/03 Problemfall SWIFT: Sicherer Datenhafen oder Außenstelle des CIA?
Stellt SWIFT einen "sicheren Hafen" für Bankkundendaten dar oder werden unkontrolliert Überweisungsdaten an den amerikanischen Geheimdienst übermittelt? - Zumindest seit 2001 werden geheime Bankdaten direkt an US-behörden übermittelt - "Safe-Harbour" - Status soll bisher illegale Datenweitergaben legalisieren - "Safe-Harbour" bloß datenschutzrechtlicher Deckmantel

Die Diskussion um das belgische Bankdienstleistungsunternehmen SWIFT reißt nicht ab. Der Dienstleister betreibt neben seinen europäischen Niederlassungen auch ein eigenes Rechenzentrum in den USA. Schon vergangenes Jahr wurde bekannt, dass - offiziell seit 2001 - im Kampf gegen den internationalen Terrorismus das Unternehmen an US-Behörden personenbezogene Daten auch europäischer Kunden auf Grundlage zweier US-Gesetze regelmäßig übermittelt hatte. Während SWIFT anfangs zu beruhigen versuchte, folgte nun eine Einigung auf offizieller Ebene zwischen EU und USA. SWIFT erhält sogenannten "Safe-Harbour" - Status, was die Datenübermittlung in die USA auf eine offizielle Grundlage stellen soll. Verlierer der Einigung ist der Datenschutz.


Was ist SWIFT?

SWIFT ist die Abkürzung für Society for Worldwide Interbank Financial Telecommunication.

Es handelt sich dabei um eine internationale Genossenschaft der Geldinstitute, die ein Telekommunikationsnetz (SWIFT-Netz) für den Nachrichtenaustausch zwischen diesen unterhält. Diese Genossenschaft leitet Finanztransaktionen zwischen Banken, Brokerhäusern, Börsen und anderen Finanzinstituten täglich weiter. Der Sitz ist in La Hulpe, Belgien. In den Niederlanden und in Culpepper, USA befinden sich jeweils ein Operating Center. In jedem Mitgliedsland existieren Konzentratoren. SWIFT standardisiert den Zahlungsverkehr der Finanzinstitute untereinander.

Das grundsätzliche Problem an den Dienstleistungen von SWIFT: Aufgrund der faktischen Monopolstellung im Auslandsüberweisungsverkehr kommt letztendlich niemand an SWIFT vorbei. Es ist also praktisch nicht möglich, der Datenverwendung durch SWIFT auszuweichen.

Datenübermittlung an US-Behörden

2006 wurde offiziell, was schon lange vermutet wurde. Unter dem Titel "Kampf gegen den Terrorismus" war seit 2001 von Seiten der US-Behörden das SWIFT-Datenreservoir über das US-amerikanische Rechenzentrum angezapft worden. Über das Ausmaß der Datenübermittlung herrscht zwar keine Einigkeit, jedenfalls dürften aber durch SWIFT seit 2001 etliche Millionen Überweisungsdaten - auch aus innereuropäischen Banktransfers - in personenbezogener Form an US-Behörden gelangt sein.

Die Reaktionen des Unternehmens auf die bekannt gewordene Übermittlung verliefen unterschiedlich: Zunächst wurde versucht, die Datenübermittlung als Ergebnis einer Form von "Erpressung" seitens der US-Behörden darzustellen. Danach verlegte man bei SWIFT die Taktik in die Richtung, die Datenübermittlung als ohnedies rechtmäßig darzustellen: SWIFT habe nur konform mit US-Gesetzen gehandelt, Datensätze seien nur in begrenzter Form übermittelt worden, die Daten könnten nur zum Zweck "Terrorismusbekämpfung" verwendet werden, die Sicherheitsvorkehrungen würden auch in Bezug auf beschlagnahmte Daten überprüft. Dass die Öffentlichkeit nicht informiert worden sei, entspreche den Richtlinien von SWIFT. Letztlich kuriose conclusio der Rechtfertigungen von SWIFT: Man habe die Datenschutzbestimmungen ohnedies immer eingehalten, dies vor allem deshalb, da man durch "außergewöhnliche und innovative Schutzvorkehrungen" auch die vertrauliche Behandlung von beschlagnahmten Daten sichern könne.


Transatlantische Einigung

Parallel mit der Rechtfertigungsstrategie von Seiten des Unternehmens wurde ein Verhandlungsprozess auf offizieller Ebene in Gang gesetzt. Zwischen EU-Kommission und US-Finanzministerium wurde nun als "Lösung" ausgehandelt, dass die US-Behörden SWIFT sogenannten "Safe-Harbour"-Status gewähren sollen. Faktisch bedeutet das: Daten werden wie bisher auch weiterhin übermittelt, nunmehr aber mit offiziellem Sanktus der EU. Seitens der EU ist man damit der Meinung, dem Datenschutz genüge getan zu haben.


Was bedeutet "Safe-Harbour"?

