Der BigBrotherAward in der Kategorie „Kommunikation“ geht an die Bundesministerin der Justiz, Frau Bundesministerin Zypries. Sie werden ausgezeichnet für Ihren Gesetzentwurf, mit dem in Deutschland die Vorratsdatenspeicherung von Telekommunikations-Verbindungsdaten eingeführt werden soll. Sie  ignorieren damit bewusst die Rechtsprechung des Bundesverfassungsgerichts, das bereits 1983 im Volkszählungsurteil festgelegt hatte, dass die Sammlung von nicht anonymisierten Daten zu unbestimmten oder noch nicht bestimmbaren Zwecken mit dem Grundgesetz unvereinbar ist.

Ausgangspunkt für Ihren Gesetzentwurf ist die Richtlinie mit der amtlichen Bezeichnung „2006/24/EG“ der Europäischen Union. Nach dieser Richtlinie müssen alle Mitgliedsstaaten die Anbieter und Betreiber von öffentlichen Kommunikationsnetzen zur Speicherung der sogenannten Verkehrsdaten verpflichten. Ein konkreter Anlass ist für diese Erfassung der TK-Nutzer nicht erforderlich. Mit diesen Daten soll die eindeutige Rückverfolgung und Identifizierung der Quelle und des Adressaten einer Nachricht nach Datum, Uhrzeit, Dauer, Art der Nachrichtenübermittlung sowie die Bestimmung der Endeinrichtung und des Standorts mobiler Geräte, also etwa Handys, ermöglicht werden. Als Speicherdauer ist ein Zeitraum von 6 Monaten bis zu zwei Jahren vorgesehen. Auch Deutschland würde diese Richtlinie umsetzen müssen – wenn sie denn so bleibt. Das aber ist fraglich, denn gegen diese Richtlinie hat Irland bereits am 6. Juli 2006 eine Nichtigkeitsklage vor dem Europäischen Gerichtshof eingereicht. Bislang ist nicht klar, wann es zu einer Entscheidung kommen wird.

Die Jury der BigBrotherAwards hat durchaus nicht verkannt, dass es sich bei der genannten Richtlinie um einen den deutschen Gesetzgeber verpflichtenden Rechtsakt der EU handelt. Im Falle der Weigerung einer Umsetzung würde dies ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland nach sich ziehen. Wir haben darüber hinaus berücksichtigt, dass bereits heute – allerdings zu Abrechnungszwecken – einzelne Verkehrsdaten von den TK-Anbietern gespeichert werden. Und schließlich ist uns wohl bekannt, dass Sie, Frau Zypries, die nach der Richtlinie mögliche Mindestspeicherdauer von sechs Monaten in Ihr Umsetzungsgesetz aufgenommen haben.

Diese Erwägungen entlasten Sie, Frau Bundesministerin, als Preisträgerin aber nur sehr begrenzt. Denn: Die verdachtslose Speicherung von Verkehrsdaten ist mit der bereits angesprochenen Rechtsprechung des Bundesverfassungsgerichts offensichtlich nicht in Einklang zu bringen. Nationale Judikatur und europäische Gesetzgebung sind hier offenbar im Widerstreit. Das hätte Sie veranlassen können, auf einen Beitritt Deutschlands zur irischen Klage hinzuwirken. Zumindest aber hätte dies Anlass sein sollen, das Gesetzgebungsverfahren jedenfalls bis zu einer Entscheidung des Europäischen Gerichtshofs zurückzustellen. Denn wenn Irland mit seiner Klage gegen die EU-Richtlinie erfolgreich ist, muss sie natürlich auch in Deutschland nicht umgesetzt werden.

Aus den folgenden Gründen hätten wir von Ihnen, Frau Zypries, erwartet, dass Sie die EU-Richtlinie nicht in einen deutschen Gesetzentwurf formulieren, selbst wenn Sie damit das Risiko eines Vertragsverletzungsverfahrens eingehen: Die Information, wer zu welcher Zeit mit wem wie lange und von wo aus kommuniziert hat, ist in einer freien Kommunikations-Gesellschaft viel zu wichtig, als dass man diese Daten anlassunabhängig über jedermann speichern dürfte. Schließlich ist damit unvermeidbar der über die gesamte Bevölkerung ausgesprochene Verdacht verbunden, dass die Daten zu einem späteren Zeitpunkt einmal für Zwecke der Strafverfolgung benötigt werden könnten. Immerhin könnte sich jede und jeder einzelne von uns irgendwann einmal zum Gesetzesbrecher entwickeln.

Und Sie sprechen im Zusammenhang mit Ihrem Gesetzentwurf außerdem von „Gefahrenabwehr“. Sie halten uns Bürger also sämtlich für potentiell gefährlich? Außerdem argumentieren Sie, dass die deutschen Geheimdienste zu einem späteren Zeitpunkt unsere Daten nützlich finden könnten. Wir könnten uns ja binnen Halbjahresfrist zu Verfassungsfeinden entwickeln und dann wäre es in Ihren Augen natürlich schade, wenn die Schlapphüte nicht ermitteln könnten, mit wem wir im letzten halben Jahr Kontakt hatten.

Der deutsche Bundestag war bereits im Jahr 2005 mit der Frage befasst, ob in Deutschland eine Vorratsdatenspeicherung eingeführt werden sollte. Nach durchaus kontroverser Diskussion wurde dies, unter anderem aufgrund der genannten verfassungsrechtlichen Zweifel, ausdrücklich abgelehnt. Die Parlamentarier haben sich dabei von der Überzeugung tragen lassen, dass der Schutz der Kommunikationsbeziehungen der Bürger eine elementare Voraussetzung einer auf freier Kommunikation aufbauenden, demokratischen Gesellschaft ist. Dabei mag den Abgeordneten auch das bereits erwähnte Volkszählungsurteil in den Ohren geklungen haben: Unsicherheit über den Umfang staatlicher Datensammlungen kann dazu führen, dass wir unsere Grundrechte nicht mehr wahrnehmen.

Wir wünschen uns dringend, dass auch die Abgeordneten dieser Legislaturperiode im Blick behalten, wie sehr unser demokratischer Verfassungsstaat auf den freien, unbespitzelten zwischenmenschlichen Austausch angewiesen ist. Wir appellieren dringend an jeden Parlamentarier im Bundestag, Ihren Gesetzentwurf zur Vorratsdatenspeicherung abzulehnen!

Und erlauben Sie mir, Frau Bundesjustizministerin, noch eine abschließende, mahnende Bemerkung: Bereits vor drei Jahren bestand Anlass, Sie für Ihr Festhalten am Großen Lauschangriff als Instrument der Strafverfolgung mit einem BigBrotherAward auszuzeichnen. Sollten sich in den nächsten Jahren keine Anzeichen für eine datenschutzmäßige Besserung ihrerseits ergeben, so wird sich die Jury früher oder später mit Ihrer Nominierung für den ungeliebten Life-Time-Award zu befassen haben.

Bis dahin sagen wir – leider schon zum zweiten Mal – Herzlichen Glückwunsch, Frau Bundesjustizministerin Zypries.

Kein BigBrotherAward 2007 geht an Bundesinnenminister Wolfgang Schäuble.

Viele werden sich die Frage stellen, warum denn ausgerechnet ein Traumkandidat für den BigBrotherAward diese Auszeichnung im Jahr 2007 nicht erhält. Manche werden von der Entscheidung der Jury enttäuscht sein, hätte er ihrer Ansicht nach den Preis doch wie (k)ein anderer verdient – als zwanghafter Scharfmacher in Sachen „Sicherheit & Terror“, überqualifiziert wie seinerzeit nur sein Vorgänger im Amt, Otto Schily (SPD).

Und in der Tat: Bundesinnenminister Wolfgang Schäuble (CDU/CSU) versteht es wie kaum ein anderer, mit seiner Panikmache und Drohpolitik die Bevölkerung in Angst und Schrecken zu versetzen – womit er einen klassischen Wesenszug des Terrors erfüllt; mit dem Ziel, Bevölkerung und Parlamentarier so lange weich zu klopfen, bis sie seine umstrittenen Pläne geradezu herbeisehnen und absegnen. Als „Gegenterrorist“ ist er mit seinen grundrechtssprengenden Denkanschlägen, die er fast täglich verübt, längst zum Gefährder von Demokratie, Menschenrechten und Datenschutz geworden – und damit reif für seine eigene Antiterrordatei, die wir im vorigen Jahr mit dem BigBrotherAward ausgezeichnet haben.

Und dennoch: Zum einen wäre es falsch, sich zu sehr auf Schäuble zu konzentrieren, ihn zu dämonisieren und die Terrordebatte auf diese Weise zu verengen. Denn „Schäuble“ ist nur eine Metapher für die verhängnisvolle Tendenz einer „Terrorismusbekämpfung“ auf Kosten der Bürgerrechte und für eine Systemveränderung zu Lasten des demokratischen und sozialen Rechtsstaats. Und zweitens haben wir die begründete Befürchtung, dass Schäuble die Verleihung des BigBrotherAwards als besonderen Ansporn verstehen könnte, seinen Sicherheitsextremismus noch zu verstärken, um seiner Vision vom präventiv-autoritären Sicherheits- und Überwachungsstaat näher zu kommen. Deshalb können wir eine Verleihung so lange nicht verantworten, bis Schäuble als „Verfassungsminister“ endlich über seine eigenen verfassungswidrigen Projekte stolpert und sich zum Rücktritt gezwungen sieht. Dann wäre womöglich an die Verleihung des BigBrother-Lifetime-Awards zu denken – wie ihn weiland Otto Schily im Jahr 2005 erhalten hat, nachdem er als Innenminister der rot-grünen Bundesregierung wegen deren Abwahl demissionieren musste.

Auf der anderen Seite müssen wir jedoch dankbar konstatieren, dass der Innenminister sich durchaus beachtliche Verdienste um das Datenschutzbewusstsein der Bürgerinnen und Bürger erworben hat, die inzwischen zu Tausenden auf die Straße gehen, Internet-Demos organisieren und Massenbeschwerde vor dem Bundesverfassungsgericht ankündigen, um sich gegen seine Horrorpläne zur Wehr zu setzen. Wegen dieser verdienstvollen, wenn auch unfreiwilligen Mobilisierung oppositioneller Kräfte ist ihm gar die Ehrenmitgliedschaft in der Deutschen Vereinigung für Datenschutz (DVD) angetragen worden.

Herzliches Beileid, Herr Bundesinnenminister, für die unterbliebene Auszeichnung.

Der BigBrotherAward 2007 in der Kategorie „Wirtschaft“ geht an die Deutsche Bahn AG, vertreten durch den Vorstandsvorsitzenden Hartmut Mehdorn, da sie systematisch anonymes Reisen faktisch unmöglich macht.

„Brötchen gibt’s am Automaten“. Das ist ein Satz, den ich von meiner Bäckereifachverkäuferin bisher noch nicht gehört habe. Sie hat auch nicht ergänzt, dass ich für 5 Euro Aufpreis die Brötchen doch auch bei ihr am Tresen kaufen könnte. Ich müsse mich im Gegenzug allerdings an die 5 Meter Lange Schlange ganz rechts anstellen. Und sie hat auch nicht gesagt, dass ich die Brötchen im Internet bestellen könnte und diese mir dann in zwei Tagen ins Haus geschickt würden – dabei würden aber meine Adresse, Geschmacksvorlieben und Kreditkartennummer zentral gespeichert.

Wenn ich mit der Deutschen Bahn reisen möchte, dann sind solche Aussagen bittere Realität.

Aber dies hier ist kein Verbraucherschutz-Negativpreis, es geht nicht um das alltägliche Genervtsein im Umgang mit einem servicefremd agierenden Großkonzern, sondern es geht um die Datenkrake Deutsche Bahn AG. Ich möchte Sie mitnehmen zu meinen Gedanken um das systemtische Aushebeln des anonymen Reisens. Steigen Sie ein und lassen Sie die folgenden Ausführungen an sich vorüberziehen.

Die Deutsche Bahn AG will anscheinend alles wissen und stellt planvoll und effektiv ihre Weichen.

Erste Station: Die Deutsche Bahn AG schiebt die Reisebüros aufs Abstellgleis. Die Provisionen wurden so gekürzt, dass Reisebüros es sich nicht mehr leisten konnten, Fahrkarten ohne Aufpreis auszustellen. Für die Reisebüros bedeutet das: Endstation – bitte aussteigen. Ab sofort hat die Deutsche Bahn AG die volle Kontrolle über die verkauften Tickets. Wir reisen weiter zur zweiten Station.

Die Fahrkartenschalter im Bahnhof. Die Kapazitäten von Personal an Fahrkartenschaltern werden so knapp gehalten, dass man schon ordentlich viel Zeit mitbringen muß, um sich eine Fahrkarte zu kaufen. Bis zu 5 Euro teurer ist der Kauf am Schalter, 2 Euro teurer jede Platzreservierung. Wer also weder zuviel Geld noch zuviel Zeit hat, kauft seine Fahrkarte anders. Hier teilt sich die Strecke:

Sie können zum Beispiel übers Internet reisen. Sie ahnen, was das bedeutet: Sie sind namentlich und mit voller Adresse und Ihrer Kontonummer dem ‚Unternehmen Zukunft’ bekannt.

Also doch lieber die Umwegstrecke über den Fahrkartenautomaten nehmen? Kaum ein Automat nimmt Bargeld. Da müssen Sie dann schon Ihre EC-Karte einstecken. Haben Sie eine Bahncard, um Fahrkarten zu einem halbwegs vernünftigen Preis zu erstehen? Damit Sie den Rabatt bekommen, verlangt der Automat – unnötigerweise, da der Rabattanspruch sowieso erst bei der Fahrkartenkontrolle im Zug geprüft wird  dass Sie die Bahncard ins Gerät stecken: Privatsphäre Adé. Nur sehr gewiefte Menschen entdecken, dass man beim „Bahncard-gefordert-Fenster“ im Automaten einfach auf Abbrechen klicken kann, und trotzdem eine Karte bekommt.

Wo wir schon mal einen Umweg machen, nehmen wir uns Zeit, uns die Bahncard mal genauer anzugucken! Haben Sie beim Bahncard-Antrag Ihr Geburtsdatum angegeben? Warum? Es gibt keinen Grund, dass die Bahn Ihr Geburtsdatum erfährt. Das Geburtsdatum ist nur für Datenkrakereien brauchbar und darf laut Bundesdatenschutzgesetz gar nicht als Pflichtfeld abgefragt werden. Schon vor ein paar Jahren schrieb uns der Berliner Datenschutzbeauftragte, dass er die Abfrage des Geburtsdatums bei der Deutschen Bahn AG moniert habe. Geändert hat sich allerdings nichts.

Ein Jugendlicher, der sich seine Bahncard im Reisebüro bestellte, zeigte seinen Ausweis vor, und bestand darauf, dass lediglich der Vermerk gespeichert wird, dass er berechtigt sei, eine vergünstigte Bahncard für Jugendliche zu beziehen – ohne Speicherung des Geburtsdatums. Die – übrigens im Voraus bezahlte – Bahncard wurde ihm nie zugeschickt. Diskussionen am Telefon mit den Tentakeln der Datenkrake führten zu nichts. Das Reisebüro, das den Vorgang angenommen hatte, existiert nicht mehr. Das Geld ist futsch.

Mit dem Foto auf Bahncards wollte sich der Mitarbeiter des zuständigen Berliner Datenschutzbeauftragten schon eher anfreunden. Mich selber beschleicht ein eher ungutes Gefühl, wenn das Staatsunternehmen in Auflösung, das in Deutschland eine nahezu flächendeckende Videoüberwachung unterhält, die wohl zentral in Berlin zusammengeschaltet werden kann, mein Bild als Datei bekommt und auch noch jahrelang abspeichert. Zumal mein Bild als Merkmal auf der Bahncard auch gar nicht notwendig ist: Meine Identität und Berechtigung, eine Bahncard zu besitzen und zu nutzen, kann ich jederzeit durch einen Lichtbildausweis belegen.

Deshalb trägt meine Bahncard weder ein Bild noch ein Geburtsdatum. Mein Alter (Vorsicht meine Damen, das ist auf der Bahncard aufgedruckt) ist mit 95 Jahren angegeben.

An anderer Stelle wurde das zur ungewollten Notbremse: In Berlin wollte ich mir eines der hübschen, per Handy freischaltbaren Fahrräder der Deutschen Bahn mieten. Nachdem ich länger mit der freundlichen Servicemitarbeiterin telefonierte, meinen Namen und meine Adresse angab, kam das Aus: Als Einstiegspasswort sollte ich mein Geburtsdatum angeben. Das müsse sein, belehrte mich die die Dame am Telefon. Ich seufzte und ging zu Fuß.

Richtig anonym und komfortabel geht’s wohl nur mit der Bahncard 100. Freie Fahrt für reiche Bürger, auch auf der Datensammelbahn – sollte man meinen. Einmal 3.400 Euro bezahlen, einsteigen und einfach fahren, ohne Fahrkartenkauf, ohne Internetgeklicke, ohne fummelige Zettelwirtschaft. Aber auch hier lauert die Datenkrake in ihrem perfiden Versteck: In der Karte ist heimlich ein RFID-Schnüffelchip integriert. Der Chip kann, vom Benutzer unbemerkt, per Funk ausgelesen werden. Zur Erinnerung: Der Metrokonzern mußte seine heimlich mit Schnüffelchips verwanzten Payback-Karten im Jahr 2004 umtauschen; die gesamte RFID-Industrie wurde in Mißkredit gezogen. Der zuständige Vorstandsvorsitzende der Metro mußte seine Vorstandstätigkeit zwischenzeitlich aufgeben.

Wir haben den Chip in der Bahncard 100 bereits im Jahr 2005 in einem kleinen Artikel auf der Website des FoeBuD e.V. beschrieben. Drei Tage nach Veröffentlichung rief der betriebliche Datenschutzbeauftragte an und fragte an, ob die Bahn jetzt den BigBrotherAward bekommen würde. „Bis repetita non placent“ beschieden wir als gebildete Asterix-Leser ihm. „Wiederholungen gefallen nicht“. RFID-Karten hatten ja schon soooo einen Bart. Er atmete hörbar auf. Er versprach, dass die Bahn zukünftig deutlich auf den Chip hinweisen wird.

Einem Kunden gegenüber, der eine Bahncard 100 ohne Chip wollte, gab er nach unserem Telefonat die Auskunft, dass der Chip nicht aktiviert sei. Dennoch meldet sich der Chip an jedem Lesegerät, das nach dem gleichen Standard arbeitet. Wären die Lesegeräte bereits so flächendeckend verbreitet, wie sich das die Industrie noch 2003 vorgestellt hatte, wäre die Bahncard 100 letztendlich eine Art Wanze, die durch ihre eindeutige Nummer den Standort der Kartenbesitzerin mitteilt. Solche Daten gehören nicht freigelassen! Zumindest haben die Benutzer ein Recht darauf, zu wissen, was sie mit sich herum tragen. Ich habe extra noch einmal alle Newsletter der Deutschen Bahn AG seitdem durchgesehen. Bis heute kein Wort. Gar nichts.

Und dann gibt es noch Mitfahrer auf unserer Rundreise, die sammeln Punkte. Bahn-Comfort-Punkte. Gut, mittlerweile hat es sich herumgesprochen, dass Punktesammeln und Privatsphäre nicht so wirklich richtig gut miteinander harmonieren. Aber angeblich hat dennoch immerhin die Hälfte der Bahncard-Besitzerinnen und –Besitzer das Punktesammeln freigeschaltet. Auf der Website verbürgt sich die Deutsche Bahn AG in der Datenschutzerklärung dafür, dass die Daten nicht den DB-Konzern verlassen, garantiert nicht an Dritte weitergehen. Das steht im Widerspruch zu einem Eintrag in Wikipedia, der anderes behauptet. Ich mache mich auf die Suche.

Auf der Homepage der Firma Loyalty-Partner werde ich fündig. Diese Firma hat ein Konsortium um sich gesammelt, das die Bahn-Bonuspunkte verwaltet. Die Bahncards werden von der Bamberger GHP Holding hergestellt. Die GHP bearbeitet übrigens auch die Happy Digits-Vorgänge. Und die Firma Loyalty-Partner, bei denen ich das gelesen habe, ist Betreiberin des Payback-Systems, Gewinner des BigBrotherAwards im Jahr 2000. Payback, Happy Digits und Bahn-Comfort-Punkte, alles unter dem Dach eines Konsortiums. Was für eine Gemengelage – kein Wunder, dass die Deutsche Bahn AG das nicht einfach zugibt. Und der Zug rollt immer weiter.

Der Datenkrake hat viele Tentakel. Da mag überempfindlich, aber verständlich sein, dass sich Leute unwohl fühlen, wenn die Kamera des mobilen Kontrollgerätes, mit dem die Schaffner die Strichcodes der Online-Tickets prüfen, genau auf Ihr Gesicht gerichtet ist.

Wo geht die Reise hin? Ab Anfang November 2007 geht ein neues Abrechnungssystem in den Pilotversuch. Die Testpersonen bekommen spezielle neue Handys. In diesen Geräten werden alle Mobilfunk-Funkzellen auf dem Fahrweg gespeichert. Zu Beginn und Ende einer Fahrt funken diese Handys ihre Daten an die Bahn AG. Bessere Bewegungsprofile kann es kaum noch geben

So werden mehr und immer mehr Daten angehäuft; die Sensibilität für Datensparsamkeit muß immer wieder erst von Datenschutzbeauftragten angemahnt werden, bevor die Tentakel eingezogen werden. Bei Zugverspätungsgutscheinen und Fahrkartenrückerstattungen mußte erst ein Bußgeldverfahren eingeleitet werden, bevor die Bahn davon absah, bei Erstattungen persönliche Daten in Hülle und Fülle abzufragen.

An vielen Stellen hat die Deutsche Bahn AG anscheinend recht ausgefeilte Verfahren und Abläufe, um direkten Datenmißbrauch zu verhindern. Aber das ‚komische Gefühl in der Magengrube’ bleibt. Ein Staatskonzern, der so viele Bewegungsdaten von Menschen sammelt, stellt ein hohes Risiko dar. Ein Konzern, der Profit abwerfen soll, ist kein guter Garant für vertraulichen Umgang mit personenbeziehbaren Daten.

10.000 Fahrkartenautomaten gibt es in ganz Deutschland, die keine Brötchen, aber Fahrkarten verkaufen. 10.000 Automaten, für die weder Sozialabgaben noch Lohnsteuer abgeführt werden. 10.000 Automaten, die alle gleichgeschaltet am großen Zentralrechenzentrum hängen. 10.000 Automaten, die zusammen mit ihren Spießgesellen, den am Internet angeschlossenen Heim-PCs, Daten saugen und ihren Herren ausliefern. 10.000 Automaten, die von Videokameras überwacht werden, damit sie nicht fortlaufen ... weil selbst sie die soziale Kälte nicht ertragen können.

Anschluss verpasst, Herr Mehdorn! Herzlichen Glückwunsch Deutsche Bahn AG zum BigBrotherAward 2007.

Der BigBrotherAward 2006 in der Kategorie "Wirtschaft " geht an die Society for Worldwide Interbank Financial Telecommunication (SWIFT) stellvertretend an die deutschen SWIFT-Aufsichtsratsmitglieder1 Roland Böff (Senior Vice President, Bayerische Hypo- und Vereinsbank) und Wolfgang Gaertner (CIO, Deutsche Bank AG) für die Durchbrechung des Bankgeheimnisses durch die Übermittlung von Überweisungsdaten von SWIFT an US- Behörden.

Wie erst am 23. Juni dieses Jahres durch Berichte in US-Tageszeitungen bekannt wurde, wertet die Central Intelligence Agency (CIA) weltweit Daten über internationale Banktransaktionen aus. Die CIA beschafft sich diese Daten seit Ende 2001 vor allem von der belgischen "Society for Worldwide Interbank Financial Telecommunications" (SWIFT). Begründet wird diese weitreichende CIA-Datenspionage damit, Geldströme von Terroristen ausfindig machen zu wollen. Natürlich greift die CIA nicht selbst auf die SWIFT-Daten zu, sondern diese werden vom US-Finanzministerium zu diesen Zwecken beschlagnahmt.

Wieder einmal muss der Kampf gegen den internationalen Terrorismus für gravierende Datenschutzverstöße herhalten. So stellt SWIFT-Europa den US-Behörden seit fast fünf Jahren über sein US-amerikanisches Operation Center (SWIFT-USA) die Daten internationaler Banktransaktionen zur Verfügung. SWIFT beruft sich dabei auf US-Recht und auf die mit dem Kampf gegen den internationalen Terrorismus begründeten Beschlagnahmeanordnungen des US-Finanzministeriums. Dabei werden aber nicht nur die Daten von Banktransaktionen weitergegeben, bei denen Konten in den USA beteiligt waren. Vielmehr werden - zur Datensicherung - auch alle Daten, die sich zum Beispiel auf innereuropäische Überweisungen beziehen, von SWIFT-Europa auf die Server von SWIFT-USA gespiegelt. Damit haben die US-Behörden Zugriff auf alle über SWIFT erfolgten und damit auf nahezu alle internationalen Banktransaktionen. Dass ein Missbrauch dieser Daten durch US-Behörden nicht auszuschließen sei, räumt SWIFT in einer eigenen Verlautbarung vom 25. August 2006 selbst ein: "SWIFT ist sich bewusst, dass jedes System potenziell missbraucht werden kann."1 Trotzdem glaubt SWIFT, dass es mittels eigener und externer Kontrollorgane "faktisch die Kontrolle" über einmal an die US-Behörden übermittelte Daten behielte, heißt es in einer Stellungnahme.

Wir müssen das anzweifeln: Die Vorsitzenden von SWIFT glauben doch wohl kaum, dass sie das US-Finanzministerium oder die CIA kontrollieren können!

Geradezu grotesk ist es, dass SWIFT die innereuropäischen Daten in die USA zum Sichern schickt. Das wäre sehr viel besser auf einem innereuropäischen Server aufgehoben gewesen. Für einen solchen Datentransfer fehlt jegliche Rechtsgrundlage. Alleine bei Überweisungen von oder nach Konten in den USA kann sich SWIFT auf die Beschlagnahmeanordnungen des US-Finanzministeriums berufen, da SWIFT-USA dem US-amerikanischen Recht unterliegt. Alle anderen Überweisungsdaten, insbesondere die Daten der innereuropäischen Überweisungen hätten niemals an SWIFT-USA übermittelt werden dürfen, da ohne Rechtsgrundlage eine Übermittlung personenbezogener Daten nach deutschem und nach europäischem Datenschutzrecht unzulässig ist. Die Daten der innereuropäischen Überweisungen konnten nur beschlagnahmt werden, weil sie in den USA verfügbar waren. Spätestens mit Beginn der Verhandlungen zwischen SWIFT und den US-Behörden über den Zugriff auf die Banktransaktionsdaten hätte SWIFT das Datensicherungskonzept unverzüglich ändern müssen, um die Vertraulichkeit der Daten aller außeramerikanischen Überweisungen sicherzustellen.

