5780
Kommentar:
|
17681
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 5: | Zeile 5: |
Die Daten zu internationalen Überweisungen, die über WikiPedia:SWIFT (Society for Worldwide Interbank Financial Telecommunication) abgewickelt werden, werden im Rahmen des US-TFTP (WikiPedia:Terrorist_Finance_Tracking_Program) für Repressionszwecke eingesetzt (vgl. [[Privat-Öffentliche Datenbanken|Privat-Öffentliche Datenbanken]]). Daten, die im europäischen SWIFT-Rechenzentrum auflaufen, werden per Vertrag mit der [[Datenbanken EU|EU]] an die USA weitergegeben. == Rechtslage == Derzeit vor allem der Vertrag zwischen [[Datenbanken EU|EU]] und USA, der letzteren systematischen Zugriff auf die Daten von WikiPedia:SWIFT gibt. [[http://register.consilium.europa.eu/pdf/en/10/st11/st11173.en10.pdf|Ratsdokument 11173/10]] Vertrag zwischen EU und USA über TFTP == Aufgaben von SWIFT == === Nutzung der europäisches Sicherheitsorgane von SWIFT === Nach [[Bericht von der EU-Komission über SWIFT|Angaben]] den [[Datenbanken EU|EU-Komission]] gibt die USA den Europäischen Sicherheitsbehörden Informatioen über Terrorismusverdachtsfälle, welche sie durch das WikiPedia:SWIFT-Abkommen erlangt hat. === EU-Pläne === Mittelfristiges Ziel ist, die TFTP-Auswertungen für europäische Daten bei [[Europol]] durchführen zu lassen, wie dem [[#Bericht von der EU-Komission über SWIFT|Bericht]] der EU-Komission über Europäische Datenbanken zu entnehmen ist. === Datenschutzkontrolle === Für die Datenschutzkontrolle ist ausgerechnet [[Europol]] zuständig, das da wirklich wenig Kompetenzen anzubieten hat. === Bericht von der EU-Komission über SWIFT === The purpose of the EU-US TFTP Agreement is to prevent, investigate, detect or prosecute terrorism or its financing. It obliges designated providers of financial messaging services to transfer to the US Treasury, on the basis of specific geographical threat assessments and tailored requests, sets of financial messaging data containing, inter alia, the name, account number, address and identification number of the originator and recipient(s) of financial transactions. The Treasury may only search such data for the purpose of the TFTP and only if it has a reason to believe that an identified person has a nexus to terrorism or its financing. [[Data Mining]] and the transfer of data relating to transactions within the Single Euro Payment Area are prohibited. The US provides to EU Member States, [[Europol]] and [[Eurojust]] any ‘lead information’ concerning potential terrorist plots in the [[Datenbanken EU|EU]] and will help the EU establish its own system equivalent to the TFTP. Quelle: [[http://www.statewatch.org/news/2010/jul/eu-com-overview-information-management-com-385-10.pdf|EU-Komissionsbericht über EU-Datenbanken]] (pdf) |
Großzügig ausgewählte Daten über internationale Überweisungen werden im Rahmen des US-TFTP (WikiPedia:Terrorist_Finance_Tracking_Program) Abkommen der [[Datenbanken EU|EU]] an das US-Department of Treasury weitergegeben, wo sie zu geheimdienstlich ausgewertet und gespeichert werden (vgl. [[Privat-Öffentliche Datenbanken|Privat-Öffentliche Datenbanken]]). Auch verschiedene EU-Instanzen hätten gerne Zugriff auf möglichst viele Überweisungsdaten. Zugriff auf Überweisungsdaten ist strikt zu trennen von [[Kontodaten]], die im Wesentlichen im freien Zugriff der Obrigkeit stehen. == TFTP (USA) == Der <<Doclink(2010-eu-overview.pdf,IT-Überblick der EU-Kommission 2010)>> berichtet diese folgendes über SWIFT bzw TFTP: {{{#!blockquote The purpose of the EU-US TFTP Agreement is to prevent, investigate, detect or prosecute terrorism or its financing. It obliges designated providers of financial messaging services to transfer to the US Treasury, on the basis of specific geographical threat assessments and tailored requests, sets of financial messaging data containing, inter alia, the name, account number, address and identification number of the originator and recipient(s) of financial transactions. The Treasury may only search such data for the purpose of the TFTP and only if it has a reason to believe that an identified person has a nexus to terrorism or its financing. [[Data Mining]] and the transfer of data relating to transactions within the Single Euro Payment Area are prohibited. The US provides to EU Member States, [[Europol]] and [[Eurojust]] any ‘lead information’ concerning potential terrorist plots in the [[Datenbanken EU|EU]] and will help the EU establish its own system equivalent to the TFTP. }}} Dass hier nicht von SWIFT die Rede ist, hat seine Richtigkeit, denn SWIFT hat kein Monopol auf die Abwicklung internationaler Überweisungen, immerhin aber eine klare Spitzenstellung (laut [[http://www.unwatched.org/20110316_SWIFT_Europaparlament_fuehlt_sich_betrogen|unwatched.net vom 16.3.2011]] hat SWIFT einen Marktanteil von 80%). === Rechtslage === Jahrelang lieferte SWIFT seine Daten ohne jede (europäische) Rechtsgrundlage an die USA. Das [[http://register.consilium.europa.eu/pdf/de/10/st11/st11222.de10.pdf|TFTP-Abkommen]] von 2010 zwischen [[Datenbanken EU|EU]] und USA sorgt inzwischen für eine Verrechtlichung. Das Abkommen enthält eine breite Terrorismusdefinition (Art. 2: "Personen [, die...] Infrastruktur gefährden [...] mit dem Ziel [...] eine Regierung oder internationale Organisation durch Einschüchterung, Ausübung von Zwang oder Nötigung zu einer Handlung oder Unterlassung zu gefährden"), die den Zweck nicht nennenswert beschränkt und etwa auch eine Repression von Gewerkschaftsarbeit zulässt. Artikel 4 beschreibt, wie von US-Seite Daten von Finanzdienstleistern bestellt werden, und zwar "so eng wie möglich gefasst [...], um die Menge der angeforderten Daten auf ein Minimum zu beschränken". Was klingt, als würden hier quasi Durchsuchungsanordnungen in ganz bestimmten Fällen übermittelt, ist in der Realität eine Art Abo auf bestimmte Daten (vgl. [[#Datenschutz]]). Diese Anordnungen gehen parallel an den Finanzdienstleister und Europol, worauf der Dienstleister sich schon vorbereitet und nach einem OK von Europol losüberträgt. In der Realität wird permanent übertragen, das beschriebene Verfahren ist also eine Charade. Die Speicherfrist wird in Artikel 6 festgelegt; dabei darf die US-Seite alle Daten erstmal fünf Jahre speichern, erst danach müssen ggf. zu Repressionszewecken weiter verwendbare Informationen "extrahiert" werden ("zu Strafverfolgungszwecken") und der Rest gelöscht. Es ist die Rede von jährlichen Überprüfungen des Zwecks jeder Speicherung und die US-Seite, was allein schon angesichts der offensichtlich in Frage stehenden Volumnia lächerlich ist. Artikel 9 sieht vor, dass die USA "Erkenntnisse", die sie aus TFTP-Daten erhalten, an nationale Behörden, Europol oder Eurojust zurückgeben muss. Umgekehrt können diese Behörden Anfragen bei der US-Seite stellen, ob die TFTP-Daten etwas zu bestimmten Organisationen oder Personen hergeben. Artikel 11 kodifiziert bereits Absichten, eine vergleichbare Monstrosität auf EU-Ebene einzuführen und dann mit dem US-System zu verknüpfen. Artikel 14 fordert eine Webseite auf US-Seite, die "detaillierte Informationen über das TFTP und seinen Zweck" liefern soll. TODO: Welche ist das? Unglaublich Artikel 15; dort steht unter dem Titel "Recht auf Auskunft": {{{#!blockquote Jede Person hat das Recht, frei und ungehindert und ohne unzumutbare Verzögerung auf Antrag in angemessenen Abständen über ihre Datenschutzbehörde in der Europäischen Union zumindest eine Bestätigung darüber zu erhalten, dass alle erforderlichen Überprüfungen durchgeführt wurden, um sicherzustellen, dass ihre Datenschutzrechte gemä diesem Abkommen geachtet wurden und dass insbesondere keine gegen dieses Abkommen verstoßende Verarbeitung ihrer personenbezogenen Daten stattgefunden hat. }}} * [[http://europa.eu/legislation_summaries/justice_freedom_security/fight_against_terrorism/jl0039_de.htm|Übersicht zu Rechtsakten zum Abkommen zwischen der EU und den USA über die Übermittlung von Zahlungsverkehrsdaten]] === Umfang der weitergeleiteten Daten === Weitergeleitet werden wohl komplette Überweisungsdatensätze (also Sender, Empfänger, Betrag, Zweck, Datum). Der "Sepa-Standard", der ab 2013 verpflichtend werden soll, soll auch Adressen enthalten. Diese können bis zu fünf Jahren gespeichert werden, Betroffene werden nicht informiert. Innereuropäische Überweisungen sollten von dem Abkommen eigentlich nicht erfasst werden. Die [[http://www.ftd.de/politik/international/:swift-vertrag-us-einblick-in-europaeische-bankdaten-unterschaetzt/60005765.html|Financial Times Deutschland berichtet am 1.2.2011]] allerdings ("US-Einblick in europäische Bankdaten unterschätzt"), dass dieser Schutz nur Sepa-Transaktionen betrifft; Transaktionen, die über das ältere Swiftnet-Fin laufen, können unabhängig von den Geographie von den USA untersucht werden. Auch nur grobe Zahlen zum Ausmaß der Übermittlungen (d.h. Zahl der Datensätze) sind nicht bekannt; TFTP umschwebt ein Vorhang von EU SECRET-Einstufungen. Im Kern des Abkommens, den Artikel 4-Abfragen, fordern die USA derzeit jeweils für einen Monat die Daten für einen kompletten Monat ab, wobei lediglich geographische Kriterien angesetzt werden. Zu diesem Verfahren steht in der [[http://europoljsb.consilium.europa.eu/media/205081/tftp%20public%20statement%20-%20final%20-%20march%202012.pdf|zensierten Fassung des JSB-Berichts für 2012]]): {{{ Europol receives one request each month on average. Each request normally covers a period of one month in terms of time-span. The requests when seen as a group therefore essentially cover a continuous time-period. To be clear, this means that one consequence of the Agreement, as it is currently being implemented, is that data relating to certain financial transactions are provided by the designated provider to the US for a time frame containing every single day of the year, year on year. }}} Mit anderen Worten gibt es allenfalls einen Filter nach bestimmten, unbekannten Kriterien, nie aber Anfragen, die mit konkreten Ermittlungen zu tun hätten. Im Europol-Bericht [[http://www.statewatch.org/news/2011/apr/eu-europol-report-on-implementation-tftp-agreement.pdf|Europol Activities in Relation to the TFTP Agreement]], (Apr 2011) werden noch Zahlen zu Artikel 9 (US-Behörden geben von sich aus TFTP-Daten an EU-Behörden) und Artikel 10 (EU-Behörden fragen in USA nach) genannt (S. 7). Die diesbezüglichen Daten sind noch überschaubar; im ersten Monat haben die USA noch 6 Übermittlungen in die EU geschickt, insgesamt von 8/10 bis 3/11 waren es nur 9. Umgekehrt scheinen die EU-Behörden auf den Geschmack der Überweisungsdaten zu kommen: Von insgesamt 20 Artikel-10-Übertragungen 8/10 bis 3/11 fanden allein 10 im letzten Monat statt. === Datenschutz === Für den Datenschutz beim EU-Beitrag zu TFTP ist ausgerechnet [[Europol]] zuständig, das da wirklich wenig Kompetenzen anzubieten hat. Zudem kann sich [[Europol]] an die USA wenden, um dort bereits übermittelte Daten durchsuchen zu lassen. Dementsprechend hat Europol 2010 ''nicht einen'' Antrag auf Übermittlung von SWIFT-Daten zurückgewiesen (vgl. [[http://www.bfdi.bund.de/cln_134/SharedDocs/Publikationen/Allgemein/PMGKIzuSWIFT.html?nn=408908|Pressemitteilung der JSB zu SWIFT]]). Bis März 2012 hat sich dran nichts geändert, Europol hat nicht einen Antrag zurückgewiesen, wie BfDI Schaar der FTD berichtete ([[http://www.ftd.de/politik/international/:swift-abkommen-usa-kommen-zu-leicht-an-europaeische-bankdaten/70014477.html|FTD 27.3.2012: "USA kommen zu leicht an europäische Bankdaten"]); der Artikel berichtet auch von einem "Datenleck", das US-Behörden wochenlang Zugriff auf intraeuropäische Bankdaten gegeben hat. Der [[http://europoljsb.consilium.europa.eu|Europol-JSB]] berichtet regelmäßig über die Lage, nur sind die Berichte "EU SECRET". Stark zensierte Fassungen werden veröffentlicht: * [[http://europoljsb.consilium.europa.eu/media/111009/terrorist%20finance%20tracking%20program%20(tftp)%20inspection%20report%20-%20public%20version.pdf|JSB-Bericht März 2011]] * [[http://europoljsb.consilium.europa.eu/media/205081/tftp%20public%20statement%20-%20final%20-%20march%202012.pdf|JSB-Bericht März 2012]] Auskunftsrecht besteht nach einer [[http://www.datenschutz.de/feature/detail/?featid=11|Stellungnahme des BfDI zu SWIFT]] über die nationalen Datenschutzbehörden, die Anfragen an die US-Behörden weiterleiten (diese dürfen aber natürlich, ganz Geheimpolizei, die Auskunft verweigern). === Kritiken === [[http://www.internet-law.de/2010/09/wie-bedenklich-ist-das-swift-abkommen-wirklich.html|Internet-Law: 14.9.10, Wie bedenklich ist das SWIFT-Abkommen wirklich?]] kritisiert, das US-Abkommen missachte die Datensparsamkeit, da es SWIFT technisch nicht möglich sei, einzelne Datensätze zu übermitteln. Daher würden regelmäßig Sammeldateien übermittelt. Die kleinste Einheit, die Swift liefern könne, sind die Banktransferdaten für ein ganzes Land für einen bestimmten Zeitraum Wie der [[http://euobserver.com/22/32010|EU observer am 17.03.2011 berichtet]] ("Court only option against Swift agreement, says MEP"), kritisiert Grüne Europaabgeordnete Jan Philip Albrecht das [[Data Mining]], das die USA offenbar auf den Daten laufen lassen als grundgesetzwidrig. === Weiteres === * Europols Darstellung von TFTP gegenüber dem EU-Parlament: [[http://www.statewatch.org/news/2011/apr/eu-europol-report-on-implementation-tftp-agreement.pdf|Europol Activities in Relation to the TFTP Agreement]], 8.4.2011 * [[http://www.datenschutz.de/feature/detail/?featid=11|BfDI über SWIFT]] * [[http://www.datenschutzbeauftragter-info.de/swift-interimsabkommen-in-kraft/|www.datenschutzbeauftragter-info.de über SWIFT]] * [[http://www.statewatch.org/news/2010/aug/eu-usa-swift-2nd-bruguiere-report.pdf|2. Bruguiere-Bericht]](pdf) -- enthält Beispiele für die angebliche Unverzichtbarkeit des TFTP (WikiPedia:Jean-Louis_Bruguière ist eine bekannter [[Datenbanken Frankreich|französischer]] Terror-Ermittlungsrichter). == TFTP EU-Ebene: TFTS == Die EU plant ein eigenes System, doch ist dazu noch nichts in trockenen Tüchern; die Rede ist 2011 von einem TFTS ("Terrorist Finance Tracking System", [[http://www.heise.de/newsticker/meldung/EU-Kommission-will-Bankdaten-zur-Terrorbekaempfung-auswerten-1278780.html|heise.de dazu, 7/2011]]). Mindestens seit Bekanntwerden der SWIFT-Lauscherei sollen "Erkenntnisse" aus TFTP an Europol zurückfließen und dort sogar schon in AWFs gespeichert worden sein, denn im [[http://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/ReportGKIzuSWFT.pdf?__blob=publicationFile|im 2011er Kontrollbericht des Europol-JSB zu TFTP]] steht (S.6, Punkt 4) die Forderung nach einer Löschung eines Teils solcher Daten. |
Zeile 43: | Zeile 202: |
Seit den Terroranschlägen am 11. September 2001 in den USA übermittelte SWIFT nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist unmittelbar nach den Anschlägen über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten. Diese folgte der Aufforderung freiwillig. Dabei war das 25-köpfige SWIFT-Direktorium sowie ein Kontrollgremium, dem auch ein Mitglied der Deutschen Bundesbank angehörte, von den Vorgängen informiert. Wie die dpa berichtete, habe SWIFT versucht, eine Genehmigung für die Datenweitergabe zu erhalten, die befragten Zentralbanken hätten darauf jedoch nicht reagiert. In der New York Times, welche die Vorgänge aufdeckte, wurde angezweifelt, dass die Vorgehensweise legal war.So sieht etwa das zivilgesellschaftliche Netzwerk „Aktion Finanzplatz Schweiz“ in der Weitergabe der Daten einen Verstoß gegen das Bankgeheimnis. Die Bush-Regierung rechtfertigte das Vorgehen mit dem Krieg gegen den Terror. Sowohl in Deutschland als auch in Österreich bekam SWIFT für die Weitergabe der Daten den [[http://www.bigbrotherawards.de/2006/.com|Big Brother Award]] verliehen. Ende Juli 2009 beschlossen die EU-Außenminister, Terrorfahndern der Vereinigten Staaten einen Zugriff auf europäische Kontodaten zu ermöglichen. Sie beauftragten die Europäische Kommission mit der Aushandlung eines Abkommens. Das Abkommen scheiterte, da es vom Europäischen Parlament am 11. Februar 2010 mit deutlicher Mehrheit abgelehnt wurde. Mit Beschluss vom 24. März 2010 erhielt die Europäische Kommission ein vorläufiges Mandat zu erneuten Verhandlungen. Am 28. Juni 2010 unterzeichneten die Parteien schließlich ein Abkommen, das nach einem Kompromiss auch die Wünsche des Europäischen Parlaments berücksichtigt. So soll die Auswertung der europäischen Daten im amerikanischen Finanzministerium künftig von einem EU-Beamte von [[Europol]] überwacht werden. == Kritik == Das Abkommen selbst weist nach Aussage des Bundesbeauftragten für den Datenschutz erhebliche datenschutzrechtliche Mängel auf. So gebe es weder eine unabhängige datenschutzrechtliche Kontrolle noch einen Rechtsschutz gegen die Datenübermittlung. Darüber hinaus wurden weder das Europäische Parlament noch die nationalen Parlamente der Mitgliedstaaten an der Entscheidung über das Swift-Abkommen beteiligt. == Weitere Infos == * [[http://www.datenschutz.de/feature/detail/?featid=11| www.datenschutz.de über SWIFT]] * [[http://www.datenschutzbeauftragter-info.de/swift-interimsabkommen-in-kraft/|www.datenschutzbeauftragter-info.de über SWIFT]] * Der [[http://www.statewatch.org/news/2010/aug/eu-usa-swift-2nd-bruguiere-report.pdf|2. Bruguiere-Bericht]] enthält Beispiele für die angebliche Unverzichtbarkeit des TFTP. |
Seit den Terroranschlägen am 11. September 2001 in den USA übermittelte SWIFT nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist unmittelbar nach den Anschlägen über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten. Diese folgte der Aufforderung freiwillig. Dabei war das 25-köpfige SWIFT-Direktorium sowie ein Kontrollgremium, dem auch ein Mitglied der Deutschen Bundesbank angehörte, von den Vorgängen informiert. Wie die dpa (TODO: Wann?) berichtete, habe SWIFT versucht, eine Genehmigung für die Datenweitergabe zu erhalten, die befragten Zentralbanken hätten darauf jedoch nicht reagiert. In der New York Times, welche die Vorgänge aufdeckte, wurde angezweifelt, dass die Vorgehensweise legal war.So sieht etwa das zivilgesellschaftliche Netzwerk „Aktion Finanzplatz Schweiz“ in der Weitergabe der Daten einen Verstoß gegen das Bankgeheimnis. Die Bush-Regierung rechtfertigte das Vorgehen mit dem Krieg gegen den Terror. Sowohl in Deutschland als auch in Österreich bekam SWIFT für die Weitergabe der Daten den Big Brother Award ([[http://www.bigbrotherawards.de/2006/.com|FOebuD-Infos zur 2006er Preisverleihung]]) Ende Juli 2009 beschlossen die [[EU]]-Außenminister, Terrorfahndern der Vereinigten Staaten einen Zugriff auf europäische Kontodaten zu ermöglichen. Sie beauftragten die Europäische Kommission mit der Aushandlung eines Abkommens. Das Abkommen wurde vom Europäischen Parlament am 11. Februar 2010 zunächst mit deutlicher Mehrheit abgelehnt. Mit Beschluss vom 24. März 2010 erhielt die Europäische Kommission ein vorläufiges Mandat zu erneuten Verhandlungen. Am 28. Juni 2010 unterzeichneten die Parteien schließlich ein Abkommen, das nach einem Kompromiss auch die Wünsche des Europäischen Parlaments berücksichtigt. So soll die Weiterleitung der Daten an die [[USA]] von einem [[Europol]]-Mitarbeiter kontrolliert werden. Nach Auskunft des [[SWIFT#Kritik des JSB an SWIFT|JSB]] vom Früjahr 2011 findet diese Kontrolle nicht statt, da alle Gesuche der [[USA]] genehmigt werden, auch wenn sie nicht den Anforderungen genügen. Anfang 2011 [[http://www.statewatch.org/news/2011/feb/eu-council-germany-europol-usa-tftp-6266-11.pdf|beschwert sich die deutsche Delegation]] beim europäischen Rat über Intransparenz, Geheimhaltungswahn und fehlende Kontrolle bei TFTP. Da sie weder von der Komission, noch von [[Europol]] oder dem Bundesinnenministerium Auskunft bekamen: ''Germany is deeply concerned about this information policy. Repeatedly sidestepping questions or not answering them at all will raise further questions and add to growing scepticism.'' Am 1.3.2011 legt die JSB von Europol [[http://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/ReportGKIzuSWFT.pdf?__blob=publicationFile|einen Kontrollbericht zum europäischen Beitrag zu TFTP]] vor. Leider ist praktisch alle Information geheim (irrerweise als "Top Secret" eingestuft). Offenbar werden aber dramatische Missstände aufgedeckt. In einer [[http://www.bfdi.bund.de/cln_134/SharedDocs/Publikationen/Allgemein/PMGKIzuSWIFT.html?nn=408908|Pressemitteilung der JSB zu SWIFT]] wird diplomatisch formuliert: {{{#!blockquote Die mit der Überprüfung beauftragte Arbeitsgruppe stellte fest, dass einige datenschutzrechtliche Anforderungen nicht eingehalten wurden. Das wichtigste Ergebnis der Überprüfung war, dass die bei Europol eingegangenen schriftlichen Anträge nicht spezifisch genug waren, um eine Entscheidung über die Genehmigung oder Ablehnung zu ermöglichen. Es wurde festgestellt, dass die Anträge der USA zu allgemein und zu abstrakt waren, um die korrekte Bewertung der Notwendigkeit der beantragten Datenübermittlungen zu ermöglichen. Dessen ungeachtet genehmigte Europol jeden eingegangenen Antrag. (...) Europol hat darauf hingewiesen, dass mündliche Informationen eine Rolle bei der Überprüfung jeder Anfrage spielen. Diese Informationen werden bestimmten Europol-Bediensteten unter der Bedingung gegeben, dass keine Aufzeichnungen gemacht werden. }}} In der Folge [[http://www.unwatched.org/20110316_SWIFT_Europaparlament_fuehlt_sich_betrogen|berichtet unwatched.org am 16.3.2011]] ("SWIFT: Europa-Parlament fühlt sich betrogen") von wachsendem Unmut im Europaparlament angesichts der Ergebnisse des Kontrollberichts, zumal offenbar kaum Anfragen in erkennbarem Zusammenhang mit Dingen stehen, die für die MEPs als Terrorismus durchgehen. Am 19.3. berichtet die niederländische Zeitung NRC Handelsblad ([[http://www.statewatch.org/news/2011/mar/07netherlands-usa-swift-mla.htm|statewatch dazu]], "SWIFT data and MLA treaty"), zwischen 2001 und 2009 hätten die USA unter Vermittlung der niederländischen Regierung an allen Parlementen (diesen war typischerweise noch nicht mal klar, dass die Daten physisch in den Niederlanden und nicht in Belgien sind) vorbei große Mengen Daten aus dem SWIFT-Rechenzentrum in den Niederlanden abgezogen. == Noch auswerten == * [[http://www.statewatch.org/news/2011/mar/eu-com-swift-review-sec-438-11.pdf|Kommissions-Review von 4/2011]] |
Inhaltsverzeichnis
TFTP/SWIFT-Daten
Großzügig ausgewählte Daten über internationale Überweisungen werden im Rahmen des US-TFTP (Terrorist_Finance_Tracking_Program) Abkommen der EU an das US-Department of Treasury weitergegeben, wo sie zu geheimdienstlich ausgewertet und gespeichert werden (vgl. Privat-Öffentliche Datenbanken).
Auch verschiedene EU-Instanzen hätten gerne Zugriff auf möglichst viele Überweisungsdaten.
