Von Philipp Räther *) Die US-Regierung hat im Rahmen ihres Anti-Terror-Kampfs in großem Umfang Geldbewegungen im Wert von mehreren Billionen Dollar pro Tag überwacht. Die “New York Times” berichtete, dass Ermittler sich über Swift (“Society for Worldwide Interbank Financial Telecommunications”) Zugang zu diesen Daten verschafft hätten. Swift, dessen Sitz in Brüssel ist, wickelt den Finanzverkehr von etwa 7 800 Geldinstituten in mehr als 200 Ländern ab. Für rechtswidrig erklärtOb durch diese Maßnahmen europäische Rechtsnormen verletzt worden sind, kann noch nicht abschließend beurteilt werden. Allerdings spricht einiges dafür. In Belgien, dem Sitzland der Swift, ist deshalb auch ein Ermittlungsverfahren eingeleitet worden. Auch der britische Datenschutzbeauftragte hatte geäußert, dass er diese Vorgehensweise für rechtswidrig hält, und hat von Swift und der belgischen Regierung eine weitere Aufklärung gefordert, um dann über weitere Maßnahmen zu entscheiden.Die Bundesregierung hat in dieser Sache noch keine rechtlichen Schritte eingeleitet. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, welches die datenschutzrechtliche Aufsicht über die Banken in Schleswig-Holstein führt, kommt aber in einer Stellungnahme von Ende August zu dem Ergebnis, dass durch die Herausgabe der Finanzdaten europäisches und deutsches Recht verletzt worden ist. Durch diese Abhörmaßnahmen könnte Artikel 8 der Europäischen Menschenrechtskonvention verletzt worden sein. Diese Norm schützt die Privatsphäre des Einzelnen gegen staatliche Eingriffe. Die Privatsphäre umfasst auch die Bankdaten eines jeden. Auch die Datenschutzrichtlinie der EU von 1995 mit ihren nationalen Umsetzungsgesetzen, zum Beispiel in der Bundesrepublik Deutschland das Bundesdatenschutzgesetz, sollen die Privatsphäre des Einzelnen vor übermäßigen Eingriffen schützen. Ebenso könnte das Bankgeheimnis verletzt worden sein, das aufgrund spezialgesetzlicher Normen oder vertraglicher Vereinbarungen gilt. Aber auch in den USA gibt es einen Financial Privacy Act, der Bankdaten schützt. Die Tatsache, dass auch einige Beamte innerhalb der Bush-Administration Bedenken gegen dieses Programm hatten, legt die Annahme nahe, dass auch US-Normen verletzt worden sein könnten. Der Schutz der Privatsphäre des Einzelnen und das Bankgeheimnis gelten nicht schrankenlos. Bei Gefahren für die öffentliche Sicherheit können diese eingeschränkt werden, zum Beispiel zur Terrorabwehr. Dabei sind aber rechtsstaatliche Grundsätze zu beachten. Abhörmaßnahmen bedürfen grundsätzlich einer richterlichen Verfügung. Nach jetzigem Wissensstand waren aber die belgischen Behörden nicht einmal von der Abhörmaßnahme unterrichtet, geschweige denn, dass eine entsprechende richterliche Verfügung vorlag. Ferner muss auch der Verhältnismäßigkeitsgrundsatz beachtet werden. Beschränkung angemessen Es war zum Beispiel nicht erforderlich, dass der US-Regierung der Zugriff auf die gesamte Swift-Datenbank gewährt wurde. Man hätte sich dabei etwa auf verdächtige Geldbewegungen oder Überweisungen von und in den Nahen Osten, zum Beispiel Überweisungen verdächtiger Personen, beschränken müssen. Außerdem verfügen die USA aus europäischer Perspektive über keinen ausreichenden Datenschutz. Daten dürfen nur in die Hände von US-Behörden gelangen, wenn ein ausreichendes Datenschutzniveau, etwa durch ein Abkommen, hergestellt wird. Ein solches Abkommen ist aber nie geschlossen worden. Datenhunger im Luftverkehr Auch bezüglich Flugpassagierdaten hatten die USA einen gewaltigen Datenhunger. Die USA haben von den europäischen Fluglinien einen Zugriff auf ihre Passagierdatenbanken verlangt. Nach anfänglichem Widerstand haben die meisten Fluglinien dann doch die Daten an die USA übermittelt. Grundlage dafür war ein Abkommen der EU-Kommission und der US-Regierung. Nach einer Klage des Europäischen Parlaments hat der EuGH nun das Abkommen für rechtswidrig erklärt. Bis zum 30. dieses Monats muss nun eine neue Rechtsgrundlage für die Datenübermittlung geschaffen werden.Der Fall zeigt eindeutig, dass eine Terrorabwehr nicht zu einer grenzenlosen Einschränkung der Freiheit der Einzelnen führen kann, sondern dass weiterhin rechtsstaatliche Grundsätze zu beachten sind. Die Swift-Affäre ist deshalb auch prekärer, da die Datenübermittlung ohne jede Beteiligung europäischer Behörden erfolgt ist. Das hat auch völkerrechtliche Implikationen: Die USA dürfen auf europäischem Territorium keine Ermittlungen anstellen. Zahlungsströme beinhalten wichtige Informationen über die ihnen zugrunde liegenden Verträge und Transaktionen. Von den USA – wie auch von vielen anderen Industrienationen – wird vermutet, dass sie Wirtschaftsspionage betreiben. Da die USA, wie bereits gesagt, über kein Datenschutzniveau verfügen, das dem europäischen gleichwertig ist, ist zu befürchten, dass sich die US-Behörden bei der Nutzung der Swift-Daten nicht nur auf die Terrorabwehr beschränken. Aus diesem Grunde hat die EU-Kommission beim Abschluss des Abkommens über den Transfer der Flugpassagierdaten die Zollbehörden verpflichtet, die Daten an keine Dritten weiterzugeben. So eine Verpflichtung fehlt meines Wissens im Swift-Fall. Die Banken sollten überlegen, wie sie Swift besser kontrollieren, um Fälle wie diese in der Zukunft zu vermeiden. Möglicherweise hat Swift durch dieses Verhalten auch gegen ihre Verträge mit den Banken verstoßen. Wichtig ist auch, dass in derartigen Fällen die Politik eingeschaltet wird. Staaten und die Europäische Union haben häufig gegenüber den USA eine bessere Verhandlungsposition als eine privatrechtliche Vereinigung wie die Swift. Druck nicht nachgeben Banken und andere europäische Unternehmen sind in zunehmendem Maße Ermittlungen von US-Behörden ausgesetzt. Das zeigen dieser Fall und der Fall der Passagierdaten. Aber auch die Securities and Exchange Commission (SEC) ermittelt immer wieder gegen europäische Unternehmen, die an den New Yorker Börsen gelistet sind, etwa wegen angeblicher Verstöße gegen den Sarbanes-Oxley Act oder Insiderrichtlinien. Im Rahmen dieser Ermittlungen verlangen die US-Behörden häufig die Herausgabe europäischer Daten, etwa von E-Mails. Wichtig ist in diesen Fällen, dem starken Druck der Amerikaner – trotz Androhung erheblicher Sanktionen – nicht zu schnell und ungeprüft nachzugeben. Legalistisches DenkenDies zeigt zum Beispiel der Passagierdatenfall: Austrian Airlines hatte sich, obwohl mit dem Entzug der Landerechte gedroht wurde, gegen eine Weitergabe der Passagierdaten an die US-amerikanischen Behörden gewehrt. Im Ergebnis blieb diese Weigerung für Austrian Airlines ohne Konsequenzen. Wesentlich ist, dass die betroffenen Unternehmen den US-Behörden klarmachen, dass und weshalb sie an der Weitergabe europäischer Daten gehindert sind. Da in den USA ein legalistisches Denken ausgeprägt ist, versteht man dort sehr gut, dass ein Verstoß gegen geltendes Recht vermieden werden muss, und verzichtet dann meist auf die angeforderten Daten. Allerdings muss ein solcher möglicher Verstoß gut dargelegt und begründet werden. *) Dr. Philipp Räther, LL.M. ist Rechtsanwalt im Kölner Büro der internationalen Wirtschaftssozietät Freshfields Bruckhaus Deringer.