Erstellt am: 14. 10. 2013 - 14:28 Uhr
"Kündigung von SWIFT-Vertrag unproblematisch"
Bei den Hearings des parlamentarischen Innenausschusses des EU Parlaments zum NSA-Spionageskandal geraten zwei transatlantische Abkommen immer mehr in den Fokus der Kritik. Zum einen ist es das "Safe Harbor"-Abkommen aus dem Jahr 2000, das die legale Basis für die Verarbeitung der Daten europäischer Bürger in den USA darstellt. Das zweite ist das TFTP-Programm zur Verfolgung der Finanzströme von Terroristen, das gemeinhin als SWIFT-Abkommen bezeichnet wird.
Am Donnerstag hatte das europäische Parlament mehrheitlich eine Resolution verabschiedet, in der Rat und Kommission aufgefordert werden, das SWIFT-Abkommen zu kündigen. Die beiden konservativen Fraktionen hatten sich gegen eine Kündigung ausgesprochen, zumal Europa noch über kein eigenes derartiges System gegen Terrorfinanzierung verfüge.
"SWIFT-Abkommen ohne Resultate"
Erich Schweighofer, Professor für Völkerrecht mit Schwerpunkt Rechtsinformatik an der Uni Wien, hält eine Kündigung des SWIFT-Abkommens alias TFTP in jeder Hinsicht für wenig problematisch. Der zu erwartende Schaden bei der Terrorbekämpfung sei insgesamt vernachlässigbar, sagte Schweighofer auf Anfrage von ORF.at.
Das SWIFT-Abkommen habe ja bis jetzt überhaupt keine nachweislichen Resultate bei der Verfolgung der Finanzströme von Terroristen erbracht, so Schweighofer weiter. Zudem verfüge man mit dem FATF-Regelwerk der Organisation für wirtschaftliche Zusammenarbeit (OECD) bereits seit 1989 über ein rechtliches Instrument, das absolut wirksam sei.
OECD, anonyme Sparbücher
Formal habe dieses Regelwerk der "Financial Action Task Force" bei der OECD zwar nur den Charakter von "Empfehlungen, aber alle Unterzeichnerstaaten halten sich daran", sagt Schweighofer. Die Abschaffung der anonymen Sparbücher Ende der 90er Jahre in Österreich und die Ausweispflicht bei Bargeldtransaktionen in den Banken seien zum Beispiel direkt auf diese OECD-Empfehlungen zurückzuführen.
Diese mehrfach auf den neuesten Stand gebrachten FATF-Regeln umfassen mittlerweile 40 Empfehlungen zur internationalen Bekämpfung von Geldwäsche und organisierter Kriminalität. Nach den Attentaten vom 11. September 2001 kamen neun weitere, explizit zur Bekämpfung von Terrorfinanzierung erstellte, Regeln dazu.
Am Beispiel Geldwäsche
"Dieses OECD-System arbeitet durchaus effizient", so der Völkerrechtsexperte weiter, die in den Banken dabei eingesetzte, standardisierte Software zur automatischen Überprüfung von Geldtransaktionen sei mittlerweile "sehr ausgefeilt". Diese Überprüfungen funktionieren nach ganz ähnlichen Methoden, wie sie seit Jahrzehnten bei den Banken erfolgreich zur Früherkennung von Betrug eingesetzt werden.
Es handelt sich dabei um eine Serie von Plausibilitätskontrollen nach jeweils vorgegebenen Kriterien samt Punktevergabe, kombiniert mit einem "Scoring"-Prozess, in dem die Indizien für Betrug bzw. Geldwäsche zusammengezählt werden. Beim Überschreiten eines bestimmten Werts schlägt das System Alarm, der entsprechende Fall wird dann eingehend geprüft und ab einer definierten Verdachtshöhe an die Task-Force der OECD weitergeleitet.
"Sehr harte Sanktionen"
Von Beginn der Sammlung von "Business Records" im Mai 2006 bis Februar 2009 sei seitens der NSA täglich auf diese Metadaten aus dem Finanzbereich zugegriffen worden. In 90 Prozent der Fälle sei kein entsprechender Verdacht zur Terrorfinanzierung und damit auch keine Genehmigung vorgelegen, befand der US-Gerichtshof FISC, die die Spionageaktivitäten der US-Dienste kontrollieren soll.
Zudem gebe es nicht nur laufend Überprüfungen, es seien auch "sehr harte Sanktion gegen Verstöße" seitens der OECD vorgesehen. "Inzwischen stehen zwei Millionen Menschen auf dieser schwarzen Liste" sagt Schweighofer, SWIFT hingegen habe überhaupt keine nachweisbaren Ergebnisse gebracht.