Hier müssen sich allerdings auch die deutschen Banken und Sparkassen fragen lassen, wieso sie ihren datenschutzrechtlichen Verpflichtungen bei der Beauftragung von externen Dienstleistern für die Verarbeitung so sensibler Daten wie Banküberweisungen nicht nachgekommen sind. Im § 11 des deutschen Bundesdatenschutzgesetzes sind diese Verpflichtungen der Auftraggeber klar und deutlich formuliert. Jeder Datenschutzbeauftragte eines mittelständischen Betriebes, dessen Rechner von einem externen IT-Dienstleister gewartet werden, muss diese Anforderungen kennen. So ist in Verträgen schriftlich festzulegen, welche Daten der Dienstleister zu welchen Zwecken an welche Stellen übermitteln darf und wie die technischen und organisatorischen Maßnahmen zur Datensicherheit und damit auch zur Datensicherung aussehen sollen. Die deutschen Banken und Sparkassen hätten also verhindern müssen, dass auch die Daten innereuropäischer Überweisungen in den USA landen. Wenn auch die SWIFT-Mitglieder nicht über die Beschlagnahmeverfahren informiert wurden, so waren und sind die Zugriffe auf die Überweisungsdaten zumindest der Deutschen Bank sowie der Bayerischen Hypo- und Vereinsbank bekannt, da führende Vertreter dieser Banken im SWIFT-Aufsichtsrat sitzen. Aber auch diese beiden Banken sind nicht aktiv geworden.

Am 23. August 2006 kritisierte das Unabhängige Datenschutzzentrum Schleswig-Holstein in einer die Stellungnahme: "Die Herausgabe von Finanzdaten europäischer Bürger durch die Society for Worldwide Interbank Financial Telecommunications (kurz SWIFT) mit Hauptsitz in Belgien an US-Behörden verstößt gegen deutsches und europäisches Datenschutzrecht."2 SWIFT behauptet zwei Tage später dreist, sie hätten sich an das Datenschutzrecht gehalten. Offensichtlich betrachtet SWIFT bei dieser - fehlerhaften - Einschätzung alleine das Rechtsverhältnis zwischen SWIFT-USA und den US-Behörden. Die Frage, ob die Daten überhaupt von Belgien in die USA hätten übermittelt werden dürfen, wird dabei vollständig übersehen. Vielleicht liegt diese einseitige Betrachtung daran, dass SWIFT klar ist, dass die Beantwortung dieser Frage zu einer Änderung des Datensicherungskonzeptes führen müsste.

Sowohl der gesamte Aufsichtsrat als auch die nationalen Zentralbanken wurden über die in den USA erlassenen Beschlagnahmeanordnungen informiert. Eine Information der 7.800 Mitgliedsbanken hingegen erfolgte allerdings nicht. Weder die Deutsche Bundesbank noch die Vertreter der Deutschen Finanzinstitute im Aufsichtsrat von SWIFT, die Herren Roland Böff und Wolfgang Gaertner, hielten es für nötig, sich gegen das offensichtlich datenschutzwidrige Vorgehen von SWIFT auszusprechen oder auch nur die Betroffenen zu informieren. Daher gebührt vor allem ihnen der BigBrotherAward in der Kategorie Wirtschaft.

Herzlichen Glückwunsch an die Swift-Aufsichtsräte Roland Böff und Wolfgang Gaertner.