Das "Safe-Harbour"-Prinzip fußt auf dem Grundsatz der EU-Datenschutzrichtlinie, welche eine Übermittlung personenbezogener Daten in Drittländer nur unter der Voraussetzung eines angemessenen Schutzniveaus für zulässig erachtet. Bezüglich der Übermittlung personenbezogener Daten in die USA wurden die sogenannten "Safe–Harbour - Grundsätze" geschaffen. Sofern  eine US-amerikanische Organisation somit gegenüber dem US- Handelsministerium erklärt, sich diesen Grundsätzen zu unterwerfen, kann sie in den europäischen Datenverkehr eingebunden werden. Vom Inhalt her sind die "Safe – Harbou r- Grundsätze" der EU-Datenschutzrichtlinie nachgebildet, wenn auch auf niedrigerem Niveau. Zu gewährleisten sind allerdings grundsätzlich Informationspflicht, Sicherheit, Datenintegrität, Auskunftsrecht sowie Löschung und Richtigstellung. Im konkreten Fall wurde vereinbart, dass US-Behörden die Daten nur zu Terrorbekämpfung verwenden, die Daten nur fünf Jahre lang gespeichert bleiben weiters wurden nicht näher konkrete "Sicherheitsmaßnahmen" festgelegt.


"Safe-Harbour" als datenschutzrechtlicher Deckmantel

Kontrolliert, ob die vereinbarten Grundsätze eingehalten werden, wird nur durch US-Behörden. Faktisch wurden auf Initiative von US-Behörden durch SWIFT jahrelang ohne Berücksichtigung der Rechte betroffener europäischer Bürger Daten an US-Geheimdienste übermittelt. Der Öffentlichkeit zugänglich wurde die ganze Angelegenheit erst durch amerikanische Zeitungen. Faktisch haben US-Behörden ein Interesse an einer möglichst umfangreichen Datenübermittlung durch SWIFT, dort hat man jahrelang nichts für die Rechte der Betroffenen unternommen und diese nicht einmal informiert. Warum sollten nun US-Behörden, die selbst kein Interesse an der Wahrung von Betroffenenrechten haben, effizient kontrollieren? Insbesondere wenn man sich bewußt macht, dass die US-Datenschutzbestimmungen nur für US-Bürger gelten, nicht jedoch für Bürger anderer Nationen.

Jedenfalls äußerst bedenklich ist die getroffene Einigung selbst in Hinblick auf die "Safe-Harbour"-eigenen Grundsätzen der Informationspflicht sowie der Wahlmöglichkeit bei der Datenweitergabe. Nach dem ursprünlichen "Safe-harbour"-Abkommen ist dem Betroffenen die Möglichkeit einzuräumen, der Datenweitergabe an Dritte zu widersprechen, sofern die Weitergabe nicht dem ursprünglichen Zweck entspricht, das sogenannte "opting-out-Prinzip". Es ist nicht einsichtig, warum dieses Prinzip bei der Weitergabe von Daten an US-Behörden zum Zweck "Terrorbekämpfung" nicht greifen sollte, zumal die Datenübermittlung offenbar ja nicht aus Anlass von konkreten Verdachtsfällen heraus sondern weiterhin massenweise und präventiv erfolgen soll.

Neben dem Problem der mangelnden Durchsetzbarkeit entsprechender Vereinbarung ist somit überaus fragwürdig, ob eine derartige massenweise Übermittlung mit "Safe-Harbour" überhaupt im Einklang stehen kann. Davon, dass einzelne Betroffene hinkünftig darüber aktiv informiert werden, ob ihre Daten weitergegeben wurden - was entsprechend "Safe-Harbour" nötig wäre-  ist auch nicht die Rede. Ergebnis: "Safe-Harbour" ist in diesem Falle somit wohl nur datenschutzrechtliche Beruhigungspille.


Fazit

Die von der Europäischen Kommission als Erfolg gefeierte Einigung ist letztendlich nichts anderes als reine datenschutzrechtliche Farce. Faktisch wird wohl wie bisher weiter an US-Behörden übermittelt werden, die Einhaltung der vereinbarten Prinzipien, die "Safe-Harbour" ohnedies nicht entsprechen, wird faktisch nicht kontrollierbar sein. Das ist auch das grundsätzliche Problem: Papier ist geduldig- auch weitergehende Einigungen könnten in den USA natürlich nur durch US-Behörden administriert werden. Sinnvollste Lösung im Sinne des Schutzes Betroffener wäre es daher auf europäischer Ebene SWIFT zu zwingen, keine Rechenzentren auf US-Gebiet mehr zu betreiben, da nur so dem unkontrollierten Zugriff von US-Behörden etwas entgegengesetzt werden kann.

mehr --> SWIFT-Datenmissbrauch - Kein Rechtsschutz für Opfer?
mehr --> Stellungnahme der EU - Art. 29 - Datenschutzgruppe zu SWIFT
mehr --> http://ec.europa.eu/community_law/complaints/form/index_de.htm
mehr --> DSK Entscheidung zu SWIFT
Archiv --> 2007 bringt neue Überwachung - Schengen III nun im Echtbetrieb
andere --> US-Heimatschutzministerium

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster