Seit dem 1. August 2010 ist das Swift-Abkommen zwischen der EU und den USA zum Austausch von Bankdaten zur Terrorabwehr in Kraft. Nachdem die Ablehnung des ersten Entwurfs durch das EU-Parlament im Februar 2010 noch hohe Wellen schlug, war die Reaktion, auch wenn Datenschützer das Abkommen weiter kritisieren, zuletzt erkennbar verhaltener. Nils Rauer und Richard Reimer beraten Banken, Zahlungs- und Finanzdienstleistungsunternehmen im Umgang mit dem neuen Abkommen zur Verarbeitung von Zahlungsverkehrsdaten.- Herr Dr. Rauer, Herr Dr. Reimer, was regelt das Swift-Abkommen genau?Rauer: Es geht um die Bereitstellung von personenbezogenen Daten, die bei Zahlungsverkehrstransaktionen über Swift anfallen. Das US-Finanzministerium kann konkrete Anfragen bei Europol stellen (production orders). Europol entscheidet dann über die Weitergabe. Ziel ist die Terrorismusbekämpfung, insbesondere das Aufspüren von Geldströmen zur Finanzierung des Terrorismus. Das Abkommen ist Folge der Verlagerung der Server von Swift aus den USA in die Schweiz. Mit dieser Verlagerung wurden die Swift-Daten dem Zugriff der US-Fahnder entzogen.- Welche unmittelbaren Auswirkungen hat das Abkommen?Reimer: Beim Swift-Abkommen handelt es sich um in den Mitgliedstaaten der EU unmittelbar anwendbares Recht. Für die Banken ergeben sich gleichwohl keine unmittelbaren Pflichten. Das Abkommen nimmt vielmehr sogenannte “Anbieter internationaler Zahlungsverkehrsdatendienste” in die Pflicht.- Um wen geht es?Reimer: Als ein solcher Dienst wurde bislang ausschließlich Swift benannt. Allerdings wickelt Swift derzeit täglich etwa 15 Millionen Transaktionen zwischen über 8 300 Banken ab. Weitere Zahlungsverkehrsunternehmen wie zum Beispiel Kreditkartenunternehmen oder sonstige Zahlungsverkehrsanbieter, die Zahlungen per Karte oder auf andere Weise abwickeln, erfasst das Abkommen nicht. Das muss jedoch nicht so bleiben. Das Abkommen sieht vor, dass in Zukunft weitere Zahlungsverkehrsdatendienste in den Anwendungsbereich aufgenommen werden können.- Kann das US-Finanzministerium Daten zu jeder Swift-Überweisung anfordern?Rauer: Nein. Das US-Finanzministerium darf nur Daten mit Drittstaatenbezug anfordern. Eine wichtige Ausnahme bilden also Sepa-Transaktionen (Single Euro Payments Area). Dabei umfasst Sepa neben der EU Island, Norwegen, Lichtenstein, Monaco und die Schweiz. Der rein innereuropäische Zahlungsverkehr unterliegt damit nicht dem Anforderungsrecht des US-Finanzministeriums.- Um welche Daten geht es überhaupt?Rauer: Ein Katalog, welche Daten Gegenstand einer Anfrage aus den USA sein dürfen, fehlt im Abkommen. In einer früheren Fassung hieß es noch, insbesondere “Angaben zur Identifizierung des Auftraggebers und/oder des Empfängers der Transaktion, einschließlich des Namens, der Kontonummer, der Anschrift, der nationalen Identifizierungsnummer und sonstiger personenbezogener Finanzdaten”. Dieser Passus wurde jetzt gestrichen. Man wird daher davon ausgehen müssen, dass sämtliche bei Swift anlandenden Daten dem potenziellen Zugriff des US Finanzministeriums unterliegen.- Wie steht es mit dem Bankgeheimnis?Reimer: Das Bankgeheimnis steht der Weitergabe der Daten nicht entgegen. Zwar unterliegen alle kundenbezogenen Tatsachen und Wertungen und damit auch Überweisungsdaten dem Bankgeheimnis. Eine Verletzung des Bankgeheimnisses scheidet aber dann aus, wenn die Datenweitergabe gesetzlich vorgeschrieben oder zumindest gerechtfertigt ist. Eine solche gesetzliche Grundlage bildet das Swift-Abkommen.- Und der Datenschutz?Rauer: Hier gilt grundsätzlich das Gleiche. Auch wenn man das Abkommen datenschutzrechtlich kritisieren mag, stellt es doch zweifelsohne einen legitimen Erlaubnistatbestand zur Weitergabe personenbezogener Daten dar. Wünschenswert wäre allerdings, sogenannte “bulk data transfers”, bei denen eine Vielzahl von Daten völlig unverdächtiger Überweisungen mitübertragen wird, nach Möglichkeit einzuschränken. Im Einzelfall obliegt es Europol, die Voraussetzungen für eine Weitergabe zu prüfen.- Haben die Betroffenen Ansprüche gegen die Banken? Etwa auf Auskunft, was mit ihren Daten geschieht?Reimer: Solche Anfragen werden kommen. Allerdings gewährt das Swift-Abkommen den Betroffenen keinen Auskunftsanspruch gegen ihre Bank. Der Betroffene hat sich an seine nationale Aufsichts- beziehungsweise Datenschutzbehörde zu wenden. Im Hinblick auf das besondere Vertrauensverhältnis zwischen Kunde und Bank sollten Banken bei konkreten Anfragen jedoch entsprechende Hinweise erteilen und nach Möglichkeit die einschlägigen Kontaktadressen vermitteln. Hierzu sollten in den Banken die entsprechenden Prozesse zur Information der Kundenberater aufgesetzt werden.- Bestehen sonstige Ansprüche gegen die einzelne Bank?Reimer: Das Abkommen sieht nicht die Banken als primäre Anspruchsverpflichtete, sondern Swift. Insbesondere bestehen seitens der Kunden gegenüber ihrer Hausbank keine Ansprüche auf Berichtigung, Löschung oder Sperrung bestimmter Daten. Allerdings sind die allgemeinen Bestimmungen zum Datenschutz und zur Wahrung des Bankgeheimnisses natürlich nach wie vor einzuhalten.—-Dr. Nils Rauer und Dr. Richard Reimer sind Counsel bei Hogan Lovells in Frankfurt. Die Fragen stellte Sabine Wadewitz.