European Digital Rights (EDRi) hat eine aktuelle FAQ zum SWIFT-Abkommen veröffentlicht, was morgen im Europaparlament in Strassburg zur Abstimmung steht. In der FAQ sind alle kritischen Punkte aus Bürgerrechts-Sicht beschrieben. Leider gibt es die FAQ derzeit nur in englisch. Wer Lust hat, kann gerne einzelne (oder mehr) Absätze in den Kommentaren ins deutsche übersetzen, ich fass das dann alles nochmal zusammen.
Q: Does the agreement meet the criteria set by Parliament in its resolutions of 17 September 2009 and 5 May 2010?
A: No. The European Data Protection Supervisor and the Article 29 Data Protection Working Party explain in their Opinions that several criteria set by Parliament have still not been met. For example, there is no prior judicial ruling required for transfer of data, the definition of „terrorism“ is very broad and there is still no legal redress available for EU citizens in the US against data transfers or the possibly serious consequences thereof. Contrary to the flowery wording in the agreement, as an executive agreement it can not be invoked in Court in the U.S.
Ein paar der Punkte stehen auch schon in meiner Zusammenfassung aus der vergangenen Woche: Die Bürgerrechtsfallen beim SWIFT-Abkommen.
F: Erfüllt das Abkommen die Kriterien der Parlamentsbeschlusses vom 17.09.09 und 05.05.10?
A: Nein. Der europäische Datenschutzbeauftragte und die Arbeitsgruppe „Artikel 29 Datenschutz“ erklären in ihren jeweiligen Stellungnahmen, dass einige der festgesetzten Kriterien weiterhin nicht erfüllt worden sind.
Es wird z.B. kein Gerichtsbeschluß benötigt, um die Daten übermitteln zu dürfen, die Definition von „Terrorismus“ ist sehr weit gefaßt und es gibt in den USA gegen die Datenübertragung bzw. ihre möglicherweise ernsten Folgen immer noch keine Einspruchsmöglichkeit für EU-Bürger.
Auch wenn das Abkommen in blumigen Worten verfasst ist, da es ein Abkommen zwischen Regierungen ist, kann es in den USA nicht vor Gericht gebracht werden.
Q: How much data is actually transferred?
F: Wie viele Daten werden tatsächlich weitergegeben?
A: Immer noch ziemlich viele. Aufgrund des technischen Aufbau von SWIFT kann die Firma derzeit nicht Suchanfragen auf bestimmte Personen oder einzelne Überweisungen begrenzen. Sie wird sie Daten über alle Überweisungen eines bestimmten Landes oder einer bestimmten Bank an einem bestimmten Tag weitergeben müssen (und hat dies schon früher getan). Es gab Berichte, dass das US-Finanzministerium Informationen zu bis zu 25% der SWIFT-Überweisungen erhalten hat, was jedes Jahr Milliarden von Überweisungen entspricht. Dies ist nicht verhältnismäßig und bringt die EU in die Gefahr von Wirtschaftspionage.
F: Aber stellt Europol nicht sicher, daß die Abfragen nun so minimal wie möglich zugeschnitten sind?
A: Die Anfragen zur Weitergabe von Daten werden von Europol autorisiert. Diese Regelung setzt sich vor allem über die Forderung des Parlamentes vom Mai 2010 hinweg, diese Verantwortung in die Hände einer judikativen Instanz zu legen.
Ironischerweise ist Europol jetzt auch dazu autorisiert, Informationen über die US-Suchanfragen in den übertragenen Daten anzufragen. Dies schränkt die Möglichkeiten der Begrenzung der übertragenen Datenmenge gleich von vorneherein ein.
Q: Does the agreement mean a change to more focused data transfers in the mid-term?
F: Bedeutet das Abkommen mittelfristig einen Wechsel zu gezielterer Datenweitergabe?
A: Nein. Trotz wiederholter Forderungen des Parlamentes in diese Richtung gibt es keinen klaren, verpflichtenden, zweigleisigen Ansatz mit einer bindenden Zeitvorgabe, der es erlaubt das Procedere so zu verändern, daß die Abfrage und individuelle Verarbeitung der Bankdaten innerhalb der EU erfolgt.
Die EU ist eher dazu angehalten „in Betracht zu ziehen, ob [das Abkommen] verlängert wird“, wenn dies nach 5 Jahren noch nicht stattfindet.
Q: Is there a sunset clause?
F: Ist das Abkommen zeitlich begrenzt?
A: Nein, es gibt keine zeitliche Begrenzung, was bedeutet, daß das Abkommen auch nicht erneuert werden muß. Es ist anfangs für 5 Jahre in Kraft und verlängert sich automatisch um jeweils ein Jahr. Um das Abkommen zu beenden, muß eine der beteiligten Seiten die Initiative ergreifen. Aber auch wenn das Abkommen beendet ist, stehen alle bis zu diesem Zeitpunkt weitergegebenen Daten den US-Behörden weiterhin zur Verfügung.