Zugriff auf Überweisungsdaten ist strikt zu trennen von Kontodaten, die im Wesentlichen im freien Zugriff der Obrigkeit stehen.
TFTP (USA)
Der IT-Überblick der EU-Kommission 2010 berichtet diese folgendes über SWIFT bzw TFTP:
The purpose of the EU-US TFTP Agreement is to prevent, investigate, detect or prosecute terrorism or its financing. It obliges designated providers of financial messaging services to transfer to the US Treasury, on the basis of specific geographical threat assessments and tailored requests, sets of financial messaging data containing, inter alia, the name, account number, address and identification number of the originator and recipient(s) of financial transactions. The Treasury may only search such data for the purpose of the TFTP and only if it has a reason to believe that an identified person has a nexus to terrorism or its financing. Data Mining and the transfer of data relating to transactions within the Single Euro Payment Area are prohibited. The US provides to EU Member States, Europol and Eurojust any ‘lead information’ concerning potential terrorist plots in the EU and will help the EU establish its own system equivalent to the TFTP.
Dass hier nicht von SWIFT die Rede ist, hat seine Richtigkeit, denn SWIFT hat kein Monopol auf die Abwicklung internationaler Überweisungen, immerhin aber eine klare Spitzenstellung (laut unwatched.net vom 16.3.2011 hat SWIFT einen Marktanteil von 80%).
Rechtslage
Jahrelang lieferte SWIFT seine Daten ohne jede (europäische) Rechtsgrundlage an die USA. Das TFTP-Abkommen von 2010 zwischen EU und USA sorgt inzwischen für eine Verrechtlichung.
Das Abkommen enthält eine breite Terrorismusdefinition (Art. 2: "Personen [, die...] Infrastruktur gefährden [...] mit dem Ziel [...] eine Regierung oder internationale Organisation durch Einschüchterung, Ausübung von Zwang oder Nötigung zu einer Handlung oder Unterlassung zu gefährden"), die den Zweck nicht nennenswert beschränkt und etwa auch eine Repression von Gewerkschaftsarbeit zulässt.
Artikel 4 beschreibt, wie von US-Seite Daten von Finanzdienstleistern bestellt werden, und zwar "so eng wie möglich gefasst [...], um die Menge der angeforderten Daten auf ein Minimum zu beschränken". Was klingt, als würden hier quasi Durchsuchungsanordnungen in ganz bestimmten Fällen übermittelt, ist in der Realität eine Art Abo auf bestimmte Daten (vgl. #Datenschutz). Diese Anordnungen gehen parallel an den Finanzdienstleister und Europol, worauf der Dienstleister sich schon vorbereitet und nach einem OK von Europol losüberträgt. In der Realität wird permanent übertragen, das beschriebene Verfahren ist also eine Charade.
Die Speicherfrist wird in Artikel 6 festgelegt; dabei darf die US-Seite alle Daten erstmal fünf Jahre speichern, erst danach müssen ggf. zu Repressionszewecken weiter verwendbare Informationen "extrahiert" werden ("zu Strafverfolgungszwecken") und der Rest gelöscht. Es ist die Rede von jährlichen Überprüfungen des Zwecks jeder Speicherung und die US-Seite, was allein schon angesichts der offensichtlich in Frage stehenden Volumnia lächerlich ist.
Artikel 9 sieht vor, dass die USA "Erkenntnisse", die sie aus TFTP-Daten erhalten, an nationale Behörden, Europol oder Eurojust zurückgeben muss. Umgekehrt können diese Behörden Anfragen bei der US-Seite stellen, ob die TFTP-Daten etwas zu bestimmten Organisationen oder Personen hergeben.
Artikel 11 kodifiziert bereits Absichten, eine vergleichbare Monstrosität auf EU-Ebene einzuführen und dann mit dem US-System zu verknüpfen.
Artikel 14 fordert eine Webseite auf US-Seite, die "detaillierte Informationen über das TFTP und seinen Zweck" liefern soll. TODO: Welche ist das?
Unglaublich Artikel 15; dort steht unter dem Titel "Recht auf Auskunft":
Jede Person hat das Recht, frei und ungehindert und ohne unzumutbare Verzögerung auf Antrag in angemessenen Abständen über ihre Datenschutzbehörde in der Europäischen Union zumindest eine Bestätigung darüber zu erhalten, dass alle erforderlichen Überprüfungen durchgeführt wurden, um sicherzustellen, dass ihre Datenschutzrechte gemä diesem Abkommen geachtet wurden und dass insbesondere keine gegen dieses Abkommen verstoßende Verarbeitung ihrer personenbezogenen Daten stattgefunden hat.
Umfang der weitergeleiteten Daten
Weitergeleitet werden wohl komplette Überweisungsdatensätze (also Sender, Empfänger, Betrag, Zweck, Datum). Der "Sepa-Standard", der ab 2013 verpflichtend werden soll, soll auch Adressen enthalten. Diese können bis zu fünf Jahren gespeichert werden, Betroffene werden nicht informiert.
Innereuropäische Überweisungen sollten von dem Abkommen eigentlich nicht erfasst werden. Die Financial Times Deutschland berichtet am 1.2.2011 allerdings ("US-Einblick in europäische Bankdaten unterschätzt"), dass dieser Schutz nur Sepa-Transaktionen betrifft; Transaktionen, die über das ältere Swiftnet-Fin laufen, können unabhängig von den Geographie von den USA untersucht werden.
Auch nur grobe Zahlen zum Ausmaß der Übermittlungen (d.h. Zahl der Datensätze) sind nicht bekannt; TFTP umschwebt ein Vorhang von EU SECRET-Einstufungen.
Im Kern des Abkommens, den Artikel 4-Abfragen, fordern die USA derzeit jeweils für einen Monat die Daten für einen kompletten Monat ab, wobei lediglich geographische Kriterien angesetzt werden. Zu diesem Verfahren steht in der zensierten Fassung des JSB-Berichts für 2012):
Europol receives one request each month on average. Each request normally covers a period of one month in terms of time-span. The requests when seen as a group therefore essentially cover a continuous time-period. To be clear, this means that one consequence of the Agreement, as it is currently being implemented, is that data relating to certain financial transactions are provided by the designated provider to the US for a time frame containing every single day of the year, year on year.
Mit anderen Worten gibt es allenfalls einen Filter nach bestimmten, unbekannten Kriterien, nie aber Anfragen, die mit konkreten Ermittlungen zu tun hätten.
Im Europol-Bericht Europol Activities in Relation to the TFTP Agreement, (Apr 2011) werden noch Zahlen zu Artikel 9 (US-Behörden geben von sich aus TFTP-Daten an EU-Behörden) und Artikel 10 (EU-Behörden fragen in USA nach) genannt (S. 7). Die diesbezüglichen Daten sind noch überschaubar; im ersten Monat haben die USA noch 6 Übermittlungen in die EU geschickt, insgesamt von 8/10 bis 3/11 waren es nur 9.
Umgekehrt scheinen die EU-Behörden auf den Geschmack der Überweisungsdaten zu kommen: Von insgesamt 20 Artikel-10-Übertragungen 8/10 bis 3/11 fanden allein 10 im letzten Monat statt.
Datenschutz
Für den Datenschutz beim EU-Beitrag zu TFTP ist ausgerechnet Europol zuständig, das da wirklich wenig Kompetenzen anzubieten hat. Zudem kann sich Europol an die USA wenden, um dort bereits übermittelte Daten durchsuchen zu lassen. Dementsprechend hat Europol 2010 nicht einen Antrag auf Übermittlung von SWIFT-Daten zurückgewiesen (vgl. Pressemitteilung der JSB zu SWIFT). Bis März 2012 hat sich dran nichts geändert, Europol hat nicht einen Antrag zurückgewiesen, wie BfDI Schaar der FTD berichtete ([[http://www.ftd.de/politik/international/:swift-abkommen-usa-kommen-zu-leicht-an-europaeische-bankdaten/70014477.html|FTD 27.3.2012: "USA kommen zu leicht an europäische Bankdaten"]); der Artikel berichtet auch von einem "Datenleck", das US-Behörden wochenlang Zugriff auf intraeuropäische Bankdaten gegeben hat.
Der Europol-JSB berichtet regelmäßig über die Lage, nur sind die Berichte "EU SECRET". Stark zensierte Fassungen werden veröffentlicht:
Auskunftsrecht besteht nach einer Stellungnahme des BfDI zu SWIFT über die nationalen Datenschutzbehörden, die Anfragen an die US-Behörden weiterleiten (diese dürfen aber natürlich, ganz Geheimpolizei, die Auskunft verweigern).
Kritiken
Internet-Law: 14.9.10, Wie bedenklich ist das SWIFT-Abkommen wirklich? kritisiert, das US-Abkommen missachte die Datensparsamkeit, da es SWIFT technisch nicht möglich sei, einzelne Datensätze zu übermitteln. Daher würden regelmäßig Sammeldateien übermittelt. Die kleinste Einheit, die Swift liefern könne, sind die Banktransferdaten für ein ganzes Land für einen bestimmten Zeitraum
Wie der EU observer am 17.03.2011 berichtet ("Court only option against Swift agreement, says MEP"), kritisiert Grüne Europaabgeordnete Jan Philip Albrecht das Data Mining, das die USA offenbar auf den Daten laufen lassen als grundgesetzwidrig.
Weiteres
Europols Darstellung von TFTP gegenüber dem EU-Parlament: Europol Activities in Relation to the TFTP Agreement, 8.4.2011
2. Bruguiere-Bericht(pdf) -- enthält Beispiele für die angebliche Unverzichtbarkeit des TFTP (Jean-Louis_Bruguière ist eine bekannter französischer Terror-Ermittlungsrichter).
TFTP EU-Ebene: TFTS
Die EU plant ein eigenes System, doch ist dazu noch nichts in trockenen Tüchern; die Rede ist 2011 von einem TFTS ("Terrorist Finance Tracking System", heise.de dazu, 7/2011).
Mindestens seit Bekanntwerden der SWIFT-Lauscherei sollen "Erkenntnisse" aus TFTP an Europol zurückfließen und dort sogar schon in AWFs gespeichert worden sein, denn im im 2011er Kontrollbericht des Europol-JSB zu TFTP steht (S.6, Punkt 4) die Forderung nach einer Löschung eines Teils solcher Daten.
Geschichte
Seit den Terroranschlägen am 11. September 2001 in den USA übermittelte SWIFT nach eigenen Angaben vertrauliche Daten über Finanztransaktionen an US-amerikanische Behörden. In Presseberichten ist von 20 Millionen übermittelter Bankdaten pro Jahr die Rede. Die US-amerikanische Regierung ist unmittelbar nach den Anschlägen über CIA, FBI, Finanzministerium und US-Notenbank an die SWIFT-Führung herangetreten. Diese folgte der Aufforderung freiwillig. Dabei war das 25-köpfige SWIFT-Direktorium sowie ein Kontrollgremium, dem auch ein Mitglied der Deutschen Bundesbank angehörte, von den Vorgängen informiert.
Wie die dpa (TODO: Wann?) berichtete, habe SWIFT versucht, eine Genehmigung für die Datenweitergabe zu erhalten, die befragten Zentralbanken hätten darauf jedoch nicht reagiert. In der New York Times, welche die Vorgänge aufdeckte, wurde angezweifelt, dass die Vorgehensweise legal war.So sieht etwa das zivilgesellschaftliche Netzwerk „Aktion Finanzplatz Schweiz“ in der Weitergabe der Daten einen Verstoß gegen das Bankgeheimnis. Die Bush-Regierung rechtfertigte das Vorgehen mit dem Krieg gegen den Terror.
Sowohl in Deutschland als auch in Österreich bekam SWIFT für die Weitergabe der Daten den Big Brother Award (FOebuD-Infos zur 2006er Preisverleihung)
Ende Juli 2009 beschlossen die EU-Außenminister, Terrorfahndern der Vereinigten Staaten einen Zugriff auf europäische Kontodaten zu ermöglichen. Sie beauftragten die Europäische Kommission mit der Aushandlung eines Abkommens. Das Abkommen wurde vom Europäischen Parlament am 11. Februar 2010 zunächst mit deutlicher Mehrheit abgelehnt.
Mit Beschluss vom 24. März 2010 erhielt die Europäische Kommission ein vorläufiges Mandat zu erneuten Verhandlungen. Am 28. Juni 2010 unterzeichneten die Parteien schließlich ein Abkommen, das nach einem Kompromiss auch die Wünsche des Europäischen Parlaments berücksichtigt. So soll die Weiterleitung der Daten an die USA von einem Europol-Mitarbeiter kontrolliert werden. Nach Auskunft des JSB vom Früjahr 2011 findet diese Kontrolle nicht statt, da alle Gesuche der USA genehmigt werden, auch wenn sie nicht den Anforderungen genügen.
Anfang 2011 beschwert sich die deutsche Delegation beim europäischen Rat über Intransparenz, Geheimhaltungswahn und fehlende Kontrolle bei TFTP. Da sie weder von der Komission, noch von Europol oder dem Bundesinnenministerium Auskunft bekamen: Germany is deeply concerned about this information policy. Repeatedly sidestepping questions or not answering them at all will raise further questions and add to growing scepticism.
Am 1.3.2011 legt die JSB von Europol einen Kontrollbericht zum europäischen Beitrag zu TFTP vor. Leider ist praktisch alle Information geheim (irrerweise als "Top Secret" eingestuft). Offenbar werden aber dramatische Missstände aufgedeckt. In einer Pressemitteilung der JSB zu SWIFT wird diplomatisch formuliert:
Die mit der Überprüfung beauftragte Arbeitsgruppe stellte fest, dass einige datenschutzrechtliche Anforderungen nicht eingehalten wurden. Das wichtigste Ergebnis der Überprüfung war, dass die bei Europol eingegangenen schriftlichen Anträge nicht spezifisch genug waren, um eine Entscheidung über die Genehmigung oder Ablehnung zu ermöglichen. Es wurde festgestellt, dass die Anträge der USA zu allgemein und zu abstrakt waren, um die korrekte Bewertung der Notwendigkeit der beantragten Datenübermittlungen zu ermöglichen. Dessen ungeachtet genehmigte Europol jeden eingegangenen Antrag. (...) Europol hat darauf hingewiesen, dass mündliche Informationen eine Rolle bei der Überprüfung jeder Anfrage spielen. Diese Informationen werden bestimmten Europol-Bediensteten unter der Bedingung gegeben, dass keine Aufzeichnungen gemacht werden.
In der Folge berichtet unwatched.org am 16.3.2011 ("SWIFT: Europa-Parlament fühlt sich betrogen") von wachsendem Unmut im Europaparlament angesichts der Ergebnisse des Kontrollberichts, zumal offenbar kaum Anfragen in erkennbarem Zusammenhang mit Dingen stehen, die für die MEPs als Terrorismus durchgehen.
Am 19.3. berichtet die niederländische Zeitung NRC Handelsblad (statewatch dazu, "SWIFT data and MLA treaty"), zwischen 2001 und 2009 hätten die USA unter Vermittlung der niederländischen Regierung an allen Parlementen (diesen war typischerweise noch nicht mal klar, dass die Daten physisch in den Niederlanden und nicht in Belgien sind) vorbei große Mengen Daten aus dem SWIFT-Rechenzentrum in den Niederlanden abgezogen.