Zwischen diesen beiden Ansätzen zur Terrorbekämpfung besteht noch ein weiterer, gewaltiger Unterschied. Im Fall der OECD-Empfehlungen erfolgt die Überprüfung auf Ebene der jeweiligen Bank, die überprüften Datensätze verbleiben dann auch dort. Weitergegeben werden nämlich nur Fälle, in denen dieser Routinecheck einen hinreichendenVerdacht auf Geldwäsche oder Terrorfinanzierung ergeben hat.
SWIFT, Wirtschaftsspionage
Im Fall von SWIFT ziehen US-Behörden jedoch täglich alle Details einer großen Anzahl von Transaktionen ab und speichern sie auf unbestimmte Zeit. Über das SWIFT-System werden die weitaus meisten Transfers zwischen den Banken weltweit abgewickelt.
Aus den in Reaktion auf die Enthüllungen Edward Snowdens offiziell veröffentlichten Urteilen des geheimen US-Gerichtshofs FISC geht zudem hervor, dass eine große Zahl von Analysten der Geheimdienste routinemäßig Zugriff auf diese Daten hatte. Jahrelang wurden die FISC-Auflagen zur Verhinderung von Wirtschaftsspionage durch die NSA systematisch umgangen. Nach heutigem Kenntnisstand wurden diese Daten offenbar dazu benutzt, um die NSA-intern existierenden Profile von Firmen und Personen mit Finanztransferdaten anzureichern. Wofür diese Profile tatsächlich benutzt werden, ist bis dato unbekannt.
Pflichten auf dem Papier
Von den 3.000 US-Firmen, die angaben, dem Safe-Harbor-Regelwerk zu entsprechen, verstieß schon einmal ein Drittel gegen das Abkommen, weil keinerlei Angaben darüber gemacht werden, welche Vorgangsweise sie im Streitfall anbieten würden. Darunter sind auch große Internetkonzerne aus den USA.
Von einer schnellen Aussetzung des im Jahr 2.000 unterzeichneten "Safe Harbor"-Abkommens mit den USA rät Völkerrechtsexperte Erich Schweighofer jedoch ab. "Safe Harbor" verpflichtet amerikanische Unternehmen bei der Verarbeitung europäischer Daten dazu, die EU-Datenschutzstandards zu beachten, allerdings nur auf dem Papier.
Wie in den letzten Hearings ans Licht kam, wurde diese Abkommen von einem Großteil der US-Unternehmen schlichtweg ignoriert. Da sowohl die US-Regierung als auch die EU-Kommission die Einhaltung dieses Vertrags nie überprüften, war "Safe Harbour" von Beginn an in der Praxis totes Recht.
"Sanktionsmöglichkeiten sind auszubauen"
"Safe Harbor funktioniert zwar bis jetzt nicht, von der Papierform wäre es hingegen gar nicht schlecht" sagt Schweighofer, denn die in diesem Fall zuständige US-Wettbewerbsbehörde hätte jede Möglichkeit, empfindliche Strafen zu verhängen. Es geschah bloß nicht, wie auch die EU-Kommission systematisch verabsäumt hatte, die unter den existierenden Regelwerk des EU-Datenschutzes vorgesehenen Strafen zu verhängen. Es wurde ja nicht überprüft.
Die in "Safe Harbor" bereits festgeschriebenen Sanktionsmöglichkeiten für nationale Datenschutzbehörden in Europa müssten zum einen nur umgesetzt werden. Die derzeit seitens der Europäer vorgesehene Sanktionspraxis - geringe Strafen - müsste zudem ausgebaut werden. "Verbesserung der Implementationspraxis ist daher erste Priorität" sagte Schweighofer abschließend.
Wie es weitergeht
a.o. Prof. Mag. DDr. Erich Schweighofer lehrt Völker- und Europarecht an der Uni Wien und leitet auch die Arbeitsgruppe Rechtsinformatik, die beide Abkommen eingehend untersucht hat.
Genau das ist in der Novelle zur EU-Datenschutzverordnung vorgesehen. Die Strafen bei schweren und systematischen Verstößen dagegen können nach derzeitigem Stand bis zu zwei Prozent der weltweiten Umsätze eines Konzerns betragen. Im Falle eines der großen US-Internetkonzerne können da Summen jenseits der halben Milliarde Euro zusammenkommen.
Die Hearings zum NSA-Skandal werden im Innenausschuss des EU-Parlaments heute Nachmittag fortgesetzt.