Dritter Prüfbericht zum SWIFT-Abkommen mit den USA vorgelegt

Die höchst zweifelhafte Rolle Europols als Profiteur von Datenlieferung bei gleichzeitiger Funktion als Firewall für Datenschutz (Bild: Broschüre von Euopol zum SWIFT-Abkommen).
Die höchst zweifelhafte Rolle Europols als Profiteur von Datenlieferung bei gleichzeitiger Funktion als Firewall für Datenschutz (Bild: Broschüre von Euopol zum SWIFT-Abkommen).

Eine Gruppe aus Mitgliedern der EU-Kommission und des US-Finanzministeriums hat einen Bericht zur dritten Überprüfung des Vertrages zur Weitergabe von Finanzdaten („Terrorist Finance Tracking Programme“) an die USA vorgelegt (das sogenannte SWIFT- bzw. TFTP-Abkommen). Das Abkommen berechtigt die USA, in der Europäischen Union getätigte Finanztransaktionen abzufragen, darunter Stammdaten, Post- oder Mailadressen der KontoinhaberInnen oder Telefonnummern. Zu den hierzu verpflichteten Providern gehört der belgische Dienstleister SWIFT, der auf internationale Überweisungen spezialisiert ist. Die USA speichern in dem System aber auch Daten, die eigene Behörden besorgt haben.

Die EU-Polizeiagentur Europol spielt im Abkommen eine Doppelrolle: ErmittlerInnen aus Den Haag können selbst anylsierte Daten in den USA anfordern. Eine andere Abteilung von Europol soll hingegen darüber wachen, dass bei allen Anfragen aus den USA die Datenschutzbestimmungen eingehalten werden.

Lob für Transparenz von US-Behörden

Untersucht wurde der Zeitraum Oktober 2012 bis Februar 2014. Das EU-Parlament hatte die Vorlage solcher Berichte zur Bedingung gemacht, um dem umkämpften Abkommen damals doch zuzustimmen. Den „review teams“ gehören auch zwei Angehörige europäischer Datenschutzbehörden an.

Die Kommission durfte für die Überprüfung an Live-Vorführungen des Systems teilnehmen. Über dabei erlangte Kenntnisse dürfen diese aber nicht sprechen, alle mussten eine besondere Vereinbarung zum Geheimhalten klassifizierter Informationen unterzeichnen. Informationen über Sicherheitsvorkehrungen finden sich in dem Dokument kaum. In einem Teil wird beschrieben, wie SWIFT seine Serverräume sichert. Demnach werden auch biometrische Verfahren eingesetzt:

Physical security controls are in place to prevent, deter, detect and delay penetration. The perimeters around the operating centres are enclosed, guarded and monitored. Access tokens and associated Personal Identification Numbers or Biometrics exist for doors and provide audit trails of access to computer floors.

Im Bericht heißt es, die US-Behörden seien gegenüber der Untersuchungskommission mitteilsamer geworden. Das dürfte aber lediglich auf diesen einen Bericht zutreffen: Laut dem Informationsdienst EU Observer hat das US-Finanzministerium die Agentur Europol in einem anderen Fall angewiesen, keinerlei Informationen über das SWIFT-Abkommen herauszugeben. Die holländische liberale Parlamentarierin Sophie In’t Veld hatte hierzu Einsicht in ein Dokument von 2012 verlangt. Auch damals ging es um eine Untersuchung von Europol.

Behörden wie das BKA sollen häufiger in den USA anfragen

Laut dem nun vorliegenden Bericht haben die zur Auswertung gelieferten Daten berechtigten Behörden in den USA im fraglichen Zeitraum 22.838 Suchanfragen vorgenommen, das sind etwa vier pro Tag. Die meisten Daten hätten keine EU-Staatsangehörige betroffen.

Auch die Polizeibehörden der EU-Mitgliedstaaten können in den USA ausgewertete SWIFT-Daten bestellen, die diese zuvor via Europol erhalten haben. Dies sei laut der Untersuchungskommission in den 20 Monaten aber nur in 94 Fällen geschehen. Eigentlich hatte das EU-Parlament gefordert, für derartige Anfragen ein eigenes System zur Auswertung von Finanzdaten einzurichten. Die EU-Kommission schlägt hingegen vor, dass Behörden wie das Bundeskriminalamt lieber in den USA nach den europäischen Daten fragen sollen. Dort sei auch der Datenschutz bestens gewährleistet. Europol selbst veranstaltet hierzu Workshops, um die Polizeien der Mitgliedstaaten zu mehr Abfragen zu ermuntern.

Die Einschätzung kann jedoch angezweifelt werden. Laut dem Abkommen ist keine der beteiligten Behörden verpflichtet, die täglichen Abfragen offenzulegen. Betroffene erhalten keine Mitteilung über die Weitergabe oder Analyse ihrer Finanztransaktionen. Auch ein Auskunftsersuchen ist hierzu nicht möglich, es werden keine Informationen mitgeteilt.

Widersprüchliches zum Datenschutz

Artikel 15 des Abkommens beinhaltet die Möglichkeit für Betroffene, wenigstens eine Bestätigung zu erhalten ob verarbeitete Daten die Datenschutzbestimmungen einhalten. Diese Prüfung bzw. Mitteilung muss dann über die nationalen Datenschutzbeauftragten erfolgen. Trotzdem soll nicht mitgeteilt werden, ob überhaupt Daten der betroffenen Person genutzt wurden:

This does not provide for the right of persons to receive a confirmation as to whether that person’s data has been amongst the TFTP Provided Data.

Da wundert es nicht, dass das US-Finanzministerium in 20 Monaten lediglich ein entsprechendes Ersuchen aus einem EU-Mitgliedstaat erhalten hat. Anfragen zum Löschen oder Blockieren von Daten gingen gar nicht erst ein.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

  1. Prüfbericht? Das ist ja wohl Verarsche des Bürgers. Die wissen doch selber was sie für Verträge gemacht haben. Hier soll wohl nur ’ne Nebelkerze gezündet werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.