SWIFT
Der BigBrotherAward 2006 in der Kategorie "Wirtschaft " geht an die Society for Worldwide Interbank Financial Telecommunication (SWIFT) stellvertretend an die deutschen SWIFT-Aufsichtsratsmitglieder1 Roland Böff (Senior Vice President, Bayerische Hypo- und Vereinsbank) und Wolfgang Gaertner (CIO, Deutsche Bank AG) für die Durchbrechung des Bankgeheimnisses durch die Übermittlung von Überweisungsdaten von SWIFT an US- Behörden.
Wie erst am 23. Juni dieses Jahres durch Berichte in US-Tageszeitungen bekannt wurde, wertet die Central Intelligence Agency (CIA) weltweit Daten über internationale Banktransaktionen aus. Die CIA beschafft sich diese Daten seit Ende 2001 vor allem von der belgischen "Society for Worldwide Interbank Financial Telecommunications" (SWIFT). Begründet wird diese weitreichende CIA-Datenspionage damit, Geldströme von Terroristen ausfindig machen zu wollen. Natürlich greift die CIA nicht selbst auf die SWIFT-Daten zu, sondern diese werden vom US-Finanzministerium zu diesen Zwecken beschlagnahmt.
Wieder einmal muss der Kampf gegen den internationalen Terrorismus für gravierende Datenschutzverstöße herhalten. So stellt SWIFT-Europa den US-Behörden seit fast fünf Jahren über sein US-amerikanisches Operation Center (SWIFT-USA) die Daten internationaler Banktransaktionen zur Verfügung. SWIFT beruft sich dabei auf US-Recht und auf die mit dem Kampf gegen den internationalen Terrorismus begründeten Beschlagnahmeanordnungen des US-Finanzministeriums. Dabei werden aber nicht nur die Daten von Banktransaktionen weitergegeben, bei denen Konten in den USA beteiligt waren. Vielmehr werden - zur Datensicherung - auch alle Daten, die sich zum Beispiel auf innereuropäische Überweisungen beziehen, von SWIFT-Europa auf die Server von SWIFT-USA gespiegelt. Damit haben die US-Behörden Zugriff auf alle über SWIFT erfolgten und damit auf nahezu alle internationalen Banktransaktionen. Dass ein Missbrauch dieser Daten durch US-Behörden nicht auszuschließen sei, räumt SWIFT in einer eigenen Verlautbarung vom 25. August 2006 selbst ein: "SWIFT ist sich bewusst, dass jedes System potenziell missbraucht werden kann."1 Trotzdem glaubt SWIFT, dass es mittels eigener und externer Kontrollorgane "faktisch die Kontrolle" über einmal an die US-Behörden übermittelte Daten behielte, heißt es in einer Stellungnahme.
Wir müssen das anzweifeln: Die Vorsitzenden von SWIFT glauben doch wohl kaum, dass sie das US-Finanzministerium oder die CIA kontrollieren können!
Geradezu grotesk ist es, dass SWIFT die innereuropäischen Daten in die USA zum Sichern schickt. Das wäre sehr viel besser auf einem innereuropäischen Server aufgehoben gewesen. Für einen solchen Datentransfer fehlt jegliche Rechtsgrundlage. Alleine bei Überweisungen von oder nach Konten in den USA kann sich SWIFT auf die Beschlagnahmeanordnungen des US-Finanzministeriums berufen, da SWIFT-USA dem US-amerikanischen Recht unterliegt. Alle anderen Überweisungsdaten, insbesondere die Daten der innereuropäischen Überweisungen hätten niemals an SWIFT-USA übermittelt werden dürfen, da ohne Rechtsgrundlage eine Übermittlung personenbezogener Daten nach deutschem und nach europäischem Datenschutzrecht unzulässig ist. Die Daten der innereuropäischen Überweisungen konnten nur beschlagnahmt werden, weil sie in den USA verfügbar waren. Spätestens mit Beginn der Verhandlungen zwischen SWIFT und den US-Behörden über den Zugriff auf die Banktransaktionsdaten hätte SWIFT das Datensicherungskonzept unverzüglich ändern müssen, um die Vertraulichkeit der Daten aller außeramerikanischen Überweisungen sicherzustellen.
Hier müssen sich allerdings auch die deutschen Banken und Sparkassen fragen lassen, wieso sie ihren datenschutzrechtlichen Verpflichtungen bei der Beauftragung von externen Dienstleistern für die Verarbeitung so sensibler Daten wie Banküberweisungen nicht nachgekommen sind. Im § 11 des deutschen Bundesdatenschutzgesetzes sind diese Verpflichtungen der Auftraggeber klar und deutlich formuliert. Jeder Datenschutzbeauftragte eines mittelständischen Betriebes, dessen Rechner von einem externen IT-Dienstleister gewartet werden, muss diese Anforderungen kennen. So ist in Verträgen schriftlich festzulegen, welche Daten der Dienstleister zu welchen Zwecken an welche Stellen übermitteln darf und wie die technischen und organisatorischen Maßnahmen zur Datensicherheit und damit auch zur Datensicherung aussehen sollen. Die deutschen Banken und Sparkassen hätten also verhindern müssen, dass auch die Daten innereuropäischer Überweisungen in den USA landen. Wenn auch die SWIFT-Mitglieder nicht über die Beschlagnahmeverfahren informiert wurden, so waren und sind die Zugriffe auf die Überweisungsdaten zumindest der Deutschen Bank sowie der Bayerischen Hypo- und Vereinsbank bekannt, da führende Vertreter dieser Banken im SWIFT-Aufsichtsrat sitzen. Aber auch diese beiden Banken sind nicht aktiv geworden.
Am 23. August 2006 kritisierte das Unabhängige Datenschutzzentrum Schleswig-Holstein in einer die Stellungnahme: "Die Herausgabe von Finanzdaten europäischer Bürger durch die Society for Worldwide Interbank Financial Telecommunications (kurz SWIFT) mit Hauptsitz in Belgien an US-Behörden verstößt gegen deutsches und europäisches Datenschutzrecht."2 SWIFT behauptet zwei Tage später dreist, sie hätten sich an das Datenschutzrecht gehalten. Offensichtlich betrachtet SWIFT bei dieser - fehlerhaften - Einschätzung alleine das Rechtsverhältnis zwischen SWIFT-USA und den US-Behörden. Die Frage, ob die Daten überhaupt von Belgien in die USA hätten übermittelt werden dürfen, wird dabei vollständig übersehen. Vielleicht liegt diese einseitige Betrachtung daran, dass SWIFT klar ist, dass die Beantwortung dieser Frage zu einer Änderung des Datensicherungskonzeptes führen müsste.
Sowohl der gesamte Aufsichtsrat als auch die nationalen Zentralbanken wurden über die in den USA erlassenen Beschlagnahmeanordnungen informiert. Eine Information der 7.800 Mitgliedsbanken hingegen erfolgte allerdings nicht. Weder die Deutsche Bundesbank noch die Vertreter der Deutschen Finanzinstitute im Aufsichtsrat von SWIFT, die Herren Roland Böff und Wolfgang Gaertner, hielten es für nötig, sich gegen das offensichtlich datenschutzwidrige Vorgehen von SWIFT auszusprechen oder auch nur die Betroffenen zu informieren. Daher gebührt vor allem ihnen der BigBrotherAward in der Kategorie Wirtschaft.
Herzlichen Glückwunsch an die Swift-Aufsichtsräte Roland Böff und Wolfgang Gaertner.