is
i
– 183 –
A n l a g e 1 6 (zu Nr. 9.4)
Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
am 8./9. November 2006
SWIFT: Datenübermittlung im SWIFT–Verfahren in die USA
Unabhängig davon müssen die Banken gemäß § 4
Abs. 3 Bundesdatenschutzgesetz ihre Kundinnen und
Kunden darüber informieren, dass im Falle der Weiterleitung von grenzüberschreitenden Zahlungsaufträgen die
Datensätze auch an ein in den USA ansässiges SWIFT
Operating Center übermittelt werden. Dabei bleibt es den
Banken überlassen, ob sie alle Kundinnen und Kunden
über die Übermittlung der Datensätze an SWIFT/USA informieren oder nur diejenigen, für die die Dienste von
SWIFT genutzt werden. Die Unterrichtung der Kundinnen und Kunden ist eine notwendige, wenn auch nicht
hinreichende Mindestvoraussetzung für die Zulässigkeit
der Übermittlung der Daten an SWIFT/USA. Sie ist unverzüglich umzusetzen.
si
BfDI 21. Tätigkeitsbericht 2005-2006
o
Die obersten Aufsichtsbehörden für den Datenschutz im
nicht–öffentlichen Bereich nehmen das Anliegen der
deutschen Banken zur Kenntnis, aus Gründen des Wettbewerbs eine europaweit einheitliche Lösung zu erreichen.
Es soll in Zusammenarbeit mit den übrigen europäischen
Datenschutz-Aufsichtsbehörden eine einheitliche Handhabung angestrebt werden.
ev
i
Die Banken werden aufgefordert, unverzüglich Maßnahmen vorzuschlagen, durch die im SWIFT-Verfahren entweder eine Übermittlung von Daten in die USA unterbunden werden kann oder aber zumindest die übermittelten
Datensätze hinreichend gesichert werden, damit der bislang mögliche Zugriff der US-amerikanischen Sicherheitsbehörden künftig ausgeschlossen ist. Eine Möglichkeit besteht nach Ansicht der Aufsichtsbehörden in der
Verlagerung des zur Zeit in den USA gelegenen Servers
in einen Staat mit einem angemessenen Datenschutzniveau. Eine weitere Möglichkeit besteht in einer wirksamen Verschlüsselung der in die USA übermittelten Zahlungsverkehrsinformationen. Es muss ausgeschlossen
sein, dass die US-amerikanischen Behörden in die Lage
versetzt sind, die auf dem dortigen Server gespeicherten
Datensätze zu dechiffrieren. Die Aufsichtsbehörden erwarten eine ernsthafte Auseinandersetzung der Banken
mit den aufgezeigten Möglichkeiten. Allgemeine Hinweise auf eine faktische oder ökonomische Unmöglichkeit sind nicht akzeptabel. Der Verweis auf einen in der
Zukunft liegenden und noch keinesfalls feststehenden
Abschluss eines völkerrechtlichen Abkommens zwischen
dem EU-Rat und der US-Regierung vermag nicht den gegenwärtigen Handlungsbedarf zu beseitigen.
R
Es wird festgestellt, dass die gegenwärtige Spiegelung
von Datensätzen im SWIFT-Rechenzentrum in den USA
und die anschließende Herausgabe von dort gespeicherten
Daten an US–amerikanische Behörden wegen fehlender
Rechtsgrundlage sowohl nach deutschem Recht als auch
nach EG–Datenschutzrecht unzulässig ist. Insbesondere
verfügen die USA über kein angemessenes Datenschutzniveau im Sinne des Artikel 25 Abs. 1 und Abs. 2 der
EG–Datenschutzrichtlinie. Rechtlich verantwortlich für
die Übermittlung der Daten in die USA sind sowohl die
in Belgien ansässige SWIFT, als auch die deutschen Banken, die sich trotz des Zugriffs der amerikanischen Behörden auf die bei SWIFT/USA gespeicherten Datensätze
auch weiterhin der Dienstleistungen von SWIFT bedienen.