Der Konflikt um die Weitergabe von Daten über internationale Finanztransfers durch die Überweisungszentrale Swift scheint beigelegt zu sein. Wie die EU-Kommission am Donnerstag mitteilte, haben die USA schriftlich zugesagt, die Daten so zu behandeln, dass ihre Nutzung für die Terrorismusbekämpfung nicht gegen EU-Vorschriften über den Datenschutz verstösst. Der für Inneres und Justiz zuständige Kommissar Frattini unterstrich in einer Pressemitteilung, mit den Zusagen der USA seien die Anliegen der EU vollumfänglich berücksichtigt worden. Nachdem die Mitgliedstaaten auf Botschafterebene bereits am Vortag grünes Licht gegeben hatten, nahmen sie im Rahmen des Ministerrats am Donnerstag auch formell vom amerikanischen Angebot Kenntnis.
Juristisches Dilemma
Die Swift-Affäre dreht sich um ein lange Zeit geheimes Programm der amerikanischen Regierung, mit dem die Finanzströme terroristischer Netzwerke aufgedeckt werden sollen. Dabei verschafften sich die Behörden unter Strafandrohung Zugang zu einer Datenbank von Swift in Amerika, welche Swift 1978 zum Zweck der Datensicherung dort angelegt hatte. Swift hat bei internationalen Finanztransaktionen zwischen Banken praktisch das Monopol und wickelt täglich mehr als elf Millionen solcher Überweisungen ab. Nach der Enthüllung der Datenweitergabe durch die «New York Times» vor einem Jahr nahmen sich verschiedene Datenschutz-Instanzen dem Problem an. Sowohl die belgische Behörde für Datenschutz – Swift hat ihren Hauptsitz bei Brüssel – wie das zuständige Konsultativgremium der EU-Kommission kamen zum Schluss, die Datenweitergabe verstosse gegen EU-Recht.
Swift fand sich damit in einem klassischen Dilemma wieder. Hätte die Firma nämlich die Datenweitergabe verweigert, hätte sie sich in den USA strafbar gemacht. Ins Kreuzfeuer der Kritik gerieten aber auch mehrere europäische Nationalbanken sowie die Europäische Zentralbank, die im Swift-Verwaltungsrat sitzen und von der Sache gewusst hatten. Diese stritten das nicht ab, erklärten aber einhellig – und etwas scheinheilig -, man habe sich nicht dafür zuständig gefühlt, die Sache an die Öffentlichkeit zu tragen. Klar war aber, dass Handlungsbedarf bestand, da die Weitergabe von persönlichen Daten aus der EU an Drittstaaten, welche die EU-Auflagen zum Datenschutz nicht respektieren, illegal und allenfalls einklagbar ist.
Rückgriff auf «safe harbor»
Swift entschloss sich deshalb, das Problem mit Hilfe eines Programms zu lösen, welches das amerikanische Handelsministerium für Firmen ausgearbeitet hatte, die sowohl in den USA als auch in der EU operieren. In solchen Fällen lässt es sich nicht verhindern, dass persönliche Daten hin und her fliessen. Deshalb wurde das System des «sicheren Hafens» (safe harbor) aufgebaut. Dabei verpflichten sich die Unternehmen, sieben Grundprinzipien der EU-Datenschutzregeln zu respektieren. Das Handelsministerium überprüft dies und stellt den Unternehmen ein entsprechendes Zertifikat aus. Damit sind diese Unternehmen vor allfälligen Klagen aus der EU geschützt. Der «sichere Hafen» erlaubt gleichzeitig die Verwendung von Daten durch die Behörden, wenn sie zur Aufklärung oder Verhütung von Terrorismus, Geldwäscherei oder Aktivitäten des organisierten Verbrechens zwingend notwendig ist.
Diese Leitlinien werden nun in den Zusagen des amerikanischen Schatzamts genauer beschrieben. So dürfen die Daten ausschliesslich zum Zweck der Terrorismusbekämpfung verwendet oder weitergegeben werden. Sie werden laufend analysiert und nur dann genauer betrachtet, wenn es Hinweise gibt, dass sie für die Terrorismusbekämpfung relevant sein könnten. Alle Daten, für die das nicht zutrifft, müssen nach maximal fünf Jahren gelöscht werden. Die EU wird eingeladen, eine bedeutende Persönlichkeit als Sonderbeauftragten zu benennen, der jährlich überprüft, ob das Schatzamt seine Zusagen einhält. Er erstattet der Kommission Bericht, welche ihrerseits den Ministerrat und das Parlament informiert. Diese Zusagen werden zusammen mit der dazugehörigen Korrespondenz sowohl im Amtsblatt der EU als auch im Federal Register der USA publiziert und erlangen damit ihre Gültigkeit.
Information an die Bankkunden
Gleichzeitig hat Swift angekündigt, seine Datenverarbeitung in den nächsten drei bis vier Jahren neu zu strukturieren. Neben den Zentren in Belgien und in den USA soll ein weiteres Zentrum aufgebaut werden, was zur Folge haben wird, dass innereuropäische Überweisungen nicht mehr im amerikanischen Zentrum behandelt und damit nicht mehr an die amerikanischen Stellen weitergegeben werden müssen. Swift will zudem zusammen mit externen Experten prüfen, welche weiteren Schritte unternommen werden sollten, um den grösstmöglichen Datenschutz zu gewährleisten. Dazu müsste insbesondere gehören, dass die Bankkunden darüber informiert werden, was mit den Daten ihrer Überweisungen geschieht.
(NZZ/mc/hfu)
