SWIFT-Abkommen Ungenügende datenschutzrechtliche Standards

Hätte das SWIFT-Abkommen in dieser Form verabschiedet werden dürfen?

Herta Däubler-Gmelin: Nein, ich halte die Verabschiedung für einen großen Fehler. Zwar hat das Europäische Parlament, das nach dem Lissabonner Vertrag ja solchen Vereinbarungen zustimmen muss, Verbesserungen gegenüber dem früheren Vertrag, den die EU-Regierungen abgesegnet hatten, erreicht. Aber das Parlament als Vertreter der Bürgerinnen und Bürger in Europa hätte nicht zustimmen dürfen. Es hätte zunächst darauf drängen müssen, dass die Voraussetzungen für den Grundrechts- und Datenschutz innerhalb der EU abgestimmt werden. Erst dann hätte es zu einem Abkommen zwischen der EU und den USA kommen dürfen, in dem dann auch die Grund- und Freiheitsrechte geschützt sind. Das ist nicht geschehen – und so werden diese Versäumnisse für zu Unrecht Betroffene in den nächsten fünf Jahren der Geltung dieses Abkommens sehr problematisch werden. Sie werden den Schutz der Persönlichkeitsrechte insgesamt schwächen und die Stellung der Datenschutzbehörden der Mitgliedsstaaten der EU unterminieren. Kurz: Der Datenschutz beim Transfer von persönlichen Daten über die Grenzen bleibt mindestens für fünf Jahre weitestgehend auf der Strecke.

Was wäre die Alternative zu diesem Abkommen gewesen?

In dem Abkommen geht ja um ein an sich vernünftiges Anliegen, nämlich die gemeinsame Verhinderung der Finanzierung international agierender Terrorgruppen durch die Überwachung von Überweisungen über Landesgrenzen. Diese Überwachung hätte die EU mit den entsprechenden Grundrechts– und Verfahrenssicherungen selbst regeln können und müssen. Im Anschluss daran hätte die EU mit den USA dann einen Vertrag schließen können, der berechtigten US-Behörden auf berechtigte Einzelanforderung und unter Vorlage der notwendigen datenschutzrechtlichen Garantien die Möglichkeit gibt, Informationen zu erhalten.

Das SWIFT–Abkommen jedoch lässt den schlichten Transfer riesiger Datenmengen mit dem großen Staubsauger durch US-Behörden zu, wobei man ja weiß, wie in den USA mit Daten umgegangen wird. Das geht in rechtlich zulässiger Weise nicht. Das Trostpflaster der EU-Kommission, sie plane jetzt ein eigenständiges europäisches Verfahren zur Bekämpfung der Finanztransaktionen zur Terrorunterstützung, reicht nicht aus. Dieses Verfahren hätte die EU längst einrichten können – und das EU-Parlament hätte darauf bestehen können und müssen.

Wie beurteilen Sie unter dem Gesichtspunkt der Freiheit und des Rechts das Zustandekommen des Abkommens und seinen Inhalt?

Ganz offensichtlich stand die EU stark unter dem politischen Druck, den USA nicht zu viele ihrer Forderungen abzuschlagen. Das ist bedauerlich, zumal der Schutz von Bürgerrechten bei der Terrorbekämpfung ja auch von EU-Politikern in ihren Sonntagsreden als wichtig herausgestellt wird. Dieser Schutz entspricht den europäischen Werten und den Forderungen des letzten Winter in Stockholm beschlossenen EU-Programms zur Umsetzung der Grundrechte in der EU. Es ist bedauerlich, dass auch das EU-Parlament sich letztlich dem Druck gebeugt oder angepasst hat: Die erreichten Verbesserungen reichen nicht aus und die vereinbarte fünfjährige Dauer ist zu lang.

Welche Konsequenzen hat das SWIFT-Abkommen für die Menschen in Deutschland?

Das SWIFT–Abkommen betrifft nicht Handlungen deutscher Behörden, deshalb gibt es auch keinen (deutschen) Rechtsweg gegen solche Handlungen. Das Abkommen hat den Datentransfer zwischen der EU und den USA geregelt und dabei auf EU-Seite Handlungen und Bewertungen von Europol vorgesehen. In den USA geht es dann um das, was die US-Behörden, die die Informationen erhalten, mit diesen Daten machen.

Wie kann sich ein Betroffener gegen seiner Meinung nach unrechtsmäßiges Vorgehen von Europol wehren?

Nun, die Rechtmäßigkeit des Verhaltens von Europol im Klageweg kann auf dem Klageweg grundsätzlich nach EU-Recht beim EuGH in Luxemburg überprüft werden – insoweit sind die Aussagen von Innen- und Justizministerium korrekt. Was beide Ministerien jedoch nicht ausführen ist, dass das den Betroffenen im Regelfall wenig nutzt. Im Zweifel sind ja ihre Daten und die mit ihnen verbundenen Informationen – etwa über Geschäftsbeziehungen oder persönliche Verbindungen – längst transferiert. Sie sind im Zweifel in den USA weg, verteilt und verwendet. Die Betroffenen EU-Bürger könnten vor dem EU-Gericht nur im Nachhinein die Unrechtmäßigkeit des Verhaltens von Europol feststellen lassen. Dass auf diesem Weg im konkreten Fall überhaupt Schadensersatzforderungen durchgesetzt werden könnten, halte ich für überaus zweifelhaft.

Auch die Möglichkeiten der Betroffenen, in den USA gegen dortige Verletzungen des Datenschutzes – also von Grundrechten – zu klagen, sind trotz des Wortlauts des Abkommens mehr als ungewiss. Zum einen müssen die Betroffenen ja wissen, wo und wie sie vorgehen können. Das geht nur entsprechend der US-Regeln in englischer Sprache mit Unterstützung (teurer ) US-Anwälte. Außerdem ist es unklar, ob das US-Recht zum Zeitpunkt des Inkrafttretens des SWIFT–Abkommens überhaupt eine Klagebefugnis für betroffene Nicht-US-Staatsbürger vorsieht; darauf haben die europäischen Datenschutzbeauftragten mit Recht hingewiesen. Die Einschätzung des Bundesministeriums der Justiz halte ich in diesem Punkt mindestens für außerordentlich optimistisch – bisher entspricht sie der US-Rechtslage nicht und gibt auch keine Auskunft darüber, wo, wie und inwieweit bei Schäden eine Haftung der US-Behörden durchgesetzt werden könnte.

Wie sehen Sie den datenschutzrechtlichen Standard des Abkommens gemessen an dem, was wir in Deutschland gewohnt sind?

Er ist ungenügend. Das Bundesverfassungsgericht hat in zahlreichen Grundsatzentscheidungen klargestellt, dass Datenschutz Persönlichkeitsschutz und Schutz der Menschenwürde bedeutet. Deshalb sind wir in Deutschland hier zu Recht sehr streng. Das Bundesverfassungsgericht hat jetzt in seiner so genannten Online-Entscheidung zusätzlich ausgeführt, dass der Staat auch gewährleisten muss, dass die IT- und Kommunikationssysteme vor Zugriffen geschützt sind, weil sonst unsere freiheitliche Gesellschaftsordnung in sich zusammenbricht.

Das ist sehr wichtig, weil damit klargestellt ist, dass jeder Bürger sich im täglichen Leben darauf verlassen können muss, dass er auch bei der Nutzung der IT- und Kommunikationssysteme unseres Alltags nicht überwacht wird. Vielmehr sind Eingriffe auch in die IT- und Kommunikationssysteme nur bei Vorliegen klarer Hinweise auf Straftaten und anderer gesetzlicher Voraussetzungen und dann nur gleichzeitig mit klaren Schutzverfahren zulässig. Auch diese Verfassungsgrundsätze respektiert die SWIFT–Vereinbarung zwischen EU und USA leider nicht. Gerade deshalb ja unser Ärger darüber, dass das EU-Parlament nun doch zugestimmt hat.

Wie praxistauglich ist das Abkommen zur Überprüfung der Abläufe durch individuell betroffene Dritte?

Leider definiert das SWIFT–Abkommen die Praxistauglichkeit aus der Sicht der US-Geheimdienste, nicht aus dem Interesse des Schutzes der Grund- und Freiheitsrechte der Bürger. Das ist das Problem.

Interview: Gudrun Seidl

Das Interview erscheint mit freundlicher Genehmigung des Internetportals cenjur.de.