SWIFT: Mehr Macht für Terrorfahnder

Am Donnerstag wird das EU-Parlament voraussichtlich das umstrittene SWIFT-Abkommen zur Übermittlung von Finanzdaten an US-Terrorfahnder verabschieden. Zu den Eckpunkten des Vertrags gehört auch, dass die EU ein eigenes Programm zur Finanzdatenanalyse auflegt. Die Macht der Fahnder wächst, die Abwehrmöglichkeiten der Bürger sind noch zu schwach, aber das Aufbegehren des EU-Parlaments zeigt Wirkung.

Jahrelang analysierten die US-Behörden ohne Wissen der Öffentlichkeit die Daten des belgischen Finanzdienstleisters SWIFT im Rahmen ihres Terrorist Finance Tracking Program (TFTP) im großen Stil. Die Fahnder des US-Finanzministeriums zogen nach den Anschlägen vom 11. September 2001 die Informationen vom SWIFT-Rechenzentrum in den USA ab, um die Geldströme terroristischer Organisationen nachverfolgen zu können.

Nachdem die "New York Times" ("NYT") 2006 das Vorgehen der US-Behörden ans Licht gebracht hatte, kündigte SWIFT 2007 an, die europäischen Daten in seinen Rechenzentren in den Niederlanden und in der Schweiz verarbeiten zu wollen. Damit hätten die US-Behörden keinen direkten Zugriff mehr auf die europäischen SWIFT-Daten gehabt.

Ein erstes Interimsabkommen mit der EU, das den US-Behörden auch unter den neuen Bedingungen den Zugriff auf die Daten gesichert hatte, lief 2009 aus und hätte nach dem Willen von Kommission und Rat um ein weiteres Jahr verlängert werden sollen. Das EU-Parlament sah sich aber übergangen, da das neue Interimsabkommen am 30. November, also einen Tag vor Inkrafttreten des Vertrags von Lissabon, abgeschlossen worden war. Es nutzte seine neuen Befugnisse aus dem Lissabon-Vertrag, der ihm auch ein Mitspracherecht in Sicherheitsfragen einräumt und erzwang Neuverhandlungen.

Über SWIFT

Society for Worldwide Interbank Financial Telecommunication (SWIFT) ist ein Finanzdienstleister mit Sitz in Belgien, der ein Netz für 9.424 Banken in 209 Ländern betreibt (Stand: Mai 2010), über das Informationen über Geldtransfers weitergegeben werden. Nach eigenen Angaben wickelt SWIFT rund 17,9 Millionen Transfers (SWIFTNet FIN; Mai 2010) täglich ab. Das sind etwa 90 Prozent des internationalen Zahlungsverkehrs.

• SWIFT

Reichweite und Vorgehen

Wie das Parlament in seiner Resolution im Februar gefordert hatte, ist nun genauer definiert, zu welchem Zweck die Daten gesammelt und übertragen werden sollen. Ziel der Aktion sind terroristische Organisationen, deren Finanziers und auch Dienstleister, die sie bei ihren Aktionen unterstützen. Zusätzlich zu den Zahlungsverkehrsdaten können auch "damit verbundene Daten" zur "Verhütung, Ermittlung, Aufdeckung und Verfolgung von Terrorismus und Terrorfinanzierung" übertragen werden. Das Abkommen enthält damit ("Verhütung") auch eine präventive Komponente. Die Liste der Finanzdienstleister, die dem Abkommen unterworfen sind, kann auch jederzeit aktualisiert werden. Entsprechende Änderungen sind aber im Amtsblatt der EU zu veröffentlichen. Derzeit steht als Dienstleister nur SWIFT auf der Liste im Anhang.

Da die US-Behörden keinen direkten Zugriff mehr auf die europäischen SWIFT-Daten haben, können sie diese mit einem Ersuchen anfordern. Dieses Ersuchen geht gleichzeitig an SWIFT und an Europol. Es muss "klar begründet" sein und die Datenkategorien müssen "möglichst präzise" bezeichnet werden. Gemäß Artikel 4 Ziffer 4ff prüft Europol das Ersuchen und gibt die Anfrage zur Beantwortung durch SWIFT frei. Die Datenübertragung bleibt damit in den Händen der Exekutive. Eine richterliche Überprüfung ist dabei nicht vorgesehen.

• "NYT"-Artikel zur SWIFT-Affäre

SEPA bleibt außen vor

Es dürfen keine Daten angefordert werden, die sich auf Transaktionen im Einheitlichen Euro-Zahlungsverkehrsraum (SEPA) beziehen. Die SEPA-Transaktionen (FileAct), zu denen die meisten alltäglichen Überweisungen zählen, werden zwar auch von SWIFT verwaltet, aber sie werden als Durchlaufposten behandelt und nicht zwischengespeichert.

Betroffen sind damit die Transaktionsdaten, die über das SWIFT-System im Nachrichtentyp FIN übermittelt werden. In diesen Datenpaketen, die in der Regel mehrere Transaktionsvorgänge umfassen, sind Informationen über die Höhe des überwiesenen Betrags, die Währung, die beteiligten Banken sowie die Kontonummern und Namen der Auftraggeber und Begünstigten enthalten. Welche Daten unter welchen Umständen damit genau übermittelt werden, entscheiden die jeweiligen Banken selbst, insofern ist es schwierig, den Kreis jener Bürger einzugrenzen, die von den Datenübertragungen an die US-Behörden erfasst sind.

Filtern und Data Mining

Das ist, wie mit dem Vorgehen vertraute Personen gegenüber ORF.at sagen, auch der Grund dafür, warum die US-Fahnder mit größeren Datenpaketen beliefert werden müssen. Die Fahnder treten mit bestimmten Kriterien wie etwa dem Zeitraum, in dem eine verdächtige Transaktion erfolgt sein muss, den beteiligten Banken oder den Namen von Begünstigten an SWIFT heran. Das eigentliche Filtern der Daten nach den entsprechenden Kriterien - die Extrahierung - findet dann auf US-Seite unter Aufsicht von SWIFT und Wirtschaftsprüfern statt.

Laut Artikel 5 Ziffer 3 des Abkommens sind allerdings im Rahmen des TFTP ein weitergehendes Data Mining "oder andere Arten der algorithmischen oder automatischen Profilerstellung" ebenso verboten wie "computergestützte Filterung".

Lange Speicherfristen

Alle übermittelten Daten, also auch jene, die nicht extrahiert wurden, dürfen von den USA fünf Jahre lang gespeichert werden. Die nicht extrahierten Daten, die von den USA vor dem 20. Juli 2007, also vor dem ersten SWIFT-Abkommen, gespeichert wurden, müssen bis 20. Juli 2012 gelöscht werden. Für die extrahierten Daten, also für jene, die die Fahnder für relevant halten, gibt es gar keine harten Speicherfristen. Sie werden "nicht länger aufbewahrt, als für die Ermittlungen oder die Strafverfolgung, für die sie verwendet werden, notwendig ist". Auch hierüber entscheiden die Fahnder selbst.

Das US-Finanzministerium verpflichtet sich im Abkommen dazu, die Speicherfristen für die nicht relevanten Daten "mindestens jährlich" zu überprüfen.

Weitergabe an EU-Stellen und Drittstaaten

Die extrahierten Daten, die für die Terrorbekämpfung relevant sein sollen, dürfen auch weiterhin an Drittstaaten weitergegeben werden (Artikel 7). Auch die EU-Stellen Europol und Eurojust sowie "entsprechende andere internationale Einrichtungen" können damit beliefert werden, so weit es der Ermittlung, Aufdeckung, Verhütung und Verfolgung terroristischer Aktivitäten dient.

Die US-Behörden können die Behörden eines Mitgliedsstaates darüber informieren, wenn ein Bürger dieses Staates von ihren Ermittlungen betroffen ist und dessen Daten in ein Drittland übermittelt werden. Wenn "Gefahr im Verzug" ist, können die entsprechenden Behörden des EU-Mitgliedslandes auch erst hinterher von den USA informiert werden - "zum frühestmöglichen Zeitpunkt", wie es in Artikel 7 Abschnitt d heißt.

Artikel 9 verpflichtet die US-Fahnder dazu, relevante Erkenntnisse aus den TFTP-Ermittlungen "so rasch wie möglich" auch Europol, Eurojust und den Behörden in den Mitgliedsstaaten zu übermitteln. Europol kann zu diesem Zweck auch einen speziellen Kontaktbeamten zum US-Finanzministerium entsenden.

Überprüfung und Rechtsbehelf

Das Abkommen sieht für betroffene Personen auch ein Auskunftsrecht sowie das Recht auf "Berichtigung, Löschung oder Sperrung" der persönlichen Daten vor. Betroffene Personen können auch vor EU- und US-Gerichten "wirksamen administrativen und gerichtlichen Rechtsbehelf" einlegen (Artikel 18).

Die Wahrscheinlichkeit, dass ein Bürger davon erfährt, dass seine Daten im TFTP erfasst oder extrahiert worden sind, ist jedoch aufgrund der Natur der Daten und der Kontrollmechanismen im Abkommen verschwindend gering. Anders als etwa beim "großen Lauschangriff" in Deutschland müssen die betroffenen Personen keineswegs hinterher von den Tätigkeiten der Fahnder in Kenntnis gesetzt werden. Auf Grundlage von Artikel 15 kann jeder Bürger über die Datenschutzbehörden in der EU einen Antrag auf Überprüfung stellen, ob seine Rechte im Rahmen des Abkommens gewahrt worden sind, er muss dies freilich auf gut Glück tun.

Die Verpflichtung zur Transparenz gemäß Artikel 14 beschränkt sich darauf, dass die US-Behörden Anlaufstellen und Informationen über das Beschwerdeverfahren zur Verfügung stellen müssen. Das US-Finanzministerium kann die Herausgabe personenbezogener Daten auch verweigern, es braucht diese Verweigerung nur zu begründen. Auch der prüfende EU-Liaison-Beamte in den USA braucht das nicht zu tun. Er kann aber eine Datenübertragung stoppen, wenn sie nicht gerechtfertigt scheint.

Gemeinsame Überprüfung

Allenfalls bei den gemäß Artikel 13 vorgesehenen "gemeinsamen Überprüfungen", die zuerst sechs Monate nach Inkrafttreten des Abkommens und danach "in regelmäßigen Abständen" vorgesehen sind, könnte es vorkommen, dass Details über die Datenverarbeitung nach außen dringen. Denn hier sind die Fahnder nicht zwingend unter sich. Die statistischen Daten des Programms sollen hier ebenso überprüft werden wie die Eignung des Verfahrens zur Terrorbekämpfung. Auch das EU-Parlament muss dann über die Anwendung des Abkommens in Kenntnis gesetzt werden.

Vonseiten der USA nehmen Vertreter des Finanzministeriums an der Überprüfung teil. Unabhängige Beobachter können auf beiden Seiten zusätzlich bestellt werden, eine Verpflichtung dazu besteht jedoch nur auf EU-Seite, hier müssen "Vertreter zweier Datenschutzbehörden" der Prüfdelegation angehören, einer davon muss aus einem Mitgliedsstaat kommen, in dem ein betroffener Finanzdatendienstleister angesiedelt ist. Die Einzelheiten der Überprüfung müssen "einvernehmlich" festgelegt werden.

Euro-TFTP ante portas

In Artikel 2 des EU-Ratsbeschlusses zum SWIFT-Abkommen wird die Kommission aufgefordert, dem EU-Parlament und dem Rat "spätestens ein Jahr nach dem Inkrafttreten des Abkommens einen rechtlichen und technischen Rahmen für die Extraktion der Daten auf dem Gebiet der EU vorzuschlagen". Sprich: Die EU will ein eigenes System zur Finanzdatenanalyse auflegen. Dieses soll, so der Beschluss, im Zeitraum von fünf Jahren aufgebaut sein. Falls die EU-Institutionen das nicht schaffen sollten, muss sich die Union entscheiden, ob sie das Abkommen um fünf Jahre verlängern oder es gemäß Artikel 21 (2) mit einer Frist von sechs Monaten kündigen möchte. Das Abkommen verlängert sich übrigens nach Ablauf der ersten fünf Jahre automatisch immer um ein Jahr, solange es nicht gekündigt wird.

Die Einrichtung eines Euro-TFTP wirft natürlich auch zahlreiche datenschutzrechtliche und organisatorische Fragen auf. Den Vorteil dieses Ansatzes sieht EVP-Unterhändler Ernst Strasser unter anderem darin, dass europäische Daten nicht mehr in die USA transferiert werden müssten und dass die zuständige EU-Behörde dann auf Augenhöhe Finanzdaten von der US-Gegenseite anfordern könnte. Damit wäre nicht nur das Problem der Massendatentransfers in die USA gelöst, sondern auch eine der wichtigsten Forderungen des EU-Parlaments, nämlich die nach Gegenseitigkeit (Reziprozität) erfüllt.

• EU-Parlament: Dokumente zum SWIFT-Abkommen

Rahmenbedingungen werden nachverhandelt

Geht es nach EU-Grundrechtekommissarin Viviane Reding, sollen Übereinkünfte wie der SWIFT-Vertrag zusätzlich durch ein Rahmenabkommen abgesichert sein, in dem die Bedingungen festgelegt sind, unter denen persönliche Daten zwischen EU- und US-Behörden ausgetauscht werden dürfen. "Wenn die USA zustimmen, können wir noch in diesem Jahr mit den Verhandlungen über dieses Rahmenabkommen verhandeln", so ein Sprecher von Reding gegenüber ORF.at. "Das Abkommen würde auch rückwirkend für die Übermittlung der SWIFT-Daten gelten." Auch die Übermittlung von Flugpassagierdaten (Passenger Name Records; PNR) an die US-Behörden würde durch dieses Abkommen mit geregelt werden. Beispielsweise sollen Rechtsschutzmechanismen und maximale Speicherfrist von Daten darin festgelegt sein.

Bis dieser neue Rechtsrahmen für die Übermittlung persönlicher Daten in die USA in Kraft tritt, wird es nach Einschätzung des Kommissionssprechers aber voraussichtlich noch mehrere Jahre dauern. Dazu kommt, dass die massenhafte Übermittlung und Analyse persönlicher Daten unter dem Label der Terrorbekämpfung damit formalisiert wird. Ob die tiefen Eingriffe in die informationelle Selbstbestimmung der Bürger überhaupt gerechtfertigt sind, tritt in der Diskussion über die bürokratischen Details allzu oft in den Hintergrund.

Scharfe Kritik an Massendatentransfer

SPÖ-Delegationsleiter Jörg Leichtfried beispielsweise ist prinzipiell dagegen, die Daten unbescholtener Bürger unter dem Label der Terrorbekämpfung massenhaft zu speichern und zu analysieren. Er hatte im Vorfeld der Entscheidung gegenüber ORF.at wiederholt vor dem Aufbau eines Überwachungsstaats und dem weiteren Abbau der Bürgerrechte gewarnt. Laut Nachrichtenagentur APA werden Leichtfried und alle anderen SPÖ-Abgeordneten - mit Ausnahme von Hannes Swoboda - am Donnerstag gegen das Abkommen stimmen.

Die Grünen im EU-Parlament werden gegen das Abkommen votieren. Die österreichische Abgeordnete Eva Lichtenberger hat grundsätzliche Bedenken gegen die Methode der massenhaften Datenanalyse zur Terrorbekämpfung, die erreichten Zugeständnisse der US-Behörden gegenüber den Bedenken des Parlaments seien "reine Kosmetik". Jan Philipp Albrecht, für die deutschen Grünen im EU-Parlament, sieht in dem Abkommen einen Paradigmenwechsel in der Strafverfolgung: "Es findet bei der Anforderung der Daten keine juristische Kontrolle statt." Obwohl der Grundrechtseingriff bereits auf EU-Territorium geschehe, müssten die betroffenen Bürger Rechtsbehelf in den USA einlegen.

Auch die österreichischen Abgeordneten Martin Ehrenhauser (Liste Martin) und Andreas Mölzer (FPÖ) kündigten an, gegen das Abkommen zu stimmen. Auch sie sehen die Gefahr, dass unbescholtene Bürger im Rahmen der massenhaften Datenübertragung ins Visier der US-Terrorfahnder kommen könnten.

Selbstkontrolle der Fahnder problematisch

Der liberale deutsche Berichterstatter Alexander Alvaro und Ernst Strasser verwiesen dagegen auf die umfangreichen Verbesserungen, die auf Druck des Parlaments nachträglich an dem Abkommen erreicht worden seien, etwa die Platzierung des EU-Vertrauensmannes in den USA, der die Datenweitergabe stoppen und gegen Wirtschaftsspionage und Data Mining vorgehen könne.

In seinem Bericht vor dem Bürgerrechtsausschuss des EU-Parlaments sieht aber auch Alvaro noch Bedarf für Nachbesserungen. So sei Europol eben nicht jene Justizbehörde, die das EU-Parlament bei seinen Forderungen an die Unterhändler im Sinn gehabt hätte. "Es muss sichergestellt werden, dass der Umgang von Europol mit den US-Anfragen von einer unabhängigen Stelle überprüft wird", schreibt er. Diese Aufgabe könnte von einem Abgesandten des EU-Datenschutzbeauftragten übernommen werden. Außerdem müsse das Parlament ein Mitspracherecht dabei haben, welche unabhängige Kontrollperson seitens der EU in die USA entsandt werde.

Stimmt das EU-Parlament dem Abkommen am Donnerstag zu, wird es voraussichtlich im August in Kraft treten. Derzeit übermittelt SWIFT keine europäischen Daten an die US-Fahnder. Wann das Unternehmen die Datenübertragung auf Grundlage des neuen Abkommens genau wieder aufnehmen wird, konnte es auf Anfrage von ORF.at noch nicht mitteilen.

Fazit: Datenfahndung im Mainstream angekommen

Das SWIFT-Abkommen formalisiert die Praxis der massenhaften Datenübertragung und -analyse zu Fahndungszwecken, wie sie speziell nach dem 11. September 2001 in Mode gekommen ist. Das hat den Vorteil, dass es - im Gegensatz zum klandestinen Vorgehen der US-Fahnder vor 2006 - nun Regeln gibt, die diese bei ihrer Arbeit beachten müssen. Kontrollmöglichkeiten gibt es, dank des Eingreifens des EU-Parlaments, aber sie sind noch zu schwach.

Dies könnte sich allenfalls dann ändern, wenn das von Reding angestrebte Rahmenabkommen über den Datenaustausch in Kraft tritt. Die Exekutive bleibt im Betrieb des Systems bis dahin weitestgehend unter sich. Die Fahnder definieren - ohne richterlichen Beschluss - welche Daten angefordert und übermittelt werden.

Durch das SWIFT-Abkommen wird gewissermaßen die Praxis der digitalen Rasterfahndung salonfähig gemacht, bei der auch massenhaft Datensätze unbescholtener Bürger in die Computersysteme der Fahnder geraten. Diese wiederum sind, wie die zahlreichen Probleme mit No-Fly-Lists in den USA zeigen, keineswegs vor Fehlern gefeit. Auch die Einführung eines Euro-TFTP-Systems erweitert die Befugnisse der Fahnder, die dann auch nicht mehr auf Amtshilfe aus den USA angewiesen sind. Das Abkommen setzt auch einen Präzedenzfall für die massenhafte Übermittlung und Auswertung von Flugpassagierdaten (PNR).

Waren Kritik und Arbeit der EU-Parlamentarier am Abkommen nun umsonst? Keineswegs, denn die wesentlichen Abwehrrechte für die Bürger sowie die "Notbremse" in Gestalt des EU-Beamten in den USA sind erst auf die Initiative der Volksvertreter in das Abkommen aufgenommen worden. Zudem haben sie mit ihrem nachhaltigen Protest gegen das Vorgehen von US-Beamten, Kommission und Rat dafür gesorgt, dass die Angelegenheit SWIFT nicht, wie sonst gerne üblich, in Hinterzimmern abgehandelt, sondern ins Licht der europäischen Öffentlichkeit gerückt wurde.

Mehr zum Thema:

• SWIFT-Abkommen passiert Justizausschuss

• D: Scharfe Kritik an SWIFT-Abkommen

• SWIFT: Die letzte Bedingung vor dem Abschluss

• Einigung über SWIFT-Abkommen erzielt

(futurezone/Günter Hack)