Die Übermittlung von S.W.I.F.T.-Daten an die Terrorismusaufklärung der USA [1 ed.] 9783428542147, 9783428142149

Citation preview

Schriften zum Öffentlichen Recht Band 1255

Die Übermittlung von S.W.I.F.T.-Daten an die Terrorismusaufklärung der USA Von Jens Ambrock

Duncker & Humblot · Berlin

JENS AMBROCK

Die Übermittlung von S.W.I.F.T.-Daten an die Terrorismusaufklärung der USA

Schriften zum Öffentlichen Recht Band 1255

Die Übermittlung von S.W.I.F.T.-Daten an die Terrorismusaufklärung der USA

Von Jens Ambrock

Duncker & Humblot · Berlin

Die Rechtswissenschaftliche Fakultät der Christian-Albrechts-Universität zu Kiel hat diese Arbeit im Jahre 2013 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2013 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: Konrad Triltsch GmbH, Ochsenfurt Druck: Berliner Buchdruckerei Union GmbH, Berlin Printed in Germany ISSN 0582-0200 ISBN 978-3-428-14214-9 (Print) ISBN 978-3-428-54214-7 (E-Book) ISBN 978-3-428-84214-8 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Vorwort Die vorliegende Arbeit entstand während meiner Zeit als wissenschaftlicher Mitarbeiter am Lehrstuhl für öffentliches Recht an der Christian-Albrechts-Universität zu Kiel. Sie wurde im August 2013 von der Rechtswissenschaftlichen Fakultät als Dissertation angenommen. Mein besonderer Dank gilt Prof. Dr. Florian Becker, LL.M., für die hervorragende Betreuung der Arbeit sowie Prof. Dr. Christoph Brüning für die Erstellung des Zweitgutachtens. Meinen Eltern Gabriele und Volkhard Ambrock danke ich für ihre immerwährende Unterstützung. Jan-Philipp Albrecht, LL.M., und Ralf Bendrath vom Europäischen Parlament danke ich für wertvolle Auskünfte und Diskussionen. Für die familiäre Arbeitsatmosphäre danke ich dem gesamten Team des Lehrstuhls von Prof. Dr. Becker, insbesondere meinen jeweiligen Bürogenossen Dr. Ylva Blackstein, Victoria Karcher und Frederik Heinz. Marei Fettback und Milena SchulzGärtner danke ich für stetige kulinarische Unterstützung. Meiner Frau Bodil Ambrock danke ich schließlich für alles. Hamburg, im August 2013

Jens Ambrock

Inhaltsverzeichnis Kapitel 1 Einleitung

17

Kapitel 2 Grundlagen

19

A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T. . . . . . . . . . . . . 19 I. Das Unternehmen S.W.I.F.T. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 II. Das S.W.I.F.T.-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 1. Komponenten des Netzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 a) Operationszentren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 b) Führungs- und Kontrolleinrichtung der Asien-Pazifik-Region . . . . . . . . . . 22 c) Nationale Konzentratoren und Anbindung der Kreditinstitute . . . . . . . . . . 22 2. Aufgabenverteilung zwischen den Operationszentren . . . . . . . . . . . . . . . . . . . 23 III. Nachrichten im S.W.I.F.T.-Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1. Nachrichtentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2. Nachrichtenaufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 B. Das Terrorist Finance Tracking Program der USA . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 I. Reaktion auf die Terroranschläge vom 11. September 2001 . . . . . . . . . . . . . . . . 29 II. Arbeitsweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 III. Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 IV. Erfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

8

Inhaltsverzeichnis Kapitel 3 Einigung auf ein transatlantisches Abkommen

35

A. Interimsabkommen vom 30. November 2009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 I. Verlauf des Vertragsschlussverfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 1. Ratsbeschluss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 a) Einstimmige Annahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 b) Ratifizierungsvorbehalt Deutschlands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2. Versagte Zustimmung des Europäischen Parlamentes . . . . . . . . . . . . . . . . . . . 38 II. Anwendung der Regelungen des Vertrages von Lissabon . . . . . . . . . . . . . . . . . . 40 1. Beendigung des Vertragsschlussverfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 a) „Vorläufige Geltung“ als endgültiger Zustand . . . . . . . . . . . . . . . . . . . . . . 41 b) „Vorläufige Geltung“ als qualitatives Minus . . . . . . . . . . . . . . . . . . . . . . . . 42 c) Bindungswirkung von durch die EU geschlossenen Abkommen . . . . . . . . 43 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 2. Folgen des nicht beendeten Vertragsschlussverfahrens vor Inkrafttreten des Vertrags von Lissabon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 a) Fortgeltung von Teilakten eines Vertragsschlussverfahrens bei grundlegender Änderung des Primärrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 b) Fortgeltung des nach alter Rechtslage gefassten Ratsbeschlusses . . . . . . . 46 III. Verstoß gegen das Gebot der Unionstreue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 B. Folgeabkommen vom 28. Juni 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 I. Verfahrensgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 II. Zulässigkeit der Unterzeichnung vor der Annahme durch das Parlament . . . . . . 51 Kapitel 4 Abschlusskompetenz

53

A. Horizontale Kompetenz der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 I. Raum der Freiheit, der Sicherheit und des Rechts . . . . . . . . . . . . . . . . . . . . . . . . 54 II. Gemeinsame Außen- und Sicherheitspolitik (GASP) . . . . . . . . . . . . . . . . . . . . . 55

Inhaltsverzeichnis

9

III. Subsidiaritätsgrundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 1. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 2. Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3. Möglichkeit eines Verzichts der Mitgliedstaaten . . . . . . . . . . . . . . . . . . . . . . . 60 B. Vertikale Kompetenz des Justiz- und Innenministerrates . . . . . . . . . . . . . . . . . . . . . . 62 Kapitel 5 Inhalt des Abkommens

63

A. Überblick über die Regelungen des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 B. Anwendungsbereich des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 I. Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 1. Daten des S.W.I.F.T.-Netzwerks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 2. Umfasste Datenkategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 a) Zahlungsverkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 b) Mit Zahlungsverkehrsdaten verbundene Daten . . . . . . . . . . . . . . . . . . . . . . 70 c) Speicherung im Gebiet der Europäischen Union . . . . . . . . . . . . . . . . . . . . 71 II. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 1. Single Euro Payments Area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 2. Auslegung des Art. 4 Abs. 2 lit. d des Folgeabkommens . . . . . . . . . . . . . . . . 74 3. Folgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 C. Datenschutz im europäischen Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 I. Europäische Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 II. Grundrecht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . 78 1. Herleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 2. Konkretisierung durch die EG-Datenschutzrichtlinie . . . . . . . . . . . . . . . . . . . 79 3. Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 a) Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 b) Personenbezug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 c) Grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

10

Inhaltsverzeichnis III. Grundrecht auf Freiheit der Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 1. Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 2. Subsidiarität zur informationellen Selbstbestimmung . . . . . . . . . . . . . . . . . . . 89 IV. Grundrechtsbindung der am Abkommen beteiligten Akteure . . . . . . . . . . . . . . . 91 1. Grundrechtsverletzungen durch S.W.I.F.T. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 a) Unmittelbare Drittwirkung des Art. 8 Abs. 1 GRCh . . . . . . . . . . . . . . . . . . 91 b) Mittelbare Drittwirkung des Art. 8 Abs. 1 GRCh . . . . . . . . . . . . . . . . . . . . 94 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 2. Grundrechtsverletzungen durch Behörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

D. Schutzbereichseröffnende Datenverarbeitungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 I. Routinehandlungen der Kreditinstitute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 II. Routinehandlungen von S.W.I.F.T. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 III. Datenweitergabe durch S.W.I.F.T. auf Anfrage des TFTP . . . . . . . . . . . . . . . . . . 99 1. Filterung des Datenbestandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 2. Weitergabe nach dem Folgeabkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 3. Weitergabe nach dem Interimsabkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 E. Generelle Vereinbarkeit der Datenübermittlung mit Art. 8 GRCh . . . . . . . . . . . . . . . 101 I. Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 II. Wahrnehmung öffentlicher Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 III. Gesetzliche Grundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 IV. Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 V. Übermittlung personenbezogener Daten in Drittländer . . . . . . . . . . . . . . . . . . . . 108 1. Allgemeines Schutzniveau in den USA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 2. Auswirkungen völkerrechtlicher Rahmenabkommen . . . . . . . . . . . . . . . . . . . 111 3. Schutzniveau im Einzelfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 VI. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

Inhaltsverzeichnis

11

F. Bezugspunkt der verarbeiteten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 I. Bezug zu Terrorismus oder Terrorismusfinanzierung . . . . . . . . . . . . . . . . . . . . . 116 1. Terrorismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 a) Allgemeine Definitionsversuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 b) Definition in Art. 2 des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 c) Bewertung der im Abkommen verwendeten Definition . . . . . . . . . . . . . . . 119 aa) Begriffliche Offenheit des Tatbestandes hinsichtlich der Tathandlung 119 bb) Keine Ausnahme nationaler Befreiungsbewegungen . . . . . . . . . . . . . . 120 cc) Keine Erheblichkeitsklausel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 2. Terrorismusfinanzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 3. Zusammenhang zwischen den überwachten Personen und dem Terrorismus 124 a) Kontaktpersonen von Terrorverdächtigen . . . . . . . . . . . . . . . . . . . . . . . . . . 124 b) Verdächtige im Hinblick auf Terrorismus oder Terrorismusfinanzierung . . 125 II. Bulk Data Transfer (Paketdatenweitergabe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 1. Angebliche Notwendigkeit der Herausgabe großer Datenmengen . . . . . . . . . 127 2. Vereinbarkeit mit dem Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 3. Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 a) Filterung durch S.W.I.F.T. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 aa) Technische Machbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 bb) Milderes Mittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 cc) Gleiche Eignung der Verwaltung geheimer Daten durch Private . . . . . 134 dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 b) Filterung durch nationale oder supranationale Behörden . . . . . . . . . . . . . . 136 aa) Mögliche Struktur eines solchen Systems . . . . . . . . . . . . . . . . . . . . . . 137 bb) Milderes Mittel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 cc) Geplantes europäisches System zum Aufspüren der Terrorismusfinanzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 (1) Diskutierte Varianten eines europäischen Systems . . . . . . . . . . . . . 140 (2) Grundlegende Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 (3) Bewertung der verschiedenen Varianten . . . . . . . . . . . . . . . . . . . . . 141 (4) Problematische Erweiterungen gegenüber dem US-TFTP . . . . . . . 142 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

12

Inhaltsverzeichnis 4. Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 a) Quantitative Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 b) Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 5. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 III. Umgang mit sensiblen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 1. Vorkommen sensibler Daten in den S.W.I.F.T.-Nachrichten . . . . . . . . . . . . . . 148 2. Ausnahmsweise Zulässigkeit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . 149 3. Berücksichtigung der besonderen Sensibilität bei der Auswertung . . . . . . . . . 150

G. Auswertung durch das TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 I. Abfragegrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 II. Ausschluss algorithmischer Auswertungsmethoden . . . . . . . . . . . . . . . . . . . . . . . 153 1. Ausschluss der Rasterfahndung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 2. Ausschluss von Data Mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 3. Ausschluss computergestützter Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 III. Physische Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 H. Speicherdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 I. Regelung im Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 1. Speicherdauer extrahierter Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 2. Speicherdauer nicht extrahierter Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 II. Erforderlichkeit der fünfjährigen Speicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 III. Angemessenheit der fünfjährigen Speicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 166 I. Aufsichtsstrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 I. Aufsicht über den Datentransfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 1. Die Befugnisse Europols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 2. Die tatsächliche Nutzung der Befugnisse Europols . . . . . . . . . . . . . . . . . . . . . 169 3. Unabhängige Stelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 a) Gefährdung der Unabhängigkeit durch Interessenskonflikte . . . . . . . . . . . 171 b) Gefährdung der Unabhängigkeit durch Weisungen . . . . . . . . . . . . . . . . . . . 172

Inhaltsverzeichnis

13

4. Fehlen eines Richtervorbehalts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 5. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 II. Aufsicht über die Auswertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 1. Laufende Kontrolle durch unabhängige Prüfer . . . . . . . . . . . . . . . . . . . . . . . . 175 2. Regelmäßige nachträgliche Überprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 J. Rechtsschutz betroffener Bürger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 I. Auskunftsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 1. Antragsvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 a) Antragsberechtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 b) Adressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 c) Formloses Auskunftsbegehren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 d) Identitätsnachweis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 e) Fakultative Angaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 2. Beantwortung des Auskunftsersuchens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 3. Bearbeitungsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 II. Berichtigung, Löschung oder Sperrung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 1. Grundrechtliche Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 2. Voraussetzungen im Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 a) Formelle Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 b) Inhaltlich falsche Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 c) Rechtsverstoß . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 3. Mögliche Rechtsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 III. Klagerecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 1. Regelung im Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 2. Formelle Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 3. Relevantes materielles US-Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

14

Inhaltsverzeichnis Kapitel 6 Konsequenzen und Ausblick

193

A. Konsequenzen der Grundrechtswidrigkeit einzelner Bestimmungen des Abkommens 193 I. Konsequenzen im Innenverhältnis der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 II. Konsequenzen im Außenverhältnis zwischen EU und USA . . . . . . . . . . . . . . . . 194 B. Kündigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 I. Verfahren im Außenverhältnis zwischen EU und USA . . . . . . . . . . . . . . . . . . . . 197 II. Verfahren im Innenverhältnis der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 III. Rechtsfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 C. Suspendierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 D. Rechtsweg vor dem EuGH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 I. Gutachten nach Art. 218 Abs. 11 AEUV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 II. Nichtigkeitsklage gegen das Abkommen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 III. Nichtigkeitsklage gegen Durchführungsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . 203 1. Klagebefugnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 a) Unmittelbare Betroffenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 b) Individuelle Betroffenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 2. Klagefrist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 IV. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 E. Aktuelle Entwicklungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 I. Wahrscheinlichkeit einer politischen Beendigung des Abkommens . . . . . . . . . . 206 II. Einrichtung eines europäischen Pendants zum TFTP . . . . . . . . . . . . . . . . . . . . . 207

Inhaltsverzeichnis

15

Kapitel 7 Zusammenfassung und Fazit

209

Anhang: Text des Abkommens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Kapitel 1

Einleitung Bei der Ausgestaltung der Terrorismusbekämpfung stellt sich eine zentrale Frage: Wie viel Freiheit ist eine Gesellschaft bereit aufzugeben, um sicher leben zu können? Freiheit und Sicherheit sind zwei voneinander abhängige Ziele des modernen Verfassungsstaates.1 Wird ein Individuum seiner Freiheit beraubt, ist es abhängig von fremden Kräften und kann deshalb nie vollständig sicher sein.2 Aber auch umgekehrt gilt: Frei ist nur, wer sein Leben ohne drückende Furcht um seine Sicherheit gestalten kann.3 Deshalb ist es für eine demokratische Gesellschaft entscheidend, dass beide Komponenten in gleichem Maße gewährleistet sind. Zu viel Freiheit oder zu viel Sicherheit sind ebenfalls problematisch. Gesteht ein Staat jedem Bürger beliebige Entfaltungsmöglichkeiten zu, ist dies nur auf Kosten der Entfaltung seiner Mitmenschen möglich.4 Ist hingegen eine Regierung auf maximale Sicherheit bedacht, kann sie dieses Ziel nur durch Kontrolle ihrer Bevölkerung und auf Kosten des Persönlichkeitsschutzes erreichen.5 Entscheidend ist ein gleichgewichtiges Verhältnis zwischen Freiheit und Sicherheit.6 Nur dadurch kann Frieden im Einklang mit unseren Grundwerten erreicht werden.7 Es entspricht der menschlichen Natur, dass sich das Gleichgewicht zu Gunsten der Sicherheit verschiebt, wenn sich eine Gesellschaft einer Bedrohung ausgesetzt sieht.8 So entfesselte beispielsweise der Fund einer Kofferbombe am 10. Dezember 2012 im Bonner Hauptbahnhof binnen weniger Stunden eine breite und lange anhaltende öffentliche Debatte über die mögliche Ausweitung der Videoüberwachung auf öffentlichen Plätzen.9 Je gravierender die Bedrohung scheint, desto stärker sind Politik 1

Nolte, DVBl. 2002, 573. Di Fabio, NJW 2008, 421 (422); Kern, in: Augsberg u. a., Freiheit – Sicherheit – Öffentlichkeit, S. 83. 3 Depenheuer, in: Maunz/Dürig, GG, Art. 87a Rn. 3; Di Fabio, NJW 2008, 421 (422). 4 Horn, in: Stern/Becker, Grundrechte-Kommentar, Art. 2 Rn. 7. 5 Frenz, NVwZ 2007, 631; Hoffmann-Riem, ZRP 2002, 497 (498); vgl. schon Jellinek, Gesetz, Gesetzesanwendung und Zweckmäßigkeitserwägung, S. 290 f. 6 Nolte, DVBl. 2002, 573; Graf v. Westphalen, AnwBl. 2008, 801; s.a. Kühling, Die Verwaltung 44 (2011), 525 (539 f.). 7 Isensee, in: Mellinghoff/Morgenthaler/Puhl, Die Erneuerung des Verfassungsstaates, S. 7. 8 Di Fabio, NJW 2008, 421 (422); Hoffmann-Riem, ZRP 2002, 497 (498). 9 Siehe nur: Bombenfund in Bonn – Polizei muss auf McDonald’s-Video zurückgreifen, ZEIT Online v. 12.12. 2012, abrufbar unter http://www.zeit.de/gesellschaft/zeitgeschehen/ 2

18

Kap. 1: Einleitung

und Bevölkerung dazu geneigt, besonders engmaschige Überwachung zuzulassen. Insbesondere nach den Terroranschlägen in New York und Washington am 11. September 2001 konnte weltweit beobachtet werden, dass staatliche Überwachung ausgeweitet wurde und die Freiheit der Individuen beschränkte.10 So wurden beispielsweise Zollkontrollen intensiviert, das Handgepäck von Flugreisenden streng reglementiert11 und die Videoüberwachung öffentlicher Räume massiv ausgebaut. Die nahezu flächendeckende Überwachung des weltweiten Telekommunikationsverkehrs durch die PRISM-Programme der USA verdeutlicht das Bestreben, zu Lasten der Privatsphäre keinerlei Information ungenutzt zu lassen. Die Überwachung der Weltbevölkerung beschränkt sich nicht auf Kommunikation im Internet. Ein weiteres zentrales Instrument in den globalen Sicherheitsanstrengungen stellt die Überwachung und Auswertung des internationalen Geldüberweisungsverkehrs dar. Die technische Realisierung nahezu sämtlicher grenzüberschreitender Transaktionen erfolgt durch das belgische Unternehmen S.W.I.F.T., das seine Daten in den Niederlanden speichert. Seit 2010 sorgt die Europäische Union für eine umfangreiche Übermittlung der S.W.I.F.T.-Daten an das US-Finanzministerium, damit dort deren systematische Auswertung stattfinden kann. In diesem Zusammenhang sagte der US-Vizepräsident Joe Biden vor dem Europäischen Parlament in Bezug auf Terroristen: „To stop them, we must use every legitimate tool available“.12 Angesichts der verheerenden Wirkung, die ein Terroranschlag auf den betroffenen Staat und die gesamte westliche Welt auslöst, ist das Bestreben verständlich, jedes verfügbare Mittel auszureizen, um die Gefahr zu begrenzen. Jedoch dürfen die Freiheiten und Persönlichkeitsrechte der eigenen Bevölkerung dabei nicht außer Acht gelassen werden. So ist es notwendig, maximale Anstrengungen zur Terrorismusbekämpfung aufzuwenden, dabei aber nur „legitimate tools“ zuzulassen. Die Frage, ob die Übermittlung europäischer Zahlungsverkehrsdaten in die USA zur dortigen Auswertung ein legitimes Instrument der Gefahrenabwehr darstellt, ist Gegenstand dieser Arbeit. Dabei auftretende Zweifel sollen aufgezeigt werden und in konkrete Vorschläge münden, wie ein schonender Ausgleich zwischen Freiheit und Sicherheit hergestellt werden kann.

2012 – 12/bonn-bombe-hauptbahnhof/seite-1. Sämtliche in dieser Arbeit zitierten Internetquellen wurden letztmalig abgerufen am 10.01. 2013. 10 von Bernstorff, in: Augsberg u. a., Freiheit – Sicherheit – Öffentlichkeit, S. 40. 11 VO 1546/2006/EG; VO 300/2008/EG; VO 185/2010/EG. 12 Das Manuskript ist abrufbar unter http://www.whitehouse.gov/the-press-office/remarksvice-president-biden-european-parliament.

Kapitel 2

Grundlagen A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T. Die zu beurteilende Maßnahme beinhaltet die Übermittlung ausschließlich von Daten des Zahlungsverkehrsproviders S.W.I.F.T. Für die rechtliche Bewertung ist es daher unerlässlich, die Strukturen des Unternehmens S.W.I.F.T. und die technischen Abläufe, die hinter grenzüberschreitenden Finanztransaktionen stehen, zu durchdringen. Von besonderer Relevanz sind dabei die Fragen, wo die Zahlungsverkehrsdaten gespeichert werden und welche Informationen sie im Einzelnen enthalten. Durch deren Beantwortung wird deutlich, warum die USA auf eine Kooperation mit der EU angewiesen sind und wie massiv die Bankkunden von der Weitergabe ihrer Daten betroffen sind.

I. Das Unternehmen S.W.I.F.T. Hinter der Abkürzung S.W.I.F.T. verbirgt sich die Society For Worldwide Interbank Financial Telecommunication,1 eine privatrechtliche Genossenschaft belgischen Rechts (Société Coopérative) mit Sitz in La Hulpe bei Brüssel.2 Sie gehört zu 100 Prozent den als Mitglieder bezeichneten beteiligten Kreditinstituten oder ihnen gleichstehenden Organisationen wie Wertpapierbörsen, Brokern und Fondsmanagern, die Auslandsgeschäfte betreiben,3 wobei sich die Verteilung der Gesellschaftsanteile an der Intensität der Nutzung des Systems orientiert.4 1973 wurde die Genossenschaft von 239 Banken aus 15 Staaten zum Zweck der Planung und des Betriebs einer Infrastruktur für die elektronische Übermittlung von Zahlungsverkehrsdaten gegründet.5 Inzwischen ist die Zahl der Genossenschafter auf mehr als 1

Loh, Das S.W.I.F.T.-System, S. 1. Etzkorn, Rechtsfragen des internationalen Zahlungsverkehrs durch S.W.I.F.T., S. 1; Loh, Das S.W.I.F.T.-System, S. 19 f. 3 Leitermann, Die Bank 1980, 418 (419); Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1. 4 Loh, Das S.W.I.F.T.-System, S. 23. 5 Jueterbock, Die Bank 1988, 269 (270); Leitermann, Die Bank 1980, 418 (419); Türke/ Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 32. 2

20

Kap. 2: Grundlagen

2.000 Mitglieder aus 212 Staaten aller Kontinente angestiegen.6 Neben den Mitgliedern, die über einen Genossenschaftsanteil verfügen, dient das S.W.I.F.T.-System auch Benutzern, die es als Geschäftsstelle, Filiale oder Niederlassung eines Mitglieds ebenfalls nutzen dürfen.7 Die Verbreitung ist damit so weit fortgeschritten, dass eine Anbindung an das S.W.I.F.T.-Netz für ein Kreditinstitut, das konkurrenzfähig bleiben möchte, nicht mehr hinweg zu denken ist.8 Die S.W.I.F.T. s.c. wird durch ihre Geschäftsführung, der ein General Manager und vier Direktoren angehören,9 und die Hauptversammlung, die Annual General Meeting genannt wird, geleitet.10 Als Kontrollgremium kommt das mit einem Aufsichtsrat vergleichbare Board of Directors hinzu.11 Die 25 Vertreter für das Board of Directors, die von der Hauptversammlung gewählt werden, werden von den mitgliederstärksten nationalen Arbeitsgruppen bzw. den Zusammenschlüssen mitgliederschwacher nationaler Arbeitsgruppen vorgeschlagen, sodass sich eine pluralistische Zusammensetzung aus möglichst vielen Nationen ergibt.12 Jedes deutsche Kreditinstitut, das Mitglied der S.W.I.F.T. s.c. wird, ist automatisch auch Mitglied der Deutschen S.W.I.F.T.-Gruppe. Dieses Organ der S.W.I.F.T. s.c. fungiert als Forum der Meinungsbildung und Interessenvertretung und entsendet Vertreter in die USERund Fachausschüsse.13

II. Das S.W.I.F.T.-Netzwerk Die S.W.I.F.T.-Infrastruktur, die nach vierjähriger Planungs- und Erprobungszeit 1977 den Betrieb aufnahm,14 wurde im Laufe der Jahrzehnte zwar mehrfach verändert, ihre Grundarchitektur ist jedoch gleich geblieben. So handelt es sich um ein Leitungsnetz, das die Kreditinstitute mit Rechenzentren (Operating Centres) verbindet.15 Die Übertragungsleitungen und Rechenzentren sind nicht mit anderen Leitungsnetzen wie dem Internet verbunden und unterliegen strenger Zugangskontrolle.16

6

S.W.I.F.T. Annual Report 2008, S. 27. Jueterbock, Die Bank 1988, 329 (333); Loh, Das S.W.I.F.T.-System, S. 22. 8 Deeg, ZKredW, Ausgabe Technik 1982, S. 15; Jueterbock, Die Bank 1988, 329 (330 f.). 9 Loh, Das S.W.I.F.T.-System, S. 34. 10 Leitermann, Die Bank 1980, 418 (419); Loh, Das S.W.I.F.T.-System, S. 24. 11 Jueterbock, Die Bank 1988, 269 (270). 12 Leitermann, Die Bank 1980, 418 (419); Loh, Das S.W.I.F.T.-System, S. 28; Schürenkrämer, Technologiebewertung, S. 25. 13 Jueterbock, Die Bank 1988, 269 (270). 14 Schürenkrämer, Technologiebewertung, S. 25. 15 Hadding/Häuser, in: Schimansky, Bankrechts-Handbuch I, § 51 Rn. 19. 16 Shrader, North Carolina Banking Institute Journal 2007, 397 (401). 7

A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T.

21

1. Komponenten des Netzwerks a) Operationszentren Die Operating Centres bzw. Operationszentren übernehmen Netzwerkmanagement und -kontrolle beim Versenden der Transaktionsnachrichten und stellen Datenbankdienste wie Sicherheitsmechanismen gegen Übertragungsfehler oder Betrugsversuche zur Verfügung.17 Ihre zentrale Aufgabe stellt dabei das Routing dar, bei dem die Nachricht gemäß ihrer Zieladresse gestaffelt nach ihrer Eilbedürftigkeit in eine Datenausgabeschlange für das empfangende Institut eingereiht wird.18 Obwohl ein einzelnes Operationszentrum technisch genügen würde, um das Netzwerk zu betreiben,19 betreibt S.W.I.F.T. mehrere solcher Anlagen an unterschiedlichen Orten, um die für den weltweiten Handel verheerenden Folgen eines Systemausfalls und den damit einhergehenden Datenverlust auszuschließen. Die Rechenzentren dienen sich dabei gegenseitig als Reserveeinheit, die bei einem Ausfall eines Standortes seine vollständigen Aufgaben übernehmen können.20 Zur Sicherung der Daten vor Verlust sowie zur nachträglichen Identifizierung von Fälschungen21 werden diese an ein weiteres Operationszentrum als Kopie „gespiegelt“ und dort 124 Tage lang gespeichert.22 Um eventuellen Naturkatastrophen und bewaffneten Unruhen entgegenzutreten, wurden die Rechenzentren in unterschiedlichen Staaten angesiedelt und aus Furcht vor Sabotage werden die Adressen geheim gehalten.23 Derzeit existieren drei solcher Zentralen in Zoeterwornde (Niederlande), in Culpeper (USA) und seit Ende 2009 auch in der Schweiz.24 In der Nähe von Zürich wird zunächst mit angemieteten Räumlichkeiten gearbeitet, bis im Jahr 2013 ein unterirdisches Rechenzentrum im schweizerischen Diessenhofen fertiggestellt sein wird.25 Zwischenzeitlich genutzte Standorte in Brüssel und Amsterdam wurden wieder aufgegeben.26 17

Jueterbock, Die Bank 1988, 329 (330); Loh, Das S.W.I.F.T.-System, S. 61 f. Hadding/Häuser, in: Schimansky, Bankrechts-Handbuch I, § 51 Rn. 19. 19 Leitermann, Die Bank 1980, 418 (420). 20 Haddenbrock, GI 1975, Heft 2, S. 21 (22). 21 Grill/Gramlich/Eller, Gabler Bank Lexikon, Teil L-Z, Eintrag SWIFT. 22 Stellungnahme der Europäischen Kommission v. 24.03. 2010, MEMO/10/101; Stellungnahme 10/2006 der Artikel 29-Datenschutzgruppe v. 22.11. 2006, 01935/06/DE, WP128, S. 1; Pressemitteilung des Bundesbeauftragten für Datenschutz und Informationsfreiheit Nr. 48/06 v. 23.11. 2006. 23 Loh, Das S.W.I.F.T.-System, S. 62. 24 Leitermann, Die Bank 1980, 418 (420); Schürenkrämer, Technologiebewertung des internationalen Datennetzes der Kreditinstitute, 1987, S. 25, 27; Neues Nervenzentrum für die weltweite Finanzindustrie, Neue Züricher Zeitung v. 27.03. 2008, abrufbar unter http:// www.nzz.ch/nachrichten/zuerich/ein_neues_nervenzentrum_fuer_die_weltweite_finanzindustrie_1.695602.html. 25 S.W.I.F.T. zieht definitiv nach Diessenhofen, Neue Züricher Zeitung v. 10.03. 2010, abrufbar unter http://www.nzz.ch/nachrichten/zuerich/swift_rechenzentrum_1.5185626.html. 26 Jueterbock, Die Bank 1988, 269 (273). 18

22

Kap. 2: Grundlagen

b) Führungs- und Kontrolleinrichtung der Asien-Pazifik-Region Da sich die Operationszentren in Nordamerika und Europa befinden, aber auch der asiatische Markt zunehmend Transaktionen vornimmt, hat S.W.I.F.T. Ende 2009 eine Führungs- und Kontrolleinrichtung in Hongkong in Betrieb genommen.27 Anders als die Operationszentren dient es nicht der Datenverarbeitung und -speicherung, sondern überwacht lediglich den reibungslosen Ablauf der Datenübertragungen im Leitungsnetz. Bei Bedarf kann das S.W.I.F.T.-Netz von dort aus gesteuert werden.28 c) Nationale Konzentratoren und Anbindung der Kreditinstitute Das S.W.I.F.T.-Netzwerk beginnt und endet bei den sogenannten nationalen Konzentratoren, die mit den Operationszentren über der Gemeinschaft gehörende Leitungen verbunden sind. Die Konzentratoren sind Schnittstellen zwischen dem S.W.I.F.T.-Netz und den Netzen der Banken. Sie fungieren als Postfächer, in die S.W.I.F.T. die Nachrichten ablegt und zum Abruf durch die Kreditinstitute bereithält. Für die Abholung von Nachrichten aus diesen Postfächern muss das einzelne Kreditinstitut selbst Sorge tragen.29 Im Regelfall verfügt ein Bankhaus über eine eigene, von ihm unterhaltene Verbindung zum Konzentrator.30 Für kleinere Häuser oder solche, die nur in geringem Maße Auslandstransaktionen vornehmen, ist es finanziell jedoch attraktiver, ihre Nachrichten auf beliebigem Wege an eine Einrichtung zu übermitteln, die gegen Entgelt Einspeisungen in das S.W.I.F.T.-Netzwerk vornimmt. Einen solchen Service bieten beispielsweise das SWIFT-Service Bureau der Deutschen Börse AG31 sowie viele Landesbanken32 an. Jeder Staat, in dem sich ein S.W.I.F.T.-Mitglied befindet, verfügt über mindestens einen nationalen Konzentrator. In Deutschland existieren aufgrund eines hohen Nachrichtenaufkommens zwei solcher Einrichtungen, die sich beide in Frankfurt am Main befinden.33 Es handelt sich dabei um Durchschaltzentralen, die im Wesentlichen die von Mitgliedern eingehenden Nachrichten an das zuständige Operationszentrum leiten und von dort kommende Nachrichten an die Anschlüsse der Mit-

27

S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 5, 16. Shea, Journal of High Tech Law 2008, 143 (164). 29 Leitermann, Die Bank 1980, 418 (420). 30 Etzkorn, Rechtsfragen des internationalen Zahlungsverkehrs durch S.W.I.F.T., S. 3. 31 http://deutsche-boerse.com/dbag/dispatch/de/kir/gdb_navigation/technology/11_it-solutions/20_SWIFT. 32 Falter/Hermanns, die Praxis des Kreditgeschäfts, S. 635; Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 34. 33 Falter/Hermanns, die Praxis des Kreditgeschäfts, S. 636; Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 34; Jueterbock, Die Bank 1988, 269 (274). 28

A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T.

23

glieder verteilen.34 Aufgabe der Konzentratoren ist es darüber hinaus, die Nachrichten hinsichtlich etwa in den einzelnen Ländern gebräuchlicher Verschlüsselungstechniken,35 Übertragungsprotokolle, Durchlaufgeschwindigkeiten zu vereinheitlichen.36 Ferner werden die Nachrichten im Konzentrator so lange gespeichert, bis die Empfangsbestätigung durch den Slice Processor, der Steuereinheit des Operationszentrums,37 oder das empfangene Kreditinstitut eingeht.38 Aufgrund der nur wenige Sekunden dauernden Durchlaufzeit im S.W.I.F.T.-Netz39 geht die Bestätigung bei einer Sendung an das Operationszentrum umgehend ein, sodass keine Speicherung in nennenswertem Ausmaß erfolgt. Eine Übermittlung an ein Kreditinstitut kann sich verzögern, wenn das Rechenzentrum der Bank an Betriebszeiten gekoppelt ist oder wenn es nur über eine Wählleitung angeschlossen ist.40 In der westlichen Finanzwelt ist beides unüblich geworden. In den Frankfurter Konzentrator-Servern findet somit keine großflächige Speicherung statt. 2. Aufgabenverteilung zwischen den Operationszentren Die Zuständigkeiten der Operationszentren für Anfragen aus den verschiedenen Staaten haben sich im Laufe der Jahrzehnte stark gewandelt. Das ursprüngliche Netz sah eine Anbindung der regionalen Konzentratoren an nur ein Operationszentrum vor, zu dem eine direkte Leitung bestand.41 Um die Serverauslastung zu verteilen und dem Ausfallrisiko entgegenzuwirken, wurde das flexiblere S.W.I.F.T. II-System entwickelt, dessen Umsetzung 1992 abgeschlossen wurde.42 Danach wurde eine Nachricht zunächst an einen Slice Processor gesendet, der sie zu demjenigen Operationszentrum leitete, bei dem aktuell freie Ressourcen vorhanden waren.43 In dieser vollständig dezentralen Struktur konnte damit potenziell jedes Rechenzentrum mit jeder Nachricht betraut werden. Da in den Jahren vor Ende 2009 nur die beiden Operationszentren in den USA und den Niederlanden in Betrieb waren, wurden sämtliche aufkommenden Nachrichten also an einem dieser beiden Orte verarbeitet und gespeichert und am anderen der beiden Orte als Sicherungskopie hinterlegt.

34

Schürenkrämer, Technologiebewertung, S. 31. Jueterbock, Die Bank 1988, 269 (273). 36 Schürenkrämer, Technologiebewertung, S. 31. 37 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 14. 38 Jueterbock, Die Bank 1988, 329 (330). 39 Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 34. 40 Jueterbock, Die Bank 1988, 269 (273). 41 Vgl. die Übersichtskarten bei Loh, Das S.W.I.F.T.-System, S. 59 f. und Schürenkrämer, Technologiebewertung, S. 25 ff. 42 Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 32. 43 Jueterbock, Die Bank 1988, 329. 35

24

Kap. 2: Grundlagen

Die Einrichtung des schweizerischen Operationszentrums diente schließlich der im Januar 2010 erfolgten Umsetzung der neuen Distributed Architecture.44 Anders als der Name es vermuten lässt, ist den nationalen Konzentratoren nun wieder ein festes Operationszentrum zugeordnet. Die einzelnen Staaten wurden dafür in zwei Zonen unterteilt, die Europäische Zone, die vom schweizerischen Operationszentrum bedient wird, und die Transatlantische Zone, deren Nachrichten im US-amerikanischen Zentrum verarbeitet werden.45 Für die Staaten des Europäischen Wirtschaftsraumes und die Schweiz ist eine Zugehörigkeit zur Europäischen Zone, für die USA und ihre Territorien die Transatlantische Zone festgelegt. Alle weiteren Staaten konnten sich durch ihre nationale S.W.I.F.T.-Gruppe für eine Zone entscheiden und können beliebig die Zugehörigkeit wechseln.46 Die überwiegende Zahl der Staatenvertreter hat sich für das jeweils dichter gelegene Operationszentrum entschieden. Der für die Terrorismusaufklärung besonders relevante Zahlungsverkehr des Nahen Ostens47 zählt weitestgehend zur Europäischen Zone, wobei einzelne Staaten wie Afghanistan oder Syrien der Transatlantischen Zone zugehörig sind.48 Die beiden Zentren in der Schweiz und den USA dienen der Verarbeitung der Nachrichten aus ihrer Zone, während das Operationszentrum in den Niederlanden nur noch als Sicherungseinrichtung dient. So wird eine Sicherungskopie jedes Datensatzes, der die beiden anderen Zentren durchläuft, nach Zoeterwornde weitergeleitet und dort als Sicherungskopie gespeichert.49 Im Falle des Ausfalles eines Zentrums kann das in Zoeterwornde binnen 20 – 30 Minuten dessen Aufgaben mit übernehmen.50 Ein Datenaustausch zwischen den Rechenzentren in Culpeper und dem in Diessenhofen erfolgt lediglich bei zonenübergreifenden Transaktionen. Erfolgt eine Geldüberweisung innerhalb einer Zone, geschieht lediglich eine Spiegelung im Operationszentrum in Zoeterwornde, welches die Daten auch nicht an das dritte Zentrum sendet.51 Dies hat den Effekt, dass Zahlungsverkehrsdaten der Transatlantischen Zone zwar auf niederländischem Territorium gespeichert werden, solche der Europäischen Zone jedoch ausschließlich in der Schweiz und den Niederlanden, nicht jedoch in den USA.52

44 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 5; Empfehlung des Justizausschusses des EP v. 05.02. 2010, 2009/0190(NLE), S. 6. 45 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 6, 8 ff. 46 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 9, 18. 47 Die EU will neuen Anlauf zum Swift-Abkommen, FAZ v. 03.03. 2010, S. 5. 48 Country to Zone Allocation Table, abrufbar unter http://www.swift.com/solutions/industry_initiatives/image_doc/country_zone_allocation_external_v9.pdf. 49 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 9. 50 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 16. 51 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 9. 52 Beck-Aktuell v. 11.02. 2010, becklink 298205.

A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T.

25

Als Grund für die Einteilung in Herkunftszonen führt S.W.I.F.T. selbst neben technischen Effizienzerwägungen eine Reaktion auf Datenschutzbedenken an.53 Der Zugriff der US-amerikanischen Terrorabwehrbehörden auf die in Culpeper gespeicherten Daten54 löste bei S.W.I.F.T. zwar keine juristische Gegenwehr aus, sorgte bei den Gesellschaftern jedoch für Unbehagen, da Wirtschaftsspionage nicht ausgeschlossen werden konnte.55 S.W.I.F.T. erwog daher die Verlegung des US-Rechenzentrums nach Kanada.56 Weil jedoch die europäischen S.W.I.F.T.-Mitglieder besonders hohe Anforderungen an den Datenschutz stellten, erschien es S.W.I.F.T. notwendig, europäische Transaktionsdaten ausschließlich auf europäischem Boden zu speichern, sodass die dargestellte Struktur aus drei Operationszentren gewählt wurde.57

III. Nachrichten im S.W.I.F.T.-Netzwerk Die S.W.I.F.T.-Nachrichten sind reine Textinformationen, die für sich noch keinen Transfer von Geldern beinhalten. Die Empfängerbank schreibt dem Begünstigten den Betrag nach Erhalt der Überweisungsinformation auf seinem Konto gut, erhält den Ausgleich von der Bank des Überweisenden aber erst im Folgenden durch ein eigenes Verrechnungskonto, das sie bei der Empfängerbank unterhält. Besteht keine solche direkte Verbindung, werden die Verrechnungskonten von vertraglich verbundenen Kreditinstituten zwischengeschaltet. Diese Kontobewegungen liegen ebenfalls weitere S.W.I.F.T.-Nachrichten zugrunde. 1. Nachrichtentypen Bei den derzeit 12 – 17 Mio. Nachrichten, die das S.W.I.F.T.-Netzwerk täglich durchlaufen, handelt es sich um nahezu sämtliche Auslandstransaktionen sowie um nationale Eilüberweisungen. Jedem erstbeauftragten Kreditinstitut steht die Wahl des Überweisungsweges und -verfahrens jedoch frei. Daher werden teilweise auch nationale Standardüberweisungen über das System transferiert, was aber wegen der vergleichsweise hohen Übermittlungskosten die Ausnahme darstellt. Neben Nachrichten bezüglich Geldüberweisungen durchlaufen das S.W.I.F.T.Netz auch Mitteilungen zum Wertpapiertransfer und zu Devisen- und Geldmärkten.58 53 S.W.I.F.T., Pressemitteilung v. 04.10. 2007, abrufbar unter http://www.swift.com/ about_swift/legal/complience/statements_on_complience/swift_board_approves_messaging _re_architecture/index.page?lang=en 54 Siehe Kapitel 2 B. 55 Weichert, DuD 2006, 470. 56 Shea, Journal of High Tech Law 2008, 143 (164). 57 S.W.I.F.T., Distributed Architecture Phase 1 White Paper, S. 8. 58 Grill/Gramlich/Eller, Gabler Bank Lexikon, Teil L-Z, Eintrag S.W.I.F.T.; Möller, Außenhandel im Bankgeschäft, S. 36.

26

Kap. 2: Grundlagen

Darunter fallen beispielsweise Depotbestätigungen über den Aktienbesitz bei depotverwahrten Inhaberaktien.59 Darüber hinaus werden Bestätigungen von Krediten, Kontoauszüge für von den Banken gegenseitig unterhaltene Konten sowie Liquidationsnotizen ausgetauscht.60 Neben diesen klassischen Bankdaten bietet das Netzwerk auch die Möglichkeit zum Versenden von Freitext61 und von Nachrichten des dokumentären Zahlungsverkehrs.62 Unter der Bezeichnung des dokumentären Zahlungsverkehrs werden Geschäfte zusammengefasst, bei denen die Zahlung des Kaufpreises Zug um Zug gegen Aushändigen der Warendokumente (Handelspapiere) erfolgt.63 Die Übermittlung der Papiere erfolgt durch die beteiligten Banken, sodass in diesen Fällen die im S.W.I.F.T.-System gespeicherten Daten weit mehr über den Inhalt der Geschäftsbeziehung der Kunden aussagen, als dies bei Standardüberweisungen der Fall ist. Schließlich durchlaufen noch administrative und technische Nachrichten wie Empfangsbestätigungen das Netzwerk. Jede dieser Nachrichten kann theoretisch im „free format“ abgefasst werden, also als Freitext wie in einer Email, durch den der Empfängerbank Anweisungen gegeben werden, was sie zu verbuchen hat.64 Dies findet aber nur selten statt, da nur eine strikte Einhaltung der Systemstandards die vom S.W.I.F.T.-Netz bezweckte schnelle und automatisierte Buchung ermöglicht.65 2. Nachrichtenaufbau Jede Nachricht im S.W.I.F.T.-Netz hat einen standardisierten Aufbau. Sie besteht aus drei Teilen: Header, Nachrichtentext und Trailer.66 Header und Trailer enthalten systemtechnische Steuerungsinformationen.67 Dazu gehört zunächst einmal die Bestimmungsadresse der Nachricht.68 Die Empfängerbank wird durch den acht- bis elfstelligen Bank Identification Code (BIC) dargestellt,

59 Nach § 10 Abs. 3 des österreichischen Aktiengesetzes müssen Aktiengesellschaften Depotbestätigungen sogar über ein „international verbreitetes, besonders gesichertes Kommunikationsnetz der Kreditinstitute entgegennehmen“. In Deutschland besteht diese Pflicht nicht, die Möglichkeit wird aber rege genutzt. 60 Leitermann, Die Bank 1980, 418 (422); Loh, Das S.W.I.F.T.-System, 1983, S. 47; Schürenkrämer, Technologiebewertung, S. 41. 61 Schürenkrämer, Technologiebewertung, S. 41. 62 Möller, Außenhandel im Bankgeschäft, S. 37. 63 Hakenberg, in: Ebenroth/Boujong/Joost/Strohn, HGB, Rn. II452; Horn, in: Heymann/ ders., HGB, § 372 Anh Rn. VI/2. 64 Loh, Das S.W.I.F.T.-System, 1983, S. 41. 65 Leitermann, Die Bank 1980, 418 (420). 66 Loh, Das S.W.I.F.T.-System, 1983, S. 45. 67 Haddenbrock, GI 1975, Heft 2, S. 21 (32). 68 Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 35.

A. Organisation des internationalen Zahlungsverkehrs durch S.W.I.F.T.

27

den S.W.I.F.T. auf Bitten der ISO69 entwickelt hat und der auch außerhalb des S.W.I.F.T.-Netzes Anwendung findet.70 Zur Ermittlung des Kontoinhabers ist zum BIC die International Bank Account Number (IBAN) hinzugetreten, die vom European Banking Committee for Banking Standards (ECBS) entwickelt wurde71 und die seit Januar 2006 bei Auslandstransaktionen anzugeben ist.72 Die IBAN setzt sich aus der Länderkennung, einer Prüfziffer, der Bankleitzahl und der Kontonummer zusammen.73 Neben den BIC- und IBAN-Codes des Empfängers sind auch die des Zahlungsanweisenden verzeichnet. Ferner zählen zu den Steuerungsinformationen Angaben über die Priorität der Nachricht,74 den Nachrichtentyp,75 den Terminalcode und den Namen des versendenden Bankbediensteten und die automatisch generierte Eingabefolgenummer der Nachricht (ISN).76 Im Trailer befindet sich der Authenticator, eine Ziffernfolge, die als Prüfsumme aller Zeichen der Nachricht algorithmisch errechnet wird.77 Er dient der Feststellung, ob die Nachricht korrekt und unverfälscht übermittelt wurde. Der Nachrichtentext enthält die eigentlichen Transaktionsdaten und divergiert daher je nach Nachrichtentyp. Bei einer Überweisung enthält er den zu verbuchenden Geldbetrag samt Währung, das Aufgabe- und das Buchungsdatum, den Verwendungszweck und die Namen und Postanschriften des Überweisenden, des Begünstigten und der kontoführenden Bank des Begünstigten.78 Die Adressdaten des Überweisenden und des Begünstigten werden nur dann übermittelt, wenn der Überweisende sie angegeben hat. Dies ist bei einer Standardüberweisung innerhalb der Europäischen Union nicht erforderlich, muss jedoch zwingend erfolgen, wenn aus der Union in ein sonstiges Land überwiesen wird, der Überweisungsbetrag 50.000 Euro übersteigt oder die Währung nicht Euro ist.79 Die Namen des Überweisenden und des Begünstigten sind in jedem Fall anzugeben und werden damit 69 Die International Organization for Standardization (ISO) ist eine privatrechtliche Vereinigung, die Standars für Produkte und Produktionsweisen festsetzt, die von der internationalen Wirtschaft zum Zweck der Vereinheitlichung akzeptiert und umgesetzt werden; siehe Langner/Klindt, in: Dauses, EU-Wirtschaftsrecht, Kap. C. IV. Rn. 26. 70 Jueterbock, Die Bank 1988, 329 (332). 71 Möller, Außenhandel im Bankgeschäft, S. 38. 72 Abschnitt III Nr. 1, IV Nr. 1 der Sonderbedingungen für den Überweisungsverkehr, abgedruckt in Bunte, AGB Banken und Sonderbedingungen, Kap 5. 73 Möller, Außenhandel im Bankgeschäft, S. 38. 74 Haddenbrock, GI 1975, Heft 2, S. 21 (32). 75 Vgl. vorherigen Abschnitt. 76 Loh, Das S.W.I.F.T.-System, 1983, S. 45. 77 Etzkorn, Rechtsfragen des internationalen Zahlungsverkehrs durch S.W.I.F.T., S. 3; Leitermann, Die Bank 1980, 418 (421). 78 Loh, Das S.W.I.F.T.-System, 1983, S. 49; Türke/Dortschy, Der Zahlungsverkehr mit dem Ausland, S. 35. 79 Abschnitt III Nr. 1, IV Nr. 1 der Sonderbedingungen für den Überweisungsverkehr, abgedruckt in Bunte, AGB Banken und Sonderbedingungen, Kap. 5.

28

Kap. 2: Grundlagen

Bestandteil der S.W.I.F.T.-Nachricht. Teilweise sind auch die Telefonnummern der beteiligten Personen mit enthalten.80 Eine Nachricht wird nicht im Ganzen durch das S.W.I.F.T.-Netz geschickt, sondern in einzelne Pakete unterteilt und vom nationalen Konzentrator des Bestimmungslandes wieder zusammengesetzt.81 Anhand des Authenticators wird ermittelt, ob die Nachricht vollständig und korrekt zusammengesetzt wurde, damit im negativen Fall eine erneute Sendung angefordert werden kann. Diese Praxis gleicht dem TCP-Standard, auf dem die Internetkommunikation beruht. Sie hat neben einer effizienteren Netzauslastung die Folge, dass bei unautorisiertem Zugriff abgefangene Daten nicht oder nur erschwert verwertbar sind.82 Zusätzlich wird die Sicherheit vor unautorisiertem Zugriff durch eine komplexe Verschlüsselung erhöht.83 Dies geschieht mithilfe asymmetrischer Verschlüsselungsalgorithmen,84 deren Dekodierungsschlüssel ausschließlich das empfangende Institut kennt. S.W.I.F.T. selbst verfolgt strikt das datenschutzrechtlich gebotene „need-to-know-Prinzip“.85 Header und Trailer enthalten die für die Zustellung erforderlichen Informationen und sind daher für S.W.I.F.T. lesbar. Die eigentlichen Zahlungsinformationen sind für das Unternehmen, das nur für die Übermittlung zuständig ist, nicht von Belang und daher auch nicht entschlüsselbar.

B. Das Terrorist Finance Tracking Program der USA Durch Recherchen der New York Times wurde die Weltöffentlichkeit am 23. Juni 2006 darauf aufmerksam, dass die US-Behörden bereits seit Jahren systematisch Einsicht in die bei S.W.I.F.T. gespeicherten Finanztransaktionsdaten genommen hatten.86 Die US-Regierung sieht in der Auswertung des internationalen Zahlungs80

Santolli, The George Washington International Law Review 2008, 553 (553). Leitermann, Die Bank 1980, 418 (421). 82 Etzkorn, Rechtsfragen des internationalen Zahlungsverkehrs durch S.W.I.F.T., S. 3. 83 Bergmann, Grenzüberschreitender Datenschutz, S. 43; Jueterbock, Die Bank 1988, 269 (273); Santolli, The George Washington International Law Review 2008, 553 (560). 84 Bei einer asymmetrischen Verschlüsselung wird mithilfe nicht-umkehrbarer mathematischer Funktionen ein Schlüsselpaar aus einem Public Key und einem Private Key erzeugt. Der Public Key dient der Verschlüsselung und ist offen für alle potentiellen Sender verfügbar. Die damit kodierte Nachricht kann ausschließlich mit dem Private Key entschlüsselt werden, den der Empfänger geheim halten sollte und der aus dem Public Key nicht errechnet werden kann; siehe Fuhrberg/Häger/Wolf, Internet-Sicherheit, 3. Aufl. 2001, S. 88 ff.; Schramm/Wegener, MMR 2011, 9 (10); Selke, Kryptographie, 2000, S. 63 ff. 85 Parker, DuD 1991, 557; krit. Gilor, DuD 1991, 641; vgl. zum „need-to-know-Prinzip” auch das Vorgehen des TFTP, beschrieben im ABl. C 166 v. 20.07. 2007, S. 18 (21). 86 Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1. 81

B. Das Terrorist Finance Tracking Program der USA

29

verkehrs einen essenziellen Baustein in ihrer Strategie gegen den Terrorismus,87 durch dessen Einsatz zahlreiche Anschläge im Vorfeld verhindert oder die Drahtzieher gefasst worden seien.88 Daher wurde das Programm trotz massiver internationaler Kritik89 aufrecht erhalten, solange S.W.I.F.T. auf US-amerikanischem Territorium Informationen über sämtliche weltweiten Auslandsüberweisungen speicherte. Nach der Inbetriebnahme der Zwei-Zonen-Architektur im Januar 201090 konnte der Zugriff auf die überwiegende Zahl der Datensätze nicht mehr direkt bei S.W.I.F.T. geschehen,91 sondern erfolgt seitdem mit Hilfe der Mitgliedstaaten der Europäischen Union, sodass das Terrorist Finance Tracking Program (TFTP) weiterhin in Betrieb ist.

I. Reaktion auf die Terroranschläge vom 11. September 2001 Wenige Tage nach den Terroranschlägen auf amerikanische Einrichtungen vom 11. September 2001 begann die US-Administration damit, verschiedene Strategien auszuloten, um die terroristischen Netzwerke aufzudecken und so künftigen Anschlägen vorbeugen zu können.92 Nachdem der Regierung der logistische Aufwand der Flugzeugentführungen bewusst wurde, folgerten sie, dass der organisierte Terrorismus über neue, den USA unbekannte Geldquellen verfügen musste. Erste Ermittlungen ergaben, dass an neun der Attentäter im Zeitraum der Anschlagsplanung über 130.000 US-$ an Bankkonten in Florida überwiesen worden waren. Die Zahlungsanweisenden waren Personen aus den Vereinigten Arabischen Emiraten und aus Deutschland, die eine den Geheimdiensten bereits bekannte Verbindung zu Al-Qaida besaßen.93 Diese Bankguthaben wurden den späteren Terroristen, die stets unter ihren tatsächlichen Namen auftraten,94 ausgezahlt und für Pilotenausbildungen, Flugtickets und Materialien ausgegeben,95 ohne dass die Per87 Rede des US-Vizepräsidenten Biden vor dem Europäischen Parlament am 06.05. 2010, abgedruckt unter http://www.whitehouse.gov/the-press-office/remarks-vice-president-bideneuropean-parliament. 88 Siehe Kapitel 2 B. IV. 89 U.a. durch die Artikel-29-Datenschutzgruppe der EU, Stellungnahme 10/2006, 01935/ 06/DE, WP128. 90 Siehe Kapitel 2 A. II. 2. 91 Die USA sehen sich juristisch nur in der Lage, solche Datensätze abzufragen, die auf ihrem Territorium gespeichert sind, Connorton, Fordham Law Review 2007, 283 (288). 92 Shea, Journal of High Tech Law 2008, 143 (151). 93 Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1; Shea, Journal of High Tech Law 2008, 143 (151), Fn 47. 94 National Commission on Terrorist Attacks Upon the United States, Monograph on Terrorist Financing, 2004, S. 53. 95 National Commission on Terrorist Attacks Upon the United States, Monograph on Terrorist Financing, 2004, S. 56.

30

Kap. 2: Grundlagen

sonen daraufhin beobachtet wurden. Dieses Potenzial an greifbaren Informationen sollte für die Terrorismusprävention nicht länger ungenutzt bleiben. Der Ansatzpunkt der Bankguthaben führte die Terrorermittler zunächst dazu, an die Kreditkartenunternehmen mit der Aufforderung heranzutreten, ein System zu installieren, das eine Meldung ausgibt, wenn eine Person per Kreditkarte Materialien erwirbt, die für den Bau von Bomben genutzt werden könnten. Dieses Begehren wurde jedoch als „logistische Unmöglichkeit“ abgewiesen.96 Daraufhin wurden neue Wege eingeschlagen, bei denen das Aufspüren der Finanziers künftiger Anschläge und gegebenenfalls die Blockierung ihrer Zahlungen97 im Mittelpunkt standen. Die Idee, Kreditinstitute zu verpflichten, sämtliche internationale Transaktionen zu melden, erwies sich als ineffektiv und zu aufwändig.98 Zudem war bei diesem Vorgehen ein Konflikt mit dem amerikanischen Bankgeheimnis zu befürchten.99 Als optimale Ansprechpartner erkannte das TFTP daher nicht die einzelnen Banken, sondern die Transporteure von Geldern und Zahlungsverkehrsdaten. Zunächst wurden Transfersprotokolle des Bargeldversands Western Union angefordert,100 die damit den anfänglichen Datenbestand des TFTP bildeten. Erst durch den Hinweis eines Mitarbeiters der Wall Street wurde das TFTP auf das ihm bis dahin unbekannte Unternehmen S.W.I.F.T. aufmerksam.101 Dieser Weg bot die Vorteile, dass S.W.I.F.T. nahezu alle grenzüberschreitenden Finanztransaktionen liefern konnte und dass Leonard Schrank, der S.W.I.F.T.-Direktor für Amerika, sich kooperativ zeigte.102 Somit konzentrierte sich das TFTP in der Folge ausschließlich auf diesen einen Ansprechpartner. Die Kooperationsbereitschaft seitens S.W.I.F.T. endete spätestens 2003, da das Unternehmen das TFTP zunehmend kritisch sah und insbesondere ein absehbares Ende des Programms vermisste.103 Nachdem das TFTP Zugeständnisse wie eine engere Terrorismusdefinition und eine externe Aufsicht angeboten hatte,104

96

Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1. Executive Order des US-Präsidenten Nr. 13224 Section 1. 98 Shrader, North Carolina Banking Institute Journal 2007, 397 (399, 414 f.). 99 Der Rightto Financial Privacy Actof 1978 (RFPA), 12 U.S.C. §§ 3401 – 3422, ist lediglich auf Banken im herkömmlichen Sinne anwendbar. Übermittelte Daten von Zahlungsverkehrsdienstleistern wie S.W.I.F.T. oder Western Union, die keine Konten für Privatpersonen bereithalten, unterfallen daher nicht dem US-Bankgeheimnis (Shea, Journal of High Tech Law 2008, 143 (153); Shrader, North Carolina Banking Institute Journal 2007, 397 (410); Pressemitteilung des US-Finanzministeriums, Legal Authorities Underlying the Terrorist Finance Tracking Program, abrufbar unter www.ustreas.gov/press/releases/reports/legalauthoritiesoftftp. pdf). 100 Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1. 101 Shea, Journal of High Tech Law 2008, 143 (152); Shrader, North Carolina Banking Institute Journal 2007, 397 (402). 102 Simpson, Wall Street Journal v. 24.06. 2006, S. 4. 103 Santolli, The George Washington International Law Review 2008, 553 (563). 104 Santolli, The George Washington International Law Review 2008, 553 (563), Fn. 86. 97

B. Das Terrorist Finance Tracking Program der USA

31

entschied sich S.W.I.F.T. jedoch für eine fortgesetzte Beantwortung der Anfragen ohne gerichtliche Gegenwehr oder Offenlegung des Programms.

II. Arbeitsweise Als zu Beginn des Programms Daten von Western Union verwendet wurden, führte das FBI die Auswertungen durch. Zu diesem Zweck stellte das FBI eine permanente Netzwerkverbindung zu den Western-Union-Computern her.105 Die Rechner mit den Zieldaten wurden damit vollständig in das FBI-Netzwerk integriert. Das sogenannte „S.W.I.F.T.-Programm“, also die Überwachung der Zahlungsverkehrsdaten des Finanzdienstleisters S.W.I.F.T. durch das Finanzministerium,106 startete im Anschluss an die Kooperation mit Western Union im Oktober 2001.107 Eine Vernetzung mit den S.W.I.F.T.-Rechnern wurde nicht eingerichtet. Stattdessen fragt das TFTP die benötigten Daten bei S.W.I.F.T. ab. Anstatt für jeden Einzelfall eine gesonderte Anfrage zu formulieren, erlässt das TFTP monatlich gebündelte Abfragen.108 Die Beantwortung durch S.W.I.F.T. erfolgt erst nach einigen Wochen, in der Regel durch die Übergabe von Datenträgern.109 Die Auswertung der erhaltenen Daten erfolgt durch die einfache Suche nach Namen von Personen, die aufgrund bereits vorliegender geheimdienstlicher Erkenntnisse im Verdacht stehen, den internationalen Terrorismus zu fördern.

III. Rechtsgrundlage Als die Terroranschläge vom 11. September 2011 die Sicherheitslage der USA veränderten, existierte mit dem Patriot Act bereits eine anwendbare Rechtsgrundlage, die es Sicherheitsbehörden der USA ermöglichte, bei Unternehmen gespeicherte Finanztransaktionsdaten heraus zu verlangen.110 Das Gesetz ist jedoch nur auf „financial institutions“ anwendbar. S.W.I.F.T. ist jedoch kein Kreditinstitut, sondern ein reiner Übermittler von Nachrichten und fällt daher nicht in den Anwendungsbereich des Patriot Act.111

105

Santolli, The George Washington International Law Review 2008, 553 (561). US-Finanzministerium, Terrorist Finance Tracking Program Fact Sheet, 2006, abrufbar unter http://www.ustreas.gov/press/releases/js4340.htm. 107 Santolli, The George Washington International Law Review 2008, 553 (562). 108 Exten, Journal of Law and Policy 2007, 649 (653); Weichert, DuD 2006, 470. 109 Weichert, DuD 2006, 470. 110 50 U.S.C. § 1861. 111 Shea, Journal of High Tech Law 2008, 143 (160); s.a. Scott/Zachariadis, Society for Worldwide Interbank Financial Telecommunication, S. 2. 106

32

Kap. 2: Grundlagen

Weniger eng sind die Tatbestandsvoraussetzungen zweier weiterer Gesetze gefasst, die allerdings nur im Falle eines nationalen Notstandes anwendbar sind: Der International Emergency Economic Powers Act (IEEPA) von 1977112 und der United Nations Participation Act (UNPA) von 1945. Der IEEPA ermächtigt im Fall eines Notstandes allgemein dazu, Ermittlungen in Bezug auf Banktransaktionen zu führen.113 Der UNPA gestattet es den US-Behörden, im Rahmen der Umsetzung von Resolutionen des UN-Sicherheitsrats die Kommunikationsmittel zwischen Ausländern und den USA zu überwachen.114 Dazu ermächtigende Resolutionen sind die gegen die Taliban gerichteten Nrn. 1267/1999, 1333/2000 und 1373/2001. Den erforderlichen nationalen Notstand hat der damalige US-Präsident George W. Bush am 23. September 2001 mit der Executive Order 13224 ausgerufen.115 Der Notstand ist bis heute in Kraft. In der Executive Order hat der Präsident sich sowohl auf den IEEPA als auch auf den UNPA gestützt.116 Neben der Feststellung einer nach den Anschlägen vom 11. September 2011 andauernden Bedrohungslage hat er das Vermögen von Terroristen und deren Unterstützern eingefroren und Geldzahlungen an diese Personen verboten. Section 7 verleiht dem US-Finanzministerium die Ermächtigung, von jedermann zu verlangen, dass er Daten über Finanztransaktionen zur Verfügung stellt. Ursprünglich war die Einräumung dieser weitreichenden Befugnisse darauf gerichtet, zu ermitteln, welche Gelder einzufrieren sind.117 Schnell wurde das dazu eingerichtete TFTP darüber hinaus zu einer bedeutenden Einrichtung, um die Drahtzieher des organisierten Terrorismus aufzuspüren und künftige Anschläge zu verhindern.118

IV. Erfolge Nach Darstellung der US-Administration handelt es sich bei dem TFTP um einen zentralen Bestandteil der Terrorismusbekämpfung, dem zahlreiche Ermittlungserfolge zu verdanken sind,119 indem mit den gewonnenen Erkenntnissen terroristische Netzwerke zerschlagen und Leben gerettet wurden.120 Vor allem wird dem TFTP die Festnahme von Riduan Isamuddin bzw. Hambali, dem federführenden Attentäter der Bombenanschläge in Bali 2002, zugeschrieben.121 Auch die Fest112

50 U.S.C. §§ 1701 – 1706. 50 U.S.C. § 102 (a) (1) (A) (ii). 114 22 U.S.C. § 287 (c) (2000). 115 66 Fed. Reg. 49079. 116 Zusicherung des US-Finanzministerium, ABl. C 166, S. 18 (20) v. 20.07. 2007. 117 Santolli, The George Washington International Law Review 2008, 553 (557). 118 Connorton, Fordham Law Review 2007, 283 (288). 119 Shrader, North Carolina Banking Institute Journal 2007, 397 (418). 120 US-Finanzministerium, Terrorist Finance Tracking Program Fact Sheet, 2006, abrufbar unter http://www.ustreas.gov/press/releases/js4340.htm. 121 Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1; Santolli, The George Washington International Law Review 2008, 553 (563). 113

B. Das Terrorist Finance Tracking Program der USA

33

nahme der deutschen Sauerland-Gruppe im Jahre 2007 und die Verhinderung der Entführung von 12 Flugzeugen am 11.09. 2006 wird den Auswertungen der S.W.I.F.T.-Daten zugeschrieben.122 Uzair Parchara, ein in New York lebender finanzieller und administrativer Unterstützer Al Quaidas, wurde ebenfalls auf der Grundlage von Informationen des Programms gefasst.123 Hinzu kamen diverse „kleinere und mittlere terroristische Akteure und Finanziers“.124 Diese Angaben stammen aus der Außendarstellung der US-Regierung. Eine unabhängige Überprüfung der Ergebnisse des Programms ist kaum möglich, da die USA die gewonnenen Zahlungsverkehrsdaten nicht bekanntgeben. Die aufsichtführenden Gremien125 kontrollieren lediglich die Arbeitsweise und die Datenerhebung, sind jedoch nicht in der Lage, zu evaluieren, welche Schlüsse die Geheimdienste aus den gewonnenen Informationen ziehen. Hinzu kommt, dass die Kommission der Europäischen Union lange Zeit kein Interesse an einer Erfolgsanalyse gezeigt hat.126 Erst im Abkommen vom 28. Juni 2010 wurde eine umfassende Evaluation vereinbart,127 deren Ergebnisse jedoch nicht öffentlich einsehbar sind. Ein weiteres Problem für die Beurteilung der Angaben über Erfolge des TFTP ergibt sich aus der Offenlegung des Programms durch die amerikanischen Medien. Die als Erfolge genannten Fälle beziehen sich auf den Zeitraum zwischen September 2001 und Juni 2006, als der Weltöffentlichkeit und damit auch den überwachten Zielpersonen das TFTP nicht bekannt war.128 Bereits in dieser Zeit wurden Zahlungen innerhalb von Terrornetzwerken häufig unter Umgehung des S.W.I.F.T.Netzes getätigt,129 beispielsweise durch das im orientalischen Raum gebräuchliche Hawala-System.130 Spätestens seit der Offenlegung ist davon auszugehen, dass Terroristen kaum noch gewöhnliche Auslandstransaktionen über Banken abwickeln, sondern, wann immer es möglich ist, Kurierdienste und Brokerservices nutzen.131

122 EU-Parlament kippt SWIFT-Abkommen zum Bankdatentransfer, Heise Online v. 11.02. 2010, abrufbar unter http://www.heise.de/newsticker/meldung/EU-Parlament-kippt-SWIFTAbkommen-zum-Bankdatentransfer-927932.html. 123 Connorton, Fordham Law Review 2007, 283 (290). 124 Meyer/Miller, L. A. Times v. 23.06. 2006, S. 1. 125 Siehe Kapitel 5 H. II. 126 Shrader, North Carolina Banking Institute Journal 2007, 397 (407). 127 Art. 13 Abs. 2 des Abkommens. 128 Siehe Kapitel 2 B. 129 Shea, Journal of High Tech Law 2008, 143 (162). 130 Vogt, in: Herzog/Mühlenhausen, Geldwäschebekämpfung und Gewinnabschöpfung, § 2 Rn. 35; Warius, Das Hawala-Finanzsystem in Deutschland, S. 33 ff. 131 Bantekas, AJIL 97 (2003), 315 (321); Barnes, The Banker v. 01.10. 2006, S. 20; Gardella, in: Bianchi, Enforcing International Law Norms against Terrorism, S. 415 ff.; Ohler, DV 2008, 405 (415); Rosand, AJIL 98 (2004), 745 (756); Shea, Journal of High Tech Law 2008, 143 (162); Shrader, North Carolina Banking Institute Journal 2007, 397 (412); krit. Roberts, Terrorismusfinanzierung, S. 42.

34

Kap. 2: Grundlagen

Folglich hat auch das Bundeskriminalamt in einem internen Vermerk festgestellt, dass an einer systematischen anlassunabhängigen Recherche im Datenbestand von S.W.I.F.T. für die Bekämpfung politisch motivierter Kriminalität kein fachlicher Bedarf beziehungsweise kein operatives Interesse bestehe. Hinsichtlich einer einzelfallbezogenen Recherche sieht das BKA den mit der Datenrecherche verbundenen erheblichen materiellen und personellen Aufwand als nicht durch die zu erzielenden Ergebnisse gerechtfertigt an.132 Der These der US-Regierung, dass die weltweite Sicherheitslage durch das TFTP verbessert wurde,133 kann zwar vorbehaltlos zugestimmt werden. Schließlich sind nicht nur kleinere Ermittlungsergebnisse ein Schritt in die richtige Richtung, sondern die USA und Europa profitieren auch davon, dass die permanente Überwachung der Finanzströme terroristische Operationen deutlich erschwert.134 Ob diese Erfolge jedoch die zahlreichen Eingriffe in die Privatsphäre europäischer Bankkunden rechtfertigen, gilt es bei der weiteren Betrachtung herauszufinden.

132

Zitiert in: Der Spiegel 1/2010, S. 15. US-Finanzministerium, Terrorist Finance Tracking Program Fact Sheet, 2006, abrufbar unter http://www.ustreas.gov/press/releases/js4340.htm. 134 Shea, Journal of High Tech Law 2008, 143 (161). 133

Kapitel 3

Einigung auf ein transatlantisches Abkommen Nachdem S.W.I.F.T. die Umstellung auf die Distributed Architecture zu Anfang 2010 bekannt gegeben hatte,1 wurde der US-Administration bewusst, dass wesentliche Teile des Nachrichtenverkehrs zwischen den Kreditinstituten nicht mehr in dem von ihr beherrschten Territorium gespeichert werden würden. Weil damit eine direkter Zugriff mittels nationaler administrative orders2 auf diese Informationen nicht mehr möglich war, wurde der diplomatische Kontakt zur Europäischen Union mit dem Ziel eines „Abkommens zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus“3 gesucht.

A. Interimsabkommen vom 30. November 2009 Den ersten Versuch einer Einigung bildet das am 30. November 2009 unterzeichnete Abkommen zwischen der Europäischen Union und den USA.4 Der als Interimsabkommen mit einer Laufzeit von neun Monaten5 angelegte Vertragstext wurde jedoch nicht wirksam, weil das Europäische Parlament seine Zustimmung verweigert hatte.6 Obwohl das Interimsabkommen wirksam geworden ist, ist die Betrachtung seiner rechtlichen Hintergründe von Bedeutung für die künftige Entwicklung des voranschreitenden Demokratisierungsprozesses in der Europäischen Union. Das Scheitern des Abkommens markiert den ersten Anwendungsfall der durch den Vertrag von Lissabon gestärkten Mitwirkungsrechte des Europäischen Parlaments in Gesetzgebung und Außenpolitik der Union. Die Analyse dieser erstmaligen Konfrontation des 1

Siehe Kapitel 2 A. II. 2. Definiert in 5 U.S.C. § 551 Abs. 6; ins deutsche i. d. R. übersetzt als „Verwaltungsakt“, dazu Schmidt-De Caluwe, Der Verwaltungsakt in der Lehre Otto Mayers, S. 272. 3 In englisch: Agreement between the European Union and the United States of America on the processing and transfer of financial messaging data from the European Union to the United States for purposes of the Terrorist Finance Tracking Program. 4 ABl. L 8 v. 13.01. 2010, S. 11 – 16. 5 Art. 15 Abs. 3 des Interimsabkommens. 6 Plenarprotokoll des EP, ABl. C 110 E v. 24.09. 2010, S. 183. 2

36

Kap. 3: Einigung auf ein transatlantisches Abkommen

Rates mit einem deutlich selbstbewussteren Parlament ist richtungsweisend für das künftige Zusammenspiel der beiden Organe. Das Scheitern des Interimsabkommens infolge der Einführung des Vertrags von Lissabon bietet zudem die Gelegenheit zur Klärung einer weiteren Frage, die zuvor noch nicht aufgekommen war: Nach welchem Verfahrensrecht sind Gesetzesvorhaben und völkerrechtliche Verträge zu beschließen, wenn sich zum Zeitpunkt des entsprechenden Beschlusses das Primärrecht der EU grundlegend verändert?

I. Verlauf des Vertragsschlussverfahrens Nach mehrmonatigen Verhandlungen zwischen den USA und der EU, vertreten durch die die Ratspräsidentschaft innehabende Regierung Schwedens, wurde der Vertrag durch den Rat der Justiz- und Innenminister am 30. November 2009 geschlossen.7 Zu diesem Zeitpunkt ging der Rat noch davon aus, dass damit das Verfahren vor dem Inkrafttreten des Vertrags von Lissabon am Folgetag abgeschlossen worden sei und dass damit eine Zustimmung des Europäischen Parlaments gemäß des neuen Art. 218 Abs. 6 AEUV für die Wirksamkeit des Abkommens nicht benötigt würde.8 Um dem so umgangenen Parlament entgegenzukommen, wurde die Laufzeit begrenzt, sodass die Abgeordneten ihre Vorstellungen in das Folgeabkommen hätten einbringen sollen.9 Die später doch für erforderlich gehaltene Abstimmung des Europäischen Parlamentes erfolgte am 11. Februar 2010.10 1. Ratsbeschluss a) Einstimmige Annahme Die Abkommenszeichnung wurde vom Rat der Innen- und Justizminister einstimmig beschlossen.11 Die Vertreter Deutschlands, Ungarns, Griechenlands und Österreichs enthielten sich dabei ihrer Stimme.12 Gemäß Art. 23 Abs. 1 S. 1 i.V.m. Art. 24 Abs. 2 EUV a.F. war im Rat Einstimmigkeit erforderlich. Insofern hatte die deutsche Bundesregierung über die Möglichkeit verfügt, einen ablehnenden Ratsbeschluss zu erzielen. Die Bundesrepublik wurde durch den Minister des Innern und die Ministerin der Justiz vertreten. Die gemeinsame Vertretung mehrerer sachlich mit dem Beratungsgegenstand befasster Minister ist entgegen des Wortlauts des Art. 203 S. 1 EGV a.F. nach Anhang I der Geschäftsordnung des Rates zulässig. 7

S. 4. 8

Ratsdok. 16110/09; Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009,

DAV, EuZW 2009, 594. Pressemitteilung des Rates Nr. 16883/1/09 REV 1 (Presse 335). 10 Siehe Kapitel 3 A. 2. 11 Ratsdok. 5305/10. 12 Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009, S. 4.

9

A. Interimsabkommen vom 30. November 2009

37

Zwischen den beiden Repräsentanten herrschte Uneinigkeit darüber, ob ein Veto eingelegt werden sollte.13 Aus dem Erfordernis des Art. 203 S. 1 EGV, je einen Vertreter zu entsenden, wird jedoch abgeleitet, dass jeder Mitgliedstaat „mit einer Stimme“ zu sprechen hat.14 Dem wird dadurch Rechnung getragen, dass einem der Vertreter die Sprecherrolle und die Kompetenz zur alleinigen Stimmabgabe übertragen wird.15 Aufgrund der längeren ununterbrochenen Kabinettszugehörigkeit Thomas de Maizières und der besonderen politischen Bedeutung des Innenressorts fiel das Stimmrecht dem Innenminister zu, der mit der Enthaltung Deutschlands auf ein Veto gegen das Abkommen verzichtete. Vertreter weiterer Staaten mit ablehnender Haltung, die Ihre Entscheidung an die Deutschlands gebunden hatten, enthielten sich daraufhin ebenfalls, sodass eine einstimmige Annahme erfolgte. b) Ratifizierungsvorbehalt Deutschlands Die deutsche Enthaltung hat der Bundesminister des Innern jedoch unter einem Ratifizierungsvorbehalt nach Art. 24 Abs. 5 EUV a.F. abgegeben.16 Damit kam er einem entsprechenden Votum des Bundesrates17 und einer Vorgabe des Koalitionsvertrages der Bundesregierung18 nach. Eine Erklärung nach Art. 24 Abs. 5 EUV in der Fassung vor Inkrafttreten des Vertrages von Lissabon bewirkte, dass ein Mitgliedstaat nicht an den völkerrechtlichen Vertrag gebunden war, wenn auf nationaler Ebene bestimmte verfassungsrechtliche Vorschriften einzuhalten waren. Dazu zählt vor allem ein in Einzelfällen einzuhaltender Parlamentsvorbehalt.19 Die Bestätigung durch ein nationales Parlament ist also nicht aufgrund des Ratifizierungsvorbehalts durchzuführen, sondern muss von Verfassungs wegen geboten sein und wird lediglich durch Einlegen des Vorbehalts dokumentiert. Der deutsche Innenminister hat als einzuhaltende verfassungsrechtliche Vorschrift das Erfordernis eines nationalen Vertragsgesetzes angegeben.20 Schließt nicht die Bundesrepublik ein völkerrechtliches Abkommen mit einem Drittstaat, sondern 13

Köster, BB 2009, 2657; Beck Aktuell, becklink 294103. Baumhof, Die deutschen Bundesländer im europäischen Einigungsprozess, S. 74; Greulich, Der Landesminister als Vertreter der Bundesrepublik Deutschland im Rat der Europäischen Union, S. 35; Tomuschat, in: Magiera/Merten, Bundesländer und Europäische Gemeinschaft, S. 21 (40). 15 Schweitzer, in: Grabitz/Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 203 EGV Rn. 2. 16 Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009, S. 4. 17 BR-Drs. 788/09. 18 Wachstum. Bildung. Zusammenhalt. Der Koalitionsvertrag zwischen CDU, CSU und FDP für die 17. Legislaturperiode v. 26.10. 2009. 19 Bitterlich, in: Lenz/Borchard, EUV/EGV, Art. 24 EUV Rn. 3; Kaufmann-Bühler, in: Grabitz/Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 24 EUV Rn. 18. 20 Schreiben des Bundesministeriums des Innern v. 16.12. 2009, abrufbar unter http:// www.abgeordnetenwatch.de/dr_thomas_de_maizi_re-575 – 37796–f241749.html. 14

38

Kap. 3: Einigung auf ein transatlantisches Abkommen

die Europäische Union, so ersetzt dies nicht die ansonsten erforderliche Beteiligung der gesetzgebenden Bundeskörperschaften gemäß Art. 59 Abs. 2 GG,21 wenn eine Transformation in nationales Recht erforderlich ist.22 Von einem Transformationsgesetz geht der rechtswirksame Befehl zur innerstaatlichen Beachtung aus,23 deshalb ist es nur erforderlich, wenn aus dem Abkommen auch innerstaatliche Pflichten hervorgehen. Eine innerstaatliche Pflicht hätte nicht bezüglich der Datenübermittlung in die USA bestanden, weil das Interimsabkommen sich in diesem Punkt nur an die Niederlande als Serverstandort und Belgien als Sitzland von S.W.I.F.T. richtete.24 Deutschland betraf allenfalls die Verpflichtung in Art. 11 Abs. 1 des Interimsabkommens, dass der Bundesdatenschutzbeauftragte Auskunftsersuchen von Bürgern an die USA weiterleiten sollte.25 Der Datenschutzbeauftragte besitzt eine besondere Unabhängigkeit von der Exekutive, sodass er nur dem Gesetz unterworfen ist.26 Aus diesem Grund kann nur der Bundesgesetzgeber ihm die im Abkommen zugedachte Aufgabe auferlegen. Die Einlegung des Parlamentsvorbehalts im Rat war deshalb zulässig. 2. Versagte Zustimmung des Europäischen Parlamentes Am 11. Februar 2010 sprach sich das Europäische Parlament in einer Abstimmung gegen die Geltung des Interimsabkommens aus.27 Es handelte sich gemäß Art. 218 Abs. 6 AEUV um ein Votum über die Zustimmung, die vorzuliegen hat, damit der Rat den Beschluss über den Abschluss der Übereinkunft treffen darf. Aufgrund der besonderen Situation, dass bei Unterzeichnung des Abkommens noch die alte Rechtslage vor Inkrafttreten des Vertrags von Lissabon galt,28 die keine Beteiligung durch das Parlament vorsah, waren Ratsbeschluss und Zeichnung des Abkommens bereits vor dem Parlamentsvotum erfolgt.29 Die Bindungswirkung des Interimsabkommens trat nach Art. 15 Abs. 2 ab dem 01. Februar 2010 vorläufig ein, sodass es ab dem Zeitpunkt der parlamentarischen Abstimmung bereits zehn Tage lang rechtliche Wirkung entfaltet hatte. Diese beinhaltete jedoch nur eine Verpflichtung der Vertragsparteien USA und EU sowie der Mitgliedstaaten. Eine Verpflichtung für S.W.I.F.T., Datensätze herauszugeben, bestand in diesem Zeitraum in Ermangelung einer gesetzlichen Grundlage hingegen nicht. Völkerrechtliche Verträge können zwar mit ihrer Veröffentlichung im

21 22 23 24 25 26 27 28 29

Geiger, EUV/EGV, Art. 24 EUV Rn. 4. Thun-Hohenstein, Der Vertrag von Amsterdam, S. 74. BVerfGE 90, 286 (364); 104, 151 (209); Becker, NVwZ 2005, 289. Art. 4 Abs. 3 des Interimsabkommens. Siehe Kapitel 5 I. § 22 Abs. 4 S. 2 BDSG. Plenarprotokoll, ABl. C 110 E v. 24.09. 2010, S. 183 f. Siehe Kapitel 3 A. II. Siehe Kapitel 3 A. I. 1. a).

A. Interimsabkommen vom 30. November 2009

39

Amtsblatt eine Bürger und Unternehmen verpflichtende Drittwirkung entfalten.30 Dies erfordert jedoch, dass das Abkommen bereits in Kraft getreten ist.31 Bei der Bindungswirkung ab 01. Februar 2010 handelte es sich um eine vorläufige Anwendung nach Art. 218 Abs. 5 AEUV (bzw. Art. 300 Abs. 2 UAbs. 1 S. 1 EGV).32 Das endgültige Inkrafttreten war für den ersten Tag des Monats, der auf den Abschluss der internen Verfahren der Vertragsparteien folgt, vorgesehen.33 Die Verhandlungsführer der EU können dabei, da sie im November 2009 keine Zustimmung des Europäischen Parlaments als erforderlich angesehen hatten,34 damit nur nationale Umsetzungsakte und die Veröffentlichung im Amtsblatt der Union im Sinn gehabt haben. Jedoch wurde die bewusst offene Formulierung der „einschlägigen internen Verfahren“ gewählt. Dies war auch notwendig, weil die Vertragspartner über keine vertiefte Kenntnis der internen Verfahrensvorschriften der jeweils anderen Seite verfügen. Insofern muss dem objektiven Wortlaut bei der Auslegung größere Relevanz eingeräumt werden als der Intention einer Vertragspartei, sodass auch die Ratifizierung durch das Europäische Parlament zu den „einschlägigen internen Verfahren“ gezählt werden muss. Eine Bestätigung durch das Parlament konnte nach der ablehnenden Entscheidung nicht mehr erreicht werden,35 sodass das Abkommen nicht in Kraft treten konnte. Da weder nationale Parlamente noch das Europäische Parlament eine solche Gesetzesgrundlage geschaffen hatten, konnte nicht auf den Datenbestand von S.W.I.F.T. zugegriffen werden. Entsprechend ist es in dem Zeitraum zu keiner Datenübertragung durch S.W.I.F.T. gekommen.36 Sie wäre auch aus tatsächlichen Gründen kaum möglich gewesen, weil die Beantwortung einer Anfrage der USA eine Bearbeitungszeit von mehr als zehn Tagen erfordert.37 Daraus, dass das Abkommen faktisch nicht mehr in Kraft treten konnte, folgte noch keine automatische Aufhebung der vorläufigen Anwendung, weil den USA entsprechend den Art. 27, 46 der Wiener Übereinkunft über das Recht der Verträge38 30

EuGH, Rs. C-192/89, Slg. 1990, I-3497, Rn. 24. Schmalenbach, in: Callies/Ruffert, EUV/EGV, Art. 300 EGV Rn. 51. 32 Art. 15 Abs. 2 des Interimsabkommens. 33 Art. 15 Abs. 1 des Interimsabkommens. 34 Pressemitteilung des Justizministeriums Rheinland-Pfalz v. 08.02. 2010, abrufbar unter http://www.rlp.de/no_cache/aktuelles/presse/einzelansicht/archive/2010/february/article/bam berger-appelliert-an-europa-abgeordnete-keine-zustimmung-zu-dem-umstrittenen-swift-abkom men-mit-d/. 35 Die einzige Möglichkeit der erneuten Abstimmung über den identischen Vertragstext mit positivem Ausgang wäre zwar theoretisch denkbar aber politisch nicht zu erwarten gewesen. 36 SWIFT gibt keine Finanzdaten an die USA heraus, Heise Online v. 01.02. 2010, abrufbar unter http://www.heise.de/newsticker/meldung/swift-gibt-keine-finanzdaten-an-die-usa-heraus-919673.html. 37 Bankdaten-Abkommen empört Datenschützer, Handelsblatt v. 01.02. 2010, S. 15. 38 Obwohl weder die USA noch die EU die Übereinkunft ratifiziert haben, bilden ihre Regelungen eine Zusammenstellung des Völkergewohnheitsrechts, das auch weitere Völker31

40

Kap. 3: Einigung auf ein transatlantisches Abkommen

Vertrauensschutz zukam, sofern nicht offensichtlich war, dass interne Zuständigkeitsregeln für Vertragsschlüsse nicht beachtet wurden.39 Insofern wurde eine Aussetzungserklärung nach Art. 14 Abs. 1 S. 1, 2 des Interimsabkommens erforderlich, um die vorläufige Anwendung zu beenden.40 Diese konnte erst nach Ablauf einer Frist von zehn Tagen ab dem Eingang der diplomatischen Notifizierung Wirksamkeit entfalten, sodass die vorläufige Anwendbarkeit des Interimsabkommens vom 01. Februar bis mindestens zum 22. Februar 2010 reichte, ohne dass es zu einem Anwendungsfall gekommen ist.

II. Anwendung der Regelungen des Vertrages von Lissabon Das Europäische Parlament hatte die Möglichkeit, das Abkommen zu Fall zu bringen, weil seine Zustimmung nach Art. 218 Abs. 6 AEUV als erforderlich angesehen wurde. Diese Einschätzung ist nur dann zutreffend, wenn diese mit dem Vertrag von Lissabon41 am 01. Dezember 2009 in Kraft getretene Norm tatsächlich auf den Vertragsschluss des Interimsabkommens anwendbar war. Als am Tag zuvor das Abkommen unterzeichnet wurde und der entsprechende Ratsbeschluss ergangen ist,42 gingen die zuständigen Gremien noch davon aus, dass das Verfahren vollständig nach dem bisherigen Recht abzuwickeln sei.43 Nachdem Bundesinnenminister de Maizière im Rat jedoch darauf aufmerksam gemacht hatte, dass möglicherweise der Vertrag von Lissabon eine „Vorwirkung“ entfalten könnte, haben die Juristischen Dienste von Rat und Kommission ein Rechtsgutachten erstellt, das diese Auffassung bestätigte.44 Infolgedessen haben sich Rat und Kommission hinsichtlich des Vertragsschlussverfahrens den Regelungen der neuen Rechtslage unterworfen.45

rechtssubjekte bindet (Schmalenbach, in: Callies/Ruffert, EUV/EGV, 3. Aufl. 2007, Art. 300 EGV Rn. 32). 39 Sinclair, in: The Vienna Convention on the Law of Treaties, S. 169. 40 Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments, Plenarsitzungsdokument A7 – 0013/2010, S. 10. 41 Vertrag von Lissabon zur Änderung des Vertrages über die Europäische Union und des Vertrages zur Gründung der Europäischen Gemeinschaft, ABl. C 306 v. 17.12. 2007, S. 1. 42 Siehe Kapitel 3 A. 1. 43 Pressemitteilung des Justizministeriums Rheinland-Pfalz v. 08.02. 2010, abrufbar unter http://www.rlp.de/no_cache/aktuelles/presse/einzelansicht/archive/2010/february/article/bam berger-appelliert-an-europa-abgeordnete-keine-zustimmung-zu-dem-umstrittenen-swift-abkom men-mit-d/. 44 Vgl. Plenarprotokoll des Deutschen Bundestages Nr. 17/23, S. 1970. 45 Pressemitteilung des Rates Nr. 16883/1/09 REV 1 (Presse 335) zur Kommissionstagung v. 30.11./01.12. 2009.

A. Interimsabkommen vom 30. November 2009

41

1. Beendigung des Vertragsschlussverfahrens Der Abschluss des Abkommens unterlag nur dann den Regeln des Vertrages von Lissabon, wenn er nach dem 30. November 2009 erfolgte. Für die Verhandlungen, den zustimmenden Ratsbeschluss und die Unterzeichnung gilt dies nicht. Jedoch hat der deutsche Ratifizierungsvorbehalt dazu geführt, dass eine innerstaatliche Ratifizierung erforderlich wurde, die erst nach Inkrafttreten des Vertrags von Lissabon erfolgen konnte. Damit stellt sich die Frage, ob das Vertragsschlussverfahren bereits im November 2009 abgeschlossen war oder ob es die Ratifizierung umfasst, sodass es auch im Dezember 2009 noch andauerte. Gemäß Art. 24 Abs. 5 EUV a.F. ist ein Staat, dessen Vertreter im Rat erklärt, dass in seinem Land bestimmte verfassungsrechtliche Vorschriften eingehalten werden müssen, durch eine Übereinkunft, die die Union eingeht, nicht gebunden. Es können jedoch die anderen Mitglieder des Rates übereinkommen, dass das Abkommen „dennoch vorläufig gilt“. Daraus ergeben sich zwei Möglichkeiten, dem Ratifizierungsvorbehalt zu begegnen: die mitgliedstaatliche Ratifizierung oder eine Ratsbeschluss zur vorläufigen Anwendung. Ein deutsches Zustimmungsgesetz wurde nie verabschiedet, sodass die erste Option nicht eingetreten ist.46 In Art. 15 Abs. 1, 2 des Interimsabkommens wurde hingegen die vorläufige Anwendung ab dem 01. Februar 2010 für den Fall bestimmt, dass bis dahin der „Abschluss der einschlägigen internen Verfahren“ dem Vertragspartner mitgeteilt wurde. Die Annahme des diesen Passus enthaltenden Vertragstexts wurde vom Rat beschlossen, sodass darin eine Übereinkunft i.S.d. Art. 24 Abs. 5, Hs. 2 EUV a.F. zu sehen ist, dass das Abkommen auch ohne Ratifizierung gültig sein sollte. Obwohl die vorläufige Anwendung erst im Februar 2010 erfolgen sollte, wurde der entsprechende Beschluss bereits am 30. November 2009 gefasst, also noch vor Inkrafttreten des Vertrages von Lissabon. a) „Vorläufige Geltung“ als endgültiger Zustand Es ist daher entscheidend, ob der Ratsbeschluss zur vorläufigen Geltung das Vertragsschlussverfahren abgeschlossen hat. Die Gesetzesformulierung der „vorläufigen Geltung“ lässt zunächst auf ein Provisorium schließen, das noch der endgültigen rechtlichen Fixierung bedarf. Dies würde jedoch voraussetzen, dass die Ratifizierung tatsächlich den Fortbestand eines vorläufig geltenden Vertrages beeinflussen kann. Hierfür ist der zuvor nie eingetretene Fall heranzuziehen,47 dass eine positive Ratifizierung ausbleibt. Es entspricht dem Sinn der Vorschrift, dass eine spätere Partizipation des sich zunächst außenvorhaltenden Mitgliedstaates offen 46

Nachdem sich Rat und Kommission den Regelungen des Vertrags von Lissabon unterworfen hatten, vertraten diese Organe nach Konsultation ihrer juristischen Dienste die Auffassung, dass der eingelegte Ratifizierungsvorbehalt keine Wirkung mehr zeigen würde (Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009, S. 4.). Deshalb wurde auf eine mitgliedstaatliche Ratifizierung verzichtet. 47 Marquardt, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 24 EUV Rn. 11.

42

Kap. 3: Einigung auf ein transatlantisches Abkommen

gehalten werden soll,48 um so die Handlungsfähigkeit des durch Einstimmigkeitserfordernisse geprägten Rates bei internationalen Vereinbarungen zu erhöhen.49 Insofern kann auch ein länger andauernder Zustand ohne Ratifizierung die vorläufige Gültigkeit nicht beenden. Selbst dann, wenn auf nationaler Ebene eine negative Entscheidung fällt, weil beispielsweise das Parlament ein Umsetzungsgesetz ablehnt, hat dies keine Auswirkungen auf die Geltung des Abkommens, weil sich die innenpolitische Meinungslage in der Zukunft ändern kann. Der Ratifizierungsvorbehalt kann nicht nur zu einer vorübergehenden, sondern auch zu einer andauernden Freistellung des entsprechenden Mitgliedstaates führen.50 Auch aus völkerrechtlicher Sicht muss gefolgert werden, dass die vorläufige Gültigkeit bestehen bleiben würde, wenn die Ratifizierung ausbliebe, denn im Außenverhältnis ist der Vertrag vollständig wirksam.51 Dem pacta-sunt-servandaGrundsatz steht der Vorbehalt eines einzelnen Staates nicht entgegen.52 Vorläufig gültige Abkommen befinden sich damit weder in einem Zustand schwebender Wirksamkeit noch unterliegen sie einer auflösenden Bedingung. Insofern ist die Formulierung des Art. 24 Abs. 5, 2. Hs. EUV a.F. unglücklich gewählt. Es handelt sich de facto nicht um eine vorläufige, sondern eine endgültige Geltung.53 Dies spricht dafür, dass das Vertragsschlussverfahren zum Interimsabkommen bereits vor Inkrafttreten des Vertrags von Lissabon abgeschlossen war. b) „Vorläufige Geltung“ als qualitatives Minus Die unbedingte und endgültige Anwendbarkeit trifft jedoch gemäß Art. 24 Abs. 5 EUV a.F. lediglich die Mitgliedstaaten, die ihre Zustimmung oder Enthaltung nicht unter Ratifizierungsvorbehalt gestellt haben. Insofern ergibt sich eine inhaltliche Differenz zwischen einem lediglich vorläufig gültigen Abkommen und einem solchen, das in Kraft ist. Dies könnte dazu führen, dass ein Vertragsschlussverfahren erst nach der eventuell ausstehenden Ratifizierung abgeschlossen ist. Entscheidend dafür ist, ob es sich bei der fehlenden Bindung des Mitgliedstaates, der einen Ratifizierungsvorbehalt eingelegt hat, um eine unionsinterne Freistellung handelt oder ob auch gegenüber dem Vertragspartner eine Freistellung erfolgt. Sollte das einzelne Land im Außenverhältnis befreit sein, so kann der Vertragspartner nur eingeschränkte Leistung aus dem Abkommen verlangen. Dann wäre der nur vorläufig gültige Vertrag unvollkommen und somit auch das Vertragsschlussverfahren nicht abgeschlossen. Sollte es sich um eine Freistellung im Innenverhältnis der Union 48 Kaufmann-Bühler, in: Grabitz/Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 24 EUV Rn. 18. 49 Bitterlich, in: Lenz/Borchard, EUV/EGV, Art. 24 Rn. 1. 50 Thun-Hohenstein, Der Vertrag von Amsterdam, S. 73; Kaufmann-Bühler, in: Grabitz/ Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 24 EUV Rn. 18. 51 Cremer, in: Callies/Ruffert, EUV/EGV, Art. 24 Rn. 9. 52 Hafner, in: FS Seidl-Hohenveldern, S. 157 (276, 281). 53 Cremer, in: Callies/Ruffert, EUV/EGV, Art. 24 Rn. 9.

A. Interimsabkommen vom 30. November 2009

43

handeln, so könnte der Vertragspartner die Erfüllung der im Vertrag geforderten Leistungen uneingeschränkt fordern. Kann nur der ausgeschlossene Mitgliedstaat dies umsetzen, so würde die Union vertragsbrüchig werden.54 Diese Problematik wäre dann jedoch eine unionsinterne, das Abkommen selbst wäre jedoch vollständig wirksam. c) Bindungswirkung von durch die EU geschlossenen Abkommen Die Frage, ob die Befreiung eines Mitgliedstaates nach Art. 24 Abs. 5 EUV a.F. im Außenverhältnis oder nur im Innenverhältnis wirkt, hängt von der Frage ab, wen die vom Rat geschlossenen Abkommen überhaupt binden. In der Regel wird angenommen, dass die Union stellvertretend für die Mitgliedstaaten Verträge abschließt, sodass die einzelnen Mitgliedstaaten Vertragsparteien werden.55 Während der Geltung des EUV alter Fassung56 mehrten sich allerdings die Stimmen, die die Union selbst als Vertragspartner ansahen.57 Die letztgenannte Auffassung ist bereits insofern problematisch, als dass vor Inkrafttreten des Vertrags von Lissabon58 überwiegend davon ausgegangen wurde, dass die Europäische Union keine eigene Rechtspersönlichkeit besaß.59 Solange es sich nicht um ein Völkerrechtssubjekt handelte, war es ihr nicht möglich, Verträge mit Drittstaaten im eigenen Namen zu schließen. Selbst wenn man annimmt, dass die Union durch ihr Auftreten in der Praxis von den Mitgliedstaaten als ihren Trägern durch konkludente Vereinbarung mit einer Rechtspersönlichkeit ausgestattet wurde,60 bestehen Schwierigkeiten darin, die Union als Vertragspartei der vom Rat geschlossenen völkerrechtlichen Übereinkünfte anzusehen. Zwar deutet die Möglichkeit, Abkommen im Rat mit qualifizierter Mehrheit zu beschließen, darauf hin, dass nicht die Mitgliedstaaten Vertragsparteien werden, weil die überstimmten Staaten ansonsten einem Vertrag zu Lasten Dritter

54 Zu dieser Form der rechtlichen Unmöglichkeit Hafner, in: FS Seidl-Hohenveldern, S. 157 (282). 55 Thun-Hohenstein, Der Vertrag von Amsterdam, S. 74; Kaufmann-Bühler, in: Grabitz/ Hilf, Das Recht der Europäischen Union, Art. 24 EUV, 40. EL 2009, Rn. 19 f. 56 Nach Inkrafttreten des Vertrags von Lissabon ist es gemäß Art. 216 AEUV ohnehin „die Union“, die Übereinkünfte mit Drittländern schließt. 57 Marquardt, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 24 EUV Rn. 11 ff.; in der Tendenz auch Cremer, in: Callies/Ruffert, EUV/EGV, Art. 24 EUV Rn. 8; Hafner, in: FS SeidlHohenveldern, S. 157 (283). 58 Nach Inkrafttreten des Vertrags von Lissabon ergibt sich die Rechtsfähigkeit der EU unzweifelhaft aus Art. 1 EUV (Streinz/Ohler/Herrmann, Der Vertrag von Lissabon zur Reform der EU, § 4 Abschn. III Nr. 2). 59 Geiger, EUV/EGV, Art. 1 EUV Rn. 7; Kaufmann-Bühler, in: Grabitz/Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 24 EUV Rn. 21. 60 Hilf/Pache, NJW 1998, 709; Kirchhof, in: v. Bogdandy/Bast, Europäisches Verfassungsrecht, S. 1009 (1035).

44

Kap. 3: Einigung auf ein transatlantisches Abkommen

unterworfen sein könnten.61 Hinzu kommt das Argument der Wortlautänderung des Vertrages von Nizza gegenüber dem Vertrag von Amsterdam. Konnten nach der Ursprungsfassung die Mitgliedstaaten, die keinen Ratifizierungsvorbehalt eingelegt hatten, bestimmen, dass „die Übereinkunft für sie vorläufig gilt“, hieß es in der späteren Fassung nur noch, dass „die Übereinkunft dennoch vorläufig gilt“. Daraus kann geschlossen werden, dass die vorläufige Geltung die Union betrifft, die demnach auch Vertragspartner sein müsste.62 Eine derartige Auslegung steht jedoch im Widerspruch zur Natur des Ratifizierungsvorbehalts. Schließlich kann der Grund für dessen Einlegung nach Art. 24 Abs. 5 EUV a.F. nur in dem Erfordernis liegen, „bestimmte verfassungsrechtliche Vorschriften“ einhalten zu müssen. Noch deutlicher wird die englische Fassung, in der „requirements of its own constitutional procedure“ als Kriterium genannt werden. Wenn es nicht die Mitgliedstaaten sind, die das Abkommen schließen, sondern lediglich ein Gebilde, dessen Mitglied sie sind, dann stehen innerstaatliche Verfahrensvorschriften wie Art. 59 Abs. 2 GG dem Vertragsschluss auch nicht im Wege. Es muss aus diesen Gründen das Bündel aus Mitgliedstaaten als Vertragspartei der durch den Rat abgeschlossenen völkerrechtlichen Übereinkünfte angesehen werden.63 d) Zwischenergebnis Wenn die Mitgliedstaaten die Vertragsparteien von Abkommen mit Drittstaaten werden, dann sind diese auch unmittelbar im Außenverhältnis dem Drittstaat gegenüber verpflichtet. Ist ein einzelner Staat wie in diesem Fall Deutschland nach Art. 24 Abs. 5 EUV a.F. an die Übereinkunft nicht gebunden, dann handelt es sich danach um eine Freistellung im Außenverhältnis, sodass der Drittstaat keine Erfüllung durch diesen konkreten Staat verlangen kann. Daraus folgt, dass USA aus dem am 30. November 2009 geschlossene Interimsabkommen keine Rechte gegenüber Deutschland ableiten konnten. Da sich in Deutschland weder der Sitz noch ein Rechenzentrum von S.W.I.F.T. befand, war dies von geringer praktischer Bedeutung. Der Vertragstext enthielt jedoch auch Verpflichtungen, die auch der deutsche Staat zu erfüllen hatte.64 Diese waren aufgrund der Freistellung Deutschlands nicht verbindlich, sodass das Interimsabkommen bis zu seiner nationalen Ratifizierung nicht vollständig abgeschlossen war. Das Vertragsschlussverfahren reichte somit in den Zeitraum der Geltung des Vertrags von Lissabon hinein.

61

Cremer, in: Callies/Ruffert, EUV/EGV, Art. 24 EUV Rn. 7. Marquardt, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 24 EUV Rn. 11. 63 Thun-Hohenstein, Der Vertrag von Amsterdam, S. 74; Kaufmann-Bühler, in: Grabitz/ Hilf, Das Recht der Europäischen Union, Art. 24 EUV, 40. EL 2009, Rn. 19 f. 64 Siehe Kapitel 3 A. I. 1. b). 62

A. Interimsabkommen vom 30. November 2009

45

2. Folgen des nicht beendeten Vertragsschlussverfahrens vor Inkrafttreten des Vertrags von Lissabon Es ist nicht selbstverständlich, dass das Hineinreichen eines Vertragsschlussprozesses in eine neue Rahmenrechtsordnung die Folge hat, dass die neuen Regelungen auf das laufende Verfahren anzuwenden sind. Insbesondere erscheint die von den Unionsorganen vorgenommene Kombination aus Regelungen des alten und des novellierten EUV fraglich. So wurde, nach dem Bekanntwerden des noch nicht beendeten Vertragsschlussverfahrens vor Inkrafttreten des Vertrags von Lissabon kein neuer Ratsbeschluss gefasst. Auch ist das Parlament nicht, wie in Art. 218 Abs. 6 EUV n.F. vorgesehen, in die Vertragsverhandlungen einbezogen worden, sondern durfte lediglich den nach altem Recht gefassten Ratsbeschluss bestätigen oder ablehnen. a) Fortgeltung von Teilakten eines Vertragsschlussverfahrens bei grundlegender Änderung des Primärrechts Die Situation ist vergleichbar – wenn auch nicht deckungsgleich – mit der Phase des Inkrafttretens des Grundgesetzes im Jahr 1949. Die Übergangsregelung des Art. 123 Abs. 2 GG bestimmt hierzu, dass vom Deutschen Reich abgeschlossene Staatsverträge in Kraft bleiben sollten. Diese Regelung steht im Zusammenhang mit Art. 123 Abs. 1 GG, wonach sämtliches Recht aus der Zeit vor dem ersten Zusammentritt des Deutschen Bundestages fortgelten sollte, solange es dem Grundgesetz nicht widersprach. Eine solche Fortgeltung in der neuen Kompetenzordnung konnte nur dann erfolgen, wenn das Rechtssetzungsverfahren vollständig durchlaufen war.65 Dies ist anhand der staatsrechtlichen Verhältnisse zu beurteilen, die während des Inkrafttretens vorherrschten.66 War ein Rechtssetzungsverfahren zum Zeitpunkt des Zusammentritts des ersten Bundestages noch nicht abgeschlossen, so handelte es sich lediglich um einen unverbindlichen Entwurf.67 Wurden nicht alle Verfahrensvoraussetzungen zum Abschluss eines vor dem Zusammentritt des Bundestages verhandelten völkerrechtlichen Vertrages rechtzeitig erfüllt, so war dessen völkerrechtliche Bindungswirkung nach völkerrechtlichen Kriterien zu bemessen.68 Im innerstaatlichen Verhältnis waren die erfolgten Teilakte des Rechtssetzungsverfahrens jedoch ohne weitere Wirkung. Es bedurfte insofern eines kompletten Neubeginns des Verfahrens. Die entsprechende Übergangsbestimmung des Vertrages von Lissabon befindet sich im Protokoll Nr. 36. Dessen Art. 9 bestimmt, dass Rechtsakte der Unionsorgane, die vor dem Inkrafttreten des Vertrags von Lissabon angenommen wurden, ihre 65 66 67 68

Wulff, in: v. Mangoldt/Klein/Starck, GG, Art. 123 Rn. 21. BVerfGE 6, 309 (331); 10, 354 (360) 25, 216 (225). Maunz, in: ders./Dürig, GG, Art. 123 Rn. 7. Vgl. Kirn, in: v. Münch/Kunig, GG, Art. 123 Rn. 13.

46

Kap. 3: Einigung auf ein transatlantisches Abkommen

Rechtswirkung behalten. Jedoch kann eine Fortgeltung nur dann erfolgen, wenn das Verfahren vollständig durchlaufen wurde. Vorherige Teilakte einzelner Organe sind ansonsten wirkungslos. Eine Fortführung des Verfahrens nach dem Inkrafttreten des Vertrages von Lissabon kann demnach nur dann erfolgen, wenn alle nach der neuen Rechtslage erforderlichen Teilakte nach dem Zäsur-Zeitpunkt noch einmal erlassen werden. Hierbei kann freilich auf die zuvor ergangenen Teilakte Bezug genommen werden, wenn die Zuständigkeiten der neuen Primärrechtsordnung gewahrt sind. b) Fortgeltung des nach alter Rechtslage gefassten Ratsbeschlusses Der Ratsbeschluss vom 30. November 2009 war ein Teilakt des bis zum Inkrafttreten des Vertrages von Lissabon nicht abgeschlossenen Vertragsschlussverfahrens.69 Damit hat er einen Tag später seine Verbindlichkeit verloren. Eine ausdrückliche Bestätigung des alten Beschlusses durch einen neuen Ratsbeschluss hat es nicht gegeben, vielmehr ist der Rat davon ausgegangen, dass seine Annahme des Vertragsentwurfs unverändert fortbestünde.70 Diese Ansicht ist insbesondere deshalb problematisch, weil die Möglichkeit der Enthaltung unter Ratifizierungsvorbehalt in der Neufassung des EUV nicht mehr vorgesehen ist. Die tatsächlich abgegebenen vorbehaltlichen Voten wurden somit in vorbehaltlose Enthaltungen umgedeutet.71 Zwar zeigt sich ein Ratsvertreter, der einen Ratifizierungsvorbehalt einlegt, mit der grundsätzlichen Geltung des Abkommens ausdrücklich einverstanden,72 es ist jedoch fraglich, ob er seine Enthaltung ohne die Einbeziehung eines nationalen Vetorechts ebenso erklärt hätte. Zudem wird der Mitgliedstaat, dem er angehört, durch eine solche Umdeutung Vertragsverpflichtungen unterworfen, die er zuvor für sich explizit abgelehnt hatte. Zur Fortgeltung des ursprünglichen Ratsbeschlusses hätte es somit eines bestätigenden Ratsbeschlusses bedurft. Diese Abstimmung wäre dann nach den neueren Vorschriften erfolgt, sodass die Ratsvertreter die Gelegenheit gehabt hätten, bei fehlender Möglichkeit des Ratifizierungsvorbehalts ein ablehnendes Votum abzugeben. Bereits aus diesem Grund konnte das Interimsabkommen nicht wirksam werden.

III. Verstoß gegen das Gebot der Unionstreue Die Wahl des Zeitpunktes von Ratsbeschluss und Abkommenszeichnung am Tag vor dem Inkrafttreten des Vertrags von Lissabon ist äußerst problematisch, weil die Mitspracherechte des Europäischen Parlamentes durch das Verfahren beschränkt 69

Siehe Kapitel 3 A. II. 1. Datenspende an die USA, TAZ v. 02.02. 2010, S. 12. 71 Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009, S. 4. 72 Hafner, in: FS Seidl-Hohenveldern, S. 157 (279 f.); Thun-Hohenstein, Der Vertrag von Amsterdam, S. 71. 70

A. Interimsabkommen vom 30. November 2009

47

wurden. Dies gilt in besonderem Maße hinsichtlich des Gebotes der Unionstreue. Dieser im Wesentlichen aus Art. 10 EGV a.F. bzw. Art. 4 Abs. 3 EUV n.F.,73 aber auch aus der Gesamtschau des Primärrechts abgeleitete Grundsatz74 ist vergleichbar mit der Bundestreue des deutschen föderalen Systems.75 Über den Gesetzeswortlaut hinaus verpflichtet der Grundsatz nicht nur die Mitgliedstaaten und die Union, sondern auch die Unionsorgane untereinander zu loyalem Verhalten.76 So können daraus etwa Mitwirkungs- und Unterstützungspflichten bei der Durchsetzung und Anwendung des Unionsrechts, bei konkurrierender Zuständigkeit und in notstandsähnlichen Situationen resultieren. Weitere Fallgruppen bilden das Verbot der Beeinträchtigung gemeinschaftsrechtlich garantierter Individualrechte, der Störung der gemeinsamen Marktorganisation und schließlich das Verbot der Störung der Funktionsfähigkeit und des Arbeitsablaufs der Gemeinschaftsorgane.77 Zum letztgenannten Kreis zählt unter anderem die Achtung der legislativen Beteiligungsrechte des Europäischen Parlaments.78 Dies bedeutet zum einen, dass ihm die tatsächliche Möglichkeit zur Ausfüllung eines primärrechtlichen Beteiligungsrechts gegeben wird. Schon wegen des Demokratieprinzips muss der Rat dies beispielsweise durch einen zügigen Informationsfluss sicherstellen.79 Auch über die Kompetenzen der primärrechtlichen Verträge hinaus ist jedoch ein gewisses Maß an Loyalität an den Tag zu legen. So ist es dem Rat untersagt, die Wahl zwischen mehreren in Betracht kommenden Rechtsgrundlagen für einen Sekundärrechtsakt daran auszurichten, welche Vorschrift die schwächeren Beteiligungsrechte des Parlaments enthält.80 Ganz ähnlich verhielt es sich im Fall der Abkommenszeichnung am Tag vor Inkrafttreten des Vertrags von Lissabon. Dort war es nicht die Frage der Rechtsgrundlage oder der Handlungsform, die über das Bestehen eines Mitwirkungsrechts entschieden hat, sondern die nach dem Primärrecht, das sich gerade im Wandel befand. In dem Wissen, dass bei einer Unterzeichnung nur wenige Stunden später eine Zustimmung des Europäischen Parlamentes erforderlich gewesen wäre, war der Rat bestrebt, das Verfahren eigenständig noch vor Erreichen dieser zeitlichen Grenze abzuschließen. Die besondere Eilbedürftigkeit des Vorhabens, mit der begründet wurde, dass eine Verschiebung der Verabschiedung des Abkommens nicht möglich sei, kann nicht nachvollzogen werden. Zwar erfolgte die Umsetzung der Distributed Architecture 73

Kahl, in: Callies/Ruffert, EUV/EGV, Art. 10 EGV Rn. 7. Lechler, Der Europäische Gerichtshof und die allgemeinen Rechtsgrundsätze, S. 145 ff. 75 Lück, Die Gemeinschaftstreue, S. 79 ff.; Zuleeg, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 10 EGV Rn. 1. 76 EuGH, Rs. 204/86, Slg. 1988, 5323, Rn. 16; Rs. C-65/93, Slg. 1995, I-643, Rn. 23; Becker, in: Siekmann, Kommentar zur Europäischen Währungsunion, Art. 343 Rn. 5. 77 Lück, Die Gemeinschaftstreue, S. 25 ff. 78 Kahl, in: Callies/Ruffert, EUV/EGV, Art. 10 EGV Rn. 81. 79 EuGH, Rs. C-65/93, Slg. 1995, I-643, Rn. 23. 80 Kahl, in: Callies/Ruffert, EUV/EGV, Art. 10 EGV Rn. 81. 74

48

Kap. 3: Einigung auf ein transatlantisches Abkommen

durch S.W.I.F.T. bereits zum 01. Januar 2010,81 sodass das TFTP ohne europäische Kooperation zum damaligen Zeitpunkt nur noch einen Monat lang Zugriff auf den Datenbestand des Unternehmens gehabt hatte. Da S.W.I.F.T. jedoch sämtliche Transaktionsdaten 124 Tage lang speichert,82 wäre es ohne weiteres möglich gewesen, auch bei kurzfristiger fehlender Zugriffsmöglichkeit Lücken im Fahndungsbestand nachträglich zu schließen. Zudem war das Inkrafttreten ohnehin erst für den 01. Februar 2010 vorgesehen.83 Negative Auswirkungen durch das Verschieben des Vertragsschlusses um nur einen einzigen Tag sind nicht denkbar. Es kann dem Rat bei der Wahl des Termins aufgrund der angenommenen Eilbedürftigkeit lediglich darum gegangen sein, den Zeitverlust zu umgehen, den eine Einbeziehung des Parlaments mit sich gebracht hätte. Auch dies kann jedoch nicht überzeugen. Die faktische Frist von 124 Tagen ab dem 01. Januar reichte bis zum 05. Mai 2010. Auch dann, wenn man dem US-Finanzministerium und S.W.I.F.T. einige Wochen zum Stellen und Beantworten der Datenanfragen zugesteht, wäre eine Beteiligung des Europäischen Parlamentes zeitlich möglich gewesen. Die bewusste Umgehung des Parlamentes kann somit nicht mit dem Argument der Eilbedürftigkeit legitimiert werden. Diese Vorgehensweise, die zunächst im Rat verfolgt wurde, widersprach daher dem Gebot der Unionstreue. Es entspricht hingegen auch gerade demselben Grundsatz, dass der Rat sich kurz darauf selbst den Regelungen des Vertrags von Lissabon für das Vertragsschlussverfahren unterworfen hat.84 Die nachträgliche Einbeziehung des Parlaments ist jedoch ebenfalls im Hinblick auf die gebotene Unionstreue nicht unproblematisch. Gemäß dem im Zuge des Vertrags von Lissabon eingefügten Art. 218 Abs. 6 lit. a AEUV hat die Zustimmung des Europäischen Parlaments noch vor dem Ratsbeschluss und der Unterzeichnung einer völkerrechtlichen Vereinbarung mit einem Drittstaat zu erfolgen. Zudem ist das Parlament nach Art. 218 Abs. 10 AEUV in allen Phasen des Verfahrens unverzüglich und umfassend zu unterrichten. Diese beiden Regelungen sollen das Parlament in die Lage versetzen, sich bereits in die Vertragsverhandlungen einbringen und Einfluss auf den Inhalt des Abkommens ausüben zu können. Wird es hingegen, wie hier geschehen, erst nachträglich mit der Materie betraut, so ist es in seinen durch den neuen AEUV garantierten Mitwirkungsrechten entscheidend beschnitten. Da die Vertragsparteien das Abkommen bereits unterzeichnet hatten, konnte kein Einfluss mehr auf einzelne Klauseln genommen werden. Das Parlament konnte, obwohl es im September 2009 im Rahmen einer unverbindlichen Resolution bereits zahlreiche Änderungsvorschläge gemacht hatte,85 im Februar 2010 nur noch einen Text an81

Siehe Kapitel 2 II. 2. Siehe Kapitel 2 A. II. 1. a). 83 Art. 15 Abs. 2 des Interimsabkommens. 84 Pressemitteilung des Rates Nr. 16883/1/09 REV 1 (Presse 335) zur Kommissionstagung v. 30.11./01.12. 2009. 85 Entschließung des Europäischen Parlaments vom 17. September 2009 zu dem geplanten internationalen Abkommen, demgemäß dem Finanzministerium der Vereinigten Staaten Fi82

A. Interimsabkommen vom 30. November 2009

49

nehmen oder ablehnen, in dem die wesentlichen Vorschläge keine Berücksichtigung gefunden hatten.86 Der Grundsatz der Unionstreue verpflichtet die Unionsorgane jedoch gerade dazu, keine vollendeten Tatsachen zu schaffen, die die Beteiligung des Europäischen Parlamentes zu einer Formalie verkommen lassen.87 Diese spezielle Fallgruppe verpflichtet den Rat zudem insbesondere dazu, dem Parlament alle notwendigen Unterlagen rechtzeitig zu Verfügung zu stellen, damit dieses seine Beteiligungsrechte vollumfänglich ausüben kann.88 Stattdessen wurden die für die Zustimmung notwendigen Unterlagen trotz massiver Erinnerungen seitens des Parlamentes89 erst so spät übermittelt, dass erst in der Plenarsitzung am 11. Februar 2010 ein Parlamentsbeschluss gefasst werden konnte, als das Abkommen bereits vorläufig angewandt wurde.90 Der Rat hat diese ungewöhnlich lange Verzögerung mit Schwierigkeiten bei der Übersetzung in die Sprachen aller Mitgliedstaaten begründet. Dieser Grund wurde teilweise von Abgeordneten des Europäischen Parlaments offen angezweifelt.91 Hinzu kommt, dass selbst zur Abstimmung den Abgeordneten lediglich der Hauptteil des Abkommens vorlag,92 nicht aber der nichtöffentliche Anhang, der bezeichnete, welche Zahlungsverkehrsdienstleister vom Abkommen umfasst sein sollten.93 Diese lückenhafte und späte Unterrichtung des Parlaments durch den Rat verstieß sowohl gegen die weitreichenden Informationspflichten aus Art. 218 Abs. 10 AEUVals auch gegen das Gebot der Unionstreue. Es handelt sich bei dem verletzten Grundsatz der Unionstreue nicht nur um einen reinen zur Loyalität anhaltenden Programmsatz, sondern um ein verbindliches Rechtsinstitut, aus dem Handlungs- und Unterlassungspflichten hervorgehen.94 Zur vollständigen gerichtlichen Durchsetzbarkeit ist eine weitere Konkretisierung des nanztransaktionsdaten zum Zwecke der Prävention und Bekämpfung des Terrorismus und der Terrorismusfinanzierung zur Verfügung gestellt werden sollen, P7_TA(2009)0016. 86 EU-Parlament kann SWIFT-Abkommen zum Bankdaten-Transfer in die USA noch ablehnen, Heise Online v. 01.12. 2009, abrufbar unter http://www.heise.de/newsticker/meldung/EU-Parlament-kann-SWIFT-Abkommen-zum-Bankdaten-Transfer-in-die-USA-noch-ab lehnen-873475.html. 87 Kahl, in: Callies/Ruffert, EUV/EGV, Art. 10 EGV Rn. 81. 88 Kahl, in: Callies/Ruffert, EUV/EGV, Art. 10 EGV Rn. 81; Marauhn, in: Schulze/Zuleeg, Europarecht, § 7 Rn. 49. 89 U.a. durch das Schreiben des Parlamentspräsidenten Buzek an den Ratspräsidenten v. 15.01. 2010, abrufbar unter http://www.netzpolitik.org/wp-upload/438669_EN.pdf. 90 Siehe Kapitel 3 A. I. 2. 91 Pressemitteilung von MdEP Albrecht, v. 21.01. 2010, abrufbar unter http://janalbrecht.eu/2010/01/21/neue-geschichten-uber-das-swift-abkommen/; Pressemitteilung von MdEP Ernst, v. 20.01. 2010, abrufbar unter http://www.cornelia-ernst.de/presse/pressemitteilungen/?artikel=951. 92 Empörung im Europäischen Parlament über Swift-Abkommen, FAZ v. 27.01. 2010, S. 6. 93 Vgl. Art. 3 des Interimsabkommens. 94 Marauhn, in: Schulze/Zuleeg, Europarecht, § 7 Rn. 16; Söllner, Art. 5 EWG-Vertrag in der Rechtsprechung des EuGH, S. 6.

50

Kap. 3: Einigung auf ein transatlantisches Abkommen

Grundsatzes erforderlich,95 die mit Art. 218 Abs. 10 AEUV gegeben ist. Das Europäische Parlament hat jedoch nicht den juristischen Weg eingeschlagen, sondern auf politischem Wege das Inkrafttreten des Abkommens verhindert. Damit sind die durch das Vorgehen des Rates ausgelösten Rechtsverletzungen im Ergebnis folgenlos geworden.

B. Folgeabkommen vom 28. Juni 2010 Nachdem das Interimsabkommen wegen des Vetos des Europäischen Parlaments nicht in Kraft treten konnte, bemühten sich Rat und Kommission zeitnah darum, ein Folgeabkommen auszuhandeln. Dieses sollte den Forderungen des Parlaments96 inhaltlich stärker entgegen kommen.97 Da S.W.I.F.T. die Zahlungsverkehrsdaten nur 124 Tage lang speichert,98 bestand seitens der USA und der EU Einigkeit darüber, dass die Vertragsverhandlungen zügig von Statten gehen sollten, damit dem TFTP keine oder möglichst wenige Datensätze wegen vorzeitiger Löschung vorenthalten sein würden.99 Aus diesem Grund wurde vom Europäischen Parlament ein „zweigleisiger Ansatz“ verfolgt.100 Danach ist das Parlament von seinen zuvor geäußerten strikten Datenschutzvorstellungen101 zunächst teilweise abgerückt, während es gleichzeitig Verhandlungen mit den USA über ein langfristiges Datenschutzrahmenabkommen forciert hat.102 Damit konnte das Folgeabkommen103 am 01. August 2010 in Kraft treten.104

I. Verfahrensgang Nach dem Erlass des Verhandlungsmandats am 24. März 2010105 erfolgten zügige Verhandlungen, sodass der Rat bereits am 28. Juni 2010 seine Zustimmung zur 95

EuGH, Rs. 78/70, Slg. 1971, 487, Rn. 5. Entschließungsantrag des EP v. 19.04. 2010, Plenarsitzungsdokument B7 – 0243/2010/ rev.2; Empfehlung des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010. 97 Kommission geht auf Bedenken des Parlaments ein, FAZ v. 25.03. 2010, S. 5. 98 Siehe Kapitel 2 A. II. 1. a). 99 EU-Staaten haben es bei Swift eilig, Frankfurter Rundschau v. 23.06. 2010, S. 7. 100 Entschließungsantrag des EP v. 19.04. 2010, Plenarsitzungsdokument B7 – 0243/2010/ rev.2, S. 5. 101 Entschließungsantrag des EP v. 17.11. 2009. 102 Pressemitteilung der Kommission v. 26.05. 2010, Nr. IP/10/609. 103 ABl. L 195 v. 27.07. 2010, S. 5. 104 Die Woche im Wirtschaftrecht, BB 2010, 1673. 105 Stellungnahme der Kommission v. 24.03. 2010, MEMO/10/101; Pressemitteilung der Kommission v. 24.03. 2010, IP/10/348; der Volltext des Verhandlungsmandates ist offiziell unveröffentlicht, wurde jedoch von der britischen Bürgerrechtsorganisation Statewatch unter www.statewatch.org der Öffentlichkeit zugänglich gemacht. 96

B. Folgeabkommen vom 28. Juni 2010

51

Abkommenszeichnung geben konnte,106 die noch am selben Tag erfolgte. Der Ratsbeschluss erging einstimmig bei nur einer Enthaltung durch den französischen Vertreter.107 Auch der deutsche Vertreter de Maizière erklärte die Annahme, da der koalitionsinterne Streit inzwischen beigelegt war.108 Ratifizierungsvorbehalte wurden nicht eingelegt. Dies wäre auch nicht möglich gewesen, weil diese Form der Stimmabgabe im durch den Vertrag von Lissabon reformierten Primärrecht nicht mehr vorgesehen ist. Aufgrund des angenommenen zeitlichen Drucks wurde keine Ratssitzung einberufen, sondern im schriftlichen Verfahren abgestimmt.109 Auch im Europäischen Parlament schwand die zuvor noch fraktionsübergreifend vorhandene Ablehnung, sodass das Abkommen am 08. Juli 2010 parlamentarisch bestätigt wurde. Dies geschah im Wesentlichen mit den Stimmen der Christdemokraten, Sozialdemokraten, Liberalen und Konservativen bei Ablehnung durch die Grünen und die Linken.110

II. Zulässigkeit der Unterzeichnung vor der Annahme durch das Parlament Aus Zeitgründen konnte das Europäische Parlament erst zehn Tage nach Ratsbeschluss und Unterzeichnung des Abkommens über dessen Text abstimmen. Es handelte sich dabei um die nächstmögliche Sitzungsperiode. Dieses Vorgehen steht im Widerspruch zum Wortlaut des Art. 218 Abs. 6 lit. a AEUV. Dort ist bestimmt, dass „der Rat (…) den Beschluss über den Abschluss der Übereinkunft nach Zustimmung des Europäischen Parlaments“ erlässt. Dementsprechend hatten einzelne Fraktionen den Rat aufgefordert, vor dessen Beschluss das Parlamentsvotum abzuwarten.111 Zweck der primärrechtlichen Regelung ist die Stärkung des Parlaments durch eine frühzeitige Beteiligung.112 Würde ihm lediglich die nachträgliche Möglichkeit bleiben, einem bereits unterzeichneten Abkommen zuzustimmen bzw. es abzulehnen, könnte es die völkerrechtliche Verbindlichkeit nicht mehr verhindern. 106

Ratsdok. 111222/1/10 REV 1 v. 24.06. 2010. Die französische Enthaltung erging lediglich deshalb, weil die für eine Zustimmung als erforderlich angesehene vorherige Bestätigung durch das nationale Parlament nicht rechtzeitig eingeholt werden konnte. 108 Pressemitteilung der FDP v. 02.06. 2010, abrufbar unter http://www.liberale.de/FDPsorgt-fuer-nachhaltige-Verbesserungen-bei-SWIFT/5493c9818i1p69/index.html. 109 Die Woche im Wirtschaftrecht, BB 2010, 1673; Pressemitteilung des BMI v. 28.06. 2010, abrufbar unter http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2010/06/ swift.html. 110 Ergebnisprotokoll der namentlichen Abstimmung v. 08.07. 2010, PE 445.585. 111 SWIFT und PNR: Datenschutzbedenken im Vorfeld neuer Verhandlungen, Pressemitteilung des EP v. 19.04. 2010, abrufbar unter http://www.europarl.europa.eu/news/public/focus_page/008 – 72407 – 099 – 04 – 15 – 901 – 20100409FCS72395 – 09 – 04 – 2010 – 2010/default_p001c010_de.htm. 112 Khan, in: Geiger/ders./Kotzur, EUV/AEUV, Art. 218 AEUV Rn. 9, 11. 107

52

Kap. 3: Einigung auf ein transatlantisches Abkommen

Damit kann eine nachträgliche Billigung dem Zustimmungserfordernis grundsätzlich nicht gerecht werden. Der Zweck des vorherigen Parlamentsvotums kann jedoch unter Umständen auch auf andere Weise erreicht werden. Ist im Abkommen selbst ein Parlamentsvorbehalt vorgesehen, tritt es nicht in Kraft, ohne dass das Parlament es bestätigt. Eine solche Bestimmung findet sich in Art. 23 Abs. 1 des Folgeabkommens. Danach ist die Notifizierung der „einschlägigen internen Verfahren“ eine Voraussetzung für die Geltung der Übereinkunft. Die Möglichkeit, das Inkrafttreten eines Vertrages nach seiner Unterzeichnung zu verhindern, kann alleine noch nicht genügen, um die Beteiligungsrechte des Europäischen Parlaments zu sichern. Damit ist ihm schließlich noch nicht die durch Art. 218 Abs. 6 lit. a AEUV bezweckte Einflussnahme auf den Vertragstext gegeben. Anders als während der Verhandlungsphase zum Interimsabkommen113 wurde das Parlament während der Verhandlungen zum Folgeabkommen nicht nur den Vorgaben des Art. 218 Abs. 10 AEUV entsprechend umfassend informiert, sondern es fand auch ein Kommunikationsfluss zwischen Rat, Kommission und dem Justiz- und Innenausschuss des Parlaments statt. Damit hatte das Parlament Gelegenheit, seine Vorstellungen in den Vertragstext einzubringen und bereits bei der Aushandlung einzelner Passagen sein Veto in Aussicht zu stellen. Auch das Plenum konnte im Wege einer Resolution inhaltliche Vorgaben äußern.114 Damit hat das Europäische Parlament bereits in der Verhandlungsphase Einfluss auf die konkrete Ausgestaltung des Folgeabkommens genommen. Die nach dem Wortlaut des Art. 218 Abs. 6 lit. a AEUV vorgesehene vorherige Abstimmung konnte daher in diesem Fall im Zuge einer teleologischen Reduktion der Norm nach Ratsbeschluss und Abkommenszeichnung nachgeholt werden. Damit ist in der Umkehrung der im Gesetz vorgesehenen Reihenfolge kein formaler Fehler zu sehen.

113

Schreiben des Parlamentspräsidenten Buzek an den Ratspräsidenten v. 15.01. 2010, abrufbar unter http://www.netzpolitik.org/wp-upload/438669_EN.pdf; Empörung im Europäischen Parlament über Swift-Abkommen, FAZ v. 27.01. 2010, S. 6. 114 Plenarsitzungsdokument B7 – 0243/2010/rev.2 v. 19.04. 2010, beschlossen erst am 05.05. 2010 wegen der Beschränkungen im Flugverkehr, die infolge des Ausbruchs eines isländischen Vulkans eingetreten waren.

Kapitel 4

Abschlusskompetenz Es liegt nicht auf der Hand, dass gerade die Europäische Union das Abkommen mit den USA abgeschlossen hat. Schließlich ist weder sie selbst noch ein Großteil ihrer Mitgliedstaaten faktisch in der Lage, die darin aufgestellten Verpflichtungen zu erfüllen. Lediglich Belgien und die Niederlande können die Herausgabe von Daten durch S.W.I.F.T. erwirken, weil sich dort entweder der Betriebssitz oder ein Serverstandort der Gesellschaft befindet.1 Entsprechend hatten die USA zeitweise erwogen, diese beiden Einzelstaaten als Vertragspartner zu wählen. Dieser Weg wurde jedoch von der belgischen und der niederländischen Regierung abgelehnt.2

A. Horizontale Kompetenz der Europäischen Union Die Regelungskompetenzen der Europäischen Union bestimmen sich nach dem in Art. 5 Abs. 1, 2 EUV enthaltenen Prinzip der begrenzten Einzelermächtigung. Sie darf danach nur auf denjenigen Feldern tätig werden, für die die Mitgliedstaaten ihr Aufgaben und Befugnisse erteilt haben. Zum Abschluss von Übereinkünften mit Drittstaaten ist die Union gemäß Art. 216 Abs. 1 AEUV dann befugt, wenn dies im Primärrecht vorgesehen ist oder wenn dies im Rahmen der Politik der Union zur Verwirklichung eines im Primärrecht festgelegten Zieles erforderlich oder in einem Unionsrechtsakt vorgesehen ist. Den Datenaustausch und -schutz betreffende Übereinkommen werden üblicherweise auf die seit Inkrafttreten des Vertrags von Lissabon in Art. 26, 114 AEUV verankerte Binnenmarktkompetenz gestützt, weil unterschiedliche Standards in diesem Bereich zu Wettbewerbsverzerrungen führen können.3 Besteht der Zweck des Abkommens hingegen in der Bekämpfung des Terrorismus, könnten die Bereiche der polizeilichen Zusammenarbeit oder der GASP speziellere Rechtsgrundlagen bereithalten.4 1

Siehe Kap. 3 A. I. 1. a) bb) (1). Die EU will neuen Anlauf für Swift-Abkommen, FAZ v. 03.03. 2010, S. 5. 3 EuGH, Rs. C-301/06, Slg. 2009, I-593, Rn. 62 ff.; Streinz, DuD 2011, 602 (605); krit. Di Martino, Datenschutz im europäischen Recht, S. 30 f. 4 Al-Jumaili, NJOZ 2008, 188 (195); Scobotta, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 5; Streinz, DuD 2011, 602 (605). 2

54

Kap. 4: Abschlusskompetenz

I. Raum der Freiheit, der Sicherheit und des Rechts Interims- und Folgeabkommen fallen in den Anwendungsbereich des mit „Raum der Freiheit, der Sicherheit und des Rechts“ überschriebenen Titel V im Dritten Teil des AEUV.5 Wesentliche darin enthaltene Vorschriften sind Ausfluss der im Vertrag von Lissabon beschlossenen Überführung des Bereichs der „Polizeilichen und justiziellen Zusammenarbeit in Strafsachen“ (PJZS) als vollwertigen Bestandteil des supranationalen Unionsrechts.6 Die zuvor intergouvernementale „Dritte Säule“ der Europäischen Union ist damit in die Europäische Union integriert worden. Der Raum der Sicherheit und des Rechts wird sowohl durch präventive Maßnahmen der Gefahrenabwehr7 als auch durch die strafrechtliche Verfolgung begangener Taten8 erzielt. Diese beiden Ziele der Art. 67 ff. AEUV decken sich mit denen des Abkommens. Konkret findet sich die Grundlage für das Abkommen in Art. 75 AEUV, der nur auf den ersten Blick sowohl inhaltlich als auch verfahrensrechtlich eine andere Konstellation als das Abkommen zu beschreiben scheint. Die Vorschrift ermächtigt zum Erlass von Verordnungen über Verwaltungsmaßnahmen in Bezug auf Kapitalbewegungen und Zahlungen wie das Einfrieren von Geldern und anderen Vermögenswerten zur Terrorismusbekämpfung. Andere Maßnahmen sind vom Wortlaut nicht vorgesehen.9 Obwohl das Einfrieren von Kapital die einzige in Art. 75 AEUV konkret bezeichnete Maßnahme ist, handelt es sich lediglich um ein Regelbeispiel,10 sodass Raum für weitere Aktionen besteht. Gegen eine Subsumtion der Auswertung von S.W.I.F.T.-Daten unter Art. 75 AEUV sprechen zunächst hingegen zwei Gründe: Zum Einen führt S.W.I.F.T. keine Kapitalbewegungen durch. Zum Anderen gilt es zu hinterfragen, ob nicht das Regelbeispiel Art. 75 AEUV dahingehend konkretisiert, dass die Norm Ermittlungsmaßnahmen ermöglicht, nicht aber Sanktionscharakter besitzt. Als reiner Nachrichtenübermittler führt S.W.I.F.T. weder Kapitalbewegungen noch Zahlungen durch, sondern übermittelt lediglich Mitteilungen zwischen Kreditinstituten, die diese Informationen zum Anlass nehmen, um Buchungen vorzunehmen. Die Anwendbarkeit des Art. 75 AEUV erfordert allerdings auch nicht, dass der Adressat einer staatlichen Maßnahme Zahlungen selbständig vornimmt. Es 5 Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 75 AEUV Rn. 20 Fn. 7. 6 Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 67 Rn. 4; Meyer, EuR 2011, 169 (147); Streinz, FPR 2010, 481 (483 f.). 7 Kotzur, in: Khan/Geiger/ders., EUV/AEUV, Art. 67 AEUV Rn. 9; Nettesheim, EuR 2009, 23 (24). 8 Kotzur, in: Khan/Geiger/ders., EUV/AEUV, Art. 67 AEUV Rn. 4. 9 Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 75 AEUV Rn. 34. 10 Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 75 Rn. 3.

A. Horizontale Kompetenz der Europäischen Union

55

müssen lediglich „Verwaltungsmaßnahmen in Bezug auf Kapitalbewegungen und Zahlungen“ vorliegen. Ein Bezug ist sehr wohl gegeben, wenn S.W.I.F.T. eine notwendige Voraussetzung für Geldtransfers organisiert, indem es die Kommunikation zwischen den Kreditinstituten übermittelt. Internationale Überweisungen werden zwar nicht durch, aber aufgrund der Tätigkeiten von S.W.I.F.T. verbucht. Schafft die EU einen Rahmen, der zur Überwachung der S.W.I.F.T.-Nachrichten führt, dann hat diese Unionsmaßnahme auch einen Bezug zu den aus ihnen resultierenden Kapitalbewegungen und Zahlungen. Das in Art. 75 AEUV genannte Regelbeispiel des „Einfrieren von Geldern, finanziellen Vermögenswerten oder wirtschaftlichen Erträgen“ darf nicht zu dem Schluss verleiten, die Norm habe sanktionierenden Charakter.11 Ansonsten könnten Ermittlungsmaßnahmen wie die Weiterleitung der Datensätze auch potenziell unschuldiger Personen zu Auswertung durch das TFTP nicht darunter fallen. Die Sanktionierung terroristischer Aktivitäten kann allerdings nicht den einzigen Zweck des Einfrierens von Vermögenswerten darstellen. Aufgrund der staatlichen Schutzpflicht für Leib und Leben seiner Bürger muss die gesetzlich eingeräumte Möglichkeit, nach Art. 75 AEUV Gelder einzufrieren auch zu dem Zweck genutzt werden, die Verwendung der Mittel für die Vorbereitung und Ausführung von Terroranschlägen zu verhindern. Diese Facette der Maßnahme hat vorbeugenden, gefahrenabwehrrechtlichen Charakter. Wenn die Gefahrenabwehr aber von Art. 75 AEUV umfasst ist, dann gilt das auch für Ermittlungsmaßnahmen zur vorbeugenden Terrorismusbekämpfung. Damit ist der im Abkommen zwischen der EU und den USA geregelte transatlantische Datenaustausch eine Maßnahme im Sinne des Art. 75 AEUV. Es handelt sich bei dem völkerrechtlichen Vertrag zwar nicht, wie es die Norm vorsieht, um eine Verordnung. Jedoch verleiht Art. 75 in Verbindung mit Art. 216 AEUV der Union eine auswärtige Kompetenz zum Abschluss von Verträgen mit Drittstaaten.12 Das Abkommen fällt daher unter Art. 75 AEUV und damit in den mit „Raum der Freiheit, der Sicherheit und des Rechts“ überschriebenen Titel V des AEUV.

II. Gemeinsame Außen- und Sicherheitspolitik (GASP) Die Eingruppierung einer Maßnahme in den Bereich des Raumes der Freiheit, der Sicherheit und des Rechts schließt nicht aus, dass sie nicht auch in den Bereich der Gemeinsamen Außen- und Sicherheit fällt. Da bereits vor Inkrafttreten des Vertrags

11

So aber Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 75 Rn. 1; s. a. Meyer, HRRS 2010, 74. 12 Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 75 AEUV Rn. 20.

56

Kap. 4: Abschlusskompetenz

von Lissabon säulenübergreifende Rechtsakte möglich waren,13 muss dies erst recht in der aktuellen Architektur gelten, in der die Säulenstruktur zugunsten einer homogeneren Europäischen Union verschmolzen wurde. Insbesondere Maßnahmen der Terrorismusbekämpfung fallen in beide Bereiche.14 Die gemeinsame Außen- und Sicherheitspolitik betrifft sämtliche mit der äußeren Sicherheit der Union zusammenhängenden Fragen.15 In diesem Zusammenhang fällt auch die Bekämpfung des internationalen Terrorismus, insbesondere die Sperrung von Konten darunter.16 Dass im Rahmen der GASP auch vorbeugende Ermittlungsarbeit geleistet wird, zeigt die Einrichtung des Europäischen Auswärtigen Dienstes (EAD) durch Art. 27 Abs. 3 EUV, also im die GASP betreffenden Kapitel 2 des Titel III EUV. Der EAD fungiert unter anderem als nachrichtendienstliche Abteilung der EU, die den Rat mit Lageeinschätzungen zu Fragen der öffentlichen Sicherheit versorgt.17 Folglich zählt auch die Auswertung von Zahlungsverkehrsdaten zur Terrorismusbekämpfung sowie die Übermittlung dieser Daten an das entsprechende Programm zum Aufgabenbereich der GASP. Der Umstand, dass die im Abkommen vereinbarten Maßnahmen sowohl dem Raum der Freiheit, Sicherheit und des Rechts als auch der Gemeinsamen Außen- und Sicherheitspolitik zugeordnet werden können, führt zu der Frage, welche Regelungen von EUV und AEUV nun anwendbar sind. Die Tatsache, dass trotz der Auflösung der jahrzehntelangen „Drei-Säulen-Struktur“ nachwievor Sonderregeln für die GASP gelten und sie ihre mitgliedstaatlich geprägte Konzeption in weiten Teilen behalten hat,18 führt zu dem Schluss, dass es sich bei den GASP-Vorschriften und dem übrigen Primärrecht nach wie vor um parallele Systeme handelt.19 Diese Annahme wird durch Art. 40 EUV bestätigt, der die Unabhängigkeit zwischen der GASP und den Zuständigkeiten und Politiken der EU festschreibt. Daher sind die Vorschriften beider Rechtssysteme parallel anwendbar. Gerade in Bezug auf völkerrechtliche Abkommen kann es allerdings nicht bei diesem Ergebnis bleiben, weil das Vertragsschlussverfahren je nach Rechtssystem beachtlich divergiert.20 Im gewöhnlichen Verfahren nach Art. 218 AEUV beschließt der Rat auf Empfehlung der Kommission hin die Aufnahme von Verhandlungen mit Drittstaaten. Nach erfolgreichem Verhandlungsverlauf beschließt der Rat nach dem

13 Demaret, in: Monar/Ungerer/Wessels, The Maastricht Treaty on European Union, S. 37 (41 ff.); Hilf, in: Grabitz/ders., Das Recht der Europäischen Union, 40. Aufl. 2009, Art. 1 EUV Rn. 25.; Al-Jumaili, NJOZ 2008, 188 (195). 14 Al-Jumaili, NJOZ 2008, 188 (195). 15 Geiger, in: Khan/ders./Kotzur, EUV/AEUV, Art. 24 AEUV Rn. 1. 16 V. Bubnoff, NJW 2002, 2672 (2674). 17 Aguilar, wiedergegeben bei Huber, NVwZ 2011, 409 (410). 18 Frenz, ZaöRV 2010, 487 (487, 521); Streinz, FPR 2010, 481 (483). 19 Frenz, ZaöRV 2010, 487 (487, 521). 20 Frenz, ZaöRV 2010, 487 (518).

A. Horizontale Kompetenz der Europäischen Union

57

Mehrheitsprinzip21 und gemeinsam mit dem Parlament oder im Ausnahmefall nach dessen Anhörung22 über den Vertragsabschluss. Betrifft das Abkommen inhaltlich den Bereich der GASP, so ist es gemäß Art. 218 Abs. 3 AEUV der Hohe Vertreter der Union für Außen- und Sicherheitspolitik, der Empfehlungen zur Aufnahme von Verhandlungen ausspricht. Der Beschluss über die Vertragsunterzeichnung kann nur einstimmig durch den Rat erfolgen,23 während das Parlament nicht beteiligt ist.24 Es erhält lediglich die Gelegenheit zur Stellungnahme gegenüber dem Hohen Vertreter.25 Die dargestellten Rechtssetzungsverfahren lassen sich nicht miteinander kombinieren, sodass nur eines von beiden Geltung für ein Vertragsschlussverfahren haben kann. Sowohl das Interims- als auch das Folgeabkommen zur Übermittlung der S.W.I.F.T.-Daten wurden nach dem gewöhnlichen, nicht auf die GASP bezogenen Verfahren verhandelt und geschlossen. Die Regelungen der GASP sind spezieller Natur und gehen den gewöhnlichen Verfahrensvorschriften deshalb grundsätzlich vor.26 Diese allgemeine Regel gilt hingegen nicht, wenn die Übereinkunft den Tatbestand des Art. 75 AEUV erfüllt. In diesem Fall ist diese dem Raum der Freiheit, der Sicherheit und des Rechts zugehörige Vorschrift wiederum die speziellste.27 Dies gilt auch dann, wenn ein Abkommen nur teilweise unter Art. 75 AEUV fällt.28 Aus diesem Grund treten die üblicherweise andere Normen verdrängenden Regelungen der GASP hinter den allgemeinen Verfahrensvorschriften der Union zurück.

III. Subsidiaritätsgrundsatz Art. 75 AEUV zählt zu den geteilten Kompetenzen.29 Dass nicht nur die EU, sondern auch die Mitgliedstaaten einen Spielraum für eigenständige Maßnahmen in Bezug auf die Terrorismusfinanzierung besitzen, zeigt sich nicht zuletzt an der Existenz bundesdeutscher Vorschriften wie § 10 GwG30 oder § 25c KWG31. Weil das Abkommen nicht in einen Bereich ausschließlicher Unionskompetenz fällt, ist die 21

Umkehrschluss aus Art. 218 Abs. 8 UAbs. 2 AEUV. Art. 218 Abs. 6 UAbs. 2 AEUV. 23 Art. 31 Abs. 1 S. 1 EUV. 24 Art. 218 Abs. 6 UAbs. 2 AEUV. 25 Art. 36 EUV. 26 Bitterlich, in: Lenz/Borchardt, EUV/AEUV, Art. 35 EUV Rn. 2. 27 Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 75 AEUV Rn. 20. 28 Vgl. EuGH, Rs. C-91/05, Slg. 2008, I-3651, Rn. 2 ff. 29 Röben, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 75 AEUV Rn. 16. 30 Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten, BGBl. I S. 1690, ber. 2009 S. 816. 31 Gesetz über das Kreditwesen, BGBl. I S. 2776. 22

58

Kap. 4: Abschlusskompetenz

EU nur dann zum Abschluss der Übereinkunft befugt gewesen, wenn das Subsidiaritätsprinzip des Art. 5 Abs. 1, 3 EUV gewahrt wurde. Die Zuständigkeitsregel besagt, dass die Union nur tätig wird, „sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind.“ 1. Allgemeines Das auch Subsidiaritätsprinzip räumt der jeweils personnennächsten Einheit bei der Erfüllung öffentlicher Aufgaben Vorrang vor übergeordneten Einheiten ein, sofern dies sachgerecht möglich ist.32 Anders als Art. 72 Abs. 2 GG, der eine Bundeskompetenz entstehen lässt, wirkt sich Art. 5 Abs. 1, 3 EUV derart aus, dass die Union von einer ihr zustehenden Kompetenz im Einzelfall keinen Gebrauch machen kann.33 Der Grundsatz betrifft alle „Maßnahmen“ der EU, also nicht nur Rechtssetzungsakte sondern jegliche Handlungen von Unionsorganen.34 Daher ist die Union auch nur dann zum Abschluss von Übereinkünften mit Drittstaaten befugt, wenn dieses Vorgehen wesentliche Vorteile gegenüber Abkommen zwischen einzelnen Mitgliedstaaten mit dem betreffenden Drittstaat mit sich bringt. 2. Voraussetzungen Art. 5 Abs. 3 EUV nennt zwei Kriterien für die zulässige Ausübung einer Unionskompetenz: Das Negativ- bzw. Insuffizienzkriterium sowie das Positiv- bzw. Effizienzkriterium.35 Bei dem vorrangig zu prüfenden Negativkriterium gilt es zu hinterfragen, ob der Zweck der Maßnahme von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann. Das Tatbestandsmerkmal „ausreichend“ ist dabei im Wortsinn zu verstehen: Entscheidend ist nicht, ob die Mitgliedstaaten die Aufgabe weniger gut als die EU erfüllen könnten, sondern ob das Ergebnis nationalen Handelns ebenfalls akzeptabel wäre.36

32

Calliess, Subsidiaritäts- und Solidaritätsprinzip in der Europäischen Union, S. 31 f.; Geiger, in: ders./Khan/Kotzur, EUV/AEUV, Art. 5 EUV Rn. 5. 33 Jarras, EuGRZ 1994, 209 (213); Koenig/Lorz, JZ 2003, 167; a. A. Merten, in: ders., Die Subsidiarität Europas, S. 77 (81). 34 Calliess, Subsidiaritäts- und Solidaritätsprinzip in der Europäischen Union, S. 101 ff.; Molsberger, das Subsidiaritätsprinzip im Prozess europäischer Konstitionalisierung, S. 155; Vedder, in: ders./Heintschel v. Heinegg, EVV, Art. I-11 Rn. 11. 35 Bast/v. Bogdandy, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 5 EUV Rn. 54 ff.; Molsberger, Das Subsidiaritätsprinzip im Prozess europäischer Konstitionalisierung, S. 49 f. 36 Jarras, EuGRZ 1994, 209 (213); Pieper, DVBl 1993, 705 (709); s. a. Lambers, EuR 1993, 229 (237).

A. Horizontale Kompetenz der Europäischen Union

59

Abkommen mit den USA über den Austausch von Zahlungsverkehrsdaten des Nachrichtenproviders S.W.I.F.T. können nur von solchen Staaten sinnvoll abgeschlossen werden, die sich Zugriff auf den Bestand von S.W.I.F.T. verschaffen können. Im Kreise der Mitgliedstaaten betrifft dies nur Belgien und die Niederlande,37 die seitens der USA zeitweise als mögliche Vertragspartner in Betracht gezogen wurden.38 Dieser Umstand verdeutlicht die Besonderheit des Abkommens: Die EU ist völkerrechtliche Verpflichtungen eingegangen, die lediglich von zweien ihrer 27 Mitglieder tatsächlich erfüllt werden können. Daher scheint es zunächst naheliegender, dass diese beiden Staaten auch selbst mit den USAVerträge schließen. Der den Mitgliedstaaten von der EU gemäß Art. 5 f. des Protokoll Nr. 2 des Vertrags von Lissabon39 mitgeteilte Grund für Verhandlungen durch die EU, die faktisch in Vertretung für Belgien und die Niederlande auftrat, lautet: „Die von möglichen künftigen Übermittlungsersuchen des US-Finanzministeriums betroffenen Mitgliedstaaten (BEL/NLD) könnten europäische Interessen in Verhandlungen mit den USA nicht mit gleichem Gewicht durchsetzen.“40 Diese Begründung kann, obwohl sie inhaltlich richtig ist, nicht überzeugen. Zutreffender Weise ist zu erwarten, dass ein Verhandlungsführer der EU gegenüber den USA aufgrund der hohen Bevölkerungszahl, in deren Namen er spricht, sowie aufgrund der Wirtschaftsmacht der EU eine höhere Autorität ausstrahlt, als es Vertreter der belgischen oder der niederländischen Regierung können. Dennoch sind in Bezug auf das konkrete Abkommen die Verhandlungspositionen identisch: Die USA benötigen für den Fortbestand des TFTP S.W.I.F.T.-Daten, die nur ihre Verhandlungspartner ihnen liefern können. Die europäische Seite hat hingegen keinerlei eigene Vorteile aus dem Abkommen außer dem Interesse daran, dass das TFTP weiterhin die Sicherheit der westlichen Welt fördert. Unabhängig davon, wer konkret mit den USA verhandelt hätte, wären die USA in einer vergleichbar ungünstigen Ausgangsposition, die sie zu großzügigen Zugeständnissen in Datenschutzfragen hätte bewegen müssen. Selbst dann, wenn man annimmt, dass Belgien oder die Niederlande aufgrund sachfremder Zwänge ein ungünstigeres Verhandlungsergebnis als die EU erzielen würden, kann nicht davon ausgegangen werden, dass dieses nicht mehr „ausreichend“ im Sinne des Art. 5 Abs. 3 EUV wäre. Dass die EU möglicherweise bessere Ergebnisse erzielen könnte, ist eine Erwägung, die in Bezug auf das Positiv- bzw. Effizienzkriterium der Vorschrift von Relevanz ist, nicht aber hinsichtlich des Negativkriteriums. Weil beide Kriterien aber kumulativ vorliegen müssen,41 kann es für die Zulässigkeit der 37

Siehe Kapitel 4. Die EU will neuen Anlauf für Swift-Abkommen, FAZ v. 03.03. 2010, S. 5. 39 Protokoll über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit, ABl. C 306 v. 17.12. 2007, S. 150. 40 Berichtsbogen des BMI nach § 7 Abs. 1 EUZBBG v. 19.01. 2009, S. 2. 41 Bast/v. Bogdandy, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 3 EUV Rn. 54; v. Borries, in: Hrbek, Die Anwendung des Subsidiaritätsprinzips in der Europäischen Union, S. 21 (22); Calliess, Subsidiaritäts- und Solidaritätsprinzip in der Europäischen Union, S. 104. 38

60

Kap. 4: Abschlusskompetenz

Kompetenzausübung der EU nicht ausreichen, dass ein fiktives Abkommen mit Belgien oder den Niederlanden als Vertragspartnern einen eventuell etwas niedrigeren Schutzstandard europäischer Daten aufweisen könnte. Auch nach der Auslegung des Europäischen Rates kann das bloße Ziel, gegenüber Drittstaaten einen einheitlichen Standpunkt der Mitgliedstaaten besser vertreten zu können, nicht für eine Handlungsberechtigung der EU genügen.42 Dieses Ergebnis entspricht auch dem im deutschen Verfassungsrecht entwickelten Grundsatz, dass in Fällen, in denen von einem Vorhaben nur ein einzelnes Bundesland betroffen ist, dieses auch die alleinige Kompetenz für damit in Zusammenhang stehende Fragen haben soll.43 Von diesem Unterfall der im Grundgesetz nicht geregelten Kompetenz kraft Natur der Sache wird nur dann ausnahmsweise abgewichen, wenn gewichtige Gründe eine andere Lösung rechtfertigen lassen.44 Obgleich diese Kompetenzgrundlage auf das nationale föderale System in Deutschland bezogen ist und damit keine Aussage über das Verhältnis zwischen der EU und ihrer Mitgliedstaaten trifft, ist die dahinter stehende Argumentation auf den vorliegenden Fall übertragbar: Wenn nur zwei Mitgliedstaaten faktisch in der Lage sind, eine Maßnahme durchzuführen, dann handelt es sich um ihren eigenen Bereich, den sie als personennächste Einheit selbstständig regeln dürfen. Die EU ist nur dann dazu berufen, ihr die Verfügung über den Bereich abzunehmen, wenn die einzelstaatlichen Maßnahmen nicht „ausreichend“ sind. Weil aber sowohl Belgien als auch die Niederlande aufgrund ihrer herausgehobenen Stellung als Unternehmenssitz oder Serverstandort von S.W.I.F.T. in einer starken Verhandlungsposition gegenüber den USA gewesen sind, hätten sie eigenständige bilaterale bzw. trilaterale Abkommen mit den USA schließen können. Der Subsidiaritätsgrundsatz wurde dementsprechend nicht eingehalten und die EU hat mit dem Vertragsschluss ihre Kompetenzen überschritten. 3. Möglichkeit eines Verzichts der Mitgliedstaaten Gegebenenfalls könnte die an sich unzulässige Zeichnung des Abkommens durch die EU ausnahmsweise Wirksamkeit erlangt haben, dass Belgien und die Niederlande übereinstimmend erklärt hatten, nicht selbst tätig werden zu wollen, um eine EU-geführte Lösung nicht zu konterkarieren.45 Verfassungsrechtliche Zuständigkeitszuweisungen stehen grundsätzlich nicht zur Disposition der durch sie begünstigten Ebene.46 Ausnahmen ergeben sich allenfalls dann, wenn diese in der Zu42 Gesamtkonzept für die Anwendung des Subsidiaritätsprinzips und des Artikels 3b des Vertrags über die EU, Schlussfolgerungen des Vorsitzes, Europäischer Rat von Edinburgh, 11./ 12.12. 1992, Bull. EG 12 – 1992, I.15 ff. 43 BVerfGE 22, 180 (217 f.); Spreen, ZUR 2005, 130 (130 f.). 44 BVerfGE 11, 89 (99); Uhle, in: Maunz/Dürig, GG, Art. 70 Rn. 75. 45 Die EU will neuen Anlauf für Swift-Abkommen, FAZ v. 03.03. 2010, S. 5. 46 Vgl. zum deutschen föderalen System BVerfGE 1, 14 (35); 4, 115 (139); 39, 96 (109); 63, 1 (39); Sannwald, in: Schmidt-Bleibtreu/Hofmann/Hopfauf, GG, Art. 70 Rn. 16; Uhle, in: Maunz/Dürig, GG, Art. 70 Rn. 154 f.

A. Horizontale Kompetenz der Europäischen Union

61

weisungsnorm bereits vorgesehen sind.47 Diese verfassungsrechtlichen Überlegungen lassen sich jedoch nur bedingt auf sie Subsidiarität des Unionshandelns übertragen, weil Art. 5 Abs. 1, 3 EUV keine Kompetenz schafft, sondern lediglich deren Ausübung beschränkt.48 Weil die Union die notwendige Kompetenz besitzt und lediglich im Einzelfall deren Ausübung ruhen lassen muss, erscheint es durchaus denkbar, dass die ausnahmsweise Nichteinmischung der EU ihrerseits Ausnahmen unterworfen ist. Eine Möglichkeit zur Durchbrechung des Subsidiaritätsprinzips durch Einwilligung beziehungsweise Übertragung der an sich zuständigen Mitgliedstaaten würde voraussetzen, dass es sich bei der Handlungsbefugnis um ein Recht der Nationalstaaten handelt, über das diese verfügen können. Dafür spricht die Klagebefugnis der Mitgliedstaaten oder ihrer Parlamente vertreten durch die Mitgliedstaaten bei der Nichtigkeitsklage wegen Verletzung des Subsidiaritätsprinzips vor dem EuGH.49 Die Mitgliedstaaten werden in diesem Zusammenhang als „Wächter der Subsidiarität“ und „Anwalt in eigener Sache“ bezeichnet.50 Ein Blick auf den Sinn- und Zweckzusammenhang des europäischen Subsidiaritätsprinzips zeigt jedoch, dass dieses nicht zur Disposition der nationalen Regierungen und Parlamente stehen kann: So dient es der größtmöglichen Legitimation öffentlicher Aufgabenerfüllung51 ebenso wie der Gewähr sachgerechter, bürgernaher Entscheidungen.52 Könnten sich die kommunalen oder nationalen Entscheidungsträger ihrer Verantwortung in bestimmten Bereichen einfach zugunsten einer höheren Instanz entledigen, ohne dass dies erforderlich wäre, so würde dieser Zweck negiert. Das aus dem Demokratieprinzip abgeleitete Recht des Wahlbürgers, auf nationaler Ebene solchen Institutionen Legitimität zu verschaffen, die auch tatsächliche Gestaltungsmacht ausüben,53 steht im Gegensatz zur Aufgabenübertragung auf die europäische Ebene, die daher nicht ohne hinreichenden Grund erfolgen kann. Der EU war es damit aufgrund von Art. 5 Abs. 1, 3 EUV nicht gestattet, anstelle der vom Abkommen direkt betroffenen Staaten zu handeln.

47

Z.B. Art. 71, 2. Hs. GG Siehe Fn. 285. 49 Geiger, in: Khan/ders./Kotzur, EUV/AEUV, Art. 5 EUV Rn. 16. 50 Bast/v. Bogdandy, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 5 EUV Rn. 59. 51 Geiger, in: Khan/ders./Kotzur, EUV/AEUV, Art. 5 EUV Rn. 5. 52 Beschluss der Konferenz „Europa der Regionen“ v. 19.10. 1989, wiedergegeben durch Knemeyer, ZPR 1990, 173 (174); Geiger, in: Khan/ders./Kotzur, EUV/AEUV, Art. 5 EUV Rn. 6. 53 BVerfGE 123, 267 (341). 48

62

Kap. 4: Abschlusskompetenz

B. Vertikale Kompetenz des Justiz- und Innenministerrates Die gemäß Art. 218 Abs. 6 AEUV für Verträge mit Drittstaaten erforderliche positive Beschlussfassung des Rates erfolgte am 30.11. 200954 beziehungsweise 28.06. 201055 jeweils durch den Rat der Justiz- und Innenminister. Von einer Befassung des Rates der Außenminister, der üblicherweise über völkerrechtliche Übereinkünfte entscheidet,56 wurde abgesehen, weil es sich nicht um eine Maßnahme der GASP handelte. Aus terminlichen Gründen wurde zeitweise erwogen, den Rat der Verkehrs- und Transportminister mit der Abstimmung über das Folgeabkommen zu betrauen.57 Dessen Aufgabengebiet hätte sich inhaltlich in keiner Hinsicht mit dem vom Abkommen betroffenen Politikbereich überschnitten. Eine derart flexible Handhabung der Tagesordnungen und Beschlusspunkte ohne Beachtung etwaiger Zuständigkeiten ist deshalb möglich, weil es sich bei dem Rat unabhängig von seiner konkreten Zusammensetzung um ein „einheitliches Organ“ handelt.58 Abgesehen von den in Art. 16 Abs. 6 EUV vorgesehenen besonderen Regelungen für einzelne Ratsformationen kann also der Rat in jeder seiner Zusammensetzungen über auch sachfremde Themen Beschluss fassen.

54

Ratsdok. 5305/10. Ratsdok. 111222/1/10 REV 1. 56 Vgl. Dembinski, APuZ 18/2010, 9 (11). 57 Brüssel plant Swift-Deal durch die Hintertür, Handelsblatt v. 23.06. 2010, S. 16. 58 Jaqué, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 203 EGV Rn. 14. Ziegenhorn, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 16 EUV Rn. 64. 55

Kapitel 5

Inhalt des Abkommens Nachdem das Europäische Parlament seine Ablehnung des Interimsabkommens weitestgehend mit Bedenken hinsichtlich einer angemessenen Gewährung des Rechts auf informationelle Selbstbestimmung begründet hatte,1 wurden die Datenschutzstandards im Folgeabkommen verbessert. Dies geschah lediglich punktuell, sodass der grundlegende Aufbau in den beiden Vertragsversionen identisch geblieben ist. Daher können beide Vertragstexte im Rahmen dieser Untersuchung parallel beleuchtet werden.

A. Überblick über die Regelungen des Abkommens Dem in beiden Versionen verwendeten Titel2 entsprechend hat sich die Europäische Union in dem Abkommen dazu verpflichtet, den USA Zahlungsverkehrsdaten zu übermitteln, damit das US-amerikanische TFTP diese zur Fahndung nach Terroristen auswerten kann. Es handelt sich dabei ausnahmslos um Datensätze, die der Finanzdienstleister S.W.I.F.T. gespeichert hat.3 Während nach dem Interimsabkommen noch sämtliche von S.W.I.F.T. gespeicherten Zahlungsverkehrsdaten, also vor allem alle grenzüberschreitenden Transfers sowie nationale Eilüberweisungen4 Gegenstand einer Übermittlung sein konnten, sind im Folgeabkommen Datensätze ausgenommen, die sich auf den „Einheitlichen Euro-Zahlungsverkehrsraum“ beziehen.5 Diese machen den wesentlichen Teil der innereuropäischen Geldtransfers aus.6

1 Entschließung des EP v. 17.09. 2010, P7_TA(2010)0029; Empfehlung des Justizausschusses des EP v. 05.02. 2010, 2009/0190(NLE), S. 8 ff. 2 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus. 3 Siehe Kapitel 5 C. 1. a). 4 Siehe Kapitel 2 A. III. 5 Art. 4 Abs. 2 lit. d des Folgeabkommens. 6 Siehe Kapitel 5 C. I. 2.

64

Kap. 5: Inhalt des Abkommens

Die Übermittlung geschieht im „Push-Verfahren“.7 Dies bedeutet, die USA sind nicht in der Lage, einseitig Daten an sich zu ziehen, sondern erhalten jeweils im Einzelfall Datensätze aus der EU. Hierzu treten die USA an die EU jeweils mit einem Ersuchen heran, in dem sie darlegen, welche Informationen sie benötigen.8 Beizufügen ist eine Begründung des Bedarfs für die Terrorismusbekämpfung.9 Als Empfänger des Ersuchens waren im Interimsabkommen noch einzelne Mitgliedstaaten vorgesehen, in denen S.W.I.F.T. seinen Sitz oder eine Speichereinheit besitzt,10 also Belgien und die Niederlande.11 Nach dem Folgeabkommen wendet sich das US-Finanzministerium direkt an die US-Repräsentanz von S.W.I.F.T.12 Zeitgleich erhält die europäische Polizeibehörde Europol eine Kopie der Unterlagen und prüft diese.13 Nachdem Europol seine Freigabe erteilt hat, selektiert S.W.I.F.T. selbständig die Datensätze entsprechend der Anfrage und leitet diese an das USFinanzministerium weiter.14 Auch die Datenverarbeitung innerhalb des TFTP ist durch das Abkommen reglementiert. Der erhaltene Datenbestand darf nicht einfach auf Auffälligkeiten hin durchsucht werden, sondern es sind nur konkrete Suchabfragen auf der Grundlage bestehender geheimdienstlicher Informationen zulässig.15 Entsprechend sind DataMining und andere algorithmische bzw. computergesteuerte Filterungen ausgeschlossen.16 Sowohl die Abfragen als auch die Belege für ihre Rechtmäßigkeit sind zu protokollieren,17 damit die fortlaufende Kontrolle der zulässigen Verwendung der Daten von unabhängigen Prüfern einschließlich einer von der Europäischen Kommission ernannten Person möglich ist.18 Hinzu kommen regelmäßige gemeinsame Evaluationen und Aufsichtsmaßnahmen der EU und der USA.19 Bei diesen Kontrollmechanismen handelt es sich um Zugeständnisse der USA gegenüber der EU im Rahmen der Neuverhandlungen 2010. Das Interimsabkommen sah nur die ge-

7 Im Folgeabkommen ausdrücklich in Art. 4 Abs. 6 S. 1 so bezeichnet, damit die im Interimsabkommen als möglich erachtete angesehene Fehlinterpretation eines „Pull-Verfahrens“ ausgeschlossen werden kann. 8 Art. 4 Abs. 1, 2 in beiden Versionen des Abkommens. 9 Art. 4 Abs. 1, 2 lit. b des Folgeabkommens; Art. 4 Abs. 2 UAbs. 2 des Interimsabkommens. 10 Art. 4 Abs. 3, 5 des Interimsabkommens. 11 Siehe Kapitel 2 A. II. 1. a). 12 Art. 4 Abs. 1 des Folgeabkommens. 13 Art. 4 Abs. 4 S. 1 des Folgeabkommens. 14 Art. 4 Abs. 5, 6 des Folgeabkommens. 15 Art. 5 Abs. 5 des Folgeabkommens; Art. 5 Abs. 2 lit. b des Interimsabkommens. 16 Art. 5 Abs. 3 des Folgeabkommens; Art. 5 Abs. 2 S. 1 des Interimsabkommens. 17 Art. 5 Abs. 6 des Folgeabkommens; Art. 5 Abs. 2 lit. c des Interimsabkommens. 18 Art. 12 Abs. 1 des Folgeabkommens. 19 Art. 13 des Folgeabkommens.

B. Anwendungsbereich des Abkommens

65

meinsame Evaluation vergangener Datenverarbeitungen vor,20 nicht aber die direkte fortlaufende Kontrolle. Auch die Rechtschutzmöglichkeiten betroffener Bürger wurden zwischen den beiden Versionen des Abkommens verbessert. Bestand in der Ursprungsfassung lediglich ein allgemein gehaltenes Recht auf einen „wirksamen Rechtsbehelf“,21 wurde im Folgeabkommen unter anderem ein Recht auf Berichtigung, Löschung oder Sperrung niedergelegt, das zunächst mit Unterstützung der nationalen Datenschutzbeauftragten geltend gemacht werden kann.22 Die Durchsetzung kann unter anderem vor US-Gerichten von jedermann wie von einem Inländer geltend gemacht werden.23

B. Anwendungsbereich des Abkommens Bevor S.W.I.F.T. im Jahre 2010 seine Serverstruktur umgestellt hatte, hatte das US-Finanzministerium uneingeschränkten Zugriff auf den gesamten Datenbestand des Kommunikationsnetzwerks.24 Mit der Abhängigkeit der USA von der Unterstützung weiterer Staaten haben diese die Möglichkeit erhalten, dem TFTP nur eingeschränktes Datenmaterial zur Auswertung zu überlassen. So müssen von der Europäischen Union nur die im Abkommen bezeichneten Arten von Nachrichten übermittelt werden.

I. Sachlicher Anwendungsbereich Das Abkommen sieht die Übermittlung von „Zahlungsverkehrsdaten und damit verbundenen Daten“ vor,25 die in der Infrastruktur von S.W.I.F.T. gespeichert sind.26 1. Daten des S.W.I.F.T.-Netzwerks Die Beschränkung auf Daten von S.W.I.F.T. wurde in beiden Versionen des Abkommens jeweils lediglich im Anhang niedergelegt. Dies geschah aus Rücksicht gegenüber dem Unternehmen. Es sollte von der Öffentlichkeit nicht mit der Datenweitergabe in Verbindung gebracht werden, damit seine Reputation keinen Schaden nehmen würde. Aus diesem Grund wurde der Anhang des Interimsab20

Art. 10 des Interimsabkommens. Art. 11 Abs. 3 des Interimsabkommens. 22 Art. 16 des Folgeabkommens. 23 Art. 18 Abs. 2 S. 2 des Folgeabkommens. 24 Siehe Kapitel 2 B. II. 1. 25 Art. 2 des Folgeabkommens bzw. Art. 1 Abs. 1 lit. a des Interimsabkommens. 26 Art. 3 des Folgeabkommens bzw. Art. 1 Abs. 1 lit. a des Interimsabkommens, jeweils i.V.m. dem Anhang des Abkommens. 21

66

Kap. 5: Inhalt des Abkommens

kommens geheim gehalten. Die Geheimhaltung ging so weit, dass sogar die Abgeordneten des Europäischen Parlaments keine Einsicht in diesen wesentlichen Teil des Abkommens nehmen durften, über den sie mit abstimmen sollten. Dies schürte die Vermutung, dass auch EC-Karten-Zahlungssysteme,27 Clearing-Systeme wie TARGET und SEPA28 und Institutsinterne Netzwerke umfasst sein könnten, die ohne weiteres unter den Begriff der „internationalen Zahlungsverkehrsdatendienste“29 hätten subsumiert werden können.30 Dieser Umstand trug zur Verunsicherung und zum Ärger der Parlamentarier bei und bestärkte somit die Mehrheit des Gremiums in ihrer Ablehnung des Vertrages.31 Lediglich aus Pressemeldungen und einer inoffiziellen Veröffentlichung des vollständigen Abkommenstextes durch die britische Bürgerrechtsorganisation Statewatch ist bekannt, dass ausschließlich S.W.I.F.T. betroffen war.32 Im Folgeabkommen vom 28. Juni 2010 hat die aushandelnde Kommission als Zugeständnis an das Parlament auch den Anhang offengelegt, der daraufhin auch im Amtsblatt veröffentlicht wurde.33 Er enthält lediglich die Worte „Society for Worldwide Interbank Financial Telecommunication (SWIFT)“. Das Bestreben, dafür zu sorgen, dass S.W.I.F.T. durch die Auslagerung des Namens in den Anhang nicht mit dem Abkommen in Verbindung gebracht wird, ist im Übrigen wenig geglückt. Nicht nur die Medien benutzen das Schlagwort „SWIFT” als Oberbegriff für die Diskussion über das Abkommen, sondern auch in offiziellen Dokumenten staatlicher Stellen wird die Bezeichnung „S.W.I.F.T.-Abkommen“ als Synonym für die Übereinkunft verwendet.34 Eine weitere Besonderheit der Auslagerung der Nennung des konkreten Zahlungsverkehrsdatendienstes in den Anhang besteht in der in Art. 3 S. 2, 3 des Folgeabkommens eröffneten Möglichkeit, die Liste im Wege eines diplomatischen Notenwechsels zu aktualisieren. Damit ist eine Möglichkeit geschaffen worden, in diesem Punkt Änderungen vorzunehmen ohne einen neuen Vertrag auszuhandeln und unterzeichnen zu müssen. Diese Praxis erfreut sich in jüngerer Zeit größerer Beliebtheit in völkerrechtlichen Verträgen der Union. So sollte das ACTA-Ab-

27

Zu den Netzwerkstrukturen Gößmann/Weber, Recht des Zahlungsverkehrs, Bd. 2, S. 307 ff. 28 Dazu einführend Einsele, Bank- und Kapitalmarktrecht, § 6 Rn. 110; Hartman, in: Blaurock, Das Recht der grenzüberschreitenden Überweisung, S. 113 (114 ff.); Toussaint, Das Recht des Zahlungsverkehrs im Überblick, Rn. 96 ff., 367 f. 29 Art. 1 Abs. 1 lit. a des Interimsabkommens. 30 Stellungnahme des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein v. 08.12. 2009, liegt dem Verfasser vor. 31 Empörung im Europäischen Parlament über Swift-Abkommen, FAZ v. 27.01. 2010, S. 6. 32 Abrufbar unter http://www.statewatch.org. 33 ABl. L 195 v. 27.07. 2010, S. 5 (14). 34 U.A. BT-Drs. 17/2431; BR-Drs. 151/10; 788/09; sowie diverse Pressemitteilungen des EP.

B. Anwendungsbereich des Abkommens

67

kommen35 Bestimmungen enthalten, nachdem ein eigens aus Delegierten errichtetes Komitee Änderungen am Vertrag beschließen kann.36 Diese Modifikationen sollen ohne Beteiligung des Europäischen Parlaments für die Union verbindlich sein.37 Dies führt zu der Frage, welche Gremien einer durch einen diplomatischen Notenwechsel erfolgenden Erweiterung der Liste von Zahlungsverkehrsdatendienste im Vorfeld zustimmen müssten. Diplomatische Wechsel als Nachrichten zwischen Regierungen bedürfen grundsätzlich keiner parlamentarischen Legitimation.38 Schließlich liegt der Zweck dieser Form einer Vereinbarung gerade in der der unkomplizierten unbürokratischen Absprache. Daraus folgt jedoch noch nicht, dass es auch zulässig ist, diesen einfachen Weg zu wählen. Im deutschen Verfassungsrecht wäre an dieser Stelle an die Wesentlichkeitslehre zu denken, die auch im Hinblick auf Art. 59 Abs. 2 GG Anwendung findet.39 Danach ist es der Gesetzgeber, der in grundlegenden normativen Bereichen, insbesondere im Bereich der Grundrechtsausübung, alle wesentlichen Entscheidungen selbst treffen.40 In derart wesentlichen Fragen darf das Parlament nicht der Exekutive die Entscheidungsbefugnis überlassen.41 Eine derartige universelle Wesentlichkeitslehre ist im Europarecht nicht etabliert.42 Jedoch findet sich ein ähnlicher Rechtsgedanke in Art. 290 Abs. 1 UAbs. 1 AEUV. Die Norm ermöglicht es, dass in Einzelfällen die Kommission Rechtssätze ergänzt oder ändert, wenn es sich um „nicht wesentliche[] Vorschriften des betreffenden Gesetzgebungsaktes“ handelt. Im Umkehrschluss obliegen wesentliche Änderungen dem ordentlichen Gesetzgeber. Betrachtet man diese Feststellung zusammen mit den das Parlament stärkenden neuen Kompetenzzuweisungen in Art. 218 Abs. 5 AEUV, so kommt man zu dem Schluss, dass die Zuständigkeit von Rat und Parlament zum Beschluss über völkerrechtliche Verträge mit Drittstaaten nicht ohne weiteres durch autonomes Handeln der Kommission untergraben werden können. Zumindest ist dies ausgeschlossen, wenn der diplomatische Notenwechsel einen wesentlichen Bestandteil des Haupttextes verändert. Diese besondere „Art Wesentlichkeitstheorie“43 unterscheidet sich von seinem verfassungsrechtlichen Pendant in zwei Punkten: Zum einen wird die Wesentlichkeit 35 Anti-Counterfeiting Trade Agreement; ein transnationales Abkommen zur Durchsetzung von immaterialgüterrechtlichen Ansprüchen, dessen Ratifizierung in zahlreichen Staaten ausgesetzt ist. 36 Art. 5.1 des ACTA-Abkommens in der Entwurfsfassung v. 15.11. 2010; abrufbar unter http://trade.ec.europa.eu/doclib/docs/2010/november/tradoc_147002.pdf. 37 „Ich hoffe auf Käse und das Parlament“, taz v. 12.11. 2010, S. 1. 38 Schladebach, NZV, 294 (296). 39 Nettesheim, in: Maunz/Dürig, GG, Art. 59 GG Rn. 26, 107; Pieper, in: Epping/Hillgruber, GG, Art. 59 Rn. 27. 40 BVerfGE 61, 260 (275); 88, 103 (116). 41 Epping, Grundrechte, Rn. 390 ff.; Pieroth/Schlink, Grundrechte, Rn. 264. 42 Krebber, in: Calliess/Ruffert, EUV/EGV, Art. 138 EGV Rn. 11. 43 Der Begriff wird im europäischen Kontext verwendet von Herdegen, Europarecht, 11. Aufl. 2009, § 20 Rn. 5.

68

Kap. 5: Inhalt des Abkommens

nicht absolut bestimmt, sondern die Änderung muss nach Art. 290 Abs. 1 UAbs. 1 AEUVeine „wesentliche Vorschrift[] des betreffenden Gesetzgebungsaktes“ sein. Es geht also nicht um die generelle Eingriffsintensität der Änderung, sondern um ihre Bedeutung im Zusammenhang mit dem Haupttext des Gesetzesvorhabens. Dies steht im Zusammenhang mit der zweiten Besonderheit, dass es nicht um die Grundrechtsrelevanz einer Regelung geht, sondern darum, ob es sich um ein entscheidendes Detail von grundsätzlicher Natur handelt, das exekutiv geregelt werden soll.44 Die Frage, ob lediglich die Daten des Unternehmens S.W.I.F.T. oder auch die anderer Finanztransaktionsdienstleister an das TFTP weitergegeben werden sollen, ist eine solche wesentliche Festlegung. Mit der Konkretisierung, welche Daten Gegenstand der Übertragung sind, wird die Grundvoraussetzung geklärt, auf der alle weiteren Regelungen aufbauen. Die Festlegung der betroffenen Provider markiert den sachlichen Anwendungsbereich der Übereinkunft und hat damit konstituierende Bedeutung für den weiteren Text. Eine derart weitreichende Modifikation kann daher nur unter Beteiligung des Europäischen Parlamentes erfolgen. Dies bedeutet freilich nicht, dass das Verfahren des diplomatischen Notenwechsels an dieser Stelle unzulässig wäre – das Parlament hat dieser Vorgehensweise schließlich zusammen mit dem weiteren Abkommenstext zugestimmt. Der Anhang des Abkommens kann jedoch nur durch einen solchen Notenwechsel verändert werden, der zuvor von den in Art. 218 Abs. 6 AEUV bezeichneten Gremien – also Rat und Parlament – bestätigt wurde. Der Zweck des vereinfachten Verfahrens bleibt dann auch erhalten, denn es ist kein neuer Vertragsschluss mit den USA erforderlich. 2. Umfasste Datenkategorien Die Anfragen des US-Finanzministeriums dürfen sich auf „Zahlungsverkehrsdaten und damit verbundene Daten“ beziehen, die von S.W.I.F.T. „im Gebiet der Europäischen Union gespeichert werden“.45 a) Zahlungsverkehrsdaten Der Begriff der „Zahlungsverkehrsdaten“ darf nicht als Unterkategorie von „Verkehrsdaten“ missverstanden werden. Die das deutsche Telekommunikationsrecht prägende Bezeichnung der „Verkehrsdaten“ im Sinne des § 96 TKG46 umschreibt Kennungen der an einer Kommunikation beteiligten Anschlüsse wie Telefonnummern oder IP-Adressen und weitere nicht inhaltsbezogene Informationen wie

44

Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 290 AEUV Rn. 4. Art. 1 Abs. 1 lit. a in beiden Versionen des Abkommens. 46 Die im Datenschutzrecht verbreitete Bezeichnung findet sich u. a. auch in § 20 m BKAG, § 8a Abs. 2 Nr. 4 BVerfSchG, § 41 Abs. 2 Nr. 2 PostG, § 100 g StPO. 45

B. Anwendungsbereich des Abkommens

69

Zeitpunkt und Dauer der Verbindung.47 Auf den Bankverkehr bezögen würden dann Kontonummern, Bankleitzahlen und Zeitpunkt einer Transaktion umfasst sein, nicht aber Geldbetrag und Verwendungszweck. Der Blick in weitere, rechtlich gleichrangige48 Sprachfassungen des Abkommens zeigt jedoch unzweifelhaft, dass die sprachliche Überschneidung zwischen „Verkehrsdaten“ und „Zahlungsverkehrsdaten“ ein spezifisch deutsches Phänomen ist. So heißt es in der englischsprachigen Version „financial payment messaging“. Die Wortkomponente „-verkehrsdaten“ ist in dieser Fassung also lediglich als „messaging“ bezeichnet, soll also lediglich klarstellen, dass es sich um eine Form von Nachrichten handelt. Diese Nachrichten müssen sich demnach auf finanzielle Zahlungen beziehen. Noch deutlicher und insbesondere ausführlicher ist die Regelung in der französischen Sprachfassung. Dort sind Zahlungsverkehrsdaten als „les données de messagerie financière faisant référence à des transferts financiers“ umschrieben, also als Daten der Übermittlung finanzbezogener Nachrichten, die einen Bezug zu finanziellen Transfers aufweisen. Darunter sind zunächst einmal Geldüberweisungen zu verstehen. Sämtliche Angaben, die eine Überweisungsnachricht im S.W.I.F.T.-Netz enthält,49 haben einen direkten Bezug zu einem Geldtransfer, sodass nicht nur die beteiligten Personen, sondern auch beispielsweise die Höhe der Überweisung und der abgegebene Verwendungszweck zu den Zahlungsverkehrsdaten zählen. Auch Clearings der Banken untereinander, bei denen die Überweisungen der Kunden gegeneinander aufgerechnet werden und letztendlich auch Geldzahlungen der Institute an weitere Banken zum Ausgleich entstehender Schulden getätigt werden, sind Zahlungsverkehrsdaten im Sinne des Abkommens. Die dafür erforderlichen Nachrichten werden ebenfalls über S.W.I.F.T. versendet und enthalten Angaben darüber, dass Geldbeträge übergehen sollen oder Forderungen durch Aufrechnung beglichen werden.50 Da der Begriff „Zahlungsverkehr“ neben den Transaktionen einzelner Personen auch die von Banken umfasst,51 dürfen auch solche, dem inneren Betriebsablauf der Bankwirtschaft zugehörigen Daten vom US-Finanzministerium angefordert werden. Dies kann hingegen nicht mehr für die das S.W.I.F.T.-Netz durchlaufenden Kontoauszüge gelten, die sich auf Konten beziehen, die Kreditinstitute gegenseitig unterhalten. Es handelt sich schließlich dabei um reine Informationen. Die daraus typischerweise folgende Geldzahlung zum Ausgleich von Differenzbeträgen wird erst durch eine 47 Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, § 96 TKG Rn. 2; Robert, in: Geppert/Piepenbrock/Schütz/Schuster, TKG, § 96 Rn. 3; siehe auch § 3 Nr. 30 TKG. 48 Unterzeichnungsklausel nach Art. 23 des Folgeabkommens bzw. Art. 15 Abs. 5 S. 2 des Interimsabkommens. 49 Zum Aufbau einer Überweisungsnachricht siehe Kapitel 2 A. III. 2. 50 Etzkorn, Rechtsfragen des internationalen elektronischen Zahlungsverkehrs durch S.W.I.F.T., S. 11. 51 Grill/Gramlich/Eller, Gabler Bank Lexikon, Teil L-Z, Eintrag Zahlungsverkehr.

70

Kap. 5: Inhalt des Abkommens

separate Zahlungsanweisung getätigt. Die reine Übermittlung einer Entscheidungsgrundlage kann noch nicht als Zahlung bezeichnet werden. Gleiches gilt für Depotbestätigungen über den Aktienbesitz bei depotverwalteten Inhaberaktien, Liquidationsnotizen und Nachrichten des dokumentären Zahlungsverkehrs, bei dem Warendokumente und Handelspapiere direkt über das S.W.I.F.T.Netz versandt werden.52 Die genannten Nachrichtentypen enthalten jeweils lediglich Informationen, die Transaktionen zur Folge haben können. Dem Empfänger steht es frei, ob er eine Geldverschiebung veranlassen möchte. Ein unmittelbarer Zusammenhang zu einer Zahlung fehlt damit. Zahlungsverkehrsdaten im Sinne des Abkommens sind somit nur Nachrichten, die die Anweisung einer Zahlung enthalten sowie Nachrichten über die teilweise über S.W.I.F.T. abgewickelten Wertpapiertransfers. b) Mit Zahlungsverkehrsdaten verbundene Daten Neben Zahlungsverkehrsdaten sind auch „damit verbundene Daten“ in den Anwendungsbereich des Abkommens einbezogen.53 Es ist davon auszugehen, dass diese offene Formulierung von den Vertragsparteien bewusst gewählt wurde, um möglichst lückenlos den Datenbestand auf den Servern der S.W.I.F.T. zu beschreiben. Daher darf der erforderliche sachliche Zusammenhang zum Zahlungsverkehr nicht zu eng angesetzt werden. Die oben genannten Datenkategorien, die als Informationsgrundlage für gegebenenfalls im Anschluss zu tätigende Transaktionen keine Zahlungsverkehrsdaten sind, weisen einen solchen Zusammenhang auf. Sie sind nicht nur mit den künftigen Transaktionen verbunden, sondern die in ihnen enthaltenen Informationen beruhen auch auf vergangenen Vermögensverschiebungen. Des Weiteren wird das S.W.I.F.T.-System von technischen Nachrichten durchlaufen, die im Wesentlichen den Betriebsablauf sicherstellen.54 Dazu zählen vor allem Empfangsbestätigungen, Storno- und Testnachrichten. Als Kehrseite einer tatsächlichen Zahlungsverkehrsnachricht sind Empfangsbestätigungen und Stornierungen mit ihr verbundene Daten. Testnachrichten, die lediglich die Erreichbarkeit von Systemkomponenten oder Banken ermitteln, haben zwar keinen Bezug zu konkreten Zahlungsverkehrsdaten, sind jedoch eine notwendige Voraussetzung, um das Nachrichtensystem aufrechtzuerhalten und um überhaupt Zahlungsverkehrsdaten zu versenden. Damit sind die technischen Nachrichten generell vom Abkommen umfasste verbundene Daten. Die Praxisrelevanz ist allerdings gering, da ein Terrorismusbezug kaum anzunehmen ist.

52 53 54

Siehe Kapitel 2 A. III. 1. Art. 1 Abs. 1 lit. a in beiden Versionen des Abkommens. Siehe Kapitel 2. A. III. 1.

B. Anwendungsbereich des Abkommens

71

Die einzige Datenkategorie, die nicht notwendigerweise einen Zusammenhang zu Zahlungen aufweist, bilden die im „free format“ gesendeten Mitteilungen. Die selten genutzte Möglichkeit, Mitteilungen ohne Einhaltung weiterer Standards von einem Kreditinstitut an ein weiteres zu senden,55 bietet die Möglichkeit, Bankaufträge auch dann weiterzuleiten, wenn aus technischen oder anderen Gründen eine Einhaltung der Nachrichtenstandards nicht gewollt ist. Die Empfängerbank enthält dann wie in einem Brief bzw. einer Email eine ausformulierte Zahlungsanweisung, die die dortigen Mitarbeiter manuell in ihr System einpflegen müssen. Diese vollständige Freiheit von Standards ermöglicht zudem das Senden jeglicher brieflicher Kommunikationsinhalte, beispielsweise auch privater oder rein informativer Nachrichten. Dabei handelt es sich dann weder um Zahlungsverkehrsdaten noch um damit verbundene Nachrichten. Ob die Freitext-Mitteilungen im Anwendungsbereich des Abkommens stehen, hängt also vom Inhalt im konkreten Einzelfall ab. Die Feststellung des Inhaltes erfordert jedoch die Entschlüsselung des codierten Nachrichtenbodys und eine individuelle Einsichtnahme durch einen Mitarbeiter von S.W.I.F.T. Diese manuelle Lösung ist aufgrund der Seltenheit von Freitext-Nachrichten vom Aufwand her unproblematisch, bedeutet jedoch eine weitere Datenerhebung durch ein nichtstaatliches Unternehmen. Eine Einsichtnahme durch Vertreter des Bankensystems, dem die Daten anvertraut wurden, stellt jedoch eine mildere Maßnahme dar als eine unkontrollierte Weitergabe von Daten, die nicht in den Anwendungsbereich des Abkommens fallen könnten. Damit dürfen Daten im Freitext-Format nur nach vorheriger Einzelfallprüfung weitergegeben werden. c) Speicherung im Gebiet der Europäischen Union S.W.I.F.T. darf nur solche Daten an das US-Finanzministerium weitergeben, die im Gebiet der Europäischen Union gespeichert sind. Von den drei Operationszentren, in denen Datenspeicherung erfolgt, fällt nur das niederländische in diese Kategorie. Weil es den USA unbenommen bleibt, die im US-Operationszentrum gespeicherten Nachrichten nach nationalen Rechtsgrundlagen heraus zu verlangen,56 ist somit nur das in der Schweiz gelegene Rechenzentrum von einer Einsichtnahme des TFTP unangetastet. Die Beschränkung auf ein vom Abkommen umfasstes Operationszentrum hat jedoch keine praktischen Auswirkungen, weil nach der Systemarchitektur von 2010 sowohl der amerikanische als auch der schweizerische Server eine Sicherungskopie aller auf ihnen verarbeiteten Daten an den niederländischen Server zur Speicherung für 124 Tage schicken.57 Damit sind sämtliche das S.W.I.F.T.-Netz durchlaufenden Informationen im Gebiet der Europäischen Union temporär gespeichert und können vom TFTP angefordert werden.

55 56 57

Loh, Das S.W.I.F.T.-System, S. 41. Siehe Kapitel 2 B. III. Siehe Kapitel 2 A. II. 2.

72

Kap. 5: Inhalt des Abkommens

Im Leitungsnetz selbst findet keine Datenspeicherung statt. Lediglich die nationalen Konzentratoren sind technisch in der Lage, Informationen zu speichern. Mitteilungen werden dort nach der Weiterleitung an ein Kreditinstitut so lange aufbewahrt, bis eine automatische Empfangsbestätigung eintrifft. Dies geschieht in der Regel binnen Sekunden. Verzögerungen von maximal einigen Stunden können sich abgesehen von technischen Defekten nur dann ergeben, wenn die EDV des empfangenden Instituts über begrenzte Betriebszeiten verfügt oder die über eine Wählleitung mit dem Konzentrator verbunden sind.58 Die Bearbeitung einer Anfrage des US-Finanzministeriums dauert allerdings mehrere Tage.59 Damit besteht kein Bedürfnis für die Auswertung der in den nationalen Konzentratoren gespeicherten Informationen, zumal sämtliche dort gespeicherten Daten sich als Sicherungskopie auch im niederländischen Rechenzentrum befinden. Eine gewisse, wenn auch theoretische Relevanz hatte diese Problematik zur Zeit des Interimsabkommens. Während nach dem Folgeabkommen das US-Finanzministerium direkt mit S.W.I.F.T. korrespondiert,60 wäre nach dem Interimsabkommen die Datenweiterleitung durch eine Behörde des Mitgliedstaates erfolgt, der die Anfrage erhalten hätte.61 Insofern hätten auch sämtliche Mitgliedstaaten wie Deutschland62, auf deren Gebiet keine Datenspeicherung erfolgt, mit einer Anforderung belegt werden können. Da diese Staaten jedoch tatsächlich nicht in der Lage gewesen wären, die angeforderten Daten zu erheben und weiterzugeben, bestand auch keinerlei Herausgabeverpflichtung.

II. Räumlicher Anwendungsbereich Nach dem Interimsabkommen hätten noch sämtliche bei S.W.I.F.T. gespeicherten Zahlungsverkehrsdaten bzw. damit verbundenen Daten abgerufen werden können. Bei den Neuverhandlungen war es den EU-Vertretern ein zentrales Anliegen, innereuropäische Transaktionen aus dem zur Verfügung gestellten Datenpool herauszunehmen.63 Die entsprechend in Art. 4 Abs. 2 lit. d des Folgeabkommens eingefügte Klausel wurde als bedeutender Verhandlungserfolg angesehen.64 Der Ausschluss innereuropäischer Nachrichten sollte eine wesentliche Verbesserung des europäischen Datenschutzes gegenüber dem Interimsabkommen darstellen, sodass diese Veränderung einen zentralen Grund für das Europäische Parlament darstellte, 58

Siehe Kapitel 2 A. II. 1. c). Bankdaten-Abkommen empört Datenschützer, Handelsblatt v. 01.02. 2010, S. 15. 60 Art. 4 Abs. 1, Abs. 5 S. 2 des Folgeabkommens. 61 Art. 4 Abs. 3, Abs. 7 des Interimsabkommens. 62 Der im Ratsbeschluss eingelegte Ratifizierungsvorbehalt Deutschlands hätte als EUinterne Maßnahme keinerlei Außenwirkung gegenüber den USA gehabt. 63 Ratsdok. 11330/10 v. 18.06. 2010, S. 2. 64 BT-Drs. 17/2431 (der Antrag wurde vom BT angenommen); Koster, BB 2010, 1673. 59

B. Anwendungsbereich des Abkommens

73

dem ansonsten im Kern nicht wesentlich veränderten Abkommen nunmehr zuzustimmen.65 Art. 4 Abs. 2 lit. d des Folgeabkommens besagt, dass keine Daten angefordert werden dürfen, „die sich auf den Einheitlichen Euro-Verkehrsraum beziehen.“ Bei spontaner Betrachtung scheint diese Klausel sämtliche Transaktionen zu umfassen, die innerhalb derjenigen Staaten vorgenommen werden, in denen der Euro das offizielle Zahlungsmittel ist. Bei genauerer Betrachtung wird hingegen die sprachliche Nähe zum Single Euro Payments Area, einem europaweiten Überweisungsstandard, deutlich. 1. Single Euro Payments Area Das als SEPA bezeichnete Single Euro Payment Area umschreibt die Bestrebung, europaweite, einheitliche Verfahren zu Finanztransaktionen zu realisieren, damit sich eine grenzüberschreitende Überweisung innerhalb der EU nicht mehr von einer nationalen unterscheidet.66 Diese vollständige Harmonisierung der Bankenkommunikation wurde 2008 mit der Richtlinie 2997/64/EG verpflichtend und muss bis spätestens 2013 in allen Kreditinstituten umgesetzt werden.67 Den Kernbestandteil des SEPA-Standards bildet die Angleichung der mitgliedstaatlichen Rechtsrahmen. So ist nach der Umsetzung beispielsweise eine im Euroraum68 einheitliche Haftung der Kreditinstitute festgeschrieben.69 Auch wurden die verpflichtenden Fristen, binnen denen ein Auftrag spätestens zu bearbeiten ist70 und die Kosten, die von den Instituten maximal erhoben werden dürfen, einheitlich geregelt.71 Die Behandlung des Euroraumes wie einen nationalen Zahlungsverkehrsraum zieht auch eine infrastrukturelle Harmonisierung nach sich. Nationale Transaktionen, die keine Eilüberweisungen sind, werden im Normalfall nicht über S.W.I.F.T. abgewickelt.72 Die größeren Kreditinstitute tauschen Ihre Anweisungen per Direktverbindung miteinander aus.73 Sind kleinere Banken beteiligt, die nicht über eine solche unmittelbare Verbindung verfügen, so erfolgt die Kommunikation über eine

65 Bedingungen für Swift-Abkommen, Handelsblatt v. 22.06. 2010, S. 5; US-Einblick in Bankdaten unterschätzt, FTD v. 01.02. 2011, S. 1. 66 Toussaint, Das Recht des Zahlungsverkehrs im Überblick, Rn. 367. 67 ABl. L 319 v. 05.12. 2007, S. 1; hinzu tritt die VO 924/2009/EG, ABl. L 266 v. 09.10. 2009, S. 11. 68 Wesentliche Verpflichtungen der Richtlinie gelten nur für die Eurozone, teilweise ist jedoch die gesamte Union betroffen, Art. 2 Abs. 2 der RL. 69 Art. 18, 60, 74 ff. der RL 2997/64/EG. 70 Toussaint, Das Recht des Zahlungsverkehrs im Überblick, Rn. 367. 71 Art. 1 der VO 924/2009/EG. 72 Siehe Kapitel 2. A. III. 73 Sog. „Hausnetze“, vgl. Hartmann, in: Blaurock, Das Recht der grenzüberschreitenden Überweisung, S. 113 (114).

74

Kap. 5: Inhalt des Abkommens

Clearing-Stelle,74 die ihrerseits über eine eigene Kommunikations-Infrastruktur verfügt. Eine SEPA-Transaktion muss einem vom European Payment Council erarbeitetes Regelwerk über technische und infrastrukturelle Voraussetzungen einhalten.75 Danach müssen die beteiligten Kreditinstitute sich eines Clearing & Settlement Mechanism (CSM) bedienen.76 Die Wahl des konkreten Anbieters einer solchen Abwicklungsstruktur ist dem Wettbewerb überlassen, sodass mehrere Infrastrukturen nebeneinander bestehen, die jeweils dem für SEPA-Überweisungen erforderlichen Pan-European Automated Clearing House-Standard entsprechen.77 Diese unterschiedlichen Netzwerke müssen auch untereinander kommunizieren können, damit Transaktionen zwischen Banken, die unterschiedlichen Clearing-Systemen angehören, möglich sind. Diese Schnittstelle ist wiederum S.W.I.F.T.78 Das Leitungsnetz der belgischen Gesellschaft wird dabei lediglich als Durchlaufstation genutzt. Weil die Clearing-Häuser über eigene Datenspeicherungsserver zur Anfertigung von Sicherungskopien verfügen, findet keine redundante Speicherung auf dem niederländischen S.W.I.F.T.-Server statt.79

2. Auslegung des Art. 4 Abs. 2 lit. d des Folgeabkommens Die Feststellung, dass keine SEPA-Daten auf den S.W.I.F.T.-Servern zwischengespeichert werden, wirft die Frage auf, ob es von den Vertragsparteien tatsächlich beabsichtigt war, diese nochmals explizit auszuschließen. Dann wäre die Regelung mangels praktischer Bedeutung sinnfrei. Vielmehr könnte die Intention der Aufnahme des Art. 4 Abs. 2 lit. d in das Folgeabkommen darin gelegen haben, sämtliche innereuropäische Transaktionen vom Anwendungsbereich auszuschließen. Zumindest einzelne Abgeordnete des Europäischen Parlaments hatten die Klausel als komplette Ausklammerung verstanden, darunter auch die Verhandlungsführer MdEP Alexander Alvaro und MdEP Birgit Sippel.80 Abhängig von der zugrunde gelegten Sprachfassung ist diese Ansicht durchaus nachvollziehbar. So bezieht sich die Ausklammerung in der französischen Version auf Transaktionen „à l’espaceunique de paiements en euro“. Mit diesen Worten ist ein einheitlicher Raum umschrieben, in dem mit dem Euro gezahlt wird. Weder sprachlich noch inhaltlich deckt sich diese Bezeichnung mit dem SEPA-Standard. 74

Gößmann/Weber, Recht des Zahlungsverkehrs, S. 73 ff. Häuser, in: Schmidt, Münchener Kommentar zum Handelsgesetzbuch, Bd. 5 Anhang I Rn. B 14. 76 Bundesverband Öffentlicher Banken Deutschlands, Single Euro Payments Area, S. 18. 77 Bundesverband Öffentlicher Banken Deutschlands, Single Euro Payments Area, S. 19. 78 Vgl. Einsele, Bank- und Kapitalmarktrecht, Rn. 111. 79 Antwort der Kommissarin Malmström v. 23.11. 2010 auf die parlamentarische Anfrage E-7516/2010. 80 USA kommen an noch mehr Bankdaten, FTD v. 01.02. 2011, S. 1. 75

B. Anwendungsbereich des Abkommens

75

Der Eigenname wird zudem üblicherweise nur in Englisch angeführt. In weiteren, rechtlich gleichrangigen81 Abkommensfassungen ist hingegen von dem „Einheitlichen Euro-Zahlungsverkehrsraum“ bzw. dem „Single Euro Payments Area“ die Rede. Die ansonsten orthographisch nicht korrekte Großschreibung deutet an, dass ein Eigenname gemeint sein muss. Die Auslegung, dass die Vertragsparteien den SEPA-Standard gemeint haben, wird zudem durch das Verhandlungsmandat der Kommission an den Rat bestätigt.82 Dieses ist eine vorbereitende Arbeit im Sinne des Art. 32 des Wiener Übereinkommens über das Recht der Verträge.83 Im Anhang des Verhandlungsmandates findet sich die eindeutige Bestimmung „The Agreement or its Annex shall provide that all transactions relating to the Single European Payment Area (SEPA) fall outside the scope of the data to be requested (…)“. Wenn bereits die europäischen Verhandlungspartner keine vollständige Ausklammerung aller innereuropäischen Transaktionen forderten, sondern nur solcher nach dem SEPA-Standard, dann ist eine Ausweitung im abschließenden Vertragstext nicht anzunehmen. Die USA verfolgten das Interesse, einen möglichst umfassenden Datenbestand zur Auswertung zu Verfügung zu haben. Damit ändert das Informationsdefizit einzelner Abgeordneter nichts an dem grundsätzlichen Willen der Vertragsparteien, lediglich SEPA-Überweisungen und -Lastschriften auszuschließen.84 3. Folgen Die Erkenntnis, dass S.W.I.F.T. und das US-Finanzministerium als die Akteure, die den Datenaustausch vornehmen, eine abkommenskonforme Differenzierung zwischen SEPA-Daten und gewöhnlichen S.W.I.F.T.-Daten vornehmen, wurde erstmalig deutlich in der Antwort der Kommissarin Malmström auf eine Anfrage des Abgeordneten MdEP Ehrenhäuser.85 Daraufhin haben Recherchen der Financial Times Deutschland im Februar 2011 ergeben, dass bis dahin nur ein Bruchteil der europäischen Kreditinstitute den SEPA-Standard bisher eingeführt hatte, weil insbesondere kleine Häuser die komplexe und kostspielige Umstellung ihrer EDV hinauszögerten.86 Genaue Zahlen sind nicht bekannt. Es ist jedoch davon auszugehen, dass dem US-Finanzministerium in rechtmäßiger Weise zahlreiche innereuropäische Überweisungsdaten ausgehändigt werden. Damit wurde ein Abkommen geschlossen, von dem ein Teilbereich nicht dem Willen der Unionsvertreter entspricht.87 Diese gingen zumindest teilweise davon aus, 81

Unterzeichnungsklausel nach Art. 23 des Folgeabkommens. Das unveröffentlichte Papier wurde von der britischen Bürgerrechtsorganisation Statewatch publiziert unter http://www.statewatch.org. 83 Zum WÜRV siehe Fn. 307. 84 Stellungnahme des Europäischen Datenschutzbeauftragten v. 22.06. 2010, S. 3. 85 Antwort v. 23.11. 2010 auf die parlamentarische Anfrage E-7516/2010. 86 USA kommen an noch mehr Bankdaten, FTD v. 01.02. 2011, S. 1. 87 Lektion im Datenschutz, FTD v. 01.02. 2011, S. 1. 82

76

Kap. 5: Inhalt des Abkommens

dass der Umstellungsprozess hin zu SEPA bei Vertragsschluss nahezu abgeschlossen gewesen sei.88 Insofern unterlagen sie einem Irrtum. Gemäß Art. 48 Abs. 1 des Wiener Übereinkommens für das Recht der Verträge hat der Irrtum einer Partei eines völkerrechtlichen Vertrages dann eine Relevanz für dessen Gültigkeit, wenn er sich auf eine Tatsache oder Lage bezieht, deren Bestehen der Staat im Zeitpunkt des Vertragsschlusses annahm und die eine wesentliche Grundlage für seine Zustimmung bildete. Der Ausschluss innereuropäischer Zahlungsverkehrsdaten aus dem Abkommen stellte zwar aus Sicht von Rat und Kommission einen wünschenswerten Fortschritt gegenüber dem Interimsabkommen dar, zählte jedoch nicht zu den an verschiedenen Stellen durch deren Vertreter herausgestellten drei wesentlichen Verbesserungen.89 Ohnehin schließt Art. 48 Abs. 2 der Wiener Übereinkunft eine Rechtswirkung des Irrtums für den Fall aus, dass der betreffende Staat durch sein eigenes Verhalten zu dem Irrtum beigetragen hat oder nach den Umständen mit der Möglichkeit eines solchen rechnen musste. Die europäischen Banken wurden durch die EU, also die betreffende Vertragspartei selbst, verpflichtet, Systemumstellungen bis 2013 vorzunehmen. Daraus lässt sich kein Anlass erkennen, darauf zu vertrauen, dass diese Umstellung früher von Statten gehen würde. Erst deutlich nach Vertragsschluss hat mit dem Abgeordneten Ehrenhäuser ein Vertreter eines Unionsorgans die allgemeine Annahme, die Restrukturierung zum SEPA-Standard sei weitestgehend vollzogen, hinterfragt. Dies hätte bereits in der Verhandlungsphase erfolgen können und müssen.90 Die an den Verhandlungen und den Beschlussfassungen zum Folgeabkommen Beteiligten hätten demnach mit der Möglichkeit eines Irrtums rechnen müssen und hätten ihn durch wenig aufwändige Recherchen auch vermeiden können. Damit ist die irrtümlich ins Abkommen aufgenommene Verpflichtung zur Herausgabe der Datensätze einer Vielzahl von innereuropäischen Transaktionen rechtlich bindend.

C. Datenschutz im europäischen Recht Das Abkommen versetzt die US-Administration in die Lage, detaillierte Informationen über die Bewegungen auf Bankkonten von Privatpersonen und Unternehmen zu erhalten. Es muss sich daher an den Grundrechten, die den Datenschutz betreffen, messen lassen. Die Unterzeichnung des Abkommens erfolgte durch den Rat, die dazu ermächtigenden Beschlüsse wurden vom Rat und vom Europäischen 88

USA kommen an noch mehr Bankdaten, FTD v. 01.02. 2011, S. 1. Zu den drei wesentlichen Verbesserungen zählen demnach: Die Angabe der Datenart in einer Anfrage, die nicht mehr mögliche Weitergabe von Rohdaten an Drittstaaten und die Ausweitung der Betroffenenrechte; siehe: Deutschland stimmt dem SWIFT-Abkommen zu, Pressemitteilung des BMI v. 28.06. 2010; Pressemitteilung der Kommission v. 24.03. 2010, IP/ 10/348 90 Dieser Vorwurf wird insbesondere erhoben in: Lektion im Datenschutz, FTD v. 01.02. 2011, S. 1. 89

C. Datenschutz im europäischen Recht

77

Parlament erlassen. Handlungen dieser Organe sind nach den Maßstäben der Unionsgrundrechte zu beurteilen.91 Auch nationalen Grundrechten könnte das Abkommen zuwiderlaufen. So wurde der deutsche Vertreter im Rat gesetzgeberisch tätig, und unterlag dabei der Grundrechtsbindung des Art. 1 Abs. 3 Alt. 1 GG.92 Insofern sind auch die Grundrechte des Grundgesetzes bei der Beurteilung des Abkommens von Belang. Weil allerdings eine verfassungswidrige deutsche Zustimmung keine Auswirkungen auf den Fortbestand der vereinbarten Regelungen hätte93 und eine mitgliedstaatliche Kündigung nicht möglich ist,94 konzentriert sich diese Bearbeitung auch angesichts der Vergleichbarkeit mit den nationalen Grundrechten auf die europarechtliche Ebene.

I. Europäische Grundrechte Europäische Grundrechte können aus unterschiedlichen Rechtsquellen abgeleitet werden. Seit Inkrafttreten des Vertrags von Lissabon ist die Union gemäß Art. 6 Abs. 1 UAbs. 1 EUV an die Charta der Grundrechte95 gebunden.96 Dabei handelt es sich um eine systematische Zusammenfassung der Grundrechte, die sich bereits aus den Verfassungstraditionen der Mitgliedstaaten sowie aus deren internationalen Verpflichtungen ergeben.97 Die Charta ist mit den Verträgen gleichrangig.98 Sie genießt damit den Status von Primärrecht, sodass die Unionsorgane sich an die in ihr niedergelegten Grundrechte zu halten haben. Es handelt sich bei der Grundrechtecharta lediglich um eine strukturierte Verschriftlichung bereits gültiger allgemeiner Rechtsgrundsätze.99 Diese selbst bleiben auch nach der Proklamation der Charta unabhängig von den dort gewählten Formulierungen als Rechtserkenntnisquelle erhalten.100 Die allgemeinen Rechtsgrundsätze stehen ebenfalls in dem Rang von Primärrecht.101 Dazu zählen grundrechtsbezogene Normen des EUV, die internationalen Verpflichtungen wie die 91

Husmann, NZS 2010, 655 (660). Schilling, DVBl. 1997, 458 (459 f.). 93 Schilling, DVBl. 1997, 458 (461). 94 Sollte hingegen ein Verstoß gegen europäische Grundrechte rechtskräftig festgestellt werden, bleibt der Union die Möglichkeit der Kündigung nach Art. 21 Abs. 2 des Folgeabkommens. 95 Charta der Grundrechte der Europäischen Union, ABl. C 364 v. 18.12. 2000, S. 1. 96 Tinnefeld/Buchner, DuD 2011, 657. 97 Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 1 Rn. 31, 65; Schäfer, BayVBl. 2001, 460 (465). 98 Art. 6 Abs. 1 UAbs. 1, 2. Hs. EUV. 99 Gemäß Abs. 5 der Präambel zur Grundrechtecharta „bekräftigt“ sie die vorhandenen Rechte. 100 Vgl. Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 1 Rn. 36. 101 Jarass, GRCh, Einl. Rn. 9; Pache, in: Heselhaus/Nowak, HEG, § 4 Rn. 120. 92

78

Kap. 5: Inhalt des Abkommens

EMRK oder Sozialchartas sowie die Gesamtheit der Verfassungstraditionen der Mitgliedstaaten.102 Um aus der letztgenannten Rechtsquelle allgemeingültige Grundrechte ableiten zu können, muss im Zuge einer rechtsvergleichenden Untersuchung der gemeinsame Gehalt aus den Verfassungen aller Einzelstaaten herausgefiltert werden.103 Dabei muss nicht zwingend jede Einzelverfassung einen jeweils gleich stark formulierten Schutz enthalten, weil das historisch bedingte Fehlen einer Garantie nicht automatisch eine Negierung der entsprechenden Wertsetzung bedeutet.104 Entscheidend sind vielmehr die durch eine gemeinsame europäische Geschichte gewachsenen gleichen Wertsetzungen. Aus den diversen europarechtlichen Quellen ergeben sich zahlreiche Grundrechte, die nicht nur oftmals fast wortgleich formuliert sind, sondern auch inhaltlich im Grundsatz deckungsgleich sind. Da sie auch rechtlich gleichrangig nebeneinander stehen,105 können denselben Gegenstand betreffende Grundrechte gemeinsam betrachtet werden.

II. Grundrecht auf informationelle Selbstbestimmung 1. Herleitung Das Grundrecht auf informationelle Selbstbestimmung106 ist in den Ursprungsfassungen der meisten mitgliedstaatlichen Verfassungen noch nicht ausdrücklich genannt.107 Es wurde jedoch als Antwort auf die Herausforderungen der sich entwickelnden Informationsgesellschaft108 aus den Schutzbereichen anerkannter Grundrechte wie dem Schutz des Privatlebens,109 der Kommunikation110 oder der 102 Bruha, in: Heselhaus/Nowak, HEG, § 2 I Rn. 1 ff.; Jarass, EU-Grundrechte, § 2 Rn. 6 ff; Di Martino, Datenschutz im europäischen Recht, S. 27; Siemen, Datenschutz als europäisches Grundrecht, S. 29 ff. 103 Mayer, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, nach Art. 6 EUV Rn. 19. 104 Mayer, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, nach Art. 6 EUV Rn. 22. 105 Schilling, EuGRZ 2000, 3, (30). 106 Die Bezeichnung als „informationelle Selbstbestimmung“ anstelle von „Datenschutz“ bzw. „Schutz personenbezogener Daten“ entspringt der Terminologie des deutschen Bundesverfassungsgerichts (BVerfGE 65, 1). Sie ist auf europäischer Ebene zwar gebräuchlich, jedoch keine verbindliche Bezeichnung. An dieser Stelle wird sie zum Zweck der Abgrenzung zur Freiheit der vertraulichen Kommunikation (siehe Kapitel 5 C. III.) verwendet. 107 Di Martino, Datenschutz im europäischen Recht, S. 28; Ausnahmen bilden etwa die jüngeren Verfassungen Polens (Art. 19 Abs. 3), der Slowakei (Art. 22), Sloweniens (Art. 38) und Ungarns (Art. 59). 108 Mitteilung der Kommission zum Status der Grundrechtecharta der Europäischen Union v. 11.10. 2000, KOM (2000) 644 endg. (CHARTE 4956/00 CONTRIB 355); Siemen, Datenschutz als europäisches Grundrecht, S. 35 ff. 109 Art. 22 Verf. Belgien; Art. 9 Abs. 1 S. 2 Verf. Griechenland.

C. Datenschutz im europäischen Recht

79

Persönlichkeitsentfaltung111 abgeleitet.112 Damit erfolgte seine Entstehung durch einen Verfassungswandel.113 Einen entsprechenden Werdegang hat auch das darauf gestützte europäische Grundrecht genommen. So wurde es vom EuGH zunächst auf die zuvor anerkannten Rechte auf Achtung der Privatsphäre und der Unverletzlichkeit der Wohnung gestützt.114 Dies geschah teilweise unter Bezugnahme auf Art. 8 EMRK,115 obwohl die Bestimmung dem Wortlaut nach keinen Schutz personenbezogener Daten enthält,116 sondern das Privat- und Familienleben, die Wohnung und die Korrespondenz betrifft. Spätestens seit der Fixierung des „Schutz [es] personenbezogener Daten“ in Art. 8 der Grundrechtecharta hat es sich als ein eigenständiges Grundrecht etabliert.117 2. Konkretisierung durch die EG-Datenschutzrichtlinie Bei der Ausarbeitung der Grundrechtecharta wurde dessen Art. 8 der bereits zuvor gültigen Datenschutzrichtlinie 95/46/EG118 nachgebildet.119 Der europäische Konvent, der die Charta ausgearbeitet hat, hat sich im Hinblick auf das Datenschutzgrundrecht in besonderem Maße an den Auftrag des Europäischen Rates von Köln gehalten, der hinsichtlich der Grundlagen der Charta explizit auf das Recht der Union, die EMRK und die gemeinsamen internationalen Verpflichtungen der Mitgliedstaaten verwiesen hat.120 Im Anbetracht der Tatsache, dass zur Ausgestaltung des Datenschutzgrundrechts bereits ein komplexes Regelwerk existiert hat, haben sich die Konventsmitglieder dazu entschlossen, die wesentlichen Regelungsgehalte und Schlagworte der Richtlinie in Art. 8 GRCh zusammenzufassen. In seinen offiziellen Erläuterungen zu den einzelnen Grundrechten hat das Präsidium des Konvents festgeschrieben, dass sich Art. 8 GRCh inhaltlich auf Art. 286 EGV (bzw. nun Art. 16 AEUV) sowie die Vorschriften der EG-Datenschutzrichtlinie stützt.121

110

§ 72 S. 2 Verf. Dänemark; § 43 Verf. Estland; Art. 15 Verf. Italien. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. 112 Übersichten bei Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 3; Rengeling/Szczekalla, Grundrechte in der EU, S. 479. 113 Becker, in: Hill/Schliesky, Innovationen im und durch Recht, S. 57 (61 f.). 114 EuGH, Rs. 29/69, Slg. 1969; Di Martino, Datenschutz im europäischen Recht, S. 28. 115 EuGH, Rs. 465/00, Slg. 2003, I-4989, Rn. 70. 116 Jarass, GRCh, Art. 8 Rn. 1. 117 Holoubek, in: Duschanek, Grundrechte für Europa, S. 30. 118 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281 v. 23.11. 1995. 119 Johlen, in: Tettinger/Stern, GRCh, Art. 8 Rn. 16. 120 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 2. 121 Erläuterungen des Präsidiums des europäischen Konvents v. 11.10. 2000, CHARTE 4473/00, S. 11 CONVENT 49. 111

80

Kap. 5: Inhalt des Abkommens

Der Verweis in den offiziellen Materialien hat zur Folge, dass die EG-Datenschutzrichtlinie als wesentliche Erkenntnisquelle zur Auslegung von Art. 8 GRCh heranzuziehen ist.122 Um Begriffsbestimmungen und Schrankensystematik des knapp gehaltenen Grundrechtsartikel zu konkretisieren, sind deshalb die Regelungen der 34 Artikel starten Richtlinie heranzuziehen.123 Auch das Schrifttum zur EGDatenschutzrichtlinie kann hinsichtlich des inhaltlich deckungsgleichen Art. 8 GRCh genutzt werden.124 Den Anforderungen des Datenschutzgrundrechts aus Art. 8 GRCh kann aus diesem Grund nur eine Maßnahme gerecht werden, die nicht gegen die Bestimmungen der ihm zugrunde liegenden EG-Datenschutzrichtlinie verstößt. Wenn es sich auch in dogmatischer Hinsicht um bloßes Sekundärrecht handelt, genießen die Regelungen der EG-Datenschutzrichtlinie faktisch gesehen den Rang von Primärrecht, weil sie zur Auslegung der Grundrechtecharta heranzuziehen sind, die ihrerseits über Primärrechtsstatus verfügt.125 Völkerrechtliche Verträge, die die EU schließt, stehen im Rangverhältnis unterhalb der Grundrechte der Union.126 Deshalb müssen die betreffenden Abkommen, wenn sie Datenverarbeitungen zum Gegenstand haben, auch den Anforderungen der EG-Datenschutzrichtlinie genügen.127 Fraglich ist allerdings, ob Regelungen der EG-Datenschutzrichtlinie auch dann zur Konkretisierung des Datenschutzgrundrechts heranzuziehen sind, wenn der zu beurteilende Sachverhalt im Bereich der öffentlichen Sicherheit angesiedelt ist. Art. 3 Abs. 2 Spiegelstrich 1 der Richtlinie schließt nämlich solche hoheitlichen Tätigkeiten aus ihrem Anwendungsbereich aus, die den Titeln V und VI EUV a.F. unterfallen. In der maßgeblichen Nizza-Fassung des EUV waren in diesen Abschnitten die GASP und die PJZS angesiedelt. Das transatlantische Abkommen zur Übermittlung von Zahlungsverkehrsdaten an das TFTP ist eine Maßnahme der polizeilichen Zusammenarbeit128 und wäre damit zur Zeit des EUV a.F. ein Anwendungsfall des Titels VI gewesen. Zudem dient der Datenaustausch der Terrorismusverhütung der gemeinsamen Sicherheitspolitik,129 auch wenn der Bereich der polizeilichen Zusammenarbeit im konkreten Einzelfall die GASP verdrängt.130 122 Jarass, GRCh, Art. 6 Rn. 2; Siemen, Datenschutz als europäisches Grundrecht, S. 272 f./281; Schneider, Die Verwaltung 44 (2011), 499 (500); Streinz, DuD 2011, 602 (604); Tamm, VuR 2010, 215 (217). 123 Vgl. Jarass, GRCh, Art. 8 Rn. 5. 124 Johlen, in: Tettinger/Stern, GRCh, Art. 8 Rn. 16. 125 Art. 6 Abs. 1, 2. Hs. EUV. 126 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 16; Ehlers, in: ders., Europäische Grundrechte und Grundfreiheiten, § 14 Rn. 22. 127 Zu den Konsequenzen, wenn ein Abkommen nicht den Unionsgrundrechten genügt siehe Kapitel 6 A. 128 Siehe Kapitel 4 A. I. 129 Vgl. EuGH EuZW 2006, 403 (406) zur vergleichbaren Problematik der Übermittlung von Fluggastdaten. Diese wurde vom EuGH als Maßnahme der öffentlichen Sicherheit angesehen, obwohl die Fluggesellschaften als privatrechtliche Unternehmen sie durchführten, weil

C. Datenschutz im europäischen Recht

81

Der Grund für diese Beschränkung des Anwendungsbereichs wird in der Vorschrift selbst deutlich. Dort heißt es, dass solche Bereiche ausgenommen sind, die nicht in den Bereich des Gemeinschaftsrechts fallen. Daraus wird deutlich, dass es nicht inhaltliche Gründe waren, die den Unionsgesetzgeber dazu bewogen haben, die entsprechenden Bereiche auszuklammern, sondern dass er damit lediglich seine begrenzte Kompetenz zum Ausdruck gebracht hat. Nach der durch den Vertrag von Lissabon erfolgten Integration der PJZS in die Unionskompetenz kann zwar nicht davon ausgegangen werden, dass der Anwendungsbereich der Richtlinie dadurch automatisch erweitert wurde.131 Jedoch kann festgehalten werden, dass aus Sicht des Unionsgesetzgebers keine sachlichen Erwägungen gegen eine Anwendung der Datenschutzregeln im Sicherheitsbereich bestanden. Das Gegenteil ist der Fall: Um die Grenzen der EU-Kompetenz materiell zu überschreiten, hat die Kommission eine Harmonisierung durch Selbstverpflichtungen der Mitgliedstaaten vorgesehen.132 Bei der EG-Datenschutzrichtlinie handelt es sich um eine Richtlinie, die sich folglich an die Gesetzgeber der Mitgliedstaaten richtet und diese auffordert, die Regelungen in nationales Recht zu transferieren. Entsprechend ist auch die Begrenzung des Anwendungsbereichs zu verstehen: Die Mitgliedstaaten wurden aus Gründen der EU-Kompetenz nur dazu verpflichtet, ihr nationales Recht anzugleichen, das weder Gefahrenabwehr noch Strafverfolgung betraf. Darüber hinausgehende Angleichungen waren gewollt, aber nicht verpflichtend. Dass das Dokument viele Jahre nach Erlass der an die Mitgliedstaaten gerichteten Richtlinie als Fundament für die Ausgestaltung eines Grundrechts der Grundrechtecharta dienen würde, konnte der Unionsgesetzgeber zu diesem Zeitpunkt nicht ahnen. Die EUGrundrechte wiederum binden die Unionsorgane unabhängig davon, auf welcher Rechtsgrundlage deren Handlungen gestützt sind. Akte nach allen drei Säulen des Unionsrechts waren, als diese Differenzierung noch bestand, der Grundrechtsbindung unterworfen.133 Wenn also der Konvent in seiner amtlichen Begründung die EG-Datenschutzrichtlinie als Auslegungsmaßstab für allgemeingültige Grundrechte benannt hat, dann ist nicht anzunehmen, dass er die an die nationalen Gesetzgeber hinsichtlich der Umsetzung gerichtete Beschränkung des Anwendungsbereichs auch auf das Grundrecht aus Art. 8 GRCh übertragen hat. Insofern gilt es zu differenzieren: Wird die EG-Datenschutzrichtlinie mit dem Ziel der mitgliedstaatlichen Umsetzung angewandt, so gilt sie nicht für gefahrensie staatlich initiiert war. Diese Bewertung lässt sich auf die Übermittlung von Zahlungsverkehrsdaten übertragen, die nach dem Folgeabkommen durch die privatrechtliche Gesellschaft S.W.I.F.T. erfolgt. 130 Siehe Kapitel 4 A. II. 131 Diese Konstellation wurde bereits 1997 bedacht von Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 3 Rn. 6. 132 KOM (90) 314 endg., wiedergegeben in BR-Drs. 690/90; dazu Dammann/Simitis, EGDatenschutzrichtlinie, Art. 3 Rn. 2. 133 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 16; Rengeling/Szczekalla, Grundrechte in der Europäischen Union, Rn. 276; Wölker, EuR Beih. 1/1999, 99 (103).

82

Kap. 5: Inhalt des Abkommens

abwehrrechtliche nationale Vorschriften sowie solche der Strafverfolgung. Wird sie als Auslegungshilfe für Art. 8 GRCh herangezogen, so gilt sie für jegliches Unionshandeln.134 Letzteres wird auch aus der noch vor dem Vertrag von Lissabon im Primärrecht verankerten Art. 30 Abs. 1b EUV a.F. deutlich, der für den Bereich der PJZS bestimmte, dass „entsprechende Vorschriften über den Schutz personenbezogener Daten zu beachten sind“. In Ermangelung adäquater Alternativen kann der Primärrechtsgeber damit nur die EG-Datenschutzrichtlinie gemeint haben.135 Der Bereich der Gefahrenabwehr unterliegt nach dem soeben Festgestellten keinem niedrigeren Datenschutzniveau als andere Handlungsfelder der EU. Auch der transatlantische Austausch von S.W.I.F.T.-Daten, der im Wesentlichen zur Gefahrenabwehr erfolgt, muss sich am Grundrecht auf informationelle Selbstbestimmung in dessen konkreter Ausgestaltung durch die EG-Datenschutzrichtlinie messen lassen. 3. Inhalt Das Grundrecht auf informationelle Selbstbestimmung schützt personenbezogene Daten.136 Dabei handelt es sich nach der Definition aus Art. 2 lit. a der Datenschutzrichtlinie um alle Informationen über eine bestimmte oder bestimmbare natürliche Person. a) Daten Die Beschreibung von Daten als Informationen zeigt, dass der Begriff sehr weit gefasst ist. Damit sind alle nur denkbaren Informationen grundsätzlich Daten im Sinne des Grundrechts und nicht nur sensible Daten,137 hinsichtlich derer ein hohes Schutzbedürfnis besteht. Der bekannte Satz des Bundesverfassungsgerichts, dass es unter den Bedingungen der automatisierten Datenverarbeitung kein „belangloses Datum“ mehr gebe,138 kann auf das europäische Recht übertragen werden. Selbst solche Informationen, die für sich genommen keine Persönlichkeitsrelevanz besitzen, wie beispielsweise die Schuhgröße einer Person, unterstehen dem Schutz des Rechts auf informationelle Selbstbestimmung.139 Dies liegt daran, dass die Kombination diverser dieselbe Person betreffender belangloser Daten mittels moderner

134

Tamm, VuR 2010, 215 (218). Tamm, VuR 2010, 215 (218) Fn. 49. 136 Art. 8 Abs. 1 GRCh; Art. 1 Abs. 1 RL 95/46/EG. 137 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 15. 138 BVerfGE 65, 1 (44). 139 Becker/Ambrock, JA 2011, 561; Rengeling/Szczekalla, Grundrechte der Europäischen Union, Rn. 681. 135

C. Datenschutz im europäischen Recht

83

Datenbanktechnologien die Erfassung kompletter Persönlichkeitsprofile ermöglicht, die ihrerseits einen bedeutenden Grundrechtseingriff darstellen.140 Die Feststellung, dass keine belanglosen Daten existieren, darf nicht derart missverstanden werden, dass auch jede denkbare Information in den Schutzbereich des Abwehrrechts fällt. Fehlt es an einem Personenbezug, so steht die Datenverwendung jedermann frei. b) Personenbezug Dieser Personenbezug ist gegeben, wenn die Information mit einer identifizierbaren Person in irgendeiner Art in Verbindung gebracht werden kann.141 Unter den in der Datenschutzrichtlinie aufgezählten erläuternden Beispielen findet sich der Bezug zur „wirtschaftlichen […] Identität“.142 Dazu zählen maßgeblich Angaben zu den Einkommens- und Vermögensverhältnissen einer Person.143 Bereits die Tatsache dass eine Person eine Überweisung empfangen hat, fällt darunter. Werden die Überweisungsdaten aus den Speichern von S.W.I.F.T. anhand des Empfängernamens ausgewertet, so lassen sich ohne Weiteres Informationen über die Einkommenssituation des betreffenden Individuums gewinnen. Auch abgehende Überweisungen enthalten geschützte Informationen über den Absender. So fallen beispielsweise auch Informationen zu vertraglichen oder sonstigen Beziehungen zu dritten Personen in den Schutzbereich.144 Weil Überweisungen stets einen Zahlungsanweisenden und einen Empfänger enthalten, berühren sie das Grundrecht auf informationelle Selbstbestimmung. Auch die übrigen Nachrichten im S.W.I.F.T.-Netzwerk erfordern eindeutig bezeichnete Absender und Empfänger.145 Sender und Empfänger können alle Inhaber eines Bankkontos sein, also auch juristische Personen.146 Die Definition der Datenschutzrichtlinie nennt ausdrücklich eine „natürliche Person“ als Voraussetzung für den Personenbezug. Eine entsprechende Beschränkung findet sich auch in Art. 39 S. 1 EUV und in Art. 16 Abs. 2 AEUV. Damit hat der Unionsgesetzgeber den Datenschutz als Teil des Schutzes der Privatsphäre angesehen,147 die begrifflich nur ein Mensch haben kann. 140 Becker, in: Hill/Schliesky, Innovationen im und durch Recht, S. 57 (62); zu den Möglichkeiten der Profilbildung ausführlich Hansen/Meissner, Verkettung digitaler Identitäten, S. 19 ff. 141 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2 Rn. 17; Schild, EuZW 1996, 549 (550). 142 Art. 2 lit. a RL 95/46/EG. 143 EuGH, Verb. Rs. C-465/00 u. a., Slg. 2003, I-4989, Rn. 73 f.; Kingreen, in: Calliess/ Ruffert, EUV/AEUV, Art. 8 GRCh Rn. 10. 144 Gola/Schomerus, BDSG, § 3 Rn. 7 zum im Wesentlichen auf der EG-Datenschutzrichtlinie beruhenden Bundesdatenschutzgesetz. 145 Siehe Kapitel 2 A. III. 1. und 2. 146 Siemen, Datenschutz als europäisches Grundrecht, S. 281 f., bestreitet hingegen ohne Angabe von Gründen die Grundrechtsträgerschaft juristischer Personen. 147 Art. 1 Abs. 1 der Richtlinie 95/46/EG.

84

Kap. 5: Inhalt des Abkommens

Eine Beschränkung auf einen schmalen Schutzumfang in der Datenschutzrichtlinie kann allerdings die Geltung eines weiter gehenden Grundrechtes aus einer anderen Rechtsquelle heraus nicht verdrängen, zumal die Richtlinie nur mittelbar aufgrund der Erläuterungen zur Auslegung des Art. 8 GRCh herangezogen wird.148 Nach der Grundrechtecharta hat „jede Person“ das Recht auf Schutz der sie betreffenden personenbezogenen Daten. In Anbetracht der Tatsache, dass zahlreiche weitere Rechte der Charta ausdrücklich „Menschen“ statt „Personen“ zugebilligt wurden,149 spricht einiges dafür, dass der Grundrechte-Konvent einen umfassenderen Schutzbereich im Sinn hatte als der einfache primärrechtliche Gesetzgeber.150 Dies wird durch die Entstehungsgeschichte des Art. 8 GRCh bestätigt:151 Nachdem im Erstentwurf der Charta noch „natürliche Personen“ als Grundrechtsträger formuliert wurden,152 wurde die Frage, ob juristische Personen in den Schutzbereich einbezogen werden sollten, im Konvent kontrovers diskutiert.153 Damit ist davon auszugehen, dass es sich nicht um eine zufällige sprachliche Abwandlung handelt, die in Art. 8 GRCh Einzug gefunden hat. Weil die Grundrechtecharta seit Inkrafttreten des Vertrages von Lissabon als eigenständige Rechtsquelle für die Grundrechte der Union heranzuziehen ist,154 ist eine solche, lediglich auf Wortlaut und Entstehung der Charta gestützte Auslegung, die über die weiteren Rechtsquellen hinaus geht, auch stichhaltig, sodass ein Datenschutzrecht für Unternehmen in Betracht gezogen werden muss. Dieser Auslegung kann jedoch nur dann gefolgt werden, wenn der Schutz personenbezogener Daten dem Wesen bzw. der Sache nach auf Unternehmen angewandt werden kann. Hier sind einige Zweifel angebracht, ob auch Unternehmenshandlungen einen personalen Bezug aufweisen können.155 Von einer Privatsphäre des Unternehmens zu sprechen, widerstrebt dem gängigen Sprachgebrauch. Auch gilt es zu bedenken, dass Unternehmen bewusst gegründet werden, um am Markt wahrgenommen zu werden. Anders als bei Privatpersonen besteht daher eine deutlich geringere Schutzbedürftigkeit dafür, unbeobachtet zu bleiben. Dennoch verfügt auch ein Unternehmen über solche Daten, die den Kernbereich seiner wirtschaftlichen Existenz und seiner Position am Markt betreffen und als solche der Geheimhaltung bedürfen.156 Im Grundsatz fallen sämtliche Kontodaten darunter.157 148

Rn. 2. 149

Vgl. zur Bindungswirkung der Erläuterungen Bernsdorff, in: Meyer, GRCh, Art. 8

Z.B. Art. 1, 2 Abs. 1, 3 Abs. 1, 6 GRCh. Jarass, GRCh, Art. 8 Rn. 7 i.V.m. Art. 51 Rn. 41. 151 Zu den einzelnen Phasen der Entstehungsgeschichte Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 6 ff. 152 Art. 15 CONVENT 8. 153 Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 8 GRCh Rn. 12. 154 Art. 6 Abs. 1 EUV. 155 Jarass, GRCh, Art. 8 Rn. 8. 156 Becker, in: FS Stern 2012, S. 1233 (1246 f.); Korn, DÖV 2012, 232 (238). 150

C. Datenschutz im europäischen Recht

85

Die Einbeziehung juristischer Personen in den Schutzbereich des unionsrechtlichen Datenschutz-Grundrechts steht im Gegensatz zur deutschen Verfassungstradition. Dort ist der Schutz von Betriebsgeheimnissen unter dem Schutz der Wirtschaftsgrundrechte aus Art. 12 und 14 GG angesiedelt, die dann die Anwendbarkeit von Art. 2 Abs. 1 i.V.m Art. 1 Abs. 1 GG verdrängen.158 Diese Divergenz kommt dadurch zustande, dass das deutsche Grundrecht anders als sein europäisches Pendant159 teilweise aus der Menschenwürdegarantie des Art. 1 Abs. 1 GG hergeleitet wird.160 Die Menschenwürde kann ihrem Wesen nach nur natürlichen Personen zukommen. Das Datenschutzgrundrecht aus Art. 8 GRCh stellt hingegen einen Teilbereich des Schutzes des Privatlebens dar,161 dessen Ausweitung auf juristische Personen geringere Schwierigkeiten bereitet. Einen systematischen Bruch stellt daher das Urteil des EuGH vom 09. November 2010 dar, in dem das Gericht davon ausgeht, dass juristische Personen sich nur dann auf das Datenschutzgrundrecht berufen können, wenn der Name des Unternehmens den einer juristischen Person enthält.162 Diese Ansicht wird mit der Anknüpfung der informationellen Selbstbestimmung an die Menschenwürde begründet, die nur bei einem natürlichen Personenbezug möglich ist. Der EuGH verkennt dabei, dass dies im europäischen Recht gerade nicht der Fall ist. Fordert er den in der Firma erkennbaren Namen einer natürlichen Person, so ist es letztlich auch nur der dahinterstehende Mensch, der den Grundrechtsschutz genießt. Dann ist es widersinnig, dass das Unternehmen sich auf das Grundrecht berufen soll und nicht das Individuum. Diesen Weg schlägt das deutsche Recht ein, nach dem nur die Einzelperson die Verbreitung von Geschäftsdaten rügen kann, wenn diese sich auf die hinter dem Unternehmen stehenden natürlichen Personen „durchschlagen“.163 Weil sich aber, wie gerade dargestellt, aus der Entstehungsgeschichte des Art. 8 GRCh deutlich

157

Becker, in: FS Stern 2012, S. 1233 (1246) nennt explizit den Kontostand des betrieblichen Bankkontos; jedoch sind es auch insbesondere Überweisungsdaten, die Verbindungen zu Geschäftspartnern detailliert offenlegen können und damit dem schutzbedürftigen Bereich betrieblicher Daten zuzurechnen sind. 158 BVerfGE 67, 100 (142 f.); Becker/Blackstein, NJW 2011, 490 (493); Di Fabio, in: Maunz/Dürig, GG, Art. 2 Abs. 1 Rn. 225; Jarass, NJW 1989, 857 (860); Kunig, Jura 1993, 595 (559); ders., in: v. Münch/ders., GG, Art. 2 Rn. 39; a.A. Becker, in: FS Stern 2012, S. 1233 (1240 ff.); Korn, DÖV 2012, 232 (238); vgl. auch jüngst BVerfGE 118, 168 (294), worin erstmals eine Kombination aus Art. 2 Abs. 1 i.V.m. Art. 12 bzw. 14 GG angewandt wird. 159 Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 8 GRCh Rn. 11. 160 Kunig, Jura 1993, 595 (559). 161 Jarass, GRCh, Art. 8 Rn. 2. 162 EuGH, verb. Rs. C-92/09, C-93/09, abgedruckt in DuD 2011, 137; ZUR 2011, 139. 163 BGH DB 1986, 855; NJW 1986, 2505; LG Bonn, ZIP 1984, 181; Gola/Schomerus, BDSG, § 3 Rn. 11a.

86

Kap. 5: Inhalt des Abkommens

ergibt, dass auch juristische Personen selbst Träger des Datenschutzgrundrechts sind, kann der neuen Beschränkung des EuGH nicht gefolgt werden.164 Damit werden auch die Geldtransfers im Business-to-Business-Bereich vom europarechtlichen Datenschutzgrundrecht umfasst. Mithin ist der gesamte Datenbestand des S.W.I.F.T.-Netzwerks gegen hoheitliche Einsichtnahme grundrechtlich geschützt. c) Grenzen Die Datenerhebung und -verarbeitung durch staatliche Stellen unterliegt engen gesetzlichen Beschränkungen. Bereits Art. 8 Abs. 2 GRCh stellt hierfür Grundsätze auf, die unter anderem in der EG-Datenschutzrichtlinie näher konkretisiert und ergänzt werden. Grundvoraussetzung jeder Datenerhebung ist eine rechtliche Grundlage, die in einem Gesetz oder in einer Einwilligung des Betroffenen bestehen kann.165 Im Bereich der Terrorismusaufklärung ist das Ersuchen nach Einwilligungen der observierten Personen nicht zweckdienlich, weil eine offene Fahndung den Zweck der Ermittlungen konterkarieren würde und eine Kooperation der Terrorverdächtigen nicht zu erwarten wäre. Aus denselben Gründen ist die grundsätzlich vorzuziehende166 unmittelbare167 und offene Datenerhebung168 in diesem Bereich nicht zielführend.169 Ist die Maßnahme für die Sicherheit des notwendig,170 so ist ohnehin keine Einwilligung oder vorherige Information erforderlich, was jedoch nichts am Erfordernis der gesetzlichen Grundlage ändert.171 Zu den „tragenden Säulen des Datenschutzrechts“172 zählt ferner die strikte Bindung der Datenverarbeitung an den Erhebungszweck.173 Werden also Zah164 Proelß, wiedergegeben in Ambrock/Karcher, NVwZ 2011, 1371 (1372); Schneider, Die Verwaltung 44 (2011), 499 (509); krit. auch Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 8 GRCh Rn. 11. 165 Art. 8 Abs. 2 S. 1 GRCh; Art. 7 lit. a RL 95/46/EG. 166 Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 8 GRCh Rn. 16. 167 Unmittelbare Datenerhebung meint die direkte Einholung der Informationen bei der Person, auf die sie bezogen sind, anstelle der Befragung Dritter (z. B. öffentlicher Register). 168 Offene Datenerhebung meint, dass die Daten nicht heimlich, sondern für den Betroffenen erkennbar erhoben werden. 169 Zu den Begriffen sowie zur nur bedingten Zweckdienlichkeit der Anwendung dieser Prinzipien im Bereich der Gefahrenabwehr Becker/Ambrock, JA 2011, 561, 563. 170 Dass ein operatives Interesse an der Auswertung der S.W.I.F.T.-Daten besteht, wurde vom BKA bezweifelt (siehe Kapitel 2 B. V.). Es liegt jedoch nahe, dass durch den Nachvollzug von Geldzahlungen Verbindungen zwischen mutmaßlichen oder überführten Terroristen zu weiteren Hintermännern ermittelt werden können. Dies dient dann der Sicherheit diverser Staaten. 171 Siehe Kapitel 5 C. II. 172 Bizer, DuD 2007, 350 (352). 173 Art. 8 Abs. 2 S. 1 GRCh; Art. 6 Abs. 1 lit. b, c RL 95/46/EG.

C. Datenschutz im europäischen Recht

87

lungsverkehrsdaten mit dem Ziel abgefragt, Kontaktpersonen zu mutmaßlichen Terroristen oder Terrorhelfern zu ermitteln, dürfen sie anschließend auch nur im Hinblick auf diese Fragestellung ausgewertet werden. Eine Nutzung des so erworbenen Datenbestandes etwa zum Zweck der Strafverfolgung oder der Wirtschaftsspionage muss damit ausgeschlossen sein. Aus dem Zweckbindungsgrundsatz folgt auch das Gebot der „Datensparsamkeit“.174 Diese spezielle Ausprägung der Erforderlichkeit und damit des Verhältnismäßigkeitsprinzips hält den bereits Datenerheber an, nur diejenigen Informationen zu sammeln, die für den späteren Auswertungszweck notwendig sind.175 Werden die konkreten Daten nicht mehr benötigt, weil der Zweck erreicht ist oder nicht mehr verfolgt wird, so dürfen sie nicht länger gespeichert werden.176 Aus den genannten Grenzen für Datenerhebungen und -verarbeitungen können nur dann wirksame Garantien für den Bürger werden, wenn diesem Einblick in die in der Regel verdeckt ablaufenden Praktiken der Datenspeicherung, -nutzung und -weitergabe gewährt werden.177 Daher besteht der Bedarf nach einem Anspruch Information über Datenerhebungen und auf Kontrolle durch potentiell betroffene Personen.178 Dem wird dadurch Rechnung getragen, dass ihnen nicht nur das Recht auf Auskunft, sondern gegebenenfalls auch auf Berichtigung und Löschung eingeräumt wird.179

III. Grundrecht auf Freiheit der Kommunikation Informationen, die über das Leitungsnetz von S.W.I.F.T. versendet werden, fallen zudem in den Schutzbereich eines weiteren europäischen Grundrechts. Der mit „Achtung des Privat- und Familienlebens“ überschriebene Art. 7 GRCh enthält in seiner letzten Alternative den Schutz der „Kommunikation“. Diese Garantie entspricht inhaltlich dem Schutz der „Korrespondenz“ aus Art. 8 Abs. 1 Alt. 4 EMRK.180 1. Inhalt Weil der Einzelne keinerlei Möglichkeit hat, auf Kommunikationsnetzwerke derart einzuwirken, dass eine vertrauliche Korrespondenz gewährleistet wird, sind die Staaten dazu angehalten, für die Abgeschlossenheit der Kommunikationswege zu 174

Weichert, in: Kilian/Heussen, Computerrechts-Handbuch, Teil 13 Rn. 11. Bizer, DuD 2007, 350 (353). 176 Art. 6 Abs. 1 lit. d, e RL 95/46/EG; Riegel, Datenschutz bei den Sicherheitsbehörden, S. 139. 177 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 23. 178 Jarass, GRCh, Art. 8 Rn. 15; Winkler, Die Grundrechte der Europäischen Union, S. 408. 179 Art. 8 Abs. 2 S. 2 GRCh; Art. 12 RL 95/46/EG. 180 Bernsdorff, in: Meyer, GRCh, Art. 7 Rn. 23; Kugelmann, EuGRZ 2003, 16 (22). 175

88

Kap. 5: Inhalt des Abkommens

sorgen.181 Unter dem Schutz des Grundrechts steht die individuelle Kommunikation.182 Dabei ist es entscheidend, dass eine durch einen Dritten beherrschte Einrichtung zur Übermittlung genutzt wird.183 Ob es sich dabei um eine privaten oder eine staatliche Einrichtung handelt, ist unerheblich,184 sodass auch die private Gesellschaft S.W.I.F.T. institutionell in Betracht kommt.185 Entscheidend ist vielmehr, ob die Nachrichten im S.W.I.F.T.-Netz als Individualkommunikation angesehen werden können. Dafür ist es erforderlich, dass entweder der Inhalt oder der Kommunikationsvorgang vollständig individualisiert ist.186 Individualisiert meint, dass der Empfängerkreis von vornherein begrenzt ist.187 Dass Banküberweisungen neben der Funktion der Geldübertragung auch eine nachrichtliche Dimension haben, wird besonders deutlich anhand der Freitextzeile für den Verwendungszweck auf dem Überweisungsträger. Diese bietet den Zahlungsanweisenden die Möglichkeit, dem Empfänger eine Botschaft zu übermitteln, die nicht zwingend mit der Überweisung im direkten Zusammenhang steht. Auch dann, wenn die Botschaft, dem Zweck des Textfeldes entsprechend, den Grund der Zahlung nennt, handelt es sich um eine Information, die über die reine Mitteilung, dass sich der Kontostand positiv verändert, hinausgeht. Eine solche Information, wie mit dem eingehenden Geldbetrag buchhalterisch umgegangen werden sollte, stellt damit eine selbständige Nachricht dar, die dem Charakter eines kurzen Briefes entspricht. Sie ist direkt und ausschließlich an den Empfänger der Zahlung gerichtet. Damit unterscheidet sie sich von den übrigen Angaben auf einem Überweisungsträger (und damit einer S.W.I.F.T.-Nachricht)188, die primär an das Kreditinstitut des Empfängers gerichtet sind. Dieses wird damit in die Lage versetzt, den Kontostand des Empfängers entsprechend anzuheben und später mittels der gebräuchlichen Clearing-Systeme einen Ausgleich mit der Bank des Zahlungsanweisenden vorzunehmen.189 Es handelt sich damit um Individualkommunikation, die sich technisch

181

EGMR, Urt. v. 13.06. 1979, EuGRZ 1979, 454, Ziff. 31; EGMR, Urt. v. 19.02. 1998., EuGRZ 1999, 188, Ziff. 58; Frowein, in: ders./Peukert, EMRK, Art. 8 Rn. 34. 182 Engel, Privater Rundfunk vor der Europäischen Menschenrechtskonvention, S. 125; Kugelmann, EuGRZ 2003, 16 (17). 183 Bernsdorff, in: Meyer, GRCh, Art. 7 Rn. 23; Frowein, in: ders./Peukert, EMRK, Art. 8 Rn. 33; Jarass, GRCh, Art. 7 Rn. 47. 184 Frowein, in: ders./Peukert, EMRK, Art. 8 Rn. 33; Jarass, GRCh, Art. 7 Rn. 47; Uerpmann-Wittzack, in: Ehlers, Europäische Grundrechte und Grundfreiheiten, § 3 Rn. 14. 185 Zur Rechtsform von S.W.I.F.T. siehe Kapitel 2. A. I. 186 Engel, Privater Rundfunk vor der Europäischen Menschenrechtskonvention, S. 125; Kugelmann, EuGRZ 2003, 16 (17). 187 Durner, in: Maunz/Dürig, GG, Art. 10 Rn. 92; Gusy, in: v. Mangoldt/Klein/Starck, GG, Art. 10 Rn. 42; jeweils zu Art. 10 Abs. 1 GG. 188 Zu den in einer Nachricht im S.W.I.F.T.-System enthaltenen Informationen siehe Kapitel 2 A. III. 2. 189 Zu den Clearing-Verfahren und der Rolle S.W.I.F.T.s als reine Nachrichtenübermittlungs-Plattform Möller, Praxisleitfaden Außenhandel im Bankgeschäft, S. 37, 39 ff.

C. Datenschutz im europäischen Recht

89

wie inhaltlich nicht wesentlich von Emailkommunikation mittels eines Providers unterscheidet. Nicht nur die Zusatzfunktion der Übermittlung des Verwendungszweckes kann als Individualkommunikation verstanden werden, sondern auch die Geldüberweisung selbst. Es handelt sich um eine Nachricht an die beiden beteiligten Kreditinstitute, damit diese die Kontostände des Zahlungsanweisenden und des Zahlungsempfängers modifizieren können. Ferner wird die Überweisung nach der Buchung auf dem nur für die Kontoinhaber vorgesehenen Kontoauszug dargestellt. Die reine Geldzahlung stellt also auch eine Übermittlung der Nachricht dar, weil sie einen Informationsgehalt besitzt, nämlich dass eine Zahlung in bestimmter Höhe von einer bestimmten Person vorgenommen wurde. Auch schon dabei handelt es sich um Individualkommunikation, denn ein einzelner Sender verschickt diese Information an einen begrenzten Kreis an Adressaten, nämlich an den Zahlungsempfänger und an zwei auf dem Überweisungsträger bezeichnete Kreditinstitute. Die Beschlagnahme von Emails vom Server des entsprechenden Providers wird in der Literatur zu Recht einhellig als Eingriff in die Kommunikationsfreiheit angesehen.190 Zwar endet der grundrechtliche Schutz einer elektronischen Nachricht in dem Moment, in dem sie beim Empfänger angekommen und die Übertragung damit beendet ist.191 Verbleiben jedoch Kopien zeitweise oder endgültig auf dem Server, so unterliegt ihre Vertraulichkeit weiterhin der Kommunikationsfreiheit, weil sich die Daten nicht im Herrschaftsbereich des Kommunikationsteilnehmers, sondern des Providers befinden.192 Für die gleich gelagerte Situation, in der Überweisungsdaten mit nachrichtlichem Charakter vom Speicherort des sie übermittelnden Netzwerkbetreibers sichergestellt werden, kann nichts anders gelten. 2. Subsidiarität zur informationellen Selbstbestimmung Im Schrifttum ist anerkannt, dass für den Bereich des Datenschutzes Art. 8 GRCh die Gewährleistungen aus Art. 7 GRCh als lex specialis verdrängt.193 Damit tritt auch die Kommunikationsfreiheit, die als Teilbereich der Achtung des Privat- und Familienlebens in Art. 7 Alt. 4 GRCh geregelt ist, in Fällen zurück, in denen personenbezogene Daten erhoben werden. 190 BVerfG NJW 2009, 2431 (2432); Hermes, in: Dreier, GG, Art. 10 Rn. 42; Jarass, in: ders./Pieroth, GG, Art. 10 Rn. 5; Schenke, in: Stern/Becker, Grundrechte-Kommentar, Art. 10 Rn. 46; jeweils zum im Wesentlichen gleich lautenden Art. 10 Abs. 1 GG. 191 BVerfGE 115, 166 (183 ff.); 120, 274 (307 f.); jeweils zu Art. 10 Abs. 1 GG. 192 BVerfG NJW 2009, 2431 (2432) zu Art. 10 Abs. 1 GG. 193 Jarass, EU-Grundrechte, § 13 Rn. 4; Mehde, in: Heselhaus/Nowak, Handbuch der Europäischen Grundrechte, § 21 Rn. 13; Schneider, Die Verwaltung 44 (2011), 499 (501 f.).

90

Kap. 5: Inhalt des Abkommens

Die Folge dieser Auffassung ist, dass wesentliche Anwendungsfälle der Kommunikationsfreiheit nicht nach dieser beurteilt werden können. Jegliche Informationen, die aus einer Kommunikation zwischen zwei Personen abgefangen werden können, sind automatisch personenbezogen. Auch reine Sachinformationen erhalten aus ihrer Verknüpfung mit dem Gespräch einen Bezug zu den Gesprächspartnern. Ausnahmen sind lediglich dann denkbar, wenn die Kommunikationsteilnehmer nicht bekannt und auch nicht ermittelbar sind.194 Zudem kann die Kommunikationsfreiheit auch dann betroffen sein, wenn staatliche Stellen in die Infrastruktur eines Kommunikationsunternehmens eindringen. Bereits diese bloße Möglichkeit, jederzeit Einsicht in die Korrespondenz nehmen zu können, stellt eine Beeinträchtigung der Privatsphäre dar, die mangels einer konkreten Datenerhebung nicht nach dem Grundrecht auf informationelle Selbstbestimmung beurteilt werden kann.195 Es bleiben somit Anwendungsfälle der Kommunikationsfreiheit; sie ist also durch ihre Subsidiarität nicht komplett ausgehöhlt. Aus der EMRK ergibt sich die Notwendigkeit, europäische Sachverhalte neben dem Grundrecht auf Datenschutz auch parallel anhand der Kommunikationsfreiheit zu beurteilen. In der Konvention ist ein Grundrecht auf informationelle Selbstbestimmung nicht enthalten. Den einzig möglichen Anknüpfungspunkt für einen Schutz von Nachrichten bildet damit die Garantie auf Achtung der Korrespondenz aus Art. 8 Abs. 1 Alt. 4 EMRK. Die Bezeichnung ist technikunabhängig zu verstehen, sodass sie Individualkommunikation jeglicher Art umfasst.196 Ihr Gewährleistungsbereich ist daher mit dem des Art. 7 Alt. 4 GRCh identisch.197 Bestimmungen der EMRK können auch nur gegenüber solchen aus derselben Rechtsquelle subsidiär sein. Wenn dann die Konvention keine weitere in Betracht kommende Gewährleistung enthält, bleibt es bei der Anwendung der Korrespondenzfreiheit. Folglich gilt es, die Datenerhebungen im Bestand von S.W.I.F.T nicht nur an der Garantie der informationellen Selbstbestimmung, sondern auch an der Korrespondenz- bzw. Kommunikationsfreiheit zu messen. Weil der EuGH in der jüngeren Vergangenheit jedoch seine Entscheidungen im Wesentlichen auf die GRCh gestützt

194 Vgl. die Definition des personenbezogenen Datums als Informationen über eine bestimmte oder bestimmbare Person in Art. 2 lit. a der RL 95/46/EG. 195 Diese Problematik wurde bereits im Hinblick auf Onlinedurchsuchungen von Computern relevant. Da dem bloßen Eindringen in die PC-Infrastruktur nicht mit der informationellen Selbstbestimmung begegnet werden konnte, hat das BVerfG sich zu einer Beurteilung nach einem Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme entschieden, BVerfGE 120, 274; zu dieser Argumentation auch Becker, in: Hill/Schliesky, Innovationen im und durch Recht, S. 57 (64); Drallé, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, S. 42 f. 196 EGMR EuGRZ 1985, 17; Frowein, in: ders./Peukert, EMRK, Art. 8 Rn. 33; Bernsdorff, in: Meyer, GRCh, Art. 7 Rn. 23. 197 Jarass, GRCh, Art. 7 Rn. 43; Tettinger, in: ders., GRCh, Art. 7 Rn. 41.

C. Datenschutz im europäischen Recht

91

hat,198 erfolgt die Beurteilung in dieser Arbeit primär anhand der GRCh anstelle der EMRK.

IV. Grundrechtsbindung der am Abkommen beteiligten Akteure Das transatlantische Abkommen wurde vom Rat unterzeichnet und wird seitens der EU im Wesentlichen von S.W.I.F.T. und Europol umgesetzt. Es sind also sowohl private als auch staatliche Institutionen, die bei der Umsetzung über personenbezogene Daten verfügen. Die jeweilige Grundrechtsbindung ist dabei unterschiedlich ausgestaltet. 1. Grundrechtsverletzungen durch S.W.I.F.T. Das Folgeabkommen sieht vor, dass das private Unternehmen S.W.I.F.T. Daten filtert und an das US-Finanzministerium übermittelt. Die Regelungen der Abkommen bilden zwar eine materiellrechtliche Rechtsgrundlage für die Datentransfers. In grundrechtlicher Hinsicht führen sie jedoch nicht automatisch zu einer Legalisierung der Umsetzungshandlungen von S.W.I.F.T.199 Insofern stellt sich die Frage, ob S.W.I.F.T. bei der Separierung und Herausgabe von Zahlungsverkehrsdaten an mit der Terrorismusabwehr befasste Behörden gegen die Grundrechte der Personen verstößt, die von den Daten beschrieben werden. Dies kann nur dann der Fall sein, wenn das nichtstaatliche Unternehmen S.W.I.F.T. generell den europäischen Grundrechten unterworfen ist. a) Unmittelbare Drittwirkung des Art. 8 Abs. 1 GRCh Art. 51 Abs. 1 GRCh nennt sowohl die Organe, Einrichtungen und sonstigen Stellen der Union als auch die Mitgliedstaaten als Adressaten der Grundrechte im Unionsrecht. Dieser ausdrückliche Bezug auf staatliche Stellen schließt im Grundsatz eine unmittelbare Grundrechtsbindung Privater aus.200 Im Konvent wurde die Frage, ob eine bereichsspezifische Drittwirkung, etwa hinsichtlich auf Gemeinschaftsebene handelnder Sozialpartner, bestehen sollte, offen gelassen.201 Damit ist Raum dafür gegeben, Art. 51 GRCh als lex generalis zu verstehen, sodass die Frage nach der Drittwirkung von Grundrechten gegebenenfalls für den konkreten Ge198 199

vor.

Vgl. Köck, in: FS Stern 2012, S. 785 (791). Vgl. den Brief des LfD Schleswig-Holstein an S.W.I.F.T. v. 27.01. 2010, liegt dem Autor

200 Ehlers, in: ders., Europäische Grundrechte, § 13 Rn. 32; Jarass, EU-Grundrechte, § 4 Rn. 19; ders., GRCh, Art. 51 Rn. 24; Krieger, in: Grote/Marauhn, EMRK/GG, Kap. 6 Rn. 82; Magiera, DöV 2000, 1017 (1025); a.A. Beutler, in: v. d. Groeben/Schwarze, EUV/EGV, Art. 6 EUV Rn. 66. 201 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 31.

92

Kap. 5: Inhalt des Abkommens

währleistungsbereich separat zu entscheiden wäre.202 Hierfür spricht, dass auch solche Rechte in die GRCh aufgenommen wurden, die gegenüber staatlichen Stellen kaum Anwendung finden dürften,203 beispielsweise das Verbot des Menschenhandels (Art. 5 Abs. 3 GRCh), der Kinderarbeit (Art. 32 UAbs. 1 S. 1 GRCh) und der gewinnorientierten Nutzung menschlicher Körperteile (Art. 3 Abs. 2 GRCh). Obwohl auch staatlich organisierter Menschen- und Organhandel theoretisch nicht ausgeschlossen ist, überzeugt es nicht, anzunehmen, die Vorschriften würden sich nicht an private Adressaten richten. Freilich kann eine unmittelbare Drittwirkung der Unionsgrundrechte nur dann im Einzelfall angenommen werden, wenn das betreffende Recht Handlungen verbietet, die typischerweise von Privatpersonen vorgenommen werden.204 Seiner Entstehungsgeschichte nach sind Datenschutz und Kommunikationsgrundrechte klassische Abwehrrechte gegen den technisch überlegenen Staat.205 Sowohl dessen Möglichkeiten, in Infrastrukturen der Kommunikation einzudringen, als auch dessen Bestrebungen, Datensammlungen zu Zwecken der Statistik oder der Gefahrenabwehr anzufertigen,206 ließen im vergangenen Jahrhundert das Bedürfnis der Bevölkerung aufkommen, sich gegen staatliche Überwachung zu verwehren.207 Seit den Anfängen des Datenschutzrechts hat sich hingegen die Realität gewandelt. In der digitalisierten und vernetzten Gesellschaft sind es vor allem private Wirtschaftssubjekte, von denen eine Gefahr für die Privatsphäre des Einzelnen ausgeht.208 Die zu Marketingzwecken angelegten Datensammlungen transnationaler Teledienste- oder Mobilfunkanbieter enthalten längst mehr und ausführlichere Personenprofile als die staatlicher Stellen.209 Das Grundrecht auf informationelle Selbstbestimmung kann daher ebenso wie die Kommunikationsgrundrechte nur dann seine Schutzwirkung effektiv entfalten, wenn auch privatwirtschaftliche Unternehmen es zu beachten haben. Aus diesem Grund ist in einigen Mitgliedstaaten das Datenschutzgrundrecht mit einer ausdrücklichen Drittwirkung ausgestattet.210 Obwohl im Regelfall das einfache Datenschutzrecht der Mitgliedstaaten auch Privat202

Krieger, in: Grote/Marauhn, EMRK/GG, Kap. 6 Rn. 82. Borowsky, in: Meyer, GRCh, Art. 51 Rn. 31. 204 Krieger, in: Grote/Marauhn, EMRK/GG, Kap. 6 Rn. 82; Jarass, EU-Grundrechte, § 4 Rn. 19; die Drittwirkung auch dann ablehnend Gersdorf, AöR 199 (1994), 400 (420 f.); Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 51 GRCh Rn. 18. 205 Streinz/Michl, EuZW 2011, 384 (385). 206 Vgl. Becker/Ambrock, JA 2011, 561 (561, 565). 207 BVerfGE 65, 1 (3); Becker, in: Hill/Schliesky, Innovationen im und durch Recht, 57 (62). 208 Schoch, in: FS Stern 2012, S. 1491 (1493); Rengeling/Szczekalla, Grundrechte in der Europäischen Union, Rn. 684. 209 Vgl. Hansen/Meissner, Verkettung digitaler Identitäten, S. 109 ff.; s.a. Streinz/Michl, EuZW 2011, 384 (384 f.). 210 Siehe den mit Verfassungsrang ausgestatteten § 1 östDatenschutzG 2000, östBGBl. I v. 17.08. 1999 Nr. 165, 1277; dazu Kind, ÖJZ 2002, 81 (89); Rengeling/Szczekalla, Grundrechte in der Europäischen Union, Rn. 684. 203

C. Datenschutz im europäischen Recht

93

personen bindet,211 lässt sich allerdings noch keine übergreifende gemeinsame Verfassungstradition für ein drittwirkendes Grundrecht auf Datenschutz erkennen. Als Kehrseite der deutlich steigenden Gefährdung der Privatsphäre durch nichtstaatliche Unternehmen kann hingegen nicht festgestellt werden, dass die staatliche Überwachung zurückgeht. Das Gegenteil ist der Fall: Neu entwickelte Technologien wie Geräte zur automatisierten Kennzeichenerfassung, zum Aufspüren von Mobiltelefonen oder Algorithmen zur Onlinedurchsuchung werden zügig vom Staat aufgegriffen,212 um der seit 2001 gesteigerten Gefahr durch den internationalen Terrorismus zu begegnen. Die Bedrohung der Privatheit durch staatliche Behörden ist somit aktuell so konkret wie nie zuvor. Die Gefährdung durch Private ist lediglich hinzugetreten. Sie hat die zuvor bestandene Gefährdung durch den Staat nicht ersetzt. Dieser Umstand wirft die Frage auf, ob auch in so einem Fall ein gesetzgeberischer Wille erkennbar ist, vom Grundsatz aus Art. 51 Abs. 1 GRCh abzuweichen, dass nicht nur staatliche Stellen Grundrechtsadressaten sein sollen. Aufgrund der eindeutigen Normierung der Generalbestimmung kann eine Ausnahme für einzelne Schutzbereiche nur sehr restriktiv angenommen werden. Hinsichtlich des Grundrechts aus Art. 8 Abs. 1 GRCh gilt es, an dieser Stelle den Text der EG-Datenschutzrichtlinie zu bedenken. Aus den Erläuterungen des Grundrechtekonvents kann entnommen werden, dass die Richtlinie zur Auslegung des Grundrechts heranzuziehen ist.213 Der Anwendungsbereich der Richtlinie umfasst sowohl die Datenverarbeitung öffentlicher als auch die nichtöffentlicher Stellen.214 Lediglich die ausschließlich persönlichen oder familiären Tätigkeiten einer natürlichen Person werden ausgeklammert.215 Daraus ergibt sich unmissverständlich, dass auch nichtstaatliche Stellen im Grundsatz von den Regelungen der Richtlinie umfasst sind. Die Wertungen der EG-Datenschutzrichtlinie werden vom EuGH infolgedessen auch zur Lösung von Sachverhalten angewandt, in denen zwei Private miteinander streiten.216 Auf diese Weise wird auch das Datenschutzgrundrecht „im Huckepackverfahren“217 in das Privatrecht einbezogen.218 Diese Form der Einbeziehung darf jedoch nicht als unmittelbare Geltung der Grundrechte für Privatrechtssubjekte missverstanden werden. Die EG-Datenschutzrichtlinie ist lediglich Sekundärrecht. Ihre Bestimmungen werden zwar zur Auslegung des Art. 8 GRCh herangezogen, eine weitere Erkenntnisquelle für die Auslegung stellt jedoch auch Art. 286 EGV bzw. 211

Siehe nur die §§ 1 Abs. 2 Nr. 3, 2 Abs. 4, 27 ff. BDSG. Becker/Ambrock, JA 2011, 561 (565 f.). 213 Siehe Kapitel 5 B. II. 1. 214 Schild, EuZW 1996, 549 (550). 215 Art. 3 Abs. 2 Spiegelstrich 2 der RL 95/46/EG. 216 EuGH, Rs. C-101/01, Slg. 2003, I-12971, Rn. 19 ff.; Rs. C-275/06, Slg. 2008, I-271, Rn. 46 ff. 217 Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 14. 218 Jarass, EU-Grundrechte, § 13 Rn. 15. 212

94

Kap. 5: Inhalt des Abkommens

Art. 16 Abs. 1 AEUV dar.219 Aus den in den Regelungskompetenzen des Art. 16 Abs. 2 AEUV genannten staatlichen Stellen wird abgeleitet, dass das Datenschutzrecht des AEUV nur gegenüber Unionsorganen und mitgliedstaatlichen Einrichtungen gelten soll.220 Der nach den Charta-Erläuterungen ebenfalls hinzuzuziehende Art. 8 EMRK strahlt, wie sämtliche Bestimmungen der EMRK, ebenfalls keine Drittwirkung aus.221 Die Datenschutzrichtlinie ist damit die einzige von mehreren zur Auslegung der Charta zu nutzenden Normen, die auch Privatrechtssubjekte verpflichtet. Ein eindeutiger gesetzgeberischer Wille, dass auch Art. 8 GRCh drittwirkend sein soll, kann damit nicht ausgemacht werden. Eine Ausnahme vom eindeutig formulierten Art. 51 Abs. 1 GRCh ist auf dieser Grundlage nicht möglich. Das Unionsgrundrecht auf Datenschutz entfaltet keine unmittelbare Drittwirkung. b) Mittelbare Drittwirkung des Art. 8 Abs. 1 GRCh Auch ohne unmittelbare Drittwirkung haben die Unionsgrundrechte Auswirkungen auf die Beziehungen zwischen Privatrechtssubjekten. Sie entfalten eine Schutzpflicht der Unionsorgane und der mitgliedstaatlichen Behörden, die Europarecht vollziehen.222 Die aus Art. 51 Abs. 1 i.V.m. Art. 8 Abs. 1 GRCh resultierende Verpflichtung sowohl des Unionsgesetzgebers als auch der Exekutiven und Judikativen der EU und der Mitgliedstaaten, für einen angemessenen Datenschutz zu sorgen, hat eine Ausstrahlungswirkung in das Privatrecht.223 Der europäische Gesetzgeber ist dieser Aufgabe im Wesentlichen durch den Erlass der EG-Datenschutzrichtlinie nachgekommen.224 Die sekundärrechtliche Vorgabe enthält in ausdifferenzierter Form die Wertungen des Datenschutzgrundrechts und überträgt diese in Privatrechtsverhältnisse. Die nationalen Umsetzungsakte225 halten Einzelpersonen und Unternehmen auf einfachgesetzlicher Basis zu grundrechtskonformen Verhaltensweisen an. 219

Erläuterungen des Präsidiums des europäischen Konvents v. 11.10. 2000, CHARTE 4473/00 CONVENT 49, S. 11. 220 Scobotta, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 18. 221 Grabenwarter, EMRK, § 19 Rn. 14; Jaeckel, Schutzpflichten im deutschen und europäischen Recht, S. 117; Szczekalla, Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, S. 900 ff. 222 Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 13 f.; Jarass, EU-Grundrechte, § 5 Rn. 19; Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 51 GRCh Rn. 18; Scobotta, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 11; Streinz/Michl, EuZW 2011, 384 (387). 223 Jarass, EU-Grundrechte, § 5 Rn. 19 f.; § 14 Rn. 15; allg. Krieger, in: Grote/Marauhn, EMRK/GG, Kap. 6 Rn. 9. 224 Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 13 f. 225 In Deutschland das BDSG und die Landesdatenschutzgesetze, vgl. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Datenschutzrecht in Schleswig-Holstein, S. 3.

C. Datenschutz im europäischen Recht

95

c) Zwischenergebnis S.W.I.F.T. ist kein Adressat europäischer Grundrechte. Es ist folglich ausgeschlossen, dass die Gesellschaft durch ihre Datenverarbeitungsmaßnahmen gegen diese verstößt. In Betracht kommt lediglich die Verletzung sekundärrechtlicher Verbotsnormen, die der Unionsgesetzgeber aufgrund seiner aus dem Datenschutzgrundrecht resultierenden Schutzpflicht erlassen hat. 2. Grundrechtsverletzungen durch Behörden Die für den Abschluss oder die Umsetzung des Abkommen verantwortlichen Behörden sind als Hoheitsträger direkt an die Unionsgrundrechte gebunden. Dies betrifft zunächst das Europäische Parlament und den Rat, die beschlossen haben, dass das Abkommen mit den USA zu schließen ist. Die unmittelbare Grundrechtsbindung trifft zudem diejenigen Behörden, die an der Umsetzung des Abkommens beteiligt sind. Eine direkte Mitwirkung bei der Übermittlung war lediglich im Interims-, nicht aber im Folgeabkommen vorgesehen. Nach dem Interimsabkommen sollte eine näher zu bestimmende nationale Behörde eines Mitgliedstaates die transatlantische Datenweiterleitung vornehmen.226 Insofern wäre die jeweilige nationale Behörde verantwortlich dafür, dass Datenübermittlungen nur im Einklang mit Art. 8 GRCh erfolgen würden. Im Folgeabkommen wurde ein Verfahren ohne direkte Mitwirkung europäischer bzw. mitgliedstaatlicher Behörden gewählt. Die einzige beteiligte Behörde auf europäischer Seite ist Europol. Die polizeiliche Agentur der EU gestattet S.W.I.F.T. im Einzelfall und nach Prüfung der US-Anfrage, die beantragten Datensätze an das TFTP zu übermitteln.227 Gibt Europol eine Datenübermittlung frei, ist S.W.I.F.T. nach dem Abkommen verpflichtet, den Transfer durchzuführen. Das Unternehmen ist rechtlich dazu gezwungen, die Anweisung umzusetzen, sodass es als reines Werkzeug Europols fungiert. In einer solchen Konstellation greift Europol als zwischenstaatliche Stelle mittelbar in die Grundrechte derjenigen Personen ein, auf die sich die Daten beziehen. Auch im Unionsrecht greift die Lehre des mittelbaren Grundrechtseingriffs, wenn ein Hoheitsträger Privatpersonen dazu veranlasst, in die Grundrechte eines anderen einzugreifen.228 Deshalb ist eine Umgehung der grundrechtlichen Verpflichtungen Europols, indem es sich des Unternehmens S.W.I.F.T. bedient, um Verletzungshandlungen zu begehen, nicht möglich.

226 227 228

Art. 4 Abs. 5 i.V.m. Abs. 7 des Interimsabkommens. Art. 4 Abs. 5 des Folgeabkommens. Engel, ZUM 2000, 957 (992).

96

Kap. 5: Inhalt des Abkommens

D. Schutzbereichseröffnende Datenverarbeitungen Wie zuvor festgestellt handelt es sich bei den Nachrichten, die das S.W.I.F.T.Netzwerk durchlaufen, um personenbezogene Daten im Sinne des Art. 8 GRCh. Das in der Charta verankerte Grundrecht auf informationelle Selbstbestimmung gewährt Individuen Schutz, deren Daten durch andere verarbeitet werden. Aus diesem Grund bedarf es der Untersuchung der einzelnen Schritte, denen die Zahlungsverkehrsdaten unterzogen werden. Sofern dabei personenbezogene Daten verarbeitet werden, ist der Schutzbereich der informationellen Selbstbestimmung eröffnet. Der Begriff der Verarbeitung wird im europäischen Datenschutzrecht abweichend vom deutschen Recht verwendet. Eingriffe in das Grundrecht auf informationelle Selbstbestimmung gehen nach deutschem Verfassungsverständnis von einer Datenerhebung aus.229 Auf diesen ersten Schritt folgen in der Regel Maßnahmen der Datenverarbeitung zur Auswertung des zuvor gewonnenen Datenbestandes sowie gegebenenfalls die Weitergabe des Materials an Dritte.230 Diese Differenzierung in verschiedene Phasen ist dem europäischen Datenschutzrecht fremd.231 Alle genannten Einzelschritte sind in der Begriffsbestimmung des Art. 2 lit. b der Richtlinie 95/46/EG, die Art. 8 GRCh konkretisiert, unter dem Oberbegriff der Verarbeitung zusammengefasst. Diese Divergenz zwischen den im Bereich des Datenschutzes ansonsten sehr deckungsgleichen Rechtsordnungen ändert in der Sache jedoch wenig, weil der deutsche Gesetzgeber in Umsetzung der Richtlinie die Folgen der Erhebung denen der Verarbeitung gleichgestellt hat.232 Der grundrechtliche Schutzbereich ist dann eröffnet, wenn der Grundrechtsadressat personenbezogene Daten in irgendeiner Form nutzt, sei es durch deren erstmalige Sammlung, spätere Auswertung oder Weiterleitung. Bei internationalen Finanztransaktionen sind es die Kunden der Kreditinstitute selbst, die Zahlungen anweisen und damit personenbezogene Daten preisgeben. Sie bezwecken damit, dass diese Informationen an die Bank des Empfängers weitergeleitet werden sollen, damit eine Verbuchung des Geldbetrages stattfinden kann. Werden diese Daten später von Gefahrenabwehrbehörden ausgewertet, so unterliegen die dafür verantwortlichen staatlichen Stellen einer Grundrechtsbindung. Auch die Kreditinstitute sowie S.W.I.F.T. als die Institutionen, denen die Daten anvertraut wurden, kommen als Grundrechtsadressaten in Betracht.

229

Gola/Schomerus, BDSG, § 3 Rn. 23. Siehe die Differenzierungen in § 3 Abs. 3 – 5 BDSG. 231 Wank, in: Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, § 3 BDSG Rn. 2. 232 Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.05. 2001, BGBl. I S. 904. 230

D. Schutzbereichseröffnende Datenverarbeitungen

97

I. Routinehandlungen der Kreditinstitute Im Zuge einer internationalen Finanztransaktion werden zahlreiche Datenverarbeitungsvorgänge von den beteiligten Institutionen vorgenommen. Möchte der Kunde eines Kreditinstituts einen solchen Transfer vornehmen, so gibt er die dafür erforderlichen Daten auf einem Überweisungsträger bei der Bank ab. Alternativ kann er eine digitale Eingabemaske des Onlinebanking-Portals oder einer Konsole in der Bankfiliale nutzen. Die vom Kunden mitgeteilten Informationen werden von der Bank digitalisiert, sofern nicht bereits die digitale Eingabeform gewählt wurde. In jedem Fall erfolgt bei Auslandstransaktionen durch die EDV des Kreditinstituts die Aufbereitung der Daten in die Form des S.W.I.F.T.-Nachrichtenformats.233 Es folgt die automatisierte Übermittlung an S.W.I.F.T. Der belgische Nachrichtendienst verschlüsselt die Nachrichten,234 übermittelt sie zum nationalen Konzentrator, auf den die Empfängerbank Zugriff hat.235 Dort wird die Nachricht auch wieder entschlüsselt. In Fällen, in denen eine Anfrage des US-Finanzministeriums vorliegt, werden die entsprechenden Datensätze von S.W.I.F.T. entschlüsselt und der USBehörde übermittelt. Die ursprüngliche Datenerhebung erfolgt durch das Kreditinstitut bei der Entgegennahme der Zahlungsanweisung seines Kunden. Der Begriff der Erhebung umfasst zunächst jedes Beschaffen von personenbezogenen Daten.236 Der Beschaffungsvorgang muss zielgerichtet und aktiv erfolgen.237 Insofern stellt sich die Frage, wie es zu beurteilen ist, dass die Überweisungsdaten nicht von der Bank abgefordert werden, sondern dass die Kunden aus freien Stücken an sie herantreten, um ihnen Informationen zukommen zu lassen. Sogenannte „aufgedrängte Informationen“ werden aber dann nicht aus dem Bereich der Definition ausgenommen, wenn dies unter Verwendung eines Antragsformulars der erhebenden Stelle erfolgt.238 Geldüberweisungen können gemäß Nr. 1.3 Abs. 1 der Bedingungen für den Überweisungsverkehr239 nur in Formularen des sie entgegennehmenden Instituts oder in andere von ihm bereitgestellten alternativen Systemen wie beispielsweise einer Online-Banking-Plattform in Auftrag gegeben werden. Damit ist die Entgegennahme einer Überweisung eine Datenerhebung. Diese Form der Datenverarbeitung im europarechtlichen Sinne erfolgte aufgrund einer Einwilligung des Kunden, der die Daten schließlich freiwillig angegeben hat. Aufgrund der aktiven 233

Etzkorn, Rechtsfragen des internationalen elektronischen Zahlungsverkehrs durch S.W.I.F.T., S. 3. 234 Santolli, The George Washington International Law Review 2008, 553 (560). 235 Siehe Kapitel 2 A. II. 1. c). 236 § 3 Abs. 3 BDSG. 237 Dammann, in: Simitis, BDSG, § 3 Rn. 108 ff. 238 Gola/Schomerus, BDSG, § 3 Rn. 24; a.A. Dammann, RDV 2002, 71; Nungesser, HDSG, § 2 Rn. 37. 239 Fassung v. 01.10. 2009, abgedruckt u. a. bei Bunte, AGB-Banken und Sonderbedingungen, Abschnitt 5.

98

Kap. 5: Inhalt des Abkommens

Abgabe der Daten bei der Bank erfolgt die Einwilligung auch nicht konkludent, sondern direkt.240 Die Datenerhebung ist damit von Art. 7 lit. a der Richtlinie 95/46/ EG und damit auch Art. 8 GRCh gedeckt. Nachdem die Bank die Zahlungsanweisung erhalten hat, wird diese digitalisiert und an S.W.I.F.T. weitergegeben. Auch der lediglich interne Vorgang des Medienwechsels stellt nach der weiten Definition aus Art. 2 lit. b der Richtlinie 95/46/EG, die Art. 8 GRCh konkretisiert, eine Datenverarbeitung dar.241 Die Übermittlung an S.W.I.F.T. durch Hinterlegung der Daten im zuständigen nationalen Konzentrator stellt eine Weitergabe im Sinne des Art. 2 lit. b dar, unter der die Übermittlung, Verbreitung oder jede sonstige Form der Bereitstellung verstanden wird.242 Beiden Aktionen hat der Kunde zwar nicht ausdrücklich zugestimmt, sie sind jedoch für ihn erkennbar erforderlich zur Erfüllung des Überweisungsvertrages nach Art. 7 lit. b der Richtlinie 95/46/EG und damit zulässig. Die Ausführungshandlungen der Kreditinstitute, die Überweisungsaufträge entgegennehmen, sind demnach datenschutzrechtlich unproblematisch.

II. Routinehandlungen von S.W.I.F.T. Entsprechendes gilt für die Maßnahmen von S.W.I.F.T., die unmittelbar der Ausführung des Überweisungsauftrages dienen. Sowohl die Weiterleitung an das Postfach der Empfängerbank im jeweiligen nationalen Konzentrator als auch technische Maßnahmen wie die Verschlüsselung der Nachrichten und die Zerteilung in kleinere Datenpakete243 sind Verarbeitungen, die für die Durchführung des Überweisungsvertrages notwendig sind, den der Zahlungsanweisende mit seiner Bank geschlossen hat. Dass dieser Vertrag nicht direkt mit der datenverarbeitenden Stelle S.W.I.F.T. geschlossen wurde, ist dabei unerheblich. Der Provider arbeitet im Auftrag des Kreditinstituts und erfüllt den vom Bankkunden bei der Datenerhebung bestimmten Zweck der Weiterleitung an den Empfänger. Dass hierbei ein Kommunikationsnetzwerk zwischen den beteiligten Banken genutzt wird, ist vorhersehbar und vom Kunden in Kauf genommen.

240 Zwingend erforderlich gemäß der Begründung zum geänderten Vorschlag der Kommission, ABl. C 311 v. 27.11. 1992, S. 17. 241 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2 Rn. 28, 30. 242 Geänderter Vorschlag der Kommission, ABl. C 311 v. 27.11. 1992, S. 38 ff. 243 Siehe Kapitel 2. A. III. 2.

D. Schutzbereichseröffnende Datenverarbeitungen

99

III. Datenweitergabe durch S.W.I.F.T. auf Anfrage des TFTP Weniger eindeutig ist die Behandlung der Maßnahmen, die nicht mit dem normalen Betriebsablauf in Zusammenhang stehen. Schließlich geht die in Interims- und Folgeabkommen vorgesehene Weitergabe von Zahlungsverkehrsdaten an das TFTP über den Zweck hinaus, den der Zahlungsanweisende bei der Aufgabe des Überweisungsauftrages bestimmt hat. 1. Filterung des Datenbestandes Bevor die Herausgabe der angefragten Daten erfolgen kann, muss S.W.I.F.T. diese aus dem Datenbestand des niederländischen Sicherungsservers separieren. Zu diesem Zweck ist eine Filterung anhand einer algorithmischen Suchabfrage notwendig. Dabei handelt es sich um eine Datenverarbeitung im Sinne des Art. 2 lit. b der Richtlinie 95/46/EG bzw. Art. 8 GRCh. Nach der Legaldefinition sind neben diversen Verwendungskategorien das Auslesen, das Abfragen und die Benutzung Unterfälle der Verarbeitung, mithin auch rein interne Vorgänge innerhalb eines Unternehmens. Die Bezeichnung „Abfrage“ umfasst jedes Aufrufen der Datei, sei es durch eine bloße Anzeige an einem Bildschirm oder auf andere Weise.244 Auch das automatisierte Abrufen einer Datei zum Abgleich mit zuvor festgelegten Kriterien stellt eine solche Situation dar. Die abfragende Stelle muss hierfür die Datei öffnen und sich mit ihrem Inhalt auseinandersetzen. Dass dies automatisiert geschieht, ist für eine Beurteilung nach der EG-Datenschutzrichtlinie ohne Belang.245 In der auf die Suchabfrage folgenden Separierung beziehungsweise Kopie des Datensatzes in einen abgegrenzten Speicherbereich ist zudem eine „Organisation“ zu sehen, die ebenfalls in der Legaldefinition der Datenverarbeitung genannt wird. Damit unterfallen die Handlungen, die S.W.I.F.T. als Vorbereitung für die Datenweitergabe unternehmen muss, unter den weiten Nutzungsbegriff der EG-Datenschutzrichtlinie.246 2. Weitergabe nach dem Folgeabkommen Das Verfahren zur Weitergabe der angeforderten Zahlungsverkehrsdaten an die Sicherheitsbehörden ist in den beiden Versionen des Abkommens unterschiedlich geregelt. Im Interimsabkommen war die Übermittlung an eine Behörde des Mitgliedstaates vorgesehen, der die Anfrage des TFTP erhalten hat.247 Erst diese zwischengeschaltete Behörde sollte die Weiterleitung an das US-Finanzministerium

244 245 246 247

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 2 Rn. 5. Erwägungsgrund Nr. 27, S. 1. Vgl. Brühann, DuD 1996, 66 (68). Art. 4 Abs. 5 UAbs. 1 S. 2 des Interimsabkommens.

100

Kap. 5: Inhalt des Abkommens

übernehmen.248 Im Folgeabkommen ist hingegen ein direkter Datenaustausch zwischen S.W.I.F.T. und den USA festgeschrieben. Während die Anfrage des TFTP unmittelbar an das Unternehmen S.W.I.F.T. gerichtet wird, das daraufhin die Datensätze direkt zur Verfügung stellt, sind mitgliedstaatliche Stellen gar nicht beteiligt.249 Für das technische Verfahren dieser Freigabe ist vorgeschrieben, dass die Daten „im Push-Verfahren bereitgestellt“ werden.250 Die Wortkomponente „Push“ bezieht sich dabei nicht zwingend auf eine aktive Übermittlung durch S.W.I.F.T. Vielmehr zielt die Formulierung nach ihrem Sinn und Zweck darauf ab, dass der belgische Provider durch eine vorherige Filterung darüber bestimmt, welche Daten in einem gesicherten Speicherbereich freigegeben werden, anstatt dem TFTP ein einem „Pull-Verfahren“ uneingeschränkten Zugriff zu ermöglichen.251 Anders lässt sich die zweimalig gewählte passive Bezeichnung „bereitstellen“252 nicht erklären. Insofern steht es S.W.I.F.T. frei, die angeforderten Informationen durch aktive Übermittlung oder durch ein Bereitstellen zum Abruf von eigenen Servern zu liefern. Unabhängig vom gewählten Verfahren handelt es sich dabei um eine Weitergabe im Sinne des Art. 2 lit. b der Richtlinie 95/46/EG und damit um eine Handlung, die in den Gewährleistungsbereich des europarechtlichen Grundrechts auf informationelle Selbstbestimmung eingreift. Die Definition der Weitergabe in der EG-Datenschutzrichtlinie beinhaltet die „Übermittlung, Verbreitung oder jede andere Form der Bereitstellung“. Durch diese Formulierung sollte der Anwendungsbereich der Richtlinie weitest möglich ausgedehnt werden.253 Damit ist selbst das Bereitstellen zum Abruf eine Datenweitergabe. Obwohl dabei keinerlei Veränderung der Datensätze stattfindet, ordnet die Richtlinie die Weitergabe dem Oberbegriff der Datenverarbeitung zu,254 sodass S.W.I.F.T. eine datenschutzrechtlich relevante Handlung vornimmt, indem die Gesellschaft dem US-Finanzministerium Zahlungsverkehrsdaten zu Verfügung stellt. 3. Weitergabe nach dem Interimsabkommen Hinsichtlich der im Interimsabkommen vorgesehenen Weiterleitungshandlungen an die nationale Behörde des Mitgliedstaates, der die Anfrage erhalten hat,255 ergeben sich für S.W.I.F.T. keine nennenswerten Unterschiede zum gerade festgestellten 248

Art. 4 Abs. 7 des Interimsabkommens. Art. 4 Abs. 5 S. 2 des Folgeabkommens; Ratsdok. 11330/10 v. 18.06. 2010, S. 3. 250 Art. 4 Abs. 6 S. 1 des Folgeabkommens. 251 Mitteilung der Kommission an den Rat und das Parlament bezüglich der Übermittlung von Fluggastdatensätzen (PNR), KOM/2003/0826 endg., Anm. 3.3; vgl. auch Stellungnahmen des Europäischen Datenschutzbeauftragten, ABl. C 147 v. 5.6.2010, S. 1, Anm. Nr. 80; ABl. C 357 v. 30.12. 2010, S. 7, Anm. Nr. 31; a.A. wohl Steinmeier, BT-Drs. 17/1407, S. 3. 252 Sowohl in Art. 4 Abs. 5 S. 2 als auch in Abs. 6 S. 1 des Folgeabkommens. 253 Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 2 Rn. 28. 254 Art. 2 lit. b der RL 95/46/EG. 255 Art. 4 Abs. 7 des Interimsabkommens. 249

E. Generelle Vereinbarkeit mit Art. 8 GRCh

101

Verfahren. Die datenschutzrechtlichen Grundsätze sind unabhängig davon einzuhalten, ob es sich bei dem Empfänger der Datenweitergabe um eine staatliche oder private Stelle handelt. Die Weitergabe wäre somit auch nach dem Interimsabkommen eine Verarbeitung im Sinne der EG-Datenschutzrichtlinie gewesen. Auf der Rechtfertigungsebene können sich hingegen dadurch Unterschiede ergeben, dass die Herausgabe an eine nationale Behörde infolge eines Verwaltungsaktes des entsprechenden Mitgliedstaates ergangen wäre. 4. Zwischenergebnis Die personenbezogenen Daten, die ein zahlungsanweisender Bankkunde seiner Hausbank mitteilt, werden durch zahlreiche Bearbeitungs- und Weiterleitungsmaßnahmen verarbeitet im Sinne von Art. 8 GRCh. Insbesondere die Übermittlung an das US-Finanzministerium sowie die dafür notwendigen Vorbereitungshandlungen betreffen die grundrechtlich geschützte Sphäre von Zahlungsanweisendem und Empfänger einer Transaktion. Insofern gilt es im Folgenden, die Vereinbarkeit der Datenübermittlungen mit dem Unionsgrundrecht auf informationelle Selbstbestimmung zu hinterfragen. Im Abschluss an eine Bewertung der grundsätzlichen Zulässigkeit solcher Datenübermittlungen sollen Vereinbarkeit der weiteren, im Abkommen angelegten Umstände mit Art. 8 GRCh untersucht werden.

E. Generelle Vereinbarkeit der Datenübermittlung mit Art. 8 GRCh Sowohl Interims- als auch Folgeabkommen legen der Union und den Mitgliedstaaten die Pflicht auf, dafür zu sorgen, dass S.W.I.F.T. seinen Datenbestand auf angefragte Datensätze hin filtert und diese an eine staatliche Stelle weiterleitet. Im Interimsabkommen war eine nationale Behörde als Empfänger vorgesehen,256 im Folgeabkommen direkt das US-Finanzministerium.257 Sowohl die Filterung als auch die Herausgabe stellen Verarbeitungen personenbezogener Daten im Sinne des Art. 2 lit. b der EG-Datenschutzrichtlinie dar.258

256 257 258

Vgl. Art. 4 Abs. 7 des Interimsabkommens. Art. 4 Abs. 5 S. 2 des Folgeabkommens. Siehe Kapitel 5 D. I. 1. c).

102

Kap. 5: Inhalt des Abkommens

I. Einwilligung Datenverarbeitungen werden nach Art. 8 Abs. 2 S. 1 GRCh im Grundsatz nur dann zugelassen, wenn die betroffene Person ohne jeden Zweifel eingewilligt hat.259 Eine Person, die eine Geldüberweisung in Auftrag gibt, erklärt ihrer Bank nicht, dass sie mit einer theoretischen Weitergabe der enthaltenen Daten zur Gefahrenabwehr einverstanden sei. Dass die Einwilligung derart ausdrücklich geschieht, ist zwar auch nicht erforderlich, aber Art. 7 lit. a der RL 95/46/EG als Konkretisierung von Art. 8 GRCh erfordert zumindest eine irgendwie geartete auf die Datenverarbeitung bezogene Willenserklärung.260 Dafür kommen lediglich die bei Abschluss des Girovertrags geschlossenen Vereinbarungen in Betracht. Hierzu findet sich in Nr. 2 Abs. 1 S. 2 der AGB-Banken die Maßgabe, dass Informationen über den Kunden nur dann weitergegeben werden dürfen, „wenn gesetzliche Bestimmungen dies gebieten oder der Kunde eingewilligt hat.“ Vergleichbare Klauselwerke werden auch im europäischen Ausland verwendet.261 Diese vertragliche Grundlage des Bankgeheimnisses besteht auch gegenüber staatlichen Stellen, sofern nicht eine ausdrückliche gesetzliche Offenbarungspflicht besteht.262 Eine Einwilligung in eine Datenübertragung an Dritte ist darin nicht zu sehen, weil sie gerade durch die Bestimmung gefordert wird. Es handelt sich insofern um eine lediglich deklaratorische Wiederholung des ohnehin geltenden Datenschutzrechts. Im Übrigen wäre eine Einwilligung in Datenverarbeitung durch die AGB-Banken auch nicht wirksam, sobald eine Neufassung des Regelwerkes in Kraft tritt, weil die dafür genutzte Widerspruchslösung, bei der ein ausbleibender Widerspruch binnen einer Monatsfrist als Annahme gilt,263 den datenschutzrechtlichen Anforderungen zuwiderläuft.264

II. Wahrnehmung öffentlicher Aufgaben Neben der Einwilligung zählt der Katalog des Art. 7 lit. a-f der EG-Datenschutzrichtlinie als Konkretisierung von Art. 8 GRCh weitere Konstellationen auf, in denen eine Datenverarbeitung zulässig ist. Dies ist gemäß Buchstabe e) der Fall, wenn die Verarbeitung erforderlich ist „für die Wahrnehmung einer öffentlichen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen […] übertragen wurde“. Der Nachvollzug der Finanzströme des internationalen Terrorismus dient sowohl der Strafverfolgung als auch der Verhinderung künftiger Anschläge und erfolgt daher im

259 260 261 262 263 264

Noch deutlicher Art. 7 lit. a der RL 95/46/EG. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 4. Koch, AGB-Banken, S. 35. Gößmann/Wagner-Wieduwilt/Weber, AGB-Banken, Rn. 1/41. Nr. 1 Abs. 2 der AGB-Banken. Thilo, NJW 1984, 582 (583).

E. Generelle Vereinbarkeit mit Art. 8 GRCh

103

Einklang mit der staatlichen Schutzpflicht zur Wahrung von Leib und Leben.265 Es handelt sich damit um eine öffentliche Aufgabe. Die Richtlinie begnügt sich nicht nur mit dem Erfordernis des öffentlichen Interesses, sondern verlangt zusätzlich eine konkrete Übertragung dieser Aufgabe durch einen staatlichen Rechtsakt.266 Dass S.W.I.F.T. keine mit der Aufgabe der Gefahrenabwehr beliehene Institution ist, spielt dabei keine Rolle, weil es genügt, dass dem Empfänger einer Datenübertragung diese Aufgabe übertragen wurde. Nach dem Interimsabkommen war als Empfänger der Zahlungsverkehrsdaten die nationale Behörde vorgesehen, „die nach Maßgabe des Rechts des ersuchten Mitgliedstaats für die Erledigung zuständig ist“.267 Die mitgliedstaatliche Erteilung dieser Zuständigkeit ist eine Aufgabenübertragung im Sinne des Art. 7 lit. f der EG-Datenschutzrichtlinie. Weniger eindeutig ist die im Folgeabkommen vereinbarte Konstellation. Danach werden die Daten direkt von S.W.I.F.T. an das US-Finanzministerium übermittelt.268 Dieses Verfahren wirft die Frage auf, ob das US-Finanzministerium eine mit der Aufgabe der Gefahrenabwehr betraute Stelle ist. Das in dem Ministerium angesiedelte TFTP geht auf die Executive Order 13224 zurück.269 Hierdurch ist eine Aufgabenübertragung nach dem Recht der USA gegeben. Diese Feststellung muss sich hingegen nicht mit dem europäischen Gemeinschaftsrecht decken. Schließlich wäre es ungewöhnlich, wenn die Entscheidung über die Rechtmäßigkeit einer Datenübertragung zum Teil durch eine fremde Hoheitsgewalt erfolgen könnte. Insofern scheint es zunächst plausibel, dass der die Richtlinie umsetzende nationale Gesetzgeber identisch sein soll mit der Institution, die auch die Zuständigkeit zur Aufgabenerfüllung festsetzt. Dieser Auslegung stehen allerdings die tatsächlichen Gegebenheiten entgegen, die der Richtliniengeber im Blick gehabt haben wird. Zunächst erfolgen Aufgabenübertragungen nicht notwendigerweise durch Gesetz,270 sodass die Akteure unterschiedlich sein können. Die Richtlinie trägt dem dadurch Rechnung, dass Art. 7 lit. e lediglich einen irgendwie gearteten Rechtsakt zur Hoheitsrechtsübertragung fordert.271 Hinzu kommt, dass gerade im Bereich der Bekämpfung grenzüberschreitender Kriminalität ein kollektives Agieren der betroffenen Staaten erforderlich ist. In vertraglich festgesteckten Grenzen ist es sowohl ausländischen Polizeikräften272 als auch gemeinschaftlich betriebenen Einrichtun265 Zur Herleitung der Schutzpflicht Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 16 Rn. 684. 266 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 10. 267 Art. 4 Abs. 5 des Interimsabkommens. 268 Art. 4 Abs. 5 S. 2, Abs. 6 S. 1 des Folgeabkommens. 269 Siehe Kapitel 2 B. III. 270 Eine Beleihung kann nicht nur durch, sondern auch aufgrund eines Gesetzes erfolgen, vgl. Ehlers, in: Ehrichsen/ders., Allgemeines Verwaltungsrecht, § 1 Rn. 16. 271 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 7 Rn. 10. 272 Überblick bei Becker, in: Isensee/Kirchhof, HStR X, § 205 Rn. 69.

104

Kap. 5: Inhalt des Abkommens

gen wie Europol273 möglich, im Inland Daten zu erheben. Wenn souveräne Staaten aus freien Stücken fremden Hoheitsgewalten das Sammeln von Daten im Inland gestatten, dann handelt es sich zwar nicht um eine Aufgabenübertragung zwischen den Staaten. Die Interessenlage ist jedoch vergleichbar. Der Schutzzweck des Art. 7 der EG-Datenschutzrichtlinie ist demnach auch dann erfüllt, wenn eine auswärtige Behörde zum Einen von seinem eigenen Hoheitsträger die betreffende Aufgabe übertragen bekommen hat und zum Anderen der Staat, aus dem die übertragenen Daten stammen, die Verarbeitung autorisiert hat. Einen weiteren Hinweis darauf, dass der Richtliniengeber auch den Fall im Blick hatte, dass der Empfänger einer Datenübertragung eine ausländische Stelle ist, findet sich in den Art. 25 und 26. Dort werden besondere Einschränkungen für Übertragungen in Drittstaaten festgelegt. Daraus lässt sich ableiten, dass im allgemeinen Teil des Regelungswerks, der auch Art. 7 enthält, eine grenzüberschreitende Auslegung angebracht ist. Die vorgenannten Argumente lassen den Schluss zu, dass das US-Finanzministerium Daten von S.W.I.F.T. in Ausübung einer öffentlichen Aufgabe empfängt, die der Behörde auch übertragen wurde. Ein solches Vorgehen ist gemäß Art. 7 lit. e der EG-Datenschutzrichtlinie auch ohne Einwilligung der Betroffenen im Grundsatz zulässig.

III. Gesetzliche Grundlage Die grundsätzliche Zulässigkeit nach Art. 7 der EG-Datenschutzrichtlinie führt allerdings noch nicht automatisch zur Rechtmäßigkeit der Datenweitergabe von S.W.I.F.T. an mitgliedstaatliche oder US-amerikanische Behörden. Weil keine Einwilligung der Betroffenen vorliegt,274 ist eine gesetzliche Grundlage für die Datenverarbeitung erforderlich. Die aus § 4 Abs. 1 BDSG oder den Landesdatenschutzgesetzen bekannte Alternativität von Einwilligung und gesetzlicher Grundlage ist in der EG-Datenschutzrichtlinie sowie in vielen Datenschutzgesetzen anderer Staaten nicht derart ausdrücklich wie im deutschen Recht niedergelegt. Jedoch ergibt sich der Gesetzesvorbehalt bereits aus Art. 8 Abs. 2 CRCh sowie aus der mittelbaren Drittwirkung der Unionsgrundrechte.275 Diese begründet eine Schutzpflicht des Staates gegenüber Datenverarbeitungen durch private Personen,276 der insbesondere den nationalen Gesetzgebern unterliegen.277 Wird jemand ohne seine Einwilligung in seinem Recht auf informationelle Selbstbestimmung beschnitten, so ist dies nur 273 Art. 5 Abs. 1 lit. a Alt. 1 des Ratsbeschlusses vom 6. April 2009 zur Errichtung des Europäischen Polizeiamts (Europol), Ratsdok. 2009/371/JI, ABl. L 121 v. 15.05. 2009, S. 37. 274 Siehe Kapitel 5 E. I. 275 Zur mittelbaren Drittwirkung siehe Kapitel 5 D. I. 2. b). 276 Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 13 f.; Kingreen, in: Calliess/Ruffert, EUV/AEUV, Art. 51 GRCh Rn. 18; Scobotta, in: Grabitz/Hilf/ Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV Rn. 11; Streinz/Michl, EuZW 2011, 384 (387). 277 Jarass, EU-Grundrechte, § 5 Rn. 20.

E. Generelle Vereinbarkeit mit Art. 8 GRCh

105

zulässig, wenn es sich auf eine verhältnismäßige gesetzliche Regelung zurückführen lässt. Die für die Datenübermittlung notwendige Rechtsgrundlage lässt sich im Folgeabkommen selbst finden. In Art. 4 Abs. 6 S. 1 des Abkommens heißt es: „Die Daten werden dem US-Finanzministerium vom bezeichneten Anbieter direkt im Push-Verfahren bereitgestellt.“ Mit seinem Inkrafttreten entfaltet das Abkommen unmittelbare Wirkung in der EU und in den Mitgliedstaaten, sodass es selbst als Rechtsgrundlage für die in seinem Text verlangte Datenübermittlung wirkt. Die unionsinterne Wirkung völkerrechtlicher Verträge wird in Art. 216 Abs. 2 AEUV vorausgesetzt.278 Der EuGH sieht seit dem Haegeman-Urteil von 1974 in ständiger Rechtsprechung völkerrechtliche Abkommen der Union als integrierenden Bestandteil der Gemeinschaftsrechtsordnung an.279 Die Übereinkünfte verpflichten europäische und mitgliedstaatliche Stellen daher direkt, ohne dass es eines Transformationsaktes bedarf.280 Nur teilweise wird im Schrifttum angenommen, dass in dem einer Vertragsunterzeichnung vorangehenden Ratsbeschluss ein erforderlicher Transformationsakt zu sehen ist.281 Da Abkommen der Union ohne einen solchen Ratsbeschluss nicht in Kraft treten und so auch vorliegend der Rat am 28.06. 2010 den Abschluss der Übereinkunft beschlossen hat,282 ist auf die Frage nicht näher einzugehen.

IV. Zweckbindung Unabhängig von dem Erfordernis, ohne Zustimmung der Betroffenen erfolgende Datenverarbeitungen nur aufgrund einer gesetzlichen Grundlage durchzuführen, gilt es zusätzlich, den Anforderungen des Art. 8 Abs. 2 S. 1 GRCh beziehungsweise dessen Konkretisierung in Art. 6 der EG-Datenschutzrichtlinie gerecht zu werden. Art. 6 Abs. 1 lit. b und c zufolge ist jegliche Verwendung der Daten zu einem anderen Zweck unzulässig als zu dem sie erhoben wurden. Dieser Grundsatz der Zweckbindung ist ein Teilaspekt des Grundrechts auf informationelle Selbstbestimmung283 und ist existenziell für ein effektives Datenschutzsystem,284 da ohne seine Geltung 278 Arnold/Meindl, in: Dauses, Handbuch des Europäischen Wirtschaftsrechts, Kap. K. I., Rn. 59.; Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 216 AEUV Rn. 25. 279 EuGH, Rs. C-211/01, Slg. 2003, I-8913, Rn. 57; Rs. 181/73, Slg. 1974, 449, Rn. 2/6; Rs. 104/81, Slg. 1982, 3641, Rn. 13; Rs. 12/86, Slg. 1987, 3719, Rn. 7; Rs. 30/88, Slg. 1989, 3711, Rn. 12; Rs. C-301/08, Slg. 2009, I-10, Rn. 23. 280 Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 216 AEUV Rn. 28; Groux/ Manin, Die Europäischen Gemeinschaften in der Völkerrechtsordnung, S. 119 ff.; Vedder, EuR 1994, 202 (211). 281 Krück, Völkerrechtliche Verträge im Recht der Europäischen Gemeinschaften, 1977, S. 169; Teitgen, Cours de droit institutionnel communautaire, S. 217 f. 282 Siehe Kapitel 3 B. I. 283 Simen, Datenschutz als europäisches Grundrecht, S. 49. 284 Gounalakis/Mand, CR 1997, 431 (436); Schild, EuZW 1996, 549 (551).

106

Kap. 5: Inhalt des Abkommens

eine völlige Verwendungsfreiheit bestehen würde,285 die der informationellen Selbstbestimmung gerade zuwiderliefe. Das Rechtsprinzip verlangt, dass die erhebende Stelle, bevor sie Daten erfasst, den Zweck der Datensammlung für sich definiert.286 An diesen selbst festgelegten Zweck sind sowohl die erhebende als auch weitere später mit den Daten befasste Stellen gebunden, sodass keine darüber hinaus gehende Erhebung erfolgen darf, die Verarbeitung nur zur Erfüllung des Zweckes zulässig ist und nach Wegfall des Zweckes die unverzügliche Löschung geschehen muss.287 Der Zweck der ursprünglichen Datenerhebung durch S.W.I.F.T. beim zahlungsanweisenden Kunden ist die Übermittlung der Überweisungsdaten an das Kreditinstitut des Empfängers, damit dieses eine Geldgutschrift vornimmt. Die Weitergabe der Überweisungsdaten an US-Behörden dient hingegen der „Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung“,288 mithin einem sachlich nicht verwandten Zweck. Das Zweckbindungsgebot wird durch die Preisgabe der Zahlungsverkehrsdaten aus dem inneren Bereich von S.W.I.F.T. heraus ersichtlich nicht eingehalten. Dies geschieht jedoch in Einklang der in der EG-Datenschutzrichtlinie bestimmten Schranken des Zweckänderungsverbots. So können gemäß Art. 13 Abs. 1 lit. a-d der RL 95/46/EG Ausnahmen von dem Rechtsgrundsatz gemacht werden, wenn dies notwendig ist für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit oder die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten. Die Sicherheit des Staates umfasst Bedrohungen von innen und außen, die die nationale Souveränität gefährden.289 Mit der Landesverteidigung ist nichts qualitativ Abweichendes gemeint, da auch diese auf Angriffe von außen ausgerichtet ist; die ergänzende Aufnahme in Art. 13 der Richtlinie erfolgte nur zur Klarstellung hinsichtlich der innerstaatlich in der Regel vorgenommenen Zweiteilung in innere Sicherheit und äußere Verteidigung.290 Um die nationale Souveränität ernsthaft zu gefährden, muss ein terroristischer Angriff eine gewisse Größenordnung aufweisen. Dabei ist es nicht erforderlich, dass es den Angreifern gelingt, die komplette Führungsebene eines Staates auszuschalten und auf diese Weise einen Kontrollverlust hervorzurufen. Bereits das Auslösen intensiver Furcht in der Bevölkerung läuft den Grundfesten des freiheitlichen Staates zuwider und erschüttert diesen daher in seiner 285 Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG, S. 97; Simitis, in: ders., BDSG, § 4b Rn. 58. 286 Rengeling/Szczekalla, Grundrechte in der Europäischen Union, Rn. 681. 287 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 21; Fraenckel/Hammer, DuD 2009, 899 (889 f.); Frenz, EuZW 2009, 6 (8); Simitis, NJW 1997, 285. 288 Art. 1 Abs. 1 lit. a des Abkommens in beiden Versionen. 289 Begründung der Kommission, in: Geänderter Vorschlag der Kommission, ABl. C 311 v. 27.11. 1992, S. 24. 290 Brühann, in: Grabitz/Hilf, Das Recht der Europäischen Union, 40. EL 2009, Art. 13 RL 95/46/EG Rn. 9.

E. Generelle Vereinbarkeit mit Art. 8 GRCh

107

Souveränität.291 Werden die Akteure und Drahtzieher des internationalen Terrorismus ausgespäht, so dient dies sowohl der Sicherheit des Staates als auch der Landesverteidigung. Die öffentliche Sicherheit beinhaltet in Zusammenhang mit der EG-Datenschutzrichtlinie alle politischen Funktionen staatlicher Organe einschließlich der Verbrechensverhütung.292 Auch dieser im Vergleich zum deutschen Polizeirecht eher staatszentrierte Gefahrenbegriff wird durch den internationalen Terrorismus erfüllt. In der Regel richtet sich ein Anschlag gegen öffentliche Einrichtungen. In jedem Fall handelt es sich bei einem Terrorakt um eine Straftat.293 Da die Auswertungen des TFTP nicht nur zur vorbeugenden, sondern auch zur nachträglichen Verfolgung solcher Straftaten erfolgen, sind alle zuvor aufgezählten Kriterien aus dem Katalog des Art. 13 Abs. 1 lit. a-d der EG-Datenschutzrichtlinie zunächst einschlägig. Es darf jedoch nicht übersehen werden, dass die Zweckänderung „notwendig“ für die angestrebte Wahrung der Sicherheit sein muss. Die Gefahr für die Sicherheit muss eine gewisse Qualität erreicht haben294 und die zweckfremde Datenverwendung muss verhältnismäßig sein. Auf die nur bedingte Eignung des TFTP zur Verhinderung von Terroranschlägen, weil viele Täter die weltweit üblichen Methoden des Geldtransfers umgehen, ist bereits eingegangen worden.295 Dem gegenüber steht die besonders intensive Qualität eines durch Terroranschläge ausgelösten Schadens. Zum Einen ist im Einzelfall mit immensem Personen- und Sachschaden zu rechnen, zum Anderen ist die psychologische Wirkung relevant, die eine ständige Bedrohungslage auf die gesamte Bevölkerung ausübt.296 Neben Naturkatastrophen und Angriffskriegen befeindeter Nationen sind Terroranschläge die empfindlichsten Übel, denen sich ein Staat ausgesetzt sehen kann. Die Abwendung derartiger Ereignisse ist daher von besonderer, gegebenenfalls sogar existenzieller Wichtigkeit. Doch darf die Terrorismusbekämpfung nicht so weit führen, dass sie zur nahezu völligen Aufgabe bürgerlicher Freiheiten führt.297 Insofern stehen den Grundrechten auf Leben und körperliche Unversehrtheit aus Art. 2 Abs. 1 und 3 Abs. 1 GRCh, denen die Terrorismusbekämpfung dient, die privatheitsbezogenen Grundrechte auf informationelle Selbstbestimmung und 291

(213).

Depenheuer, in: Maunz/Dürig, GG, Art. 87a Rn. 43 f.; vgl. Schäuble, ZRP 2007, 210

292 Begründung der Kommission, in: Geänderter Vorschlag der Kommission, ABl. C 311 v. 27.11. 1992, S. 24; Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 13 Rn. 43. 293 In Deutschland wäre v. a. (aber nicht ausschließlich) an die §§ 81, 82, 83, 89, 100, 105, 106, 109e, 129a, 211, 212, 303, 305, 308 StGB zu denken. 294 Vgl. Ehmann/Helfrich, EG-Datenschutzrichtlinie, Art. 13 Rn. 43. 295 Siehe Kapitel 2 B. V. 296 Häußler, ZRP 2001, 537 (238); s. a. Scheerer, Die Zukunft des Terrors, S. 1 ff. 297 Zum Spannungsfeld zwischen Freiheit und Sicherheit siehe Di Fabio, NJW 2008, 421 (422); Hoffmann-Riem, ZRP 2002, 497; Isensee, in: Mellinghoff, Die Erneuerung des Verfassungsstaates, S. 7 ff.; Scheerer, Die Zukunft des Terrors, S. 81 ff.

108

Kap. 5: Inhalt des Abkommens

Kommunikationsfreiheit aus Art. 7 Abs. 1 und 8 Abs. 1 GRCh entgegen.298 Dieses Spannungsfeld gilt es durch Herstellung praktischer Konkordanz aufzulösen.299 Dabei mutet der Schutz der Bevölkerung zunächst als bedeutender an als die Wahrung der Privatsphäre verdächtiger Personen. Entscheidend ist dabei jedoch, dass es sich tatsächlich um Verdächtige handelt und nicht pauschal alle weltweiten Überweisungsdaten einer Durchsicht durch das TFTP unterworfen sind. Auf das Ausmaß der an das das US-Finanzministerium übermittelten Zahlungsverkehrsdaten und dessen Folgen wird weiter unten eingegangen.300 Jedoch ergeben sich keine grundsätzlichen Bedenken dagegen, dass das Zahlungsverhalten von Personen ausgespäht wird, die im Verdacht stehen, den internationalen Terrorismus aktiv zu fördern. Die von diesen Personen ihrem Kreditinstitut zur Ausführung von Zahlungsaufträgen überlassenen Kundendaten dürfen also im Grundsatz zur Auswertung durch das TFTP ausgewertet werden.

V. Übermittlung personenbezogener Daten in Drittländer Indem S.W.I.F.T. dem US-Finanzministerium Zahlungsverkehrsdaten zukommen lässt, übermittelt es personenbezogene Daten ins Ausland außerhalb der Europäischen Union. Diese Konstellation ist in Art. 25 der EG-Datenschutzrichtlinie, die Art. 8 GRCh konkretisiert, geregelt. Aufgrund des Kontrollverlustes, den sowohl S.W.I.F.T. als auch die Behörden der Union und ihrer Mitgliedstaaten erleiden, wenn Datensätze ihr Territorium verlassen, darf dies nur unter Beachtung zusätzlicher Anforderungen geschehen. Mit dieser Regelung soll der Tatsache entgegen gewirkt werden, dass an andere Staaten übermittelte Daten grundsätzlich nicht mehr dem Heimatrecht, sondern der Rechtsordnung des empfangenden Staates unterliegen.301 Würde der Datenexport vorbehaltlos zugelassen werden, resultierte daraus eine einfache Möglichkeit, die strengen Anforderungen der EG-Datenschutzrichtlinie zu umgehen und sie damit auszuhöhlen.302 Vorbehaltlich der in Art. 26 festgeschriebenen Ausnahmetatbestände gestattet Art. 25 Abs. 1 der EG-Datenschutzrichtlinie die Übermittlung personenbezogener Daten an einen Empfänger in einem Staat, der nicht der Europäischen Union angehört,303 nur dann, wenn dieser Drittstaat ein angemessenes Schutzniveau aufweist. 298

Zu den betroffenen Schutzbereichen siehe Kapitel 5. B. II. und III. Der in der deutschen Verfassungstradition bekannte Grundsatz der praktischen Konkordanz (BVerfGE 93, 1, 23) findet auch im europäischen Grundrechtsraum Anwendung, vgl. Lindner, EuR 2007, 160 (163). 300 Siehe Kapitel 5 E. II. 301 Stentzel, ZFAS 2010, 137 (139). 302 Schapper, CR 1987, 86; Tamm, VuR 2010, 215 (217). 303 Definition des Drittstaates nach Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer, S. 61. 299

E. Generelle Vereinbarkeit mit Art. 8 GRCh

109

Für die Beurteilung dessen ist zunächst das in dem Staat allgemein vorherrschende Schutzniveau zu betrachten,304 zudem sind die Umstände der konkreten Datenübermittlung zu berücksichtigen.305 Für S.W.I.F.T. ergibt sich diese Problematik erst seit Inkrafttreten des Folgeabkommens, da erst dieses eine direkte Datenübertragung direkt in die USA von dem Unternehmen verlangt.306 Im Interimsabkommen war lediglich eine Übermittlung an eine Behörde eines EU-Mitgliedstaats vorgesehen.307 1. Allgemeines Schutzniveau in den USA Das Schutzniveau eines Staates in Bezug auf informationelle Selbstbestimmung ist dann angemessen, wenn die Kernelemente des europäischen Datenschutzrechts auch dort gelten.308 Dies bedeutet freilich nicht, dass die Europäische Union die weltweite Umsetzung ihres Rechts verlangt.309 Ist der Datenschutz im betreffenden Staat abweichend geregelt, muss dies der Angemessenheit nicht entgegen stehen; entscheidend ist jedoch, dass es sich dabei nicht um eine qualitative Abweichung „nach unten“ handelt.310 Entsprechend großzügig sollte bei der Beurteilung vorgegangen werden: Andersartigen Datenschutzkonzepten muss mit Toleranz begegnet werden, wenn diese im Ergebnis ebenfalls zu einem adäquaten Schutz führen.311 Auch bei großzügiger Betrachtung kann das Recht der USA den europäischen Vorstellungen vom Schutz der informationellen Selbstbestimmung nicht gerecht werden. Dieser Einschätzung der Art.-29-Datenschutzgruppe,312 in der sich die mitgliedstaatlichen Datenschutzbeauftragten regelmäßig treffen, wird von der europäischen Rechtslehre einhellig geteilt.313 Die Kommission hat den USA zwar nicht 304 Dies ergibt sich aus den Verfahren des Art. 25 Abs. 3 – 4 der RL 95/46/EG, die nur losgelöst vom Einzelfall Sinn ergeben. 305 Vgl. Art. 25 Abs. 2 der RL 95/46/EG. 306 Art. 4 Abs. 5 S. 2 des Folgeabkommens. 307 Art. 4 Abs. 7 des Interimsabkommens. 308 Nolte, in: ders., Neue Bedrohungen für die Persönlichkeitsrechte von Sportlern, S. 59 (69); Spindler, in: ders/Schuster, Recht der elektronische Medien, § 4b BDSG Rn. 11. 309 Zum häufig erhobenen Vorwurf des europäischen „Datenschutzimperialismus“ siehe nur Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, S. III. 310 Blume, Int. Journal of Law and Technology, Vol. 8/2000, 65 (78); Spindler, in: ders/ Schuster, Recht der elektronische Medien, § 4b BDSG Rn. 11. 311 Vgl. Erwägungsgrund Nr. 4 der Entscheidung der Kommission v. 26.07. 2000, ABl. L 215 v. 25.08. 2000, S. 7. 312 Art.-29-Datenschutzgruppe, Stellungnahme 1/99 zum Stand des Datenschutzes in den Vereinigten Staaten und zu den derzeitigen Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, Working Paper 15. 313 Arning/Haag, in: Heidrich/Forgó/Feldmann, Heise Online-Recht, Kap. II Rn. 160; Blume, Int. Journal of Law and Technology, Vol. 8/2000, 65 (77); Heil, DuD 1999, 458 (458 ff.);

110

Kap. 5: Inhalt des Abkommens

formell nach dem Verfahren des Art. 25 Abs. 4 der EG-Datenschutzrichtlinie das angemessene Schutzniveau aberkannt, hat jedoch nach Prüfung der Sachlage die Safe Harbor Principles ausgehandelt.314 Dieses mit Art. 25 Abs. 5 der EG-Datenschutzrichtlinie vergleichbare Vorgehen wäre nicht erforderlich gewesen, wenn die Prüfung der Kommission positiv ausgefallen wäre. Der wesentliche Grund für diese zutreffende Bewertung des US-Rechts liegt darin, dass es an umfassenden datenschutzrechtlichen Regelungen fehlt.315 Insbesondere lassen sich aus der Verfassung der USA keine Aussagen zum Schutz personenbezogener Daten herleiten.316 Stattdessen kann nur ein Flickenteppich an datenschutzrechtlichen Regelungen ausgemacht werden. Zum einen ist das Schutzniveau je nach Bundesstaat sehr unterschiedlich,317 zum anderen sind die gesetzlichen Regelungen bereichsbezogener Natur.318 So existieren im US-Recht beispielsweise Gesetze für Datenerhebungen bei Alkohol- und Drogenabhängigen oder im Bildungswesen.319 Von dem aus dem deutschen Recht bekannten Gebot der bereichsspezifischen Rechtsgrundlage320 unterscheidet sich die Lage in den USA insofern, als dass die bereichsbezogenen Regelungen nicht die Spezifizierung von allgemein festgeschriebenen Grundsätzen darstellen, sondern für sich alleine stehen. Die historisch verwurzelten Gründe für das in den USA nur im speziell geregelten Einzelfall greifende Verarbeitungsverbot liegen zum Einen im vorherrschenden liberalen Rechtsverständnis und zum Anderen im anglo-amerikanischen Case-LawSystem, das zum Erlass von Rechtsnormen mit engem Anwendungsbereich verleitet. Ein mit dem BDSG vergleichbares Regelwerk existiert nicht. Lediglich der auf den öffentlichen Sektor beschränkte Privacy Act321 verpflichtet von der Konzeption her alle Bundesbehörden der USA zu datenschutzkonformem Handeln. Bei näherer Betrachtung wird jedoch deutlich, dass sehr viele Stellen aus dem Anwendungs-

Di Martino, Datenschutz im europäischen Recht, S. 68; Petri, DuD 2008, 729 (731); Räther, DuD 2004, 468; ders./Seitz, MMR 2002, 425 (427); Scheja/Haag, in: Leupold/Glossner, Münchner Anwaltshandbuch IT-Recht, Rn. 197; Spies, MMR 7/2007, V (VII); Zscherpe, MMR 12/2006, XI. 314 Siehe unten Kapitel 5 E. V. 2. 315 Arning/Haag, in: Heidrich/Forgó/Feldmann, Heise Online-Recht, Kap. II Rn. 160. 316 Die Verfassung der USA enthält lediglich im 4. Zusatzartikel Angaben zur Durchsuchung von Wohnungen, Personen und Eigentum, die jedoch den Durchsuchungsakt als Eingriff im Fokus haben, nicht aber die Datenerfassung, siehe Slobogin, Die Verwaltung 44 (2011), S. 465 (466 ff.). 317 Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 79; Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, S. 126. 318 Bergmann, Grenzüberschreitender Datenschutz, S. 117. 319 Louis, Datenschutz und Informationsrecht in den USA, S. 75 ff./78 ff. 320 BVerfGE 65, 1 (46). 321 Privacy Act of 1974, 5 U.S.C. § 552a, Public Law 93 – 579.

E. Generelle Vereinbarkeit mit Art. 8 GRCh

111

bereich des Privacy Act herausgenommen sind.322 Die Freistellung kann teilweise sogar aufgrund eigener Verwaltungsvorschriften der betreffenden Behörde geschehen.323 Zudem schützt der Privacy Act lediglich die Daten von Bürgern und Einwohnern der USA.324 Dies zeigt die Definition des „Individual“ in Sec. 552a (a) (2) als „citizen of the United States or an alien lawfully admitted for permanent residence”. Im nichtöffentlichen Bereich wird weitestgehend auf die Selbstregulierung des Marktes gesetzt: Unternehmen werden dazu ermutigt, sich selbst zu datenschutzfreundlichem Verhalten durchzuringen.325 Dies geschieht durch das Vorschlagen von sog. Privacy Polices durch Verbände oder den US-amerikanischen Staat.326 Aus Marketinggründen unterwerfen sich viele Unternehmen freiwillig den Privacy Policies, jedoch nicht in flächendeckender Anzahl.327 Kontrollen hinsichtlich der Einhaltung dieser Selbstverpflichtungen finden nur in Ausnahmefällen statt.328 Zusammenfassend kann sowohl für den öffentlichen als auch den nichtöffentlichen Bereich festgestellt werden, dass es an einer allgemeinen, verbindlichen Konzeption des Datenschutzes im Regelungsbereich des US-Bundesgesetzgebers fehlt. Die etablierten bereichsbezogenen bzw. auf Freiwilligkeit einzelner Akteure beruhenden Verpflichtungen zu datenschützendem Verhalten können nicht mit dem ausgeprägten europäischen Datenschutzstandards verglichen werden. Das Datenschutzniveau der USA ist aus europäischem Blickwinkel heraus nicht angemessen. 2. Auswirkungen völkerrechtlicher Rahmenabkommen Nach dem gerade Festgestellten sind Datenübermittlungen aus einem Land der EU an einen Empfänger, der sich in den USA aufhält, nach Art. 15 Abs. 1 der EGDatenschutzrichtlinie unzulässig und damit auch nach Art. 8 GRCh grundrechtswidrig. Würde dieses Ergebnis Bestand haben, hätte es verheerende Wirkungen für die Weltwirtschaft die Folge. Schließlich setzt der gemeinsame Handel untereinander grenzüberschreitenden Datenaustausch voraus.329 Um die eigentlich unvermeidliche förmliche Feststellung nach Art. 25 Abs. 4 der EG-Datenschutzrichtlinie zu umgehen, dass die USA kein angemessenes Schutzniveau besitzen, hat die 322

Louis, Datenschutz und Informationsrecht in den USA, S. 71 ff. Louis, Datenschutz und Informationsrecht in den USA, S. 73. 324 Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, S. 128. 325 Heil, DuD 1999, 458 (458 ff.); Räther/Seitz, MMR 2002, 425 (427). 326 Schröder, Die Haftung für Verstöße gegen Privacy Polices und Codes of Conduction nach US-amerikanischem und deutschem Recht, S. 35; s.a. Schipper, Neue Instrumente des Datenschutzes, S. 121 ff. 327 Schipper, Neue Instrumente des Datenschutzes, S. 116. 328 Heil, DuD 1999, 458 (458 ff.); Räther/Seitz, MMR 2002, 425 (427). 329 Blume, Int. Journal of Law and Technology, Vol. 8/2000, 65 (77). 323

112

Kap. 5: Inhalt des Abkommens

Kommission einen Sonderweg beschritten.330 Sie hat mit den USA die Safe Harbor Principles ausgehandelt, einen zunächst informellen Text, der Kriterien für Datenverarbeitungen enthält. Im Anschluss hat die Kommission den USA bescheinigt, dass nach diesen Principles durchgeführte Datenverarbeitungen dem europäischen Datenschutzniveau entsprechen.331 Es handelt bei den Safe Harbor Principles um ein Regelwerk, nach dem aus einem Mitgliedstaat der EU stammende personenbezogene Daten auf dem Staatsgebiet der USA bevorzugt behandelt werden. Dem Prinzip des „sicheren Hafens“ folgend sollen die europäischen Standards beachtet werden, so als hätten die Daten das Unionsgebiet nie verlassen. Problematisch an dieser an sich datenschutzfreundlichen Lösung ist, dass von ihr keinerlei Bindungswirkung ausgeht.332 Es handelt sich um eine reine Selbstzertifizierung der teilnehmenden Stellen.333 Um in der Liste des US-Handelsministerium als Teilnehmer an den Safe Harbor Principles geführt zu werden und damit öffentlich werben zu können, genügt es, der Behörde eine Erklärung zu übermitteln.334 Kontrollen über die tatsächliche Einhaltung erfolgen nur selten und stichprobenartig.335 Die Safe Harbor Principles mögen für sich gesehen einen angemessenen Datenschutzstandard beschreiben.336 Dies ändert jedoch nichts an dem generellen, nicht angemessenen Schutzniveau der USA. Die Möglichkeit der Selbstzertifizierung greift gerade wieder die Unzulänglichkeiten der fehlenden zwingenden und flächendeckenden Datenschutzgesetze auf, die einen Grund für die Versagung des angemessenen Schutzniveaus der USA darstellen.337 Freiwillige Partizipation an Datenschutzregelungen kann den Anforderungen nicht genügen.338 Hinzu treten die Folgen der mangelhaften behördlichen Überprüfung der Einhaltung des Regelwerks. Ambitionierte Rechtsnormen können nur dann zu einem angemessenen Schutzniveau beitragen, wenn sie auch durchgesetzt werden.339 In diesem Zusammenhang gilt es das Gutachten von Connoly zu beachten, wonach lediglich 3,4 % der selbstzertifizierten Institutionen die Safe Harbor Principles vollständig umsetzen und eine 330

Di Martino, Datenschutz im europäischen Recht, S. 68; Stentzel, ZFAS 2010, 137 (140 f.). 331 Entscheidung der Kommission v. 26.07. 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen den „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. L 215 v. 25.08. 2000, S. 7. 332 Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, S. 137. 333 Art. 1 Abs. 3 der Safe Harbor Principles. 334 FAQ 6 in Anhang I der Safe Harbor Principels; s. zum Verfahren auch BT-Drs. 17/3375, S. 3 f. 335 Vgl. Räther/Seitz, MMR 2002, 425 (428). 336 Kommission, o. Fn. 702. 337 Siehe Kapitel 5 E. V. 1. 338 Erd, K&R 2010, 624. 339 Stentzel, ZFAS 2010, 137 (140).

E. Generelle Vereinbarkeit mit Art. 8 GRCh

113

Vielzahl sich kaum an die Vorgaben hält.340 Infolgedessen hat der Düsseldorfer Kreis der Datenschutzbeauftragten der Länder festgestellt, dass übermittelnde Stellen in Deutschland nicht darauf vertrauen können, dass ein Safe-Harbor-zertifizierter Empfänger europäische Standards einhält, sondern dass eine Einzelfallprüfung erforderlich ist.341 Ohnehin greifen die Safe Harbor Principles nicht in Bezug auf staatliches Handeln. Dies geht aus dem Regelungstext nicht ausdrücklich hervor; darin ist schließlich lediglich von „in den Vereinigten Staaten niedergelassenen Organisationen“ als Adressaten die Rede.342 Anhang VII bezeichnet jedoch die Federal Trade Commission und das US-Verkehrsministerium als aufsichtführende Behörden. Aus Erwägungsgrund 5 der Safe-Harbor-Entscheidung der Kommission geht hervor, dass die Principles nur für solche Organisationen gelten sollen, die der Aufsicht durch die genannten Behörden bereits unterstehen. Die Aufzählung in Anhang VII ist damit nicht konstitutiv. Staatliche Stellen können sich deshalb nicht den Principles unterwerfen. Auch tatsächlich sind es ausschließlich privatrechtliche Organisationen, die sich zertifiziert haben.343 Das US-Finanzministerium ist nach dem Gesagten weder Mitglied der Safe Harbor Principles noch kann es in der Zukunft diesen beitreten. Auch sonstige Rahmenabkommen zwischen der EU und den USA sind nicht auf den Sachverhalt der Übermittlung von Zahlungsverkehrsdaten anwendbar. So befindet sich die Aushandlung eines als „allgemeines Datenschutzabkommen“ bezeichneten Vertragswerks, das den behördlichen Informationsaustausch reglementieren soll, in Vorbereitung.344 Gültigkeit hat es noch nicht erlangt. Ohnehin soll, zumindest der Verhandlungsposition der USA zufolge, das „allgemeine Datenschutzabkommen“ keine Anwendbarkeit auf Sachverhalte finden, die bereits durch das Folgeabkommen über den Austausch von Zahlungsverkehrsdaten geregelt sind.345

340

Connoly, The US Safe Harbor – Fact or Fiction, S. 8 f. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010 in Hannover, überarbeitete Fassung vom 23.8. 2010, abrufbar unter http://www.bfdi.bund.de/de/entschliessungen/duesseldorferkreis/dkreis_node.html. 342 Art. 1 Abs. 1 der Safe Harbor Principles und passim. 343 Vgl. die Liste der zertifizierten Unternehmen auf der Website des US-Handelsministeriums, abrufbar unter http://safeharbor.export.gov/list.aspx. 344 Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über den Schutz personenbezogener Daten bei Übermittlung und Weiterverarbeitung zum Zweck der Verhütung und Verfolgung von Straftaten (geplant); der geheime Verhandlungsmandatsentwurf KOM(2010) 252/2 wurde von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht unter http://www.statewatch.org/news/2010/aug/eu-us-general-dpagreement-mandate.pdf. 345 Datenschutz: Differenzen zwischen EU und USA, Bericht des Österreichischen Rundfunks v. 25.10. 2010, abrufbar unter http://help.orf.at/stories/1666661. 341

114

Kap. 5: Inhalt des Abkommens

Ferner greifen die spezielleren Abkommen zum Datenaustausch zwischen Europol und den Gefahrenabwehr- und Strafverfolgungsbehörden der USA nicht,346 weil Europol selbst keine Daten übermittelt. Die Europäische Polizeibehörde prüft gemäß Art. 4 Abs. 4, 5 des Folgeabkommens zur Übermittlung von Zahlungsverkehrsdaten an das TFTP lediglich eintreffende Anfragen der USA und autorisiert S.W.I.F.T. zur Freigabe der Datensätze. Zusammenfassend muss festgestellt werden, dass die bestehenden transatlantischen Rahmenabkommen weder das allgemeine Niveau des Datenschutzes in den USA beeinflussen noch Auswirkungen auf die konkrete Übermittlung der S.W.I.F.T.Daten haben. 3. Schutzniveau im Einzelfall Die Feststellung, dass in den USA kein aus europäischer Sicht angemessenes Schutzniveau herrscht, bedeutet nicht, dass Datenübermittlungen in das Land ausnahmslos unzulässig sind.347 Gemäß Art. 25 Abs. 2 der EG-Datenschutzrichtlinie gilt es, auch die konkreten Umstände der Datenübertragung zu berücksichtigen. Die Vorschrift selbst zählt die Art der Daten und die Zweckbestimmung auf. Hinzu treten weitere Merkmale, die bei der Datenübermittlung eine Rolle spielen,348 etwa die Dauer der Speicherung.349 Der Zweck der Datenübermittlung liegt in deren Auswertung zur Aufklärung vergangener und Verhütung künftiger terroristischer Akte.350 Diese nicht nur Leib und Leben künftiger Opfer schützende, sondern zugleich das freiheitliche und demokratische Zusammenleben der westlichen Gesellschaft behütende Ermittlungsarbeit besitzt zweifellos einen wichtigen Stellenwert. Die Unterstützung des Programms durch die EU erfordert hingegen die Übermittlung der Zahlungsverkehrsdaten von Millionen Bürgern, die ganz überwiegend nicht in terroristische Aktivitäten verstrickt oder auch nur ansatzweise verdächtig sind. Überweisungsdaten und Kontoinformationen geben zum einen Auskunft über die Solvenz einer Person. Bei Unternehmen zählt diese zu den engeren, besonders schützenswerten Betriebsgeheimnissen351 und auch in Bezug auf natürliche Personen handelt es sich um eine sensible Information.352 Zum anderen ermöglicht die Analyse der Überweisungen 346

Überbl. über diese Abkommen bei Stentzel, ZFAS 2010, 137 (140 f.). Schild, EuZW 1996, 549 (553); Stentzel, ZFAS 2010, 137 (140). 348 Art. 13 Abs. 4 des Rahmenbeschlusses 2008/977/JI des Rates vom 27. November 2008 zum Datenschutz für die polizeiliche und justizielle Zusammenarbeit (sog. Rahmenbeschluss Datenschutz 3. Säule). 349 Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 78; Simitis, in: Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 10. 350 Vgl. Art. 1 Abs. 1 in beiden Versionen des Abkommens. 351 Becker, in: FS Stern 2012, S. 1233 (1246). 352 Thilo, NJW 1984, 582 (584). 347

E. Generelle Vereinbarkeit mit Art. 8 GRCh

115

und Bankeinzüge, ein komplettes Profil des Kontoinhabers zu erstellen. Neben der Erkenntnis, mit wem und in welcher Form der Kontoinhaber geschäftlich wie privat agiert,353 können aufgrund der Verbreitung der EC-Karte seine Kaufgewohnheiten sowie sein Bewegungsprofil detailgetreu nachvollzogen werden. Für das deutsche Verfassungsrecht hat das auch in Europa oft wegweisende Bundesverfassungsgericht in jüngerer Zeit in seiner Entscheidung zur Online-Durchsuchung festgehalten, dass die Erfassung eines ausführlichen Persönlichkeitsprofils einen derart intensiven Eingriff in die Persönlichkeitssphäre darstellt, dass dieser mit den gewohnten Kategorien der Eingriffe in die informationelle Selbstbestimmung nicht mehr zu messen ist.354 Zusammenfassend muss festgestellt werden, dass die Datenübermittlung dem besonders wichtigen Zweck der Terrorismusbekämpfung dient, jedoch dafür intensive Grundrechtbeeinträchtigungen nach sich zieht. Ist der Betroffene selbst mitverantwortlich für die Tatsache, dass er observiert wird, weil er beispielsweise mit Terrorverdächtigen verkehrt, dann ist seine Position wenig schutzwürdig. Dass auch Personen, die von dem möglicherweise im Ergebnis unbegründeten Terrorverdacht ihrer Mitmenschen nichts ahnen, durch das TFTP überprüft werden, lässt sich nicht vermeiden. Dies zählt zum Risiko einer Ermittlung, die gerade darauf abzielt, Informationsdefizite der Fahnder zu beheben. Die Frage, ob die Datenübermittlung aus Europa hinaus an das TFTP der USA rechtmäßig ist, hängt entscheidend davon ab, wie weit der Kreis der Überwachten gezogen wird. Hierzu enthält das Abkommen zwischen der EU und den USA detaillierte Bestimmungen, wessen Datensätze angefordert werden dürfen.355 Ferner sind die Anforderungen des Abkommens an die Verarbeitung, Speicherung und den Rechtsschutz Betroffener entscheidend für die Zulässigkeit der Übermittlung. Nur dann, wenn das Abkommen der US-Verwaltung gemäß Art. 26 Abs. 2 der EG-Datenschutzrichtlinie konkrete Verpflichtungen an die Hand gibt, die sich mit dem europäischen Datenschutzniveau decken, und die EU auch die Kontrolle darüber behält, dass diese eingehalten werden, ist Art. 25 gewahrt und das Abkommen ist grundrechtskonform.

VI. Zwischenergebnis Art. 8 GRCh stellt kein Hindernis dagegen dar, dass S.W.I.F.T. hoheitlich dazu verpflichtet wird, Zahlungsverkehrsdaten seiner Kunden an mitgliedstaatliche Behörden herausgeben, wie im Interimsabkommen vorgesehen war. Es ist dem Unionsgesetzgeber, der die Abkommenszeichnung beschlossen hat, ebenso wie Europol, die einzelne Datenübermittlungen freigibt, entgegen Art. 4 Abs. 5 S. 2 des Folge353

Thilo, NJW 1984, 582 (584). BVerfGE 120, 274 (323 f.); näher dazu Becker/Ambrock, JA 2011, 561 (566); Drallé, Das Grundrecht auf Gewährleistung und Vertraulichkeit informationstechnischer Systeme, S. 42 f.; Luch, MMR 2011, 75 (76). 355 Art. 2 in beiden Versionen des Abkommens. 354

116

Kap. 5: Inhalt des Abkommens

abkommens im Grundsatz nicht gestattet, S.W.I.F.T. anzuweisen, die Daten der Bankkunden an das US-Finanzministerium zu übermitteln. Ausnahmsweise könnte die Datenweitergabe nach dem Folgeabkommen jedoch trotzdem zulässig sein, wenn das mangelhafte Schutzniveau des US-Datenschutzrechts durch datenschutzfreundliche Detailbestimmungen des Abkommens ausgeglichen wird. Deshalb gilt es, im Folgenden die Bestimmungen des transatlantischen Abkommens dahingehend zu überprüfen, ob diese europäischem Datenschutzrecht gerecht werden. Diesen Einzelfragen wird im Folgenden nachgegangen werden.

F. Bezugspunkt der verarbeiteten Daten Die durch das Abkommen begründete Pflicht zur Weiterleitung von Datensätzen an das TFTP umfasst Zahlungsverkehrsdaten und damit verbundene Daten, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung notwendig sind.356 Auf die Frage, worum es sich bei Zahlungsverkehrsdaten und bei damit verbundenen Daten handelt, wurde oben bereits eingegangen.357 Im Folgenden gilt es zu klären, was unter Terrorismus zu verstehen ist, welchen Bezug zum Terrorismus die vom TFTP überwachten Personen haben müssen und in welchem Umfang entsprechende Daten übermittelt werden.

I. Bezug zu Terrorismus oder Terrorismusfinanzierung 1. Terrorismus Es fällt schwer, eine allgemeingültige Definition für den Begriff des Terrorismus zu formulieren.358 Im Wesentlichen liegt das daran, dass die Abgrenzung zu gewöhnlichen Straftaten und die Behandlung innerstaatlicher Freiheitsbewegungen von politisch motivierten Einschätzungen abhängig sind.359 Ein weiterer Grund besteht darin, dass Terroranschläge in der Regel unbestritten als solche angesehen werden.360 So ist es nur verständlich, wenn auch nicht sonderlich zielführend, dass in zwischenstaatlichen Abkommen sowie Texten der Vereinten Nationen, die den Terrorismus zum Gegenstand haben, in der Regel auf eine Begriffsbestimmung 356

Diese Beschreibung findet sich an diversen Stellen des Folgeabkommens, z. B. Art. 1 Abs. 1 lit. a, b, Art. 2, Art. 3 S. 1, Art. 4 Abs. 2 lit. a sowie im Interimsabkommen in Art. 1 Abs. 1 lit. a, b, Art. 2, Art. 3. 357 Siehe Kapitel 5 B. 2. a) und b). 358 BVerfGE 123, 114 (119); Haase, ZD-Aktuell 2011, 128. 359 Golder/Williams, UNSW Law Journal 27 (2004), 270 (271). 360 Roberts, Terrorismusfinanzierung, S. 128 f.

F. Bezugspunkt der verarbeiteten Daten

117

verzichtet wird.361 Dies hat zur Folge, dass jeder Vertragsstaat die in ihm vorherrschenden Ansichten zur Subsumtion heranzieht.362 Mittelfristig ist in den damit verbundenen Konflikten Abhilfe seitens der Vereinten Nationen zu erwarten, die seit 2005 im Zuge eines umfassenden Übereinkommens über die Behandlung des internationalen Terrorismus eine staatenübergreifende Terrorismusdefinition ausarbeiten.363 a) Allgemeine Definitionsversuche Grundsätzliche Einigkeit besteht darin, dass Terrorismus ein Gewaltelement enthält.364 Dieses muss in irgendeiner Form gegen die staatliche Gewalt gerichtet sein, sei es durch einen direkten Angriff auf staatliche Einrichtungen und Infrastruktur oder durch eine Destabilisierung der öffentlichen Sicherheit.365 In diesem Aspekt liegt der Unterschied zwischen Terror und Terrorismus: Während als Terror die Gewaltherrschaft von Machthabern gegen die eigene Bevölkerung bezeichnet wird,366 ist Terrorismus gerade gegen die Staatsführung gerichtet und erfolgt im Regelfall durch nichtstaatliche Personen oder Vereinigungen.367 Teilweise wird zudem gefordert, dass nur politisch motivierte Aktionen unter den Terrorismusbegriff fallen sollen.368 Wenngleich die Verabschiedung des UN-Terrorismus-Abkommens noch aussteht,369 hat sich bereits eine bis auf wenige Punkte konsensfähige Fassung370 herausgebildet.371 Die in dessen Art. 2 enthaltene Terrorismusdefinition beinhaltet ungesetzliche Handlungen, die ernsthafte Gesundheits- und Sachbeschädigungen zur Folge haben und in der Absicht begangen werden, eine Bevölkerung einzuschüchtern oder eine Regierung zu einem Tun oder Unterlassen zu zwingen. Umfasst 361 Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 41 f.; Fritzsch, ZAR 2010, 333 (334); Keber, Der Begriff des Terrorismus im Völkerrecht, S. 6; Zöller, Terrorismusstrafrecht, S. 148 ff. 362 Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 42; Golder/Williams, UNSW Law Journal 27 (2004), 270 (275). 363 2005 World Summit Outcome, A/RES/60/1 v. 24.10. 2005, Rn. 83. 364 Higgins, in: dies./Floy, Terrorism and International Law, S. 13 (16). 365 Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 41 f. 366 V. Krieken, Terrorism and the International Legal Order, S. 12; vgl. auch Golder/Williams, UNSW Law Journal 27 (2004), 270. 367 Higgins, in: dies./Floy, Terrorism and International Law, S. 13 (16). 368 Klabbers, EJIL 14 (2003), 229 (306); a. A. Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 395. 369 Vgl. zum Verhandlungsstand den nach wie vor aktuellen Bericht des zur Ausarbeitung des Abkommen eingesetzten 51/2010-Ausschusses, A/62/37 aus 2007. 370 A759/894 v. 12.08. 2005. 371 Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 43.

118

Kap. 5: Inhalt des Abkommens

ist lediglich der internationale Terrorismus durch Täter mit einem Auslandsbezug.372 Der Entwurf des UN-Abkommens legt einen vergleichsweise offenen Terrorismusbegriff zu Grunde, weil bereits eine gegen ein einzelnes Opfer gerichtete Tat genügt, solange eine hinreichend weitreichende Wirkung subjektiv gewollt ist.373 Deutlich enger ist eine vom Rat der Europäischen Union gefasste Definition, die statt einer generalklauselartigen Umschreibung aus einer neun Punkte umfassenden Aufzählung terroristischer Aktivitäten besteht.374 Angriffe gegen Personen zum Zweck der Einschüchterung der Bevölkerung oder Nötigung einer Regierung sind dort ebenso wie im UN-Abkommen aufgeführt. Sachbeschädigungen finden sich hingegen nur unter dem Vorbehalt in der Aufzählung, dass es sich um konkret benannte bedeutende Ziele wie Regierungseinrichtungen, Trinkwasserversorgung oder Informatiksysteme handelt. Ein in den Beratungen des UN-Abkommens nach wie vor ungeklärter Punkt ist die Behandlung nationaler Freiheitsbewegungen der Opposition oder größerer Bevölkerungsgruppen gegen die Regierung. Gewalttätige Zwischenfälle bei Demonstrationen sind oftmals nicht zu verhindern bzw. einkalkuliert.375 In solchen Fällen lassen sich Oppositionsbewegungen ohne Schwierigkeiten unter die Definition subsummieren, weil sie darauf abzielen, die Regierung einzuschüchtern. Die Frage, ob sie mittels einer Sonderklausel vom Terrorismusbegriff ausgenommen werden sollen, ist ungeklärt und stellt den Hauptgrund dafür dar, dass das Abkommen nicht bereits geschlossen wurde.376 Derartige Oppositionsbewegungen dürften in der Regel aber bereits am Kriterium der Internationalität scheitern. b) Definition in Art. 2 des Abkommens Erfreulicherweise steuert das in dieser Untersuchung beleuchtete Abkommen über die Übermittlung von Zahlungsverkehrsdaten in seinem Art. 2 eine eigene konkrete Definition zur Debatte bei, was Terrorismus ist,377 anstatt den Begriff als gegeben zu betrachten. Demnach sind terroristische Aktivitäten „Handlungen von Personen oder Organisationen, die mit Gewalt verbunden sind oder in anderer Weise Menschenleben, Vermögenswerte oder Infrastruktur gefährden und bei der aufgrund ihrer Art und ihres Kontextes berechtigter Grund zu der Annahme besteht, dass sie mit dem Ziel begangen wurden, die Bevölkerung einzuschüchtern oder zu nötigen[,] eine Regierung oder internationale Organisation durch Einschüchterung, Ausübung von Zwang oder Nötigung zu einer Handlung oder Unterlassung zu veranlassen, oder 372

Art. 4 des Abkommensentwurfs A/62/37. Föh, Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, S. 394. 374 Art. 1 des Rahmenbeschlusses 2002/475/JI, ABl. L 164 v. 22.06. 2002, S. 3. 375 Vgl. Roberts, Terrorismusfinanzierung, S. 128 f. 376 Die Klausel wird als möglicher Art. 18 (zeitweise Art. 20) diskutiert, vgl. A/57/37 aus 2002, Annex IV; zu den politischen Hintergründen s. Roberts, Terrorismusfinanzierung, S. 130. 377 Art. 2 in beiden Versionen des Abkommens. 373

F. Bezugspunkt der verarbeiteten Daten

119

die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Landes oder einer internationalen Organisation ernsthaft zu destabilisieren oder zu zerstören“.378 Die Formulierung greift inhaltlich die Linie des UN-Entwurfs auf: Gefährdungen von Menschenleben oder Sachen jeglicher Art, verbunden mit einer subjektiven Komponente der Einschüchterungsabsicht gegen Bevölkerung oder Regierung. Nicht enthalten ist eine Ausnahmeklausel für Oppositionsbewegungen ebenso wie eine Beschränkung auf internationalen Terrorismus. Da gleichzeitig der objektive Tatbestand sehr weit gefasst ist, weil er neben Menschenleben jegliche Art von Sachen oder Einrichtungen einschließt, ist die verwendete Terrorismusdefinition als sehr offen einzustufen. c) Bewertung der im Abkommen verwendeten Definition Im Folgenden gilt es zu klären, ob die im Abkommen verwendete Definition eine Verletzung von Art. 8 GRCh zur Folge hat, weil sie gegebenenfalls unverhältnismäßig weit ist. Ist diese Frage zu bejahen, liegt bereits im Abschluss des Abkommens ein Grundrechtsverstoß. aa) Begriffliche Offenheit des Tatbestandes hinsichtlich der Tathandlung Die im transatlantischen Abkommen vorgesehenen Datenübermittlungen stellen wie bereits dargelegt Eingriffe in das Recht auf informationelle Selbstbestimmung derjenigen Personen dar, auf die die Zahlungsverkehrsdaten bezogen sind. Werden die zu diesem Grundrechtseingriff ermächtigenden Tatbestände sehr offen gestaltet, im Konkreten weil eine vergleichsweise weite Terrorismusdefinition gewählt wurde, so kann dies auf eine unverhältnismäßig breit angelegte Ermächtigung hindeuten. Den Verfassern des Abkommenstextes ist allerdings auch beizupflichten, dass eine sprachliche Abgrenzung terroristischer Aktivitäten zu sonstigen kriminellen Akten nur sehr schwierig möglich ist.379 Terrorismus ist, was von der Bevölkerung als terrorisierend empfunden wird. Insofern ist die Wirkung entscheidend, nicht die konkrete Handlung. Da die Bemühungen des TFTP nicht nur der nachträglichen Aufklärung, sondern auch der präventiven Gefahrenabwehr dienen, müssen auch prognostizierte bzw. von den potentiellen Tätern beabsichtigte Wirkungen bedacht werden. Diesen Überlegungen entspricht auch die im Abkommen verwendete Definition. Sie zielt vor allem auf das Ziel der zu bewertenden Aktion ab, während sie für die konkreten Handlungen nur wenige, allgemeine Vorgaben macht. Dem Handlungsspektrum terroristischer Gruppierungen sind keine Grenzen gesetzt.380 Jede Art von empfindlichen Übeln ist potentiell geeignet, um Angst und Schrecken in 378 Dass es sich bei diesem ersten Tatbestandsmerkmal des Art. 2 um eine Umschreibung des Terrorismus handelt, ergibt sich alleine aus der Überschrift der Norm. 379 Vgl. BVerfGE 123, 114 (119). 380 Golder/Williams, UNSW Law Journal 27 (2004), 270 (293).

120

Kap. 5: Inhalt des Abkommens

der Bevölkerung auszulösen. Als Beispiel sei nur die Anfang des Jahres 2011 in einer Videobotschaft durch Al-Quaida angedrohte Maßnahme genannt, Schlangen und andere furchteinflößende Tiere an bevölkerten Plätzen auszusetzen.381 Für den Ausbruch einer Massenpanik ist es dabei wenig relevant, ob die Tiere tatsächlich giftig sind, weil bereits die psychologische Wirkung einer solchen Aktion weitreichend ist. Nach der vom Rat der EU verwendeten Definition, die auf konkrete Beschreibungen terroristischer Handlungen setzt,382 würde es sich dabei dennoch nicht um einen terroristischen Anschlag handeln, sofern keine akute Gesundheitsgefahr besteht. Den Mitgliedern des Rates war eine solche Art der Anschlagsplanung schlichtweg nicht in den Sinn gekommen. Das Beispiel verdeutlicht, dass im Bereich der präventiven Ermittlungsarbeit eine gewisse Flexibilität der Ermächtigungstatbestände erforderlich ist, weil es nicht möglich ist, alle Einzelfälle legislativ zu erfassen, die bedacht werden müssen.383 bb) Keine Ausnahme nationaler Befreiungsbewegungen Problematisch ist allerdings, dass Befreiungsbewegungen der politischen Opposition nicht vom Eingriffsbereich des transatlantischen Abkommens ausgeklammert sind. Weil im Gegensatz zur erwarteten UN-Definition auch der ausschließlich innerstaatliche Terrorismus umfasst ist, bedeutet dies, dass auch beispielsweise die Regimegegner nordafrikanischer Staaten im Zuge des 2011 ausgebrochenen „Arabischen Frühlings“384 zunächst als Terroristen zu behandeln sind. Diese Unruhen wurden jedoch von der westlichen Welt überwiegend nicht als Terrorismus aufgefasst, sondern als legitime Reaktionen gegen staatliche Gewaltherrschaft bzw. Unterdrückung. So wurde die gewaltsame Oppositionsbewegung in Libyen durch die UN aktiv gefördert.385 Auch der gewaltsame Widerstand gegen Regime wie die nationalsozialistische Diktatur von 1933 bis 1945 in Deutschland wäre von der Terrorismusdefinition umfasst. Dient die Gewaltausübung der Beendigung von Menschenrechtsverletzungen durch eine Regierung, so handelt es sich jedoch um die Ausübung des jedem Bürgers zustehenden Widerstandsrechts. Das Widerstandsrecht

381

Islamisten schlagen Anschläge mit giftigen Tieren vor, Welt Online v. 01.03. 2011, abrufbar unter http://www.welt.de/politik/ausland/article12667713/Islamisten-schlagen-Anschlaege-mit-giftigen-Tieren-vor.html; Islamisten debattieren über Anschläge mit giftigen Tieren, Spiegel Online v. 01.03. 2011, abrufbar unter http://www.spiegel.de/politik/ausland/ 0,1518,748276,00.html. 382 Art. 1 des Rahmenbeschlusses 2002/475/JI, ABl. L 164 v. 22.06. 2002, S. 3. 383 Allg. Becker/Ambrock, JA 2011, 561 (562); Denninger/Petri, in: Bäumler, Polizei und Datenschutz, S. 13 (22); Tischer, Das System der informationellen Befugnisse der Polizei, S. 358. 384 Ben Jelloun, Arabischer Frühling – vom Wiedererlangen der arabischen Würde; Todd, Frei! Der arabische Frühling und was er für die Welt bedeutet. 385 Resolution 1973 des UN-Sicherheitsrates v. 17.03. 2011, S/RES/1973.

F. Bezugspunkt der verarbeiteten Daten

121

ist nicht nur in diversen europäischen Verfassungen verankert386 und zählt damit zur gemeinsamen Verfassungstradition,387 sondern ist auch Ausfluss der Menschenrechte selbst.388 Legitimer Widerstand kann deshalb von der Rechtsordnung nicht als Terrorismus gebrandmarkt werden.389 Die Abgrenzung, wann gewaltsame Oppositionsbewegungen legitim sind, ist allerdings nicht trivial. Eine Beurteilung einer Widerstandsgruppe kann nur auf einer breiten Informationsgrundlage über deren Absichten und Vorgehen erfolgen. Deshalb muss es den Sicherheitsbehörden möglich sein, sich zunächst Informationen zu beschaffen, bevor sie darüber entscheiden, ob sie gegen die Gruppe vorgehen. Eine wesentliche Erkenntnisquelle, um die Motivation einer Widerstandsgruppe zu erkunden, ist die Auswertung der Personen, mit denen sie Kontakt pflegt und von denen sie Gelder empfängt. Die im Abkommen angelegte grenzüberschreitende Zusammenarbeit zur Erforschung der Finanzströme solcher Oppositionsbewegungen ist deshalb erforderlich und muss deshalb gestattet werden. cc) Keine Erheblichkeitsklausel Gängige Terrorismusdefinitionen enthalten stets Erheblichkeitsklauseln, die in Art. 2 des Abkommens fehlen. So ist etwa nach dem UN-Entwurf „serious body injury“ und „serious damage to […] property“ als Schaden des Terroranschlages erforderlich.390 Auch nach der Begriffsbestimmung des Rates der Europäischen Union sind beispielsweise „schwer wiegende Zerstörungen“ erforderlich.391 Art. 2 des transatlantischen Abkommens stellt hingegen nicht auf die Intensität des Taterfolges ab. Stattdessen lässt die Regelung bloße „Handlungen […], die mit Gewalt verbunden sind oder in anderer Weise Menschenleben, Vermögenswerte oder Infrastruktur gefährden“, genügen, um den Anwendungsbereich des Abkommens zu eröffnen. Soweit die potentiellen Terroristen Tötungs- oder Entführungsdelikte begehen, ist eine einschränkende Erheblichkeitsklausel auch nicht notwendig. Fälle wie die Entführung und Ermordung von Hanns Martin Schleyer392 zeigen, dass derartig gravierende Taten auch dann als Terrorismus empfunden werden, wenn sie lediglich

386 Z.B. Art. 20 Abs. 4 GG; Art. 120 Abs. 4 VerfGriechenland; Art. 21 VerfPortugal; § 61 der britischen Magna Charta. 387 Vgl. Gröschner, in: Dreier, GG, Art. 20 IV Rn. 5. 388 Herzog/Grzeszick, in: Maunz/Dürig, GG, Art. 20 Rn. 9; Isensee, Das legalisierte Widerstandsrecht, S. 11 f. 389 Golder/Williams, UNSW Law Journal 27 (2004), 270 (289). 390 Art. 2 Nr. 1 lit. a, b des Abkommensentwurfs A/62/37. 391 Art. 1 Abs. 1 lit. d des Rahmenbeschlusses 2002/475/JI. 392 Zöllner, ZfA 1977, 445 (445 f.); s.a. BVerfGE 46, 160 (162).

122

Kap. 5: Inhalt des Abkommens

ein einzelnes Opfer betreffen.393 Anders ist die Situation gelagert, wenn die Tathandlung in einer Sachbeschädigung oder Körperverletzung besteht. Fehlt es dabei an einer Erheblichkeitsklausel, müssen selbst teilweise gewaltsam verlaufende Proteste gegen politische Einzelentscheidungen wie den Stuttgarter Bahnhofsumbau,394 den Bau von Kernkraftwerken395 oder die Einführung von Studiengebühren als Terrorismus eingestuft werden.396 Es handelt sich schließlich um Gewaltakte gegen Infrastruktur oder Polizisten, die mit dem Ziel begangen werden, eine Regierung durch Einschüchterung zu einer Unterlassung zu bewegen. Dennoch werden solche Aktionen im allgemeinen Sprachgebrauch nicht als Terrorismus eingestuft, was zum einen an der gruppendynamischen, oft nicht planvollen Entstehung, zum anderen an einer vergleichsweise geringen Intensität der Gewalttaten liegt. Sowohl der Titel des Abkommens397 als auch die Zielbestimmung in Art. 1398 und der offizielle Untertitel des Art. 2399 machen deutlich, dass die Vertragspartner den Datenaustausch zur Terrorismusbekämpfung und -aufklärung angestrebt haben. Deshalb ist anzunehmen, dass auch nur solche Handlungen vom Abkommen betroffen sein sollten, die auch von der Bevölkerung als Terrorismus empfunden werden. Ausufernde Demonstrationen und andere Gewalttätigkeiten von überschaubarer Intensität gehören nicht dazu. Es wäre unverhältnismäßig, Daten über entsprechende Täter mit den Terrorismus-Abwehrbehörden der USA auszutauschen, wenn es an internationaler Dimension fehlt und die Taten nicht dazu geeignet sind, Angst in der Bevölkerung auszulösen. Daraus ergibt sich die Schlussfolgerung, dass Art. 2 des Abkommens einer einschränkenden Auslegung zu unterziehen ist: Nach dem Willen der Vertragspartner sowie Sinn und Zweck der Bestimmung eröffnen nur solche Handlungen den Anwendungsbereich des Abkommens, die Schäden von einer gewissen Intensität hervorrufen bzw. hervorrufen sollen. Dies kann zum einen aufgrund der Schwere des Delikts der Fall sein (z. B. bei Tötung). Zum anderen können besonders folgenschwere Beschädigungen, die entweder in der Bedeutung der zerstörten Sache (z. B. Trinkwasserversorgung) oder in einem besonders hohen Vermögensschaden begründet sein können, die Beurteilung einer Tat als Terroranschlag nach sich ziehen.

393

Hierbei gilt es zu bedenken, dass die Entführung Schleyers lediglich eine Straftat in einer einheitlichen Serie von Taten gewesen ist, insofern also nicht von einem einzelnen Opfer gesprochen werden kann. Hätte es sich bei der Entführung jedoch um die erste Tat der RAF gehandelt, wäre sie aufgrund der politischen Ausrichtung ebenfalls als terroristische Tat eingestuft worden. 394 Zum Verlauf der Proteste s. Leisner, NJW 2011, 33. 395 Vgl. BVerfGE 69, 315. 396 Zur Subsumtion von Studentenprotesten unter den Terrorismusbegriff Golder/Williams, UNSW Law Journal 27 (2004), 270 (289). 397 „[…] Aufspüren der Finanzierung des Terrorismus“. 398 Art. 1 lit. a: „Verfolgung von Terrorismus oder Terrorismusfinanzierung“. 399 „Handlungen, die zu Terrorismus oder Terrorismusfinanzierung gehören“

F. Bezugspunkt der verarbeiteten Daten

123

2. Terrorismusfinanzierung Das Abkommen dient nicht nur der Aufspürung und Überwachung von Terroristen400 und denjenigen, die bei der Anschlagsplanung und -ausführung aktiv Hilfe leisten,401 sondern insbesondere der Aufdeckung der Finanzströme, durch die der internationale Terrorismus sich finanziert.402 Deshalb gelangen auch die Zahlungsverkehrsdaten derjenigen Personen in den Focus des TFTP, die der Terrorismusfinanzierung verdächtig sind.403 Zahlungen an terroristische Gruppierungen können nur dann als Terrorismusfinanzierung bezeichnet werden, wenn der Geldgeber vorsätzlich handelt, ihm also die künftige Verwendung zumindest bekannt ist. Wäre dies nicht so, unterläge jede Geldspende in ein Krisengebiet der Gefahr, dass der Spender der Terrorismusfinanzierung bezichtigt würde und die Sanktionen des Geldwäschegesetzes fürchten müsste.404 In das Regelwerk, das ursprünglich lediglich die Verwendung von Geldern aus Straftaten regelte, wurden Vorschriften zur Eindämmung der Terrorismusfinanzierung implementiert.405 Die auf der EG-Geldwäscherichtlinie406 basierenden europäischen Gesetzeswerke stellen deshalb für den Begriff der Terrorismusfinanzierung auf „die Bereitstellung oder Sammlung finanzieller Mittel in Kenntnis dessen, dass sie ganz oder teilweise dazu verwendet werden oder verwendet werden sollen […]“ ab.407 Im transatlantischen Folgeabkommen scheint es zunächst, als sei eine Alternativität von Vorsatz oder vorsatzlosem Handeln im Zusammenspiel der Buchstaben b und c aus Art. 2 zu sehen. In der zweiten Alternative des Buchstaben b ist „finanzielle materielle oder technische Hilfe […] für solche Handlungen oder zu deren Unterstützung bereitstellen“ als Maßnahme der Terrorismusfinanzierung aufgeführt. Bei erstem Zugriff kann darin kein Vorsatzerfordernis gesehen werden. Buchstabe c ergänzt „Personen oder Organisationen, die in irgendeiner Weise direkt oder indirekt Finanzmittel in der Absicht oder in dem Wissen bereitstellen […]“. Es scheint, als würde von zwei im Wesentlichen gleichen Regelungen nur die letztere Vorsatz erfordern, nicht aber die in Buchstabe b. Nach dieser Betrachtung wäre Buchstabe c enger als Buchstabe b. Dann würde sich aber der Sinn nicht erschließen, warum dem 400

Art. 2 lit. a in beiden Versionen des Abkommens. Art. 2 lit. c des Interimsabkommens; Art. 2 lit. d des Folgeabkommens. 402 Vgl. Art. 1 Abs. 1 lit. a in beiden Versionen des Abkommens. 403 Art. 2 lit. b des Interimsabkommens; Art. 2 lit. b, c des Folgeabkommens; der Begriff Terrorismusfinanzierung ist der jeweiligen Überschrift der Vorschriften zu entnehmen. 404 Diergarten, Geldwäsche, § 1 Abs. 2 GwG. 405 § 1 Abs. 2, 6 Abs. 1, Abs. 2 Nr. 4, Abs. 3 Nr. 2 GwG; der Terrorismusbezug wurde eingefügt durch das Gesetz v. 30.07. 2009, BGBl. I S. 2437. 406 Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, ABl. L 903 v. 25.11. 2005, S. 15 ff. 407 § 1 Abs. 2 Nr. 1 GwG. 401

124

Kap. 5: Inhalt des Abkommens

bereits im Interimsabkommen enthaltenen Buchstaben b im Folgeabkommen Buchstabe c angefügt wurde. Es ist nicht sachdienlich, eine weitere Klausel einzufügen, die inhaltlich eine Teilmenge der bereits bestehenden Klausel umfasst. Die Ergänzung des Folgeabkommens ergibt hingegen Sinn, wenn man annimmt, dass die Tathandlungen des Buchstaben b allesamt von Vorsatz getragen sein müssen. Der Wortlaut steht dem nicht entgegen: Dem dort enthaltene Wort „Hilfe“ kann ein befürwortendes Element entnommen werden.408 Die Ergänzung durch Buchstabe c bestünde dann in der ausdrücklichen Erwähnung, dass nicht nur Absicht, sondern auch Wissen um die Verwendungsweise des Geldes genügt, um Terrorismusfinanzierung anzunehmen. Nach dieser Auslegung geht Buchstabe c über Buchstabe b hinaus. Diese systematischen Ausführungen zeigen, dass in jedem Fall das Wissen oder das Wollen der zahlungsanweisenden Person darüber erforderlich ist, dass mit den Geldern terroristische Aktivitäten finanziert werden. Eine unverhältnismäßige Verfolgung von Personen, die aus humanitären Gründen Geld an Sammlungen für Krisengebiete spenden, ist im Abkommen nicht angelegt. Jedoch muss auch bedacht werden, dass es sich bei den Auswertungen des TFTP um reine Ermittlungsmaßnahmen handelt. Gesicherte Informationen über die Motive eines Zahlungsanweisenden lassen sich im Voraus für gewöhnlich nicht bestimmen. Daher können nur aus den objektiven Umständen wie der Höhe und Häufigkeit von Überweisungen Rückschlüsse auf den Zweck der Zahlung gemacht werden. 3. Zusammenhang zwischen den überwachten Personen und dem Terrorismus a) Kontaktpersonen von Terrorverdächtigen Eine Geldüberweisung enthält personenbezogener Daten sowohl des Anweisenden als auch des Empfängers.409 Werden die die Zahlungsverkehrsdaten einer Person ausgewertet, die des Terrorismus oder der Terrorismusfinanzierung verdächtig ist, dann werden notwendigerweise auch Daten sämtlicher Personen mitverarbeitet, mit denen der Verdächtigte Zahlungskontakte pflegt. Deshalb ist es im System bereits angelegt, dass auch die Daten unschuldiger Personen erfasst werden. Es handelt sich nicht nur um eine Nebenwirkung des TFTP, sondern letztlich um den Hauptzweck des Programms: Das Aufspüren bislang unbeobachteter Personen, die als Unterstützer des internationalen Terrorismus künftig unter Beobachtung gestellt werden sollten. Dagegen ist zunächst wenig einzuwenden. Es bildet das typische Vorgehen der Strafermittlungs- oder Gefahrenabwehrbehörden, dass Personen ermittelt werden, die mit dem potentiellen Täter oder Gefährder in sozialem Kontakt stehen, und die daraufhin hinsichtlich ihrer eigenen Beteiligung genauer untersucht 408 409

So die Beihilfe im Strafrecht; vgl. § 27 Abs. 1 StGB. Siehe im Einzelnen Kapitel 5 C. II. 3. b).

F. Bezugspunkt der verarbeiteten Daten

125

werden.410 Erforderlich ist lediglich, dass die erfassten Daten umgehend gelöscht werden, wenn sich daraufhin kein Terrorismusverdacht erkennen lässt.411 Keineswegs dürfen weitergehende Sanktionen wie Beschränkungen der Freizügigkeit alleine aufgrund der Tatsache erlassen werden, dass eine Person Kontakt zu einem Terrorverdächtigen hatte. b) Verdächtige im Hinblick auf Terrorismus oder Terrorismusfinanzierung Das Anwendungsfeld der Weitergabe von Datensätzen mutmaßlicher Terroristen wurde im Abkommen relativ weit angesetzt. Insofern gilt es zu hinterfragen, ob darin bereits eine im Abkommen angelegte Unverhältnismäßigkeit zu sehen ist. Erfasst werden sollen „Daten im Hinblick auf die Verhütung, Ermittlung, Aufdeckung oder Verfolgung“ von Terrorismus oder Terrorismusfinanzierung.412 Es genügt also ein irgendwie gearteter Bezug.413 Zunächst gilt es festzustellen, dass nicht nur diejenigen Personen, die mutmaßlicher Weise einen Anschlag selbst oder als Gehilfe durchgeführt oder geplant haben, Verdächtige im Sinne des Abkommens sind. Einen reinen Bezug zum Terrorismus oder zur Terrorismusfinanzierung weisen auch gegebenenfalls vorsatzlos handelnde Personen oder Institutionen wie Banken und Kreditgeber oder Wohnungsvermieter und Waffenhändler auf. Um die Finanziers und Drahtzieher des internationalen Terrorismus zu entlarven, ist es notwendig, das Umfeld von Attentätern einer näheren Überprüfung zu unterziehen. Jedoch muss hierbei streng auf die Verhältnismäßigkeit geachtet werden.414 Steht beispielsweise die Hausbank eines Terroristen als dessen Kontoführer und Kreditgeber im Focus der Ermittlungen, so wäre unangemessen, sämtliche über die Bank ablaufenden Geldbewegungen ihrer Kunden zu durchleuchten. Ebenso gilt es zu vermeiden, dass über die Verkettung von Kontaktpersonen ein mittelbarer Terrorismusbezug hergeleitet wird: Erhält ein mutmaßlicher Terrorist Gelder von einer weiteren Person, etwa einem Arbeitgeber, so sind die bei diesem Vorgang anfallenden Zahlungsverkehrsdaten solche „im Hinblick auf die […] Aufdeckung“ von Terrorismus i.S.d. Art. 2 des Abkommens. Diese Verbindung kann 410

(563). 411

Kowalczyk, Datenschutz im Polizeirecht, S. 115 f.; s.a. Becker/Ambrock, JA 2011, 561

Siehe Kapitel 5 H. Art. 2 in beiden Versionen des Abkommens. 413 Die ebenso allgemein gehaltene Formulierung „Bezug zu Terrorismus oder Terrorismusfinanzierung“ findet sich im weiteren Verlauf des Abkommens als Erfordernis für Auswertungen des Datenbestandes durch das TFTP, Art. 5 Abs. 5 des Folgeabkommens, Art. 5 Abs. 2 S. 2 lit. c des Interimsabkommens. 414 Zur Verankerung des Verhältnismäßigkeitsprinzips im Unionsrecht Hofmann, Abwägung im Recht, S. 506 ff.; Koch, Der Grundsatz der Verhältnismäßigkeit in der Rechtsprechung des Gerichtshofs der Europäischen Gemeinschaften, S. 255 ff.; Merten, in: ders./Papier, Handbuch der Grundrechte, § 68 Rn. 21. 412

126

Kap. 5: Inhalt des Abkommens

es je nach Einzelfall rechtfertigen, auch die Kontakte dieses Arbeitgebers zu untersuchen. Wird dieses Vorgehen jedoch weitergedacht, sodass die Kontaktpersonen des Arbeitgebers sowie deren Kontaktpersonen auch noch durch das TFTP untersucht werden, so ist der Terrorismusbezug nur noch äußerst mittelbar herzuleiten. Ein solches Vorgehen wäre unverhältnismäßig, weil Personen unter Terrorismusverdacht gestellt würden, die weder den ursprünglichen Terroristen noch dessen Pläne kennen. Auf die Spitze getrieben ließe sich ansonsten eine Kette von verdächtigen Personen zusammenstellen, die die ganze Weltbevölkerung umfasst, weil sich nahezu alle Menschen über eine überschaubare Anzahl an Mittelspersonen kennen.415 Stellt sich allerdings bei den Auswertungen der Kontakte eines mutmaßlichen Terroristen heraus, dass einige Kontaktpersonen tatsächlich in konkretem Verdacht stehen, Terrorismusförderung zu betreiben, ist ein neuer Verdächtiger ermittelt, dessen weitere Kontakte daraufhin wieder ausgewertet werden dürfen. Voraussetzung ist dafür ein konkreter Hinweis, der sich beispielsweise aus Verwendungszweck-Angaben einer Überweisung oder anderweitigen geheimdienstlichen Ermittlungen ergeben kann. In solchen Fällen, kann tatsächlich die Kette, die von einem bekannten mutmaßlichen Terroristen ausgeht, sehr lang werden – genau darin besteht schließlich auch der Sinn des TFTP. Weil Data-Mining und andere elektronische Rasterverfahren durch das TFTP im Abkommen ausgeschlossen sind,416 kann das Aufspüren der Hintermänner des internationalen Terrorismus nur durch Ausspähung der Kontaktpersonen bekannter Terroristen erfolgen. Dabei ist davon auszugehen, dass diejenigen, die Anschläge ausführen, nicht direkt mit den Finanziers in Kontakt stehen, sondern die Gelder über ein verzweigtes Netzwerk fließen.417

II. Bulk Data Transfer (Paketdatenweitergabe) Nach dem gerade Festgestellten sollen nur solche Daten an das TFTP übermittelt werden, die einen direkten Terrorismusbezug aufweisen. In der Praxis werden jedoch weit mehr Datensätze zur Verfügung gestellt, ohne dass das Abkommen dies explizit fordert. Ein Hinweis darauf findet sich an wenig prominenter Stelle in Art. 4 Abs. 6 des gescheiterten Interimsabkommens. Dort heißt es: „Ist der bezeichnete Anbieter aus technischen Gründen nicht imstande, die spezifischen Daten zu identifizieren und bereitzustellen, die dem Ersuchen entsprechen, so werden alle potenziell rele415 Einer Studie der Universität Virginia zufolge lässt sich zwischen allen Menschen abgesehen von wenigen isoliert lebenden Gruppen eine Verbindung durch maximal sechs Mittelspersonen herleiten; siehe dazu Watts, Six Degrees – The Science of a Connected Age, S. 6 ff.; ders./Strogatz, Nature 393 (1998), S. 440. 416 Siehe Kapitel 5 G. 417 Zu den weitreichenden Verkettungen der Finanzströme Al Quaidas siehe National Commission on Terrorist Attacks Upon the United States, Monograph on Terrorist Financing, Staff Report to the Commission.

F. Bezugspunkt der verarbeiteten Daten

127

vanten Daten […] übermittelt.“ Bei flüchtiger Betrachtung erscheint diese Klausel als reine Formalie, nach der beispielsweise bei Namensgleichheit mehrerer Bankkunden die Datensätze aller Personen übermittelt werden sollen, die den Namen des angefragten Verdächtigen tragen. Diese erste Einschätzung ist jedoch weit gefehlt. Tatsächlich handelt es sich bei den in der Diskussion als Bulk Data Transfer, Paketdatenweitergabe oder Massendatenübermittlung bezeichneten Maßnahmen um die Übertragung tausender oder millionenfacher Datensätze aufgrund nur einer Anfrage.418 Diese Art der Beantwortung der US-Anfragen stellt zudem den Regelfall dar. Die Bulk Data Transfer betreffende Regelung wurde nicht in das Folgeabkommen übernommen, um eine erneute Ablehnung durch das Europäische Parlament zu verhindern.419 Dies wurde von politischer Seite als Erfolg für den Datenschutz gewertet.420 Der Verzicht auf die Klausel ändert hingegen nichts daran, dass die Praxis der Massendatenübermittlung nach wie vor ausgeübt wird.421 Nach Berichten einzelner Abgeordneter des Europäischen Parlaments422 hat dies auch die Kommission bestätigt.423 1. Angebliche Notwendigkeit der Herausgabe großer Datenmengen Die Gesellschaft S.W.I.F.T. ist nicht ohne weiteres in der Lage, ihren Datenbestand daraufhin zu durchsuchen, ob Nachrichten dabei sind, die eine bestimmte Person als Zahlungsanweisenden oder -empfänger aufweisen.424 Dies liegt daran, dass der wesentliche Teil einer Nachricht im S.W.I.F.T.-Netz verschlüsselt ist. Im Klartext sichtbar ist lediglich der Header, ein Adressfeld, das die als BIC und IBAN bezeichneten internationalen Bankleitzahlen und Kontonummern,425 sowie technische Informationen wie die Priorität der Nachricht enthält.426 Eine Verschlüsselung dieses Teils ist nicht sachdienlich, weil die Informationen stets aufrufbar sein müssen, damit S.W.I.F.T. die Nachricht an den Empfänger übermitteln kann.427 Der eigentliche Nachrichteninhalt, der im Wesentlichen aus personenbezogenen Daten 418 Empfehlung des EP-Ausschusses für Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8. 419 Archick, U.S.-EU Cooperation Against Terrorism, S. 8. 420 BT-Drs. 17/2431, S. 2. 421 Archick, U.S.-EU Cooperation Against Terrorism, S. 8. 422 MdEP Albrecht und MdEP Buscuttil, wiedergegeben in der Pressemitteilung des EPAusschusses für Justiz und Inneres v. 16.03. 2011, abrufbar unter http://www.europarl.europa. eu/de/pressroom/content/20110314IPR15463/html/SWIFT-implementation-report-MEPs-raiseserious-data-protection-concerns. 423 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 3. 424 Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (4). 425 Jueterbock, Die Bank 1988, 329 (332). 426 Siehe Kapitel 2 A. III. 2. 427 Zum Zweck des Headers siehe Haddenbrock, GI 1975, Heft 2, S. 21 (32).

128

Kap. 5: Inhalt des Abkommens

wie den Namen der an der Transaktion beteiligten Personen, dem Verwendungszweck und dem Überweisungsbetrag besteht, ist verschlüsselt.428 Verschlüsselte Nachrichtenteile können nicht daraufhin durchsucht werden, ob sie zu einer Anfrage des TFTP passen. Es handelt sich um eine asymmetrische Verschlüsselung, bei der jeder Empfänger ein eigenes Passwort hält. Deshalb kann eine Bank nur diejenigen Nachrichten entschlüsseln, die an sie gerichtet sind.429 S.W.I.F.T. erzeugt diese Schlüssel und ist deshalb auch in der Lage, die Entschlüsselungen aller Nachrichten vorzunehmen. Daher ist es theoretisch denkbar, dass die Gesellschaft, wenn sie eine spezifische Anfrage erhält, die Daten einer Person herauszugeben, ihren kompletten Datenbestand entschlüsselt, durchsucht und passende Datensätze weiterleitet. Der Aufwand wäre allerdings enorm, bedenkt man, dass täglich ca. 18.000 Nachrichten versendet werden.430 Die Speicherdauer als Sicherungskopie von 124 Tagen431 führt demnach zu einem Datenbestand von rund 2,25 Millionen Datensätzen, die zeitgleich verfügbar sind. Der Aufwand der Dekodierung ist dadurch noch gesteigert, dass nicht alle Datensätze mit einem Universalpasswort entschlüsselt werden können, sondern in Abhängigkeit von den Empfängern zahlreiche Codes eingesetzt werden müssen. Die regelmäßige Durchführung dieser Prozedur erfordert Rechnerressourcen, die bei S.W.I.F.T. nicht vorhanden sind bzw. nicht entbehrt werden können ohne dass die Geschäftsfeld der Nachrichtenübermittlung leidet. Hinzu kommt, dass die Software von S.W.I.F.T. keine Volltextsuche vorsieht, sondern nur ein Durchsuchen anhand der Header-Informationen wie BIC und IBAN ohne weitere Modifikationen möglich ist.432 Aus diesem Grund setzt S.W.I.F.T. lediglich eine rudimentäre Filterung seines Datenbestandes anhand der nicht-verschlüsselten Informationen im Header ein, um Anfragen des TFTP zu erfüllen. Ist die Kontonummer (IBAN) eines Terrorismusverdächtigten bekannt, so können anhand dieser unverschlüsselten Nummer alle von dem betreffenden Konto eingehenden und ausgehenden Nachrichten problemlos herausgefiltert werden. Ist lediglich das Bankhaus bekannt, von dem aus der Verdächtigte operiert, so ist ein spezifischer Zugriff nur auf dessen Daten nicht möglich. In einem solchen Fall kann S.W.I.F.T aber zumindest seinen Bestand nach Datensätzen der betreffenden Bank durchsuchen und diese herausgeben. Die dann an das US-Finanzministerium übermittelten Datensätze enthalten nicht nur die Kontobewegungen des Verdächtigten, sondern diejenigen sämtlicher Kontoinhaber der betreffenden Bank. Im Regelfall ist den Terrorismusfahndern allerdings nicht einmal 428

Siehe Kapitel 2 A. III. 2. am Ende. Bunzel, Erkenntnisgewinn aus konzelierten Daten, S. 68 ff.; Selke, Kryptographie, S. 63 ff. 430 S.W.I.F.T., Annual Report 2008, S. 3. 431 Siehe Kapitel 2 A. II. 1. a). 432 Vgl. Empfehlung des EP-Ausschusses für Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8. 429

F. Bezugspunkt der verarbeiteten Daten

129

bekannt, ob und wie viele Konten ein Verdächtigter benutzt und bei welchen Banken er Kunde ist. Dann sind die Möglichkeiten einer Vorfilterung äußerst begrenzt. Die einzige Option, die S.W.I.F.T. bleibt, um Informationen über Verdächtigte zu liefern, deren Bankverbindung unklar ist, besteht darin, sämtliche Zahlungsverkehrsdaten aller Banken der Region zu übermitteln, in der der Verdächtigte sich vermutlich aufhält.433 Auf diese Weise kann eine nur auf eine gesuchte Person zugeschnittene Anfrage mit einem Paket beispielsweise sämtlicher Daten norddeutscher Banken beantwortet werden.434 Weil zahlreiche Personen aus unterschiedlichen Ländern im Focus des TFTP stehen, wird im Europäischen Parlament davon ausgegangen, dass S.W.I.F.T. „alle oder praktisch alle seine Daten dem US-Finanzministerium übermitteln muss“.435 Andere Quellen nennen als Maßstab maximal 25 % aller S.W.I.F.T.-Daten.436 In jedem Fall lässt sich festhalten, dass dem TFTP große Datenmengen en bloc zur Verfügung gestellt werden.437 Fast alle enthaltenen Informationen betreffen Personen, die nicht unter Terrorismusverdacht stehen. 2. Vereinbarkeit mit dem Abkommen Die gerade dargelegte Übermittlung großer Datenpakete steht im Widerspruch zum zuvor herausgearbeiteten Umfang der zu verarbeitenden Daten, wie er in § 2 des Abkommens festgeschrieben ist.438 Die Vorschrift begrenzt den Anwendungsbereich des Abkommens auf „Zahlungsverkehrsdaten und damit verbundene Daten im Hinblick auf die Verhütung, Ermittlung, Aufdeckung oder Verfolgung“ von Terrorismus oder Terrorismusfinanzierung. Ist ein Datum lediglich deshalb übermittelt worden, weil es in derselben Region erstellt wurde, in der sich gegebenenfalls ein Terrorist aufhalten könnte, so kann kaum noch von einem Bezug zum Terrorismus gesprochen werden. Erscheint es technisch ausgeschlossen, die geforderten Datensätze isoliert herauszugeben, liegt nach der Streichung des Art. 4 Abs. 6 des Interimsabkommens die grundrechtskonforme Auslegung nahe, dass die geschuldete Leistung im Regelfall unmöglich ist. Die zivilrechtliche Figur der Unmöglichkeit findet sich auch im Recht der internationalen Verträge.439 433 Europa schaltet den Datensauger an, Spiegel Online v. 01.08. 2010, abrufbar unter http:// www.spiegel.de/politik/deutschland/0,1518,709559,00.html; SWIFT-Abkommen zum Finanzdatentransfer tritt in Kraft, Heise Online v. 32.07. 2010, abrufbar unter http://www.heise.de/newsticker/meldung/SWIFT-Abkommen-zum-Finanzdatentransfer-tritt-in-Kraft-10488 17.html. 434 Vgl. Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (4). 435 Empfehlung des EP-Ausschusses für Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8. 436 Datenspende an die USA, TAZ v. 02.02. 2010, S. 12. 437 Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (4); Kommission geht auf Bedenken des Parlaments ein, FAZ v. 25.03. 2010. 438 Siehe Kapitel 5 F. I. 439 Vgl. Art. 61 des Wiener Übereinkommens über das Recht der Verträge.

130

Kap. 5: Inhalt des Abkommens

Die genauere Betrachtung führt hingegen zu dem Schluss, dass auch der Bulk Data Transfer vom Abkommen umfasst ist. Zum einen entspricht dies dem Willen der Unterzeichner, was insbesondere dadurch deutlich wird, dass der Verhandlungsführer der EU vor der Beschlussfassung und Unterzeichnung des Folgeabkommens gegenüber dem Parlament erklärt hat, die Massendatenübermittlung werde „aus technischen und Effizienzgründen beibehalten“.440 Diese Prämisse wird auch im Folgeabkommen angedeutet. So heißt es in Art. 6 Abs. 2: „Stellt sich heraus, dass Zahlungsverkehrsdaten übermittelt wurden, die nicht angefordert worden waren, so löscht das US-Finanzministerium diese Daten unverzüglich und dauerhaft und unterrichtet den betreffenden bezeichneten Anbieter.“ Die Übermittlung von nicht angefragten Daten durch S.W.I.F.T. wurde von den Verhandlungspartnern bewusst einkalkuliert und lediglich deren spätere Verwendung beschränkt. Die Klausel des Art. 6 Abs. 2 führt im Übrigen in der Praxis nicht automatisch zu einer Löschung der als Bulk Data überschüssig transferierten Daten. Davon ausgehend, dass S.W.I.F.T. ohnehin keine spezifischen Daten herausgeben kann, werden die Anfragen von vorneherein allgemein gehalten.441 Auf diese Weise ist in der Regel jedes übermittelte Datum eines, das auch angefordert worden ist. Es muss folglich nicht sofort gelöscht werden, sondern lediglich das Abrufen des Datums ist beschränkt.442 Das Vorgehen des TFTP, nicht die Namen der konkret Verdächtigen mitzuteilen, sondern bereits verallgemeinerte Anfragen zu stellen, stellt auch keinen Verstoß gegen Art. 4 Abs. 2 lit. d des Folgeabkommens dar. Die Vorschrift legt zwar fest, dass das Ersuchen „so eng wie möglich gefasst sein [muss], um die Menge der angeforderten Daten auf ein Minimum zu beschränken“. Sie ist jedoch nur auf die Menge der zu übermittelnden Daten bezogen, nicht auf die Anfrage. An der Datenmenge ändert es im Regelfall nichts, ob die Mitarbeiter von S.W.I.F.T die Kriterien wie die geographische Lage der Bank festlegen, nach denen das Paket geschnürt wird, sondern US-Beamte. Es handelt sich aber um einen offensichtlichen Verstoß gegen Art. 4 Abs. 2 lit. a: „Die angeforderten Daten, die zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Terrorismus und Terrorismusfinanzierung notwendig sind, müssen möglichst präzise unter Angabe der Datenkategorien bezeichnet werden.“ Die präzise Bezeichnung der angeforderten Daten geschieht gerade dann nicht, wenn gleich ein umfangreiches Datenpaket angefordert wird, aus dem erst im Nachgang die für die Terrorismusfahndung notwendigen Daten herausgefiltert werden.

440 López-Garrido, wiedergegeben in der Pressemitteilung des EP v. 22.04. 2010, abrufbar unter http://www.europarl.de/view//Aktuell/pr-2010/Aktuel-2010-April/Aktuell-2010-April6.html. 441 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 3; Evaluationsbericht der Gemeinsamen Kontrollinstanz Europols v. 01.03. 2011, S. 5, abrufbar unter http://bfdi.bund.de/shareddocs/publikationen/allgemein/reportgkzuswift.pdf. 442 Vgl. Art. 5 in beiden Versionen des Abkommens.

F. Bezugspunkt der verarbeiteten Daten

131

Gegen das Abkommen verstößt damit nicht die allgemeine Praxis, ganze Datenpakete zu übermitteln. Es ist mit den Bestimmungen des Abkommens hingegen nicht vereinbar, dass die US-Behörden diese Pakete bereits von vornherein anfordern und ihren Zuschnitt bestimmen. 3. Erforderlichkeit Erhebliche Bedenken gegen die Paketdatenübermittlung ergeben sich zudem aus grundrechtlichen Erwägungen. Die Übermittlung von Zahlungsverkehrsdaten an das US-Finanzministerium stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung derjenigen Personen dar, die Anweisender oder Empfänger einer über S.W.I.F.T. versendeten Nachricht sind. Dieser Eingriff kann nur dann mit der Notwendigkeit der Terrorismusabwehr gerechtfertigt werden, wenn er verhältnismäßig ist.443 Die Übermittlung nicht angefragter Datensätze an das US-Finanzministerium ist bereits nicht geeignet, weil das konkrete Ermittlungsziel, die finanziellen Verbindungen einer observierten Person zu verfolgen, nicht durch den Transfer beliebiger Datenpakete erreicht werden kann.444 Beim Bulk Data Transfer muss jedoch bedacht werden, dass nicht ausschließlich beliebige Datenpakete übermittelt werden, sondern tatsächlich angefragte und damit für die Ermittlungen relevante Datensätze enthalten sind. Das TFTP ist in der Lage, die angefragten Daten aus dem Paket herauszufiltern. Damit ist der Bulk Data Transfer zwar geeignet. Die Beurteilung der Erforderlichkeit ist aber komplexer. Nach diesem aus Art. 5 Abs. 4 EUV abgeleiteten Rechtsgrundsatz ist unter mehreren zu Auswahl stehenden geeigneten Maßnahmen die grundrechtlich am wenigsten belastende zu wählen.445 Insofern gilt es, mögliche Alternativen zur Massendatenübermittlung auszuloten. Wäre es machbar, das Datenpaket vorzufiltern und dem US-Finanzministerium ausschließlich zuvor beantragte Datensätze zukommen zu lassen, so läge darin eine gleich geeignete Maßnahme. Schließlich dient das TFTP nur dem Zweck, finanzielle Verbindungen zu Verdächtigen nachzuverfolgen, die zuvor geheimdienstlich aufgefallen sind.446 Die dazu benötigten Informationen können einzelfallbezogen abgefragt werden. Größere Datenpools sind nur dann erforderlich, wenn algorithmische Verfahren wie eine Rasterfahndung angewandt werden sollen,447 um neue 443

Grabenwarter, EMRK, § 18 Rn. 15 ff.; Heselhaus, in: ders./Nowak, Handbuch der europäischen Grundrechte, § 3 Rn. 123; Jarass, EU-Grundrechte, § 6 Rn. 45. 444 Geeignetheit ist gegeben, wenn das angestrebte Ziel gefördert wird; siehe Jarass, EUGrundrechte, § 6 Rn. 46. 445 EuGH, Rs. 329/01, Slg. 1998, I-16629, Rn. 63; Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EG-Rechtssetzung, S. 196; Jarass, EUGrundrechte, § 6 Rn. 49, § 7 Rn. 53. 446 Art. 5 Abs. 5 des Folgeabkommens; Art. 5 Abs. 2 S. 2 lit. b des Interimsabkommens. 447 Zur Funktionsweise der Rasterfahndung Becker/Ambrock, JA 2011, 561 (565); Lisken, NVwZ 2002, 513 (514 f.).

132

Kap. 5: Inhalt des Abkommens

Verdächtige aus einer Masse zunächst Unauffälliger zu ermitteln448 – genau dieses Vorgehen ist dem TFTP jedoch untersagt.449 a) Filterung durch S.W.I.F.T. Die naheliegendste Alternative bestünde darin, das Begehren der US-Behörden unter Angabe der Personalien des Verdächtigten konkret zu fassen und S.W.I.F.T. zu verpflichten, nur diejenigen Datensätze herauszugeben, die einen eindeutigen Bezug zu der Person aufweisen. Diese Idee kollidiert freilich mit der Annahme, dass S.W.I.F.T. zu einer solchen Vorsortierung technisch nicht in der Lage ist. Das Bestehen einer solchen Ausgangslage wurde jedoch vorschnell verbreitet. aa) Technische Machbarkeit Die Verschlüsselung der Inhalte von S.W.I.F.T.-Nachrichten ist kein stichhaltiges Argument für eine Unmöglichkeit der Filterung. Die Massendaten-Pakete, die S.W.I.F.T. an das US-Finanzministerium herausgibt, werden bereits in der aktuellen Praxis zuvor durch S.W.I.F.T. entschlüsselt, sodass lesbare Daten übermittelt werden.450 Wenn S.W.I.F.T. ohnehin vor dem Transfer in die USA unverschlüsselte Daten vorliegen, dann ist der Aufwand, sie noch einmal zu filtern relativ gering. Korrekt ist zwar das Argument, es sei zu aufwändig, den gesamten Datenbestand von S.W.I.F.T. zu entschlüsseln und anschließend zu durchsuchen. Es spricht aber nichts dagegen, zunächst mittels einer Filterung anhand der unverschlüsselten Bankleitzahl nur die Transaktionen solcher Institute zu separieren, deren geographische Lage sich mit dem Aufenthaltsort des Verdächtigten deckt. Dies entspricht dem bisherigen Vorgehen und kann deshalb nicht zu aufwändig sein. Die auf diese Weise eingegrenzten Daten kann S.W.I.F.T. sodann dekodieren. Auch dies entspricht der aktuellen Vorgehensweise. Der einzige Mehraufwand der vorgeschlagenen Lösung besteht darin, nach dieser Decodierung noch einmal eine Volltext-Suchroutine über die Datensätze laufen zu lassen, die alle Datenfelder inklusive Empfängername, AnweisendenName und Verwendungszweck umfasst. Diese letzte Filterroutine ist in der Software von S.W.I.F.T. nicht vorgesehen.451 Sie müsste noch implementiert werden. Zudem könnte S.W.I.F.T. weitere Rechnerressourcen benötigen. Die Tatsache, dass technische Modifikationen von Nöten sind, ist jedoch nicht gleichbedeutend mit der technischen Unmöglichkeit, von der in 448 Zur parallelen Situation der Vorratsdatenspeicherung, in deren Rahmen die Behörden ebenfalls nur bei konkretem Verdacht einer Straftat einzelne Daten anfordern dürfen siehe Gietl, DuD 2010, 398 (401). 449 Art. 5 Abs. 3 des Folgeabkommens; Art. 5 Abs. 2 S. 1 des Interimsabkommens. 450 Diese Information stammt aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro von MdEP Jan-Philipp Albrecht. 451 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 3.

F. Bezugspunkt der verarbeiteten Daten

133

der politischen Diskussion und Berichterstattung bisweilen ausgegangen wird.452 Aus diesem Grund hat der Ausschuss des Europäischen Parlaments für Bürgerliche Freiheiten, Justiz und Inneres gefordert, „es S.W.I.F.T. zu ermöglichen, sich mit der notwendigen Ausrüstung auszustatten, um selbst eine gezielte Suche bei den von ihr gespeicherten und verarbeiteten Daten vorzunehmen.“453 Die Kommission teilt zwar nicht diese Forderung, ist aber auch von der Annahme, eine Filterung durch S.W.I.F.T. sei nicht möglich, abgerückt. In der Kommissionsmitteilung vom 13.07. 2011 heißt es: „[Der] Anbieter von Zahlungsverkehrsdiensten [müsste] für eine einzelpersonenbezogene Datenübermittlung eine spezielle Such- und Analysefunktion einführen, die für seine Geschäftsabläufe nicht erforderlich ist und erhebliche Ressourcen in Anspruch nehmen würde.“454 Damit besteht inzwischen Einigkeit darüber, dass S.W.I.F.T. technisch gesehen in der Lage wäre, die Daten vor der Übermittlung in die USA zu filtern, sofern die EU dafür Sorge trägt, dass das Unternehmen die dafür notwendigen Modifikationen an seinem System vornimmt und seine Rechnerressourcen ausbaut. Die zusätzlich benötigte Rechnerleistung hält sich auch in einem überschaubaren Rahmen. Die Auslastung, die ein Suchalgorithmus auslöst, fällt im Vergleich zu der Auslastung, die die bereits jetzt stattfindende Decodierung hervorruft, nämlich kaum ins Gewicht.455 bb) Milderes Mittel Die technische Machbarkeit der Filterung durch S.W.I.F.T., die mit dem Bulk Data Transfer gleich geeignet ist, wirft die Frage auf, ob es sich tatsächlich auch um ein milderes Mittel handelt. Zunächst ist festzustellen, dass die Anzahl der in die USA transferierten Daten durch diese Vorgehensweise deutlich minimiert würde. Bei der Übermittlung in Drittstaaten außerhalb der Europäischen Union handelt es sich schließlich um einen besonders gravierenden Eingriff, weil die Kontrolle der Einhaltung des europäischen Grundrechtsstandards auf fremdem Territorium begrenzt ist.456 Die Bedeutung eines solchen Eingriffs wird an dem ausschließlich diesem Fall gewidmeten Kapitel IV der EG-Datenschutzrichtlinie deutlich, der Übermittlungen personenbezogener Daten in Drittländer im Grundsatz verbietet. Die Alternative zu einer Filterung der Paketdaten im Ausland ist indes auch nicht vorbehaltlos zu begrüßen: Durchsucht S.W.I.F.T. seinen Datenbestand selbständig, ist es ein privates Unternehmen, das Kundendaten mit den Namen Terrorverdächtiger 452

Siehe Kapitel 5 F. II. 1. Empfehlung des EP-Ausschusses für Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8. 454 KOM(2011) 429, S. 3. 455 Vgl. Willems, Codierungstheorie und Kryptoraphie, S. 67. 456 Vgl. Draf, Die Regelung der Übermittlung personenbezogener Daten in Drittländern nach Art. 25, 26 der EG-Datenschutzrichtlinie, S. 55; Engel, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/RG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, S. 5. 453

134

Kap. 5: Inhalt des Abkommens

abgleicht. Die Gesellschaft ist ebenso wie die US-Behörden nicht den europäischen Grundrechten unterworfen. Sie unterliegt stattdessen den nationalen Datenschutzgesetzen, deren Einhaltung durch Aufsichtsbehörden kontrolliert wird.457 Die Einflussmöglichkeiten europäischer bzw. nationaler Behörden auf S.W.I.F.T. sind damit zumindest deutlich ausgeprägter als die Kontrollmöglichkeit von auf US-Territorium stattfindenden Datenabfragen. Problematisch an einer Filterung durch S.W.I.F.T. ist in diesem Zusammenhang, dass das Unternehmen zum verlängerten Arm der Sicherheitsbehörden würde. Dabei handelte es sich um einen Eingriff in dessen Berufsausübungsfreiheit aus Art. 15 Abs. 1 GRCh.458 Dies betrifft zum einen die Eingriffe in den Betriebsablauf, zum anderen den besonderen Reputationsverlust den ein im Bankensektor tätiges Unternehmen erleidet, wenn es mit dem Aufweichen des Bankgeheimnisses in Verbindung gebracht wird.459 Jedoch ist sowohl der Betriebsablauf bei S.W.I.F.T. bereits nach dem derzeitigen Verfahren beeinträchtigt als auch die Außenwirkung des Unternehmens wegen der im Jahre 2010 anhaltenden medialen Berichterstattung bereits so weit beeinträchtigt, dass beides nur gering verstärkt würde, wenn S.W.I.F.T. neben der Vorfilterung nach Bankleitzahlen auch die Filterung nach Namen übernehmen würde. Würde S.W.I.F.T. zur Filterung der Datenpakete verpflichtet werden, so wäre darin im Vergleich zur bisherigen Praxis ein milderes Mittel zu sehen, weil die Kontrolle durch grundrechtlich gebundene Aufsichtsbehörden stärker ausgeprägt ist. Dieser Vorteil rechtfertigt einen überschaubaren Eingriff in die Berufsausübungsfreiheit von S.W.I.F.T. cc) Gleiche Eignung der Verwaltung geheimer Daten durch Private Wie bereits zuvor beschrieben ist die Weiterleitung bereits gefilterter Datensätze an das TFTP für die Verfolgung des internationalen Terrorismus ebenso geeignet wie die Separierung erst auf US-Gebiet. Jedoch könnte die erstgenannte Vorgehensweise die Sicherheit der westlichen Welt dadurch gefährden, dass ein privates Unternehmen diese Art der Datenverarbeitung vornimmt. Damit S.W.I.F.T. in der Lage ist, seine Aufgabe wahrzunehmen, muss die Gesellschaft schließlich die Namen derjenigen Menschen ausgehändigt bekommen, die unter Terrorismusverdacht stehen. Es handelt sich dabei um sicherheitsrelevante Daten, die der Geheimhaltung unterliegen müssen und deshalb nicht ohne weiteres an die Privatwirtschaft weiter-

457

Art. 28 Abs. 1 der Richtlinie 95/46/EG. Das europäische Grundrecht der Berufsausübungsfreiheit umfasst ebenso wie sein Pendant aus dem GG die Erwerbstätigkeit und ist auch juristischen Personen zugänglich; siehe Bernsdorff, in: Meyer, GRCh, Art. 15 Rn. 12, 19. 459 Vgl. Shea, Journal of High Tech Law 2008, 143 (164). 458

F. Bezugspunkt der verarbeiteten Daten

135

gegeben werden können.460 Zusammen mit den Informationen, die S.W.I.F.T. aus den Filterungen gewinnen würde, ergäbe sich eine umfassende Datenbank über Strategie und Erkenntnisse der internationalen Terrorismusbekämpfung, die von privater Hand verwaltet würde. Ein Missbrauch dieser Informationen wäre mit einem hohen Sicherheitsrisiko verbunden. Die Situation ähnelt der der Vorratsdatenspeicherung im Telekommunikationsbereich.461 Bei der auf der Richtlinie 2006/24/EG basierenden Maßnahme werden Telekommunikationsanbieter dazu verpflichtet, die Verkehrsdaten ihrer Kunden zu protokollieren; darunter Angaben darüber, wer mit wem telefoniert und wer wem Emails sendet.462 Besteht ein konkreter Verdacht, dass eine Person in terroristische Aktivitäten verwickelt ist, so können die Ermittlungsbehörden diese Daten bei den privatrechtlichen Unternehmen abfragen. Die Provider werden durch die entstehenden Investitions- und Betriebskosten noch deutlich stärker belastet als es S.W.I.F.T. bei der Verpflichtung, eine Suchroutine ins System einzubetten, wäre, weil sie durch die staatlichen Vorgaben auch zur Speicherung der Verkehrsdaten verpflichtet sind. S.W.I.F.T. unternimmt die Speicherung seiner Sicherungskopien hingegen bereits aus eigenem Interesse.463 Dennoch wurde die Finanzielle Belastung der Telekommunikationsunternehmen vom EuGH als verhältnismäßig angesehen.464 Auch bei der Vorratsdatenspeicherung werden Netzbetreibern die Namen von Terrorismusverdächtigten mitgeteilt, damit die Unternehmen die zugehörigen Datensätze aus ihrem Datenpool herausfiltern und an die Ermittlungsbehörden weiterleiten.465 Dadurch besteht auch im Telekommunikationsbereich die Gefahr, dass private Unternehmen umfassend über als geheim eingestufte Ermittlungsinformationen verfügen.466 Es besteht aber ein entscheidender Unterschied zwischen dem Bereich der Telekommunikations- und der Zahlungsverkehrsdaten-Providern: Die Gesellschaft S.W.I.F.T. verfügt über die Marktstellung eines Monopolisten,467 weil sie das einzige weltumspannende Netzwerk betreibt, mit dem Geldzahlungen angewiesen werden.468 Dies hat zur Folge, dass sämtliche Namen der Terrorismus-

460

Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 3. Empfehlung des EP-Ausschusses für Justiz und Inneres v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8. 462 Zurzeit ist die Richtlinie in Deutschland nicht umgesetzt, weil das BVerfG das bisherige Umsetzungsgesetz aufgrund seiner konkreten Ausgestaltung für nichtig erklärt hatte; siehe BVerfG MMR 2010, 356. 463 Siehe Kapitel 2 A. II. 1. a). 464 EuGH MMR 2009, 1801 (1802). 465 Zum Verfahren Gietl, DuD 2010, 398 (400 f.). 466 BVerfG MMR 2010, 356 (363). 467 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 8. 468 Als alternative Netze wären allenfalls Kredietkartennetze und Clearingsysteme oder Netze einzelner kooperierender Banken zu nennen, die jedoch entweder keine allgemeinen Überweisungen umfassen oder gebietsbezogen sind; vgl. Gößmann/Weber, Recht des Zah461

136

Kap. 5: Inhalt des Abkommens

verdächtigten für dasselbe Unternehmen verfügbar wären. Im Telekommunikationsbereich ist die Lage anders: Alleine den deutschen Markt teilen sich ca. 2.600 Telefonanbieter.469 Die behördlichen Abfragen der Vorratsdaten verstreuen sich damit auf zahlreiche Unternehmen, die jeweils nur einen Teil der Namen aller terrorverdächtigten Personen erhalten. Insofern besteht dabei nicht die Gefahr, dass private Telefongesellschaften so umfassende Informationen erhalten, dass sie genaue Rückschlüsse auf die Sicherheitsstrategie der Behörden ziehen können. Die hohe Streubreite der Anfragen birgt jedoch auch ein hohes Risiko: Es ist kaum möglich, tausende Unternehmen gleichermaßen daraufhin zu überwachen, ob die Anfragen der Gefahrenabwehrbehörden vertraulich behandelt werden.470 Im Bereich der Zahlungsverkehrsdaten-Provider hingegen gestaltet sich die Überwachung denkbar einfach, weil es nur ein einziges Unternehmen ist, das der Aufsicht bedarf. Dass als Geheimsache eingestufte Informationen die Unternehmenssphäre verlassen, ist bei intensiver Aufsichtstätigkeit hinreichend unwahrscheinlich. Die Datenspeicherung durch S.W.I.F.T. erfolgt lediglich in drei Rechenzentren, die automatisiert arbeiten und deshalb eine lediglich überschaubares Maß an zutrittsberechtigten Mitarbeitern erfordern. Es bedarf deshalb nur der Überwachung von wenigen, gut abschirmbaren Gebäuden. Die Gefahr, die von einem Informationspool ausgeht, den nur ein einziges privates Unternehmen betreut, ist deshalb auch dann angemessen zu gewährleisten, wenn es sich um sicherheitsrelevante Daten handelt. dd) Zwischenergebnis Ein Modell, in dem S.W.I.F.T. vom TFTP konkrete, namensbezogene Anfragen erhält und die Paketdaten vor der Übermittlung auf konkret angefragte Daten filtert, stellt ein milderes Mittel als die bislang praktizierte Übermittlung aller Paketdaten dar. Der Persönlichkeitsschutz der Terrorverdächtigen sowie die allgemeine Sicherheitslage erfordern allerdings eine intensive Kontrolltätigkeit der entsprechenden Handlungen S.W.I.F.T.s durch staatliche Behörden. b) Filterung durch nationale oder supranationale Behörden Um sicher zu gehen, dass keine Informationen aus der Unternehmenssphäre hinaus dringen, würde das Modell einer Filterung durch S.W.I.F.T. unter Berücksichtigung der besonderen Sicherheitsrelevanz der Daten erfordern, dass nahezu ständig Organe von Hoheitsträgern anwesend sind. Sind europäische oder nationale

lungsverkehrs, S. 307 ff.; Hartmann, in: Blaurock, Das Recht der grenzüberschreitenden Überweisung, S. 113 (114 ff.). 469 Mehr als 1,3 Millionen Sachsen suchen Rat bei Verbraucherzentrale, Lausitzer Rundschau v. 07.01. 2010, S. 1. 470 Dieses Erfordernis ergibt sich aus Art. 7, 9 der RL 2006/24/EG.

F. Bezugspunkt der verarbeiteten Daten

137

Behörden derart stark in die Filterung der S.W.I.F.T.-Daten involviert, legt das den Gedanken nahe, dass sie die Filterung auch selbst übernehmen könnten. aa) Mögliche Struktur eines solchen Systems Gemeint ist hierbei nicht die Vorfilterung, bei der S.W.I.F.T. anhand der Bankleitzahlen den gesamten verschlüsselten Datenbestand auf Nachrichten einer geographischen Region eingrenzt.471 Diese Vorbereitungshandlung sollte weiterhin bei S.W.I.F.T. verbleiben, weil ansonsten der permanente hoheitliche Zugriff auf die S.W.I.F.T.-Server erforderlich wäre. Bedenken hinsichtlich der globalen Sicherheit oder des Datenschutzes ergeben sich gegen diese Vorfilterung nicht, weil S.W.I.F.T. nicht in der Lage ist, die verschlüsselten Datensätze konkreten Personen zuzuordnen. Auch die Ersuchen, die S.W.I.F.T. erhält, könnten allgemein gehalten bleiben und sich beispielsweise auf die Angabe von Regionen und Zeiträumen beschränken. Die durch Vorfilterung gewonnenen Datenpakete müssten im Anschluss durch S.W.I.F.T. dekodiert werden, weil das Unternehmen die Schlüsselhoheit besitzt. Weil S.W.I.F.T. die Verschlüsselung vorgenommen hat, hat es auch den einzelnen Kreditinstituten den jeweiligen Ver- und Entschlüsselungscode zugewiesen.472 Folglich sind nur S.W.I.F.T. und die an einer konkreten Transaktion beteiligten Banken dazu in der Lage, eine verschlüsselte Nachricht in Klartext umzuwandeln. Bis hierhin ergäben sich noch keine Unterschiede zum aktuell praktizierten Verfahren. Anstelle einer nun folgenden Weiterleitung des entschlüsselten Datenpaketes an das Finanzministerium der USA würde im hier vorgeschlagenen Modell eine Weiterleitung der Paketdaten an eine Behörde erfolgen. In Frage käme entweder eine europäische oder eine mitgliedstaatliche Stelle. Hinsichtlich einer nationalen Lösung, wäre der zunächst im Interimsabkommen eingeschlagene Weg gangbar. Danach sollten Anfragen der USA nicht wie im Folgeabkommen direkt an S.W.I.F.T., sondern gemäß Art. 4 Abs. 3 des Interimsabkommens an die „zentrale Behörde entweder des Mitgliedstaats, in dem der bezeichnete Anbieter niedergelassen ist oder des Mitgliedstaats, in dem er die angeforderten Daten speichert.“473 Dies können nur die Regierungsbehörden Belgiens und der Niederlande sein. Die „zentralen Behörden“ sollten das Ersuchen an eine nach nationalem Recht zuständige Behörde weiterleiten, die die Abwicklung mit S.W.I.F.T. übernimmt und schließlich dem US-Finanzministerium die ersuchten Daten übergibt.474

471

Siehe Kapitel 5 F. II. 1. Siehe Kapitel 2 A. III. 2. 473 In Anbetracht dieser 2009 bereits beschlossenen Lösung ist es kaum nachvollziehbar, warum die Kommission mittlerweile eine Beteiligung nationaler Behörden mit dem Argument ablehnt, es sei dann unklar, welcher Mitgliedstaat für Anfragen aus Drittländern zuständig sein könnte, siehe Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 10. 474 Art. 4 Abs. 5, Abs. 7 des Interimsabkommens. 472

138

Kap. 5: Inhalt des Abkommens

Es müsste sich bei der filternden Stelle nicht um ein Gericht handeln.475 Dies wäre im Hinblick auf den Gewaltenteilungsgrundsatz auch nicht zulässig, weil die Filterung Verwaltungshandeln darstellt, das einem Gericht im Regelfall nicht zusteht.476 Insofern sollte eine Behörde der Exekutive ausgewählt werden. Nicht die Filterung, sondern erst die Entscheidung darüber sowie über die Weiterleitung der Daten in die USA unterliegt einem Richtervorbehalt.477 Die richterliche Zustimmung könnte die Behörde bei einem Gericht einholen. Das Ergebnis der behördlichen Filterung, das nur noch Datensätze mit direktem Bezug zum Verdächtigen enthält, würde von der Behörde an das US-Finanzministerium übergeben werden. Wenn die europäische oder nationale Behörde schon in den Prozess involviert wäre, könnte sie auch vollständig die Mittlerrolle zwischen S.W.I.F.T. und den US-Terrorfahndern übernehmen, sodass keine direkte Kommunikation der USA mit dem belgischen Unternehmen erforderlich wäre. bb) Milderes Mittel Die Filterung der Paketdaten auf europäischem Boden wäre von vergleichsweise geringer Eingriffsintensität. Dieser Weg würde es ermöglichen, nur diejenigen Daten in die USA zu transferieren, die tatsächlich angefordert wurden und benötigt werden. Die Verarbeitung innerhalb des Gebiets der EU würde eine geringere Belastung für die Personen, um deren Daten es sich handelt, darstellen, weil die Kontrollmechanismen der europäischen Rechtsordnungen uneingeschränkt greifen würden. Selbst wenn eine datenverarbeitende Stelle in einem Drittstaat umfangreiche Zusicherungen bezüglich der Einhaltung hoher Datenschutzstandards gibt,478 fehlt es an den Durchsetzungsmöglichkeiten der durch europäische oder mitgliedstaatliche Grundrechte gebundenen Stellen. Sind Daten erst einmal in Drittländer gelangt, besteht die Gefahr, dass der europäische Grundrechtsschutz durch den eintretenden Kontrollverlust unterlaufen wird.479 Am stärksten ausgeprägt ist die Kontrollierbarkeit einer Datenverarbeitung durch grundrechtsgebundene staatliche Stellen dann, wenn diese die Verarbeitung selbst übernehmen. S.W.I.F.T. unterliegt zwar einer mittelbaren Grundrechtsbindung durch Sekundärrechtsakte bzw. mitgliedstaatliche Gesetze, ist aber kein unmittelbarer Grundrechtsadressat.480 Aufgrund der stärkeren Grundrechtsbindung nationaler oder 475

Zum Erfordernis des Richtervorbehalts siehe Kapitel 5 I. I. 4. Zulässig ist nur die Eigenverwaltung, ansonsten liegt die Aufgabe der Gerichte in der Kontrollfunktion, siehe BVerfGE 2, 79 (86); 4, 358 (363); s. a. Herzog/Grzeszick, in: Maunz/ Dürig, GG, Art. 20 Rn. 36, 49. 477 Siehe Kapitel 5 I. I. 4. 478 Hier etwa durch die Art. 5 ff. in beiden Versionen des Abkommens sowie bereits zuvor in den einseitigen Zusicherungen der USA, abgedruckt in ABl. C 166 v. 20.07. 2007, S. 9 (18-26). 479 Vgl. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 25 Rn. 1; Spindler, in: ders./ Schuster, Recht der elektronischen Medien, § 4b BDSG Rn. 1. 480 Siehe Kapitel 5 C. IV. 1. 476

F. Bezugspunkt der verarbeiteten Daten

139

supranationaler Behörden ist die Filterung der Paketdaten durch diese Institutionen der zuvor vorgeschlagenen Filterung durch S.W.I.F.T. noch vorzuziehen.481 Auch hinsichtlich der grundrechtlichen Belange des Unternehmens S.W.I.F.T. wäre die behördliche Filterung weniger eingriffsintensiv. Das Unternehmen müsste keine weitere Rechnerleistung für die Filterung der entschlüsselten Datenpakete bereitstellen. Es müsste auch nicht die ständige Anwesenheit von Organen von Hoheitsträgern in seinem Haus dulden, die für die Aufsichtstätigkeit erforderlich wäre, wenn S.W.I.F.T. selbständig die Datenpakete filtern würde.482 Ein Eingriff in die Berufsausübungsfreiheit des Unternehmens würde zwar auch dann darin bestehen, dass S.W.I.F.T. weiterhin verpflichtet wäre, den gesamten Datenbestand anhand der Bankleitzahlen zu durchsuchen und die Ergebnisse dekodiert der zuständigen Behörde zu übergeben. Diese Beeinträchtigung ist jedoch sowohl in der aktuellen Praxis als auch noch verstärkt im Modell der vollständigen Filterung durch S.W.I.F.T. enthalten. Sowohl für die ursprünglichen Zahlungsanweisenden und -empfänger als auch für S.W.I.F.T. stellt demnach eine behördliche Filterung auf europäischem Boden das mildeste ersichtliche Mittel dar, um den Ersuchen des US-Finanzministeriums nachzukommen. cc) Geplantes europäisches System zum Aufspüren der Terrorismusfinanzierung Im Juli 2011 unternahm die Kommission die Initiative, ein europäisches System zur Filterung der Paketdaten zu etablieren, damit die Paketdatenübermittlung in die USA künftig nicht mehr erforderlich sein wird.483 Dazu entwarf sie ein noch recht vages Papier, in dem verschiedene Optionen der Umsetzung diskutiert und zahlreiche noch offene Fragen aufgeworfen werden.484 Die Kommission kam damit einem Auftrag des Rates nach, bis August des Jahres auszuloten, wie ein solches Programm aussehen könnte.485 Der Auftrag war an den Beschluss zum Abschluss des Folgeabkommens gekoppelt.486 Dieses Vorgehen diente dazu, die im Europäischen Parlament verbreitete Kritik gegen den Bulk Data Transfer zu zerstreuen, damit das Parlament nicht ein zweites Mal seine Zustimmung verweigern würde.487 Für viele 481

Vgl. Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 10; siehe auch für den TK-Bereich BVerfGE 125, 260 (325). 482 Siehe Kapitel 5 F. II. 3. b). 483 Kommission stellt Optionen für ein europäisches System zum Aufspüren der Terrorismusfinanzierung vor, Pressemitteilung der Kommission v. 13.07. 2011, IP/11/877. 484 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429. 485 Ratsbeschluss 2010/0177 v. 13.07. 2010, S. 4. 486 Ratsbeschluss 2010/0177 v. 13.07. 2010, S. 7. 487 Zur massiven Kritik siehe die Parlamentsentschließung P7_TA(2010)0143 sowie die Ausschussempfehlungen A7 – 0013/2010 und A7 – 0224/2010.

140

Kap. 5: Inhalt des Abkommens

Abgeordnete stellte die Aussicht auf eine künftige Filterung auf dem Unionsgebiet ein entscheidendes Argument dar, dem Folgeabkommen seine Zustimmung zu erteilen.488 (1) Diskutierte Varianten eines europäischen Systems Ob das System tatsächlich eingerichtet wird, ist bislang ebenso unklar wie die zeitlichen Perspektiven des Vorhabens.489 In jedem Fall werden vor Erlass weiterer Schritte die Ergebnisse einer im Herbst 2010 in Auftrag gegebenen Evaluationsstudie des Abkommens abgewartet.490 Hinsichtlich der konkreten Ausgestaltung haben sich in dem Kommissionspapier neben der Variante, alles zu belassen, wie es ist,491 drei Szenarien herausgebildet.492 Sie unterscheiden sich im Wesentlichen in der Einbindung der Mitgliedstaaten. Nach Option 1 würde die EU ein eigenes TFTP nach amerikanischem Vorbild aufbauen, das S.W.I.F.T.-Daten filtert, Suchabfragen autonom und auf Ersuchen hin vornimmt sowie die Ergebnisse mittels weiterer geheimdienstlicher Informationen auswertet. In Option 2 ist würde lediglich die technische Abwicklung auf Unionsebene erfolgen, indem eine supranationale Behörde Suchabfragen vornimmt, die auf der Grundlage externer Ersuchen beruhen. Diese Anfragen könnten zum einen von Mitgliedstaaten, zum anderen von Drittstaaten wie den USA stammen. Bei Option 3 würde auch die Durchführung der Suchabfragen den Mitgliedstaaten obliegen. Sie würden dafür auf eine von der EU bereitgestellte Plattform zurückgreifen. Drittstaaten wie die USA wären in das System eingebunden, indem sie Anfragen an Unionsorgane stellen würden, die gleichberechtigt mit Mitgliedstaaten auf die Plattform zugreifen könnten. (2) Grundlegende Bewertung Die Vorschläge zeigen, dass die Bestrebungen weit darüber hinaus gehen, nur das Problem des Bulk Data Transfer abzustellen. Vielmehr soll ein künftiges System die EU in die Lage versetzen, eigene Abfragen und Auswertungen der S.W.I.F.T.-Daten durchzuführen. Die damit verbundene Intensivierung der Ermittlungstätigkeiten im Bereich der Terrorismusabwehr bringt zunächst auch eine Zunahme der Grundrechtseingriffe bei den Personen mit sich, auf die sich die Zahlungsverkehrsdaten beziehen. Die strenge Grundrechtsbindung europäischer Behörden bietet jedoch 488 Bedingungen für ein Swift-Abkommen, FAZ v. 22.06. 2010, S. 5; Brüssel plant SwiftDeal durch die Hintertür, Handelsblatt v. 23.06. 2010, S. 1; Daten von EU-Bankkunden besser geschützt, Die Welt v. 25.03. 2010, S. 9. 489 Unter Betonung der Offenheit des weiteren Vorgehens ist die Kommission der Auffassung, dass „angesichts dieser wichtigen Aufgaben […] für die Diskussion mit dem Rat und dem Europäischen Parlament genügend Zeit eingeräumt werden sollte“, Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 14. 490 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 2. 491 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 9 f. 492 Ausführliche Darstellung in der Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 11 ff.

F. Bezugspunkt der verarbeiteten Daten

141

Grund zur Annahme, dass die Auswertung unter Einhaltung etablierter datenschutzrechtlicher Grundsätze erfolgen würde. Soweit das System dazu beitragen kann, weniger S.W.I.F.T.-Daten in die USA zu transferieren, ist es in grundrechtlicher Hinsicht ein Gewinn. Der Bulk Data Transfer wäre in jedem Fall entbehrlich, weil die zuständige europäische oder nationale Stelle technisch in der Lage und rechtlich befugt wäre, die Datenpakete anhand enger US-Anfragen zu filtern. Unter Umständen könnte darüber hinaus auf den Transfer angefragter Daten verzichtet werden, wenn auf europäischer Seite bereits die Auswertung erfolgt, die das USTFTP bislang allein durchführt. Stattdessen könnten den USA je nach Einzelfall die Ergebnisse der Ermittlungen anstelle der Rohdaten übermittelt werden.493 (3) Bewertung der verschiedenen Varianten Bedenken ergeben sich hinsichtlich der als Option 3 diskutierten Variante, in der die EU eine Infrastruktur bereitstellt, auf die einzelne Mitgliedstaaten und Unionsorgane zugreifen können. Auch wenn die verwaltende Stelle die Entscheidungsgewalt behält, wer welche Daten zu Gesicht bekommt, würde im Europa der 27 Mitgliedstaaten eine unübersichtliche und schwierig zu kontrollierende Struktur entstehen. In jedem einzelnen Mitgliedstaat wäre mindestens eine jeweils individuelle Stelle mit der Datenabfrage befasst, sodass die Überwachung nur durch ein Netz aus zahlreichen nationalen Aufsichtsbehörden sowie dem Europäischen Datenschutzbeauftragten erfolgen könnte. Zudem wäre es je nach konkreter technischer Ausgestaltung erforderlich, diverse Kopien der S.W.I.F.T.-Daten anzufertigen, die jeweils den Mitgliedstaaten zur Auswertung überlassen werden. Diese Kopien würden bei einer Auswertung durch die Mitgliedstaaten zudem häufigeren Abfragen unterworfen werden, als es durch eine zentrale Auswertungsstelle der Fall wäre. Bei einer dezentralen Lösung ist es kaum vermeidbar, dass verschiedene Stellen aus verschiedenen Ländern den gleichen Hinweisen nachgehen. Dies würde unweigerlich zu redundanten Datenverarbeitungen führen. Aus diesen Gründen ist in der sogenannten Option 3 eine besonders eingriffsintensive Form der Datenauswertung zu sehen. Beschränkt man sich hingegen – wie in den Optionen 1 und 2 – auf eine einzige, EU-geführte Stelle zur Durchsicht der S.W.I.F.T.-Daten, so ist darin ein milderes, aber nicht weniger geeignetes Mittel zu sehen. Die Einbeziehung der Mitgliedstaaten ist durchaus sinnvoll, damit die national vorliegenden geheimdienstlichen Informationen selbständig überprüft und ergänzt werden können. So kann sich jeder Staat ein eigenes Bild über seine konkrete Sicherheitslage machen. Es genügt hierfür hingegen völlig, dass die Mitgliedstaaten dem von der EU geführten Auswertungszentrum Rechercheaufträge erteilen. Insofern ist es sinnvoll und verhältnis493

Dieses Vorgehen wäre vergleichbar mit der aktuellen Situation, in der das TFTP sowohl der EU als auch Drittstaaten Schlussfolgerungen seiner Arbeit in Form von Terrorwarnungen oder Erkenntnisberichten zukommen lässt, um Anschläge im Ausland zu verhüten; siehe Art. 7 des Folgeabkommens. Vgl. dazu auch die problematische Regelung in Art. 5 Abs. 2 lit. h des Interimsabkommens, die eine Weiterleitung der Rohdaten an Drittländer ermöglicht hätte.

142

Kap. 5: Inhalt des Abkommens

mäßig, Option 2 umzusetzen. Ob letztendlich die EU oder die Mitgliedstaaten den Anstoß für eine Datenabfrage geben, ist von geringer rechtlicher Relevanz, sodass auch Option 1 befürwortet werden kann. (4) Problematische Erweiterungen gegenüber dem US-TFTP Aus datenschutzrechtlicher Sicht sind offene Überlegungen der Kommission mit Sorge zu betrachten, das mögliche europäische System mit Befugnissen auszustatten, die nicht einmal dem TFTP der USA eingeräumt wurden. Sie betreffen dem Umfang der zur Verfügung stehenden Daten und die zulässigen Zwecke einer Fahndung mithilfe des Datenpools. Die Ausweitung des Anwendungsbereichs über die Verfolgung des Terrorismus hinaus wurde von der Kommission zwar erwogen, aber im Ergebnis nicht gegenüber Rat und Parlament befürwortet.494 Die Überlegungen beinhalteten die Nutzung der S.W.I.F.T.-Daten unter der Prämisse der Bekämpfung anderer Kriminalitätsformen wie der Geldwäsche und der organisierten Kriminalität. Ebenfalls nur erwogen wurde die Einbeziehung von Zahlungsverkehrsdaten des Einheitlichen Euro-Zahlungsverkehrs SEPA. Es handelt sich dabei um Datenspuren eines Großteils der innereuropäischen Zahlungsvorgänge, deren Übermittlung an die USA vom Abkommen nicht umfasst ist.495 Eine Erweiterung, die die Kommission hingegen konkret vorschlägt ist die Miteinbeziehung weiterer Zahlungsverkehrsprovider neben S.W.I.F.T. Dabei könnte es sich beispielsweise um Netzwerke der Kreditkartengesellschaften handeln. Auch bankinterne Kommunikationsnetze überregionaler Institute oder Institutszusammenschlüsse könnten umfasst sein mit der Folge, dass das europäische Auswertungssystem auch über rein innerstaatliche Zahlungsvorgänge informiert wäre. Als ein Grund wird die Herstellung von Gleichheit zwischen der Gesellschaft S.W.I.F.T. und ihren Konkurrenten angeführt.496 Dabei übersieht die Kommission, dass auf dem Markt der Zahlungsverkehrsdienstleister keine Alternative zur Dienstleistung von S.W.I.F.T. besteht. Kein anderes Unternehmen besitzt eine Infrastruktur, mittels derer weltweit Überweisungsdaten und ähnliche Nachrichten zwischen den Banken versendet werden. Die gerade aufgezeigten alternativen Systeme bedienen andere Märkte, etwa Kaufabwicklungen per Kreditkarte oder nationale Geldüberweisungen.497 Ein etwaiger Konkurrenzdruck auf S.W.I.F.T. stellt deshalb keinen adäquaten Rechtfertigungsgrund dar, um noch mehr Zahlungsverkehrsdaten zu erheben und damit weitere Grundrechtseingriffe zu begehen.

494

Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 8. Siehe Kapitel 5 B. 2. 496 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 8 f. 497 Zu den Aufgaben dieser Unternehmen vgl. Gößmann/Weber, Recht des Zahlungsverkehrs, S. 307 ff. 495

F. Bezugspunkt der verarbeiteten Daten

143

Insofern ließen sich die grundrechtlich relevanten Datenerhebungen bei weiteren Providern nur dadurch legitimieren, dass sie zu einem Informationsgewinn für die Terrorfahndung führen. Hinsichtlich der Auswertung von Kreditkartendaten kann auch dies bezweifelt werden. Das TFTP der USA verzichtet auf die systematische Auswertung von Kreditkarteninformationen, weil dies als zu ineffizient angesehen wird.498 In Anbetracht des stets begrenzten Kreditkartenrahmens wäre diese Art der Finanzierung von Anschlagsplanungen wenig zweckmäßig. Es spricht deshalb einiges dafür, dass entsprechend der Einschätzung des TFTP die Überwachung des mit Kreditkartenzahlungen verbundenen Zahlungsverkehrs zu einem kaum greifbaren Informationsgewinn eines europäischen Auswertungssystems führen würde, der die millionenfachen Grundrechtseingriffe nicht zu rechtfertigen vermag. Die Überwachung regionaler Zahlungsverkehrsnetze wie derjenigen von Großbanken verspricht hingegen sehr wohl, sachdienliche Informationen zu liefern. Schließlich hat auch der internationale Terrorismus mehr als einen Helfer in einem Staat, sodass mit Geldströmen zu rechnen ist, die der Anschlagsplanung dienen, aber keine Grenze überschreiten. Insofern ergibt es zunächst Sinn, derartige alternative Netze in die Fahndung eines europäischen Auswertungssystems einzubeziehen. An dieser Stelle zeigt sich die Kommission jedoch inkonsequent: Die Einbeziehung von SEPA-Daten, also innereuropäischer Zahlungen, die durch S.W.I.F.T. übermittelt werden, soll es ihrer Auffassung nach nicht in einem europäischen System geben, weil dies einen unverhältnismäßigen Grundrechtseingriff bedeutet.499 Wenn innereuropäische Zahlungen nicht überwacht werden dürfen, weil die Effizienzgewinne der Terrorismusabwehr nicht die Eingriffe in die Grundrechte europäischer Bankkunden aufwiegen, dann muss dies erst recht dann gelten, wenn lediglich nationale oder regionale Zahlungen durchleuchtet werden. Der Gedanke der Kommission, S.W.I.F.T. im Vergleich zu anderen Unternehmen nicht übermäßig zu belasten ist zunächst zu begrüßen. Eine Umsetzungsstrategie, die darin besteht, die Konkurrenz ebenfalls mit Grundrechtseingriffen zu belasten, damit dem Gleichbehandlungsgrundsatz genüge getan wurde, ist bereits problematisch, weil dadurch ein Eingriff in ein Gleichheitsgrundrecht durch diverse Eingriffe in die Freiheitsrechte andere aufgelöst wird.500 Die konkreten Eingriffe bei anderen Providern, die denkbar sind, sind schließlich entweder nicht geeignet oder unangemessen. Von einer Erweiterung des Kreises an überwachten Zahlungsverkehrsprovidern sollte deshalb abgesehen werden.

498

Shea, Journal of High Tech Law 2008, 143 (151 f.). Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 9. 500 Dürig/Scholz, in: Maunz/Dürig, GG, Art. 3 Rn. 164/172; siehe auch Jarass, in: ders./ Pieroth, GG, Art. 3 Rn. 36. 499

144

Kap. 5: Inhalt des Abkommens

c) Zwischenergebnis Die bei der Umsetzung des Abkommens gegenwärtig praktizierte Übermittlung umfassender Datenpakete ist nicht erforderlich. Als milderes, gleich geeignetes Mittel sind technisch mögliche Filterungen auf europäischem Hoheitsgebiet möglich, sodass das US-Finanzministerium nur die tatsächlich benötigten Datensätze erhalten müsste. Eine solche Filterung könnte sowohl durch S.W.I.F.T. als auch – vorzugsweise – durch eine europäische Behörde erfolgen. Der aktuell diskutierte Aufbau eines europäischen Systems zum Aufspüren der Terrorismusfinanzierung könnte das Problem des nicht erforderlichen und damit grundrechtswidrigen Bulk Data Transfer lösen. Weil die Kommission bestrebt ist, mittels des Systems nicht nur Filterungen für eine möglichst enge Beantwortung der US-Anfragen, sondern auch eigene Suchabfragen durchzuführen, ist bei der Konzeption des Programms darauf zu achten, dass die Befugnisse, die der entsprechenden Behörde dazu übertragen werden, nicht ausufern. Dies gilt in besonderem Maße für Fahndungsmaßnahmen, die nicht einmal dem TFTP der USA zustehen. 4. Angemessenheit Abgesehen von der Tatsache, dass adäquate Alternativen zum Bulk Data Transfer denkbar sind, ist diese Art der Beantwortung US-amerikanischer Ersuchen unangemessen weit angelegt. Eingriffe in europäische Grundrechte können nur dann als angemessen gerechtfertigt werden, wenn die verursachten Nachteile in einem adäquaten Verhältnis zu dem angestrebten Ziel stehen.501 Die durch die Paketdatenübermittlung bezweckte Förderung der Terrorismusbekämpfung stellt zweifellos ein bedeutendes Ziel dar. Gewaltsame Anschläge können nicht nur Leib und Leben zahlreicher Bürger treffen, sondern sind im Extremfall auch in der Lage, die Integrität ganzer Staaten und Staatenverbunde zu gefährden.502 Die realistische Gefahr derartiger Szenarien verpflichtet Unionsorgane und mitgliedstaatliche Stellen zu entschlossenen Maßnahmen, um europäische Grundrechtsträger zu schützen.503 Gleichzeitig ist die Terrorismusabwehr als Eingriffsziel derart bedeutend, dass die europäischen Grundrechtsträger nicht unerhebliche Abstriche in ihren Freiheitsrechten in Kauf nehmen müssen, damit ihr Schutzstandard hinsichtlich ihres Leibes und Lebens aufrecht erhalten werden kann.504

501 EuGH, Rs. 329/01, Slg. 1998, I-16629, Rn. 63; Jarass, EU-Grundrechte, § 6 Rn. 49; § 7 Rn. 53. 502 Siehe Kapitel 5 E. IV. 503 Zur Schutzwirkung der Unionsgrundrechte siehe Jarass, EU-Grundrechte, § 4 Rn. 19. 504 Vgl. EMRK, Entscheidung v. 18.03. 1981, App. 8022/77, DR 25, § 230.

F. Bezugspunkt der verarbeiteten Daten

145

a) Quantitative Betrachtung Der derzeit praktizierte Bulk Data Transfer greift allerdings so massiv in das Recht auf informationelle Selbstbestimmung europäischer Kontoinhaber ein, dass der Effizienzgewinn des TFTP keine hinreichende Rechtfertigung darstellt. Dies ergibt sich bereits aus quantitativen Gesichtspunkten. Nach Angaben der Berichterstatterin des Europäischen Parlaments Jeanine Hennis-Plasschaert ist mit rund 90 Millionen Datensätzen zu rechnen, die im Durchschnitt monatlich an das USFinanzministerium übermittelt werden.505 Dabei handelt es sich um eine auf der Situation vor Inkrafttreten des Abkommens basierenden Schätzung, die herangezogen werden muss, weil entsprechende Passagen des offiziellen Evaluationsberichts als geheim eingestuft wurden und deshalb nicht zugänglich sind.506 90 Millionen Datensätze pro Monat sind rund 20 – 25 % aller S.W.I.F.T.-Nachrichten.507 Dieser Wert entspricht zwar nicht den Angaben des Ausschusses des Europäischen Parlaments für Justiz und Inneres, wonach „alle oder praktisch alle“ S.W.I.F.T.-Daten übermittelt werden.508 Bedenkt man aber, dass nicht alle S.W.I.F.T.-Daten Überweisungsdaten sind, das TFTP sich aber in besonderem Maße für diese Datenkategorie interessieren dürfte, muss damit gerechnet werden, dass die überwiegende Anzahl aller weltweit stattfindenden grenzüberschreitenden Geldzahlungen dem US-Finanzministerium zur Durchsicht vorgelegt werden. In jedem Fall ist das Datenvolumen, das der Terrorismusabwehr zur Verfügung gestellt wird, unvorstellbar groß. b) Vorratsdatenspeicherung Die immense Zahl an Grundrechtseingriffen, die durch Bulk Data Transfers begangen werden, trifft nahezu ausschließlich unverdächtige Bürger und Unternehmen, die keinerlei Verbindung zum internationalen Terrorismus aufweisen. Aufgrund einer lediglich abstrakten Gefahr werden fast alle grenzüberschreitenden Finanztransaktionen zur Auswertung in ein Drittland geleitet, in dem die Kontrolle durch nach europäischen Grundrechten gebundene Akteure gering ist. Ohnehin ist der Eingriffsgehalt einer der Gefahrenabwehr dienenden Datenverarbeitung besonders intensiv, wenn kein konkreter Verdacht gegen die observierte 505

MdEP Hennis-Plasschaert, wiedergegeben in: Pressemitteilung des Europäischen Parlaments v. 04.04. 2010, abrufbar unter http://www.europarl.europa.eu/news/public/story_ page/019 – 72113 – 096 – 04 – 15 – 902 – 20100406STO72100 – 2010 – 06 – 04 – 2010/default_en. htm; sowie in: Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (7). 506 SWIFT-Abkommen: Kontrollbericht belegt dringenden Handlungsbedarf, Pressemitteilung des BfDI v. 08.03. 2011, abrufbar unter http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2011/10_SWIFTAbkomen_Handlungsbedarf.html. 507 Zum Datenvolumen im S.W.I.F.T.-Netz Kapitel 2 A. III.; der Prozentsatz korrespondiert mit den Recherchen der TAZ, nachzulesen in: Datenspende an die USA, TAZ v. 02.02. 2010, S. 12. 508 Empfehlung v. 05.02. 2010, Plenarsitzungsdokument A7 – 0013/2010, S. 8.

146

Kap. 5: Inhalt des Abkommens

Person vorliegt.509 Werden die Daten einer großen Personenzahl erhoben, werden sämtliche Dateninhaber unter Generalverdacht gestellt.510 Erfolgt die Datenerhebung wie beim Bulk Data Transfer nicht nur zum Zweck des Abgleichs anhand aktuell vorliegender geheimdienstlicher Informationen, sondern auch anhand erst künftig zu erwartender Erkenntnisse, so kann diese Situation als Vorratsdatenspeicherung bezeichnet werden.511 Die Situation im Bereich der Zahlungsverkehrsdaten gleicht nämlich derjenigen im Telekommunikationsbereich, in dessen Zusammenhang sich diese Bezeichnung herausgebildet hat.512 Auch die S.W.I.F.T.-Daten werden ohne direkten Terrorismusbezug derjenigen Bankkunden, auf die sie sich beziehen, en bloc gespeichert. Der daraufhin erfolgende Abruf der in den USA gespeicherten Daten ist ein von der Übermittlung getrennter Vorgang.513 Typischerweise wird der geheimdienstliche Hinweis, der den Grund für die Datenanforderung darstellte, auch den Grund für eine Datenauswertung darstellen. Das TFTP ist aber nicht gehindert, den Datenpool auch noch in Bezug auf weitere, erst später erhaltene Hinweise zu durchforsten. Eine Speicherung auf Vorrat für den Fall, dass die Informationen im Zuge späterer Ermittlungen Relevanz bekommen könnten, ist in der Regel nicht verhältnismäßig.514 Zulässigkeit ist nur dann gegeben, wenn die überwachte Personengruppe einen gewissen Bezug zur abstrakten Gefahr aufweist. So ist es an gefährlichen Orten wie bekannten Drogenumschlagplätzen, an denen mit der Begehung von Strafteten gerechnet werden kann, zulässig, eine Videoüberwachung oder gar eine präventive Identitätsfeststellung durchzuführen.515 In diesen Fällen ist es zumindest der Aufenthalt an dem verrufenen Ort, durch den sich der Betroffene ansatzweise verdächtig gemacht hat. Das Beispiel der unschuldigen Personen an gefährlichen Orten ist vergleichbar mit unschuldigen Personen, die finanzielle Kontakte mit Personen unterhalten, die in der Vergangenheit als Unterstützer des Terrorismus aufgefallen sind. Deren Daten an das US-Finanzministerium zu übermitteln, ist verhältnismäßig.516 Im Zuge des Bulk Data Transfer werden jedoch Datensätze verarbeitet, die von Personen stammen, deren einziger Bezug zum Terrorismus darin besteht, dass sie in derselben Region leben, in der sich ein mutmaßlicher Terrorist oder Terrorhelfer zur selben Zeit aufgehalten haben könnte. Auf das gerade aufgeworfene Beispiel zu509

BVerfG NVwZ 2007, 688 (691); Schnabel, NVwZ 2010, 1457 (1460). Generalanwältin Kokott, wiedergegeben in EuZW 2007, 588. 511 Roßnagel, wiedergegeben in: Swift-Vertrag droht Hängepartie, FTD v. 29.03. 2010, S. 1. 512 Siehe Kapitel 5 F. II. 3. a) cc). 513 Sowohl für das Ersuchen der USA als auch für den Abruf ist jeweils ein Grund anzugeben, der zu belegen ist (Art. 4 Abs. 2 lit. b, 5 Abs. 5 des Folgeabkommens, Art. 4 Abs. 2 UAbs. 2, 5 Abs. 2 S. 2 lit. c des Interimsabkommens). Diese Doppelung zeigt, dass der Grund sich nicht entsprechen muss. 514 Schaar, MMR 2004, 57; Westphal, EuZW 2006, 555 (559). 515 OVG Hamburg, MMR 2011, 128 (130); Becker/Ambrock, JA 2011, 561 (564); Schnabel, NVwZ 2010, 1457 (1460). 516 Siehe Kapitel 5 F. I. 3. a). 510

F. Bezugspunkt der verarbeiteten Daten

147

rückkommend wäre die Bulk Data-Problematik vergleichbar mit der Videoüberwachung sämtlicher Straßen und Plätze einer Stadt aus dem Grund, dass irgendwo in der Stadt vereinzelte Straftaten begangen werden. Derartige Komplettüberwachungen ohne hinreichend engen Zusammenhang zu einer zumindest abstrakten Gefahr hebeln den Grundgedanken des EU-Datenschutzrechts aus, nach dem jede staatliche auf einem konkreten Zweck zurückzuführen sein muss.517 Erschwerend kommt hinzu, dass im Gegensatz zum Beispiel der Videoüberwachung die Namen der Kontoinhaber im jeweiligen Datensatz enthalten sind. Die Schaffung der Möglichkeit einer Profilbildung unzähliger nicht verdächtigter Personen widerspricht ebenfalls europäischen Datenschutzstandards, weil die Zusammenführung von Daten aus verschiedensten Lebensbereichen den Betroffenen zum „gläsernen Bürger“ macht.518 Aus den genannten Gründen stellt die Übermittlung umfassender Datenpakete an das US-Finanzministerium eine unangemessen weite Maßnahme dar.519 Die damit verbundenen Grundrechtseingriffe verletzen die Grundprinzipien des Rechts auf informationelle Selbstbestimmung derart intensiv, dass auch eine Strenge ex-postKontrolle die Verletzungen nicht heilen kann.520 5. Zwischenergebnis Die Durchführung von Bulk Data Transfers an das US-Finanzministerium ist unverhältnismäßig und verstößt deshalb in ungerechtfertigter Weise gegen das Grundrecht auf informationelle Selbstbestimmung der europäischen Bankkunden. Der Grundrechtsverstoß ist hier also nicht im Abkommen selbst angelegt, sondern erfolgt durch die über den Text der Übereinkunft hinausgehenden Umsetzungsmaßnahmen durch Europol und das US-Finanzministerium, das gemäß Art. 8 des Folgeabkommens bereichsspezifisch an Art. 8 GRCh gebunden ist. Die Maßnahme ist bereits nicht erforderlich, weil die Möglichkeit der Filterung auf europäischem Boden vor der Übermittlung in die USA möglich und vorzuziehen ist. Auch abgesehen von der Existenz milderer, gleich geeigneter Alternativen ist die Übermittlung großer Datenmengen von fast ausschließlich unschuldigen Personen ohne Bezug zum Terrorismus nicht angemessen. Diese Praxis gilt es künftig einzustellen. In dieser Hinsicht ist das geplante europäische System zum Aufspüren der Terrorismusfinanzierung zu begrüßen.

517

Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (7). Westphal, EuZW 2006, 555 (559). 519 Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (7); Roßnagel, wiedergegeben in: Swift-Vertrag droht neue Hängepartie, FTD v. 29.03. 2010, auch abrufbar unter http:// www.ftd.de/politik/europa/:bankdaten-swift-vertrag-droht-haengepartie/50094392.html. 520 Dretzka/Mildner, AICGS Issue Brief 35 (2010), 1 (7). 518

148

Kap. 5: Inhalt des Abkommens

III. Umgang mit sensiblen Daten Bei der Übermittlung von Zahlungsverkehrsdaten werden sensible Daten521 ebenso wie gewöhnliche Daten behandelt und ungefiltert freigegeben. Art. 8 der EGDatenschutzrichtlinie, die Art. 8 GRCh konkretisiert, sieht besonders enge Voraussetzungen für die Verarbeitung von Informationen, aus denen sich direkte Rückschlüsse über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeiten, Gesundheit oder Sexualleben ziehen lassen.522 Dieser gesteigerte Schutz besonderer Datenkategorien ist im US-Datenschutzrecht nur in Ausnahmekonstellationen vorgesehen, die nicht auf Kontodaten bezogen sind.523 Damit in die USA transferierte europäische sensible Daten in den Genuss einer besonders schonenden Behandlung kommen, sind deshalb entsprechende Bestimmungen im zugrundeliegenden transatlantischen Abkommen erforderlich, weil ansonsten bereits im Text des Abkommens ein weiterer Verstoß gegen Art. 8 GRCh angelegt ist. 1. Vorkommen sensibler Daten in den S.W.I.F.T.-Nachrichten Das Vorkommen derartiger Informationen innerhalb der S.W.I.F.T.-Daten wird in Art. 5 Abs. 7 S. 3 als „ausnahmsweise“ Gelegenheit bezeichnet. Aus Sicht der USAdministration wird der Umstand, dass sensible Daten verarbeitet werden als „äußerst unwahrscheinlich“ eingestuft.524 Dieser Beurteilung kann nicht gefolgt werden. In Wahrheit sind die Zahlungsvorgänge einer natürlichen Person eine Informationsquelle, die wie kaum eine andere sensible Daten verschiedenster Art offenbaren kann. Jegliche Institutionen, in denen ein Mensch Mitglied ist oder die er unterstützt, können auf dem Überweisungsweg Zahlungen erhalten – seien es Gewerkschaften, Vereine, Parteien oder religiöse Gruppierungen, die nicht über das Finanzamt Kirchensteuer eintreiben lassen. Auch Dienstleistungen und Anschaffungen, die per Rechnung oder Bankeinzug bezahlt werden, sind in den S.W.I.F.T.-Daten dokumentiert. Erwirbt eine Person ein Produkt, das einen Bezug zu ihrem Gesundheitszustand oder Sexualleben aufweist, so geschieht der Kauf- und Bezahlvorgang oftmals gerade wegen ihres Geheimhaltungsinteresses nicht an der Ladentheke, sondern auf dem Versandweg. Diese Beispiele zeigen, dass es nicht nur möglich, sondern auch sehr wahrscheinlich ist, dass die übermittelten S.W.I.F.T.-Daten auch sensibler Natur sind. 521 Auch als „sensitive Daten“ oder „besondere Kategorien personenbezogener Daten“ bezeichnet. 522 Ausf. Schild, EuZW 1996, 549 (552). 523 Lediglich für die Kontoeröffnung bestehen Vorschriften, die die Diskriminierung von Kunden aufgrund sensibler Merkmale verbieten; darüber hinausgehende entsprechende Regelungen bestehen nicht; siehe Schwartz/Reidenberg, Data Privacy Law, S. 111/281 f. 524 Zusicherung des US-Finanzministerium, ABl. C 166 v. 20.07. 2007, S. 18 (19); vgl. Shea, Journal of High Tech Law 2008, 143 (154).

F. Bezugspunkt der verarbeiteten Daten

149

2. Ausnahmsweise Zulässigkeit der Verarbeitung Mit dem Verhältnismäßigkeitsprinzip zusammen gelesen gebietet Art. 8 GRCh die Beachtung der besonderen Schutzwürdigkeit sogenannter „sensibler Daten“.525 Art. 8 der EG-Datenschutzrichtlinie konkretisiert dies durch die Aufstellung eines grundsätzlichen Verbots der Verarbeitung sensibler Daten. Dies stellt allerdings noch keine Besonderheit dieser Datenkategorie dar, weil das Datenschutzrecht jegliche Datenverarbeitungen im Grundsatz verbietet und nur im Wege breit angelegter Ausnahmetatbestände gestattet.526 Insofern besteht die Besonderheit des Art. 8 lediglich darin, dass die Ausnahmetatbestände enger gefasst sind.527 Hierzu zählen zunächst die Einwilligung oder die Öffentlichmachung durch den Dateninhaber,528 die offensichtlich nicht gegeben ist, wenn ein Kontoinhaber seiner dem Bankgeheimnis verpflichteten Hausbank einen Überweisungsträger zukommen lässt. In Betracht kommt hingegen der Ausnahmetatbestand, dass die Datenverarbeitung für den Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich ist.529 Schließlich dient die Terrorismusabwehr dem Schutz unzähliger Menschenleben. Der im Richtlinientext nachfolgende Zusatz „sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben“ zeigt jedoch, dass der Normgeber andere Szenarien im Sinn hatte. Treffender ist die generalklauselartig anmutende Tatbestandsalternative des Art. 8 Abs. 4 der Richtlinie. Die Regelung erlaubt den mitgliedstaatlichen Gesetzgebern, weitere Ausnahmen zu schaffen, wenn diese ein wichtiges öffentliches Interesse sehen. Die Terrorismusabwehr steht im gesteigerten Interesse der Öffentlichkeit. Freilich handelt es sich um eine fakultative Option, die durch die Mitgliedstaaten erst genutzt werden muss. Beispielsweise wurde in Deutschland die Abwehr erheblicher Gefahren als zulässiger Grund für die Verarbeitung sensibler Daten ins BDSG aufgenommen.530 Wird die Datenschutzrichtlinie aber nicht wie gedacht als Umsetzungsanweisung an die nationalen Gesetzgeber herangezogen, sondern wie hier als Auslegungsmaßstab für das Datenschutzgrundrecht aus Art. 8 GRCh,531 so muss Art. 8 Abs. 4 entsprechend angewandt werden. Dabei wird deutlich, dass der Richtliniengesetzgeber den Schutz sensibler Daten nicht als absolut angesehen hat, wenn wichtige öffentliche Interessen ihm entgegen stehen. Ein absolutes Verbot der Übermittlung sensibler Zahlungsverkehrsdaten an das US-Finanzministerium lässt sich deshalb nicht aus dem Recht auf informationelle Selbstbestimmung ableiten. 525

Vgl. Streinz, EuZW 2011, 384 (388). Art. 7 der RL 95/46/EG. 527 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 Rn. 5. 528 Art. 8 Abs. 2 lit. a, e der RL 95/46/EG. 529 Art. 8 Abs. 2 lit. c der RL 95/46/EG. 530 § 13 Abs. 2 Nr. 5 BDSG. 531 Dieses Vorgehen legen die offiziellen Erläuterungen des Grundrechtekonvents nahe, siehe Kapitel 5 C. II. 2. 526

150

Kap. 5: Inhalt des Abkommens

3. Berücksichtigung der besonderen Sensibilität bei der Auswertung Es bleibt jedoch aus allgemeinen Verhältnismäßigkeitserwägungen der Grundsatz, dass die Verarbeitung sensibler Daten besonders grundrechtsintensiv ist und Daten dieser Kategorie deshalb besonders schutzbedürftig sind.532 Sollte künftig ein System auf europäischem Boden die in die USA versendeten S.W.I.F.T.-Daten im Hinblick darauf filtern, welche Datensätze tatsächlich benötigt werden,533 so würde es der Verhältnismäßigkeitsgrundsatz gebieten, dass sensible Daten in diesem Zusammenhang daraufhin gesondert überprüft würden, ob ihre Übermittlung zwingend erforderlich ist. Solange es an einem solchen Filtersystem fehlt und Bulk Data Transfers stattfinden, sind europäische Stellen nicht in der Lage, den Inhalt der Datenpakete einzusehen, sodass eine bevorzugte Behandlung sensibler Daten durch die nicht möglich ist. Insofern bleibt nur die Berücksichtigung sensibler Daten im Zuge der Auswertung durch das TFTP. Das Abkommen führt dazu aus: „Sollten extrahierte Daten ausnahmsweise sensible Daten umfassen, werden diese Daten vom US-Finanzministerium im Einklang mit den in diesem Abkommen festgelegten Garantien und Sicherheitsmaßnahmen unter uneingeschränkter Achtung und gebührender Berücksichtigung ihrer besonderen Sensibilität geschützt.“534 Dass auch sensible Daten in den Genuss der „Garantien und Sicherheitsmaßnahmen“ des Abkommens gelangen, ist wenig überraschend, denn alles andere würde eine Schlechterstellung sensibler Daten bedeuten. Die zugesicherte „gebührende Berücksichtigung ihrer besonderen Sensibilität“ stellt zunächst die gebotene Reaktion auf das Verhältnismäßigkeitsprinzip dar. Die Formulierung ist allerdings so offen gewählt worden, dass es den aufsichtführenden Stellen kaum möglich ist, Verstöße des TFTP gegen diese Zusicherung zu ermitteln. Die Angleichung des Datenschutzniveaus an europäische Verhältnisse, die durch die Bestimmungen des Abkommens zu erfolgen hat, wenn kein Verstoß gegen Art. 25 der EG-Datenschutzrichtlinie erfolgen soll,535 erfordert konkretere Vorgaben an das TFTP. Ohne solche Regelungen steht es dem TFTP frei, anhand seiner eigenen Maßstäbe zu messen, welche Schutzmaßnahmen zur „gebührenden Berücksichtigung“ der Sensibilität es durchführt. Konkret formulierte Vorgaben an das TFTP sollten zunächst die Speicherung sensibler Daten betreffen. Wenn im Zuge der Auswertung sensible Daten entdeckt werden, müssen diese umgehend gelöscht werden, sofern erkennbar ist, dass sie nicht 532

Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 Rn. 1, 5; Siemen, Datenschutz als europäisches Grundrecht, S. 165 ff. 533 Siehe Kapitel 5 F. II. b) cc). 534 Art. 5 Abs. 7 S. 3 des Folgeabkommens; das Interimsabkommen enthielt keine Regelung zur Behandlung sensibler Daten. 535 Siehe Kapitel 5 E. V. 3.

G. Auswertung durch das TFTP

151

unverzichtbar für die Terrorfahndung sind. Eine Aufbewahrung bis zum nächsten routinemäßigen Überprüfungsdurchgang auf nicht benötigte Datensätze536 ist bei sensiblen Daten nicht hinnehmbar. Die sofortige Löschung kann auch Teile des Datensatzes betreffen. Geht die besondere Sensibilität einer S.W.I.F.T.-Nachricht beispielsweise nur aus dem in einer Überweisung angegebenen Verwendungszweck hervor, so ist es denkbar, diese Einzelangabe zu löschen. Die gegebenenfalls für weitere Ermittlungen noch benötigte Information, dass Zahlungsanweisender und -empfänger Kontakt hatten, stünde dann TFTP dann nach wie vor zur Verfügung. Von Bedeutung ist ferner der Umgang mit durch das TFTP gewonnenen sensiblen Daten, sofern sie nicht umgehend gelöscht wurden. Die Benutzung für Aufklärungszwecke ist im Hinblick auf die besondere Gefahr, die von Terroranschlägen ausgeht,537 verhältnismäßig. Eine Weitergabe der Daten an andere Stellen oder eine Nutzung zu anderen Zwecken gilt es hingegen auszuschließen. Würden beispielsweise die Grenzbehörden der USA die Einreise von Personen aufgrund sensibler S.W.I.F.T.-Daten erschweren, die etwa einen muslimischen Glauben offenbaren, so wäre darin eine Diskriminierung anhand sensibler Daten zu sehen. Die Vermeidung von Diskriminierung ist jedoch gerade der Zweck des grundrechtlich gebotenen besonderen Schutzes sensibler Daten.538

G. Auswertung durch das TFTP Das TFTP der USA darf mit den erhaltenen Zahlungsverkehrsdaten nicht einfach nach Belieben verfahren. Die Aufbewahrung und Auswertung der Datensätze ist durch Art. 5 des Abkommens539 strengen Regeln unterworfen. Dies ist auch zwingend erforderlich. Weil die USA als Drittland ohne angemessenes Schutzniveau im Sinne des Art. 25 der EG-Datenschutzrichtlinie eingestuft sind, ist jede Übermittlung personenbezogener Daten unzulässig, es sei denn die grundrechtskonforme Verarbeitung ist im Einzelfall sichergestellt.540 Deshalb ist die im Abkommen vorgesehene Übermittlung von Zahlungsverkehrsdaten an das US-Finanzministerium nur dann grundrechtskonform, wenn der Text auch durchsetzbare Bestimmungen hinsichtlich der anschließenden Verarbeitung enthält. Ansonsten stellen sich sowohl der durch den Unionsgesetzgeber erfolgte Beschluss zum Abschluss des Abkommens als auch die durch Europol und das dem europäischen Datenschutzgrundrecht verpflichtete541 US-Finanzministerium durchgeführten Umsetzungsmaßnahmen als Grundrechtsverstoß dar. 536 537 538 539 540 541

Art. 6 des Interimsabkommens; siehe dazu Kapitel 5 H. Siehe Kapitel 5 E. IV. und F. II. 4. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 8 Rn. 6. Art. 5 in beiden Versionen des Abkommens. Siehe Kapitel 5 E. V. 3. Art. 8 des Folgeabkommens verlangt die Achtung des europäischen Schutzniveaus.

152

Kap. 5: Inhalt des Abkommens

I. Abfragegrund Jeder Zugriff auf den Datenbestand muss auf der Grundlage eines bereits zuvor vorliegenden Hinweises erfolgen, dass die betroffene Person Kontakte zum Terrorismus aufweist.542 Diese Regelung verhindert zunächst eine Nutzung zu anderen Zwecken. Die teilweise befürchtete Verwendung der S.W.I.F.T.-Daten zur Wirtschafts- und Industriespionage durch die USA543 ist damit nicht im Einklang mit dem Abkommen zulässig. Eine entsprechende Zweckänderung zwischen Datenerhebung und Verarbeitung wäre mit dem europäischen Recht auf informationelle Selbstbestimmung auch nicht vereinbar.544 Bei den von vorneherein vorliegenden Hinweisen muss es sich um „Informationen oder Beweise, die die Annahme stützen, dass der Gegenstand der Abfrage einen Bezug zu Terrorismus oder Terrorismusfinanzierung hat“, handeln.545 Diese Kriterien sind weiter gefasst als diejenigen für eine Übermittlung der Daten an das TFTP, für die erforderlich ist, dass die Daten notwendig für die Terrorismusbekämpfung sein müssen.546 Die Tatsache, dass für die Datenübermittlung und die Abfrage separate Regelungen existieren und dass die Anforderungsschwelle für die Abfrage niedriger ist, zeigt, dass der Datenbestand unabhängig vom ursprünglichen Anforderungsgrund durchsucht werden darf. Solange ein Terrorismusbezug vermutet wird, sind demnach beliebig viele Abfragen innerhalb des Datenpools des TFTP möglich. Diese Vorgehensweise erscheint zunächst sinnvoll. Würde das TFTP nur solche Abfragen in seinem Datenbestand vornehmen dürfen, die auch dem Grund entsprechen, weshalb die jeweiligen Daten angefordert wurden, so wäre das System in seiner Flexibilität beeinträchtigt. Es müsste jedem Datensatz die Information beifügen, warum er aus Europa angefordert wurde. Datensätze, für deren Anforderungen verschiedene Gründen bestanden, müssten an unterschiedlichen Speicherorten gelagert werden, um Auswertungen aus einem abweichenden Grund sicher ausschließen zu können. Eine solche Architektur wäre mit gesteigertem Verwaltungsaufwand verbunden. Sie hätte auch redundante Speicherungen und Datenübertragungen zur Folge. Stellt sich heraus, dass das TFTP aufgrund neuer geheimdienstlicher Erkenntnisse Abfragen an Daten vornehmen möchte, die es bereits besitzt, so müsste eine erneute Anfrage an S.W.I.F.T. und Europol547 getätigt werden, die eine erneute Datenübermittlung zur Folge hätte. Das TFTP würde dann gleiche Daten an unterschiedlichen Speicherorten aufbewahren. Weil jede Speicherung, Übermittlung und Abfrage einen erneuten Eingriff in das Recht auf informationelle 542

Art. 5 Abs. 5 des Folgeabkommens; Art. 5 Abs. 2 S. 2 lit. b des Interimsabkommens. BR-Drs. 788/09; Zscherpe, MMR 2006, XI; Datenspende an die USA, TAZ v. 02.02. 2010, S. 12. 544 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 21; Simitis, NJW 1997, 281 (285). 545 Art. 5 Abs. 5 des Interimsabkommens; Art. 5 Abs. 2 S. 2 lit. b des Interimsabkommens. 546 Art. 4 Abs. 2 lit. a, b des Folgeabkommens; Art. 4 Abs. 2 S. 1 des Interimsabkommens. 547 Siehe Kapitel 5 H. I. 1. 543

G. Auswertung durch das TFTP

153

Selbstbestimmung des betroffenen Bankkunden darstellt, würde ein solches Vorgehen zu unnötigen Grundrechtseingriffen führen.548 Der Preis der flexiblen Lösung, dem TFTP unbegrenzten Zugriff auf seinen Datenpool zu gewähren, liegt jedoch in der eingeschränkten Kontrollmöglichkeit durch europäische Stellen. Das Erfordernis, dass Europol jede Anfrage der USA inklusive der Begründung des Bedarfs prüft, bevor es einen Transfer freigibt,549 wird ad absurdum geführt, wenn das TFTP in der Folgezeit beliebig viele abweichende, nicht durch Europol autorisierte Verwendungen mit den Daten tätigt. Das Kontrollsystem durch Europol kann allenfalls sicherstellen, dass ein einzelner ursprünglicher Verdacht gegen entweder den Zahlungsanweisenden oder -empfänger einer S.W.I.F.T.-Nachricht bestand.550 Auch dann, wenn sich dieser Verdacht in den weiteren Ermittlungen als nicht tragfähig erweist, kann das TFTP die einmal erhaltenen Daten nutzen, um neuen Hinweisen nachzugehen. Dies geschieht ohne weitere Rücksprache mit Europol, sodass dessen im Abkommen explizit beabsichtigte Kontrollfunktion damit wenig wirkungsvoll ist. Die Kontrolle durch Europol kann deshalb alleine nicht genügen, um die grundrechtlich gebotene551 Aufsichtstätigkeit zu erfüