Swift-Abkommen Freibrief für die Datensauger aus den USA

Gegen Bedenken von Datenschützern und Bürgerrechtlern hat am Donnerstag das Europaparlament das umstrittene Swift-Abkommen mit den USA besiegelt. Damit erhalten die USA einmal mehr vollen Einblick in die Geldtransaktionen europäischer Bürger in Nicht-EU-Staaten.
484 Stimmen dafür, 109 dagegen, 12 Enthaltungen: Ja zur Observation durch die USA

484 Stimmen dafür, 109 dagegen, 12 Enthaltungen: Ja zur Observation durch die USA

Foto: VINCENT KESSLER/ REUTERS

Brüssel/Hamburg - Es gibt Dinge, die dem Bürger zu Recht nur sehr schwer zu vermitteln sind. Darüber, dass die USA kurz nach den Terroranschlägen vom 11. September 2001 damit begonnen hatten, sich die Möglichkeit zu verschaffen, beliebige Geldbewegungen von und zu Konten europäischer Bankkunden bei Bedarf zu beobachten und zu erfassen, hatte es erhebliche Empörung gegeben. Möglich war dies, weil die Server, über die der belgische Finanzdienstleister Swift (Society for Worldwide Interbank Financial Telecommunication) alle seine Transaktionen abwickelte, in den USA standen.

Bis Ende 2009 analysierten die USA Europas Bankgeschäfte im Rahmen ihres "Terrorist Finance Tracking Program". Dann zogen Swifts Server nach Europa, und umgehend folgten Forderungen der USA, ihnen trotzdem weiter Zugang zu den empfindlichen Daten zu gewähren. Begründet wurde und wird das mit den Sicherheitsinteressen der Vereinigten Staaten, namentlich damit, dass es notwendig sei, um Geldflüsse zwischen Terroristen zu erkennen und zu unterbinden. Experten wie der deutsche BKA-Chef Jörg Ziercke bezweifeln, dass dabei viel heraus kommt.

Europas Parlamentarier verweigerten sich nach dem Umzug der Server nach Europa zumindest dem Vollzugriff, der Fortführung des totalen Einblicks in die Bankgeschäfte der Bürger Europas. Es ist einer der beschämendsten Datenschutz-Skandale der letzten Jahrzehnte, dass so etwas so lange toleriert wurde - und fast noch beschämender, dass es viel zu selten hinreichend deutlich thematisiert wurde.

Seit die Datenflüsse nicht mehr über die USA geroutet werden, haben die EU-Parlamentarier die Möglichkeit des Einspruchs gegen solche Praktiken. Wie der heute von ihnen mit großer Mehrheit verabschiedete Vertrag mit den USA zeigt, haben sie diese Möglichkeiten nur äußerst zaghaft genutzt: Im Rahmen des neuen Swift-Abkommens knüpften sie nun den Zugriff auf alle Daten, die Geldflüsse in die EU hinein und aus ihr heraus betreffen, an datenschutzrechtliche Bedingungen. Dass zumindest dies gelang und nun zu einem zunächst fünf Jahre geltenden Vertrag führte, wird so mancher EU-Politiker als Sieg verbuchen. In den Augen vieler Bürger macht es den Skandal nicht viel kleiner.

Bürger unter Generalverdacht

Als Skandal bezeichnete der europäische Datenschutz-Beauftragte Peter Hustinx die Entscheidung zwar nicht, immerhin aber nennt er es eine "Blamage", dass die EU dabei gescheitert sei, diese massenhafte Weitergabe von empfindlichen Daten ihrer Bürger zu verhindern.

Im Grunde stellt der Swift-Vertrag jeden grenzüberschreitenden Geldverkehr unter Generalverdacht. Wenn Geld fließt, über die Grenzen hinweg, dann ist das ein Vorgang, der registriert, von Swift selbst 124 Tage lang archiviert und auf Anforderung weitergegeben wird. Das Swift-Abkommen erlaubt der US-amerikanischen Seite (konkret: dem US-Finanzministerium) dann eine fünfjährige Vorratsdatenspeicherung über die Überweisungen und ihre Details. Für die Sicherheit der Bürger Europas soll sorgen, dass EU-Beobachter in den USA nach dem rechten Umgang mit den Daten schauen sollen. Klingt nach einer Vollzeitstelle, bei der kaum Langeweile aufkommt. Es ist sehr schwer vorstellbar, dass jede Anfrage auf ihre Legitimität und Verwendung geprüft werden könnte.

Gerechtfertigt durch Terrorprävention ließen sich so sogar ganz legale Geschäftsverhältnisse beobachten und die so gewonnenen Daten zum Vorteil US-amerikanischer Firmen ausnutzen. Industriespionage auch unter Freunden hat eine lange Tradition: US-Geheimdienste spionierten mit angelsächsischer Hilfe über Jahrzehnte europäische Unternehmen aus und gaben ihre Erkenntnisse an US-Unternehmen weiter, um diesen (übrigens erfolgreich) Wettbewerbsvorteile zu verschaffen. Ob die USA dieses berüchtigte, Echelon genannte Programm wirklich aufgegeben haben, nachdem die Praxis im September 2001 im EU-Parlament öffentlich gemacht und mit einem offiziellen Protest kommentiert wurde, ist eine Frage des Vertrauens.

Seit dem 11. September machen die USA aus ihren Interessen an empfindlichen Daten aber immerhin selten ein Geheimnis: Sie verlangen sie einfach. Mit der Angst vor dem Terror wurden in den letzten Jahren zahlreiche Datenerfassungs-, Überwachungs- und Datentausch-Initiativen begründet, die Erfassung und Überwachung von Bürgern auch innerhalb der EU forciert.

Was ermöglicht das Swift-Abkommen alles?

Und auch das Swift-Abkommen erlaubt trotz der vom EU-Parlament erwirkten Abstriche Unglaubliches: Für eine Speicherdauer von satten fünf Jahren haben die US-Fahnder Zugriff auf den Absender einer Überweisung, den Empfänger, die Kontonummer und andere Daten des betroffenen EU-Bürgers.

Ins Visier der Terrorfahnder kann potentiell nämlich jeder europäische Bürger geraten. Denn Swift übermittelt an die Amerikaner nicht nur die Daten eines der Unterstützung von Terrorgruppen Verdächtigen, der beispielsweise Geld nach Ägypten transferiert, sondern im Datencluster dann auch Daten aus dessen "Umfeld". Das ist vor allem regional zu verstehen: Gab es weitere Überweisungen aus der Gegend nach Ägypten? Bestimmt, wenn die Gegend Frankfurt am Main heißt. Haben die Fahnder ab da dann alle Ägypten-Überweiser aus Frankfurt vorsorglich im Visier? Aber sicher, und wahrscheinlich sogar alle aus Hessen, denn Swift übermittelt alle Daten in regional definierten Paketen.

Dazu kommt angesichts der fünfjährigen Speicherdauer eine weitere Dimension: In Verdacht geraten könnte man auch wegen finanzieller Kontakte, die man mit jemandem hatte, der erst Jahre danach zum Radikalen oder Verdächtigen wird. Dass die linke EU-Abgeordnete Cornelia Ernst meint, mit dem Abkommen würden "Grundrechte im Namen der Terrorismusbekämpfung ausgehöhlt", lässt sich da schon nachvollziehen.

Dass der Daten-Striptease zumindest auf die EU-Grenzen überschreitende Zahlungen begrenzt wurde; dass man als EU-Bürger nun zumindest seine nationalen Datenschutzbehörden fragen darf, was mit seinen Daten passiert; dass man im begründeten Fall eine (wahrscheinlich völlig fruchtlose) Protestnote an die Amerikaner übermitteln darf, nennt das EU-Parlament "Zugeständnisse", die man im Laufe der Verhandlungen erreicht habe.

Man könnte es auch Kosmetik nennen, spöttisch einen "Mühlenstein für die europäische Bürgerrechtsgeschichte" ("badisches Tagblatt") oder - wie Europas Datenschützer - schlicht eine Blamage. Nur noch für fünf Jahre, heißt es nun, soll das alles so laufen. Dann soll ein Nachfolgesystem die Überwachung von Swifts Arbeit unter eigener, europäischer Regie erledigen, ohne all die Nebenwirkungen, die sich mit dem europäischen Verständnis von Privatsphäre und Datenschutz so wenig vertragen. Dann überwachen wir uns endlich selbst.

Ob man daran glaubt, ist ebenfalls eine Frage des Vertrauens, das sich Europas Parlamentarier auch mit dem neuen Swift-Abkommen definitiv noch nicht erworben haben.

Korrektur: Das Unternehmen Swift legt Wert auf die Feststellung, als reiner Dienstleister nur Daten auf Anforderung weiterzugeben, wie dies durch die Bestimmungen des Swift-Abkommens zwischen den USA und der Europäischen Union vereinbart ist, ansonsten dem geltenden Recht einschließlich entsprechender Datenschutzbestimmungen zu genügen.

In einer früheren Version dieses Artikels hatte es geheißen, das Swift-Abkommen ermögliche es, auf Basis von Swift-Daten auf archivierte Kontostände privater Konten zuzugreifen. Das ist nicht korrekt: Das Unternehmen Swift speichert solche Daten nicht.

Nach Aussage des Unternehmens Swift sei es auch nicht richtig, dass das in der deutschen Sprachversion des Swift-Abkommens als "nationale Kennnummer" (in der englischen Version: "national identification number") bezeichnete Identifizierungsmerkmal im Deutschen mit einer Personalausweis- oder Passnummer gleichzusetzen sei. Vielmehr sei damit die internationale Identifizierungsnummer der involvierten Bank gemeint.

Im Abkommen heißt es wörtlich: "Zu den bereitgestellten Daten können Angaben zur Identifizierung des Auftraggebers und/oder des Empfängers der Transaktion gehören, einschließlich des Namens, der Kontonummer, der Anschrift und der nationalen Kennnummer." (Swift-Abkommen, Artikel 5, Absatz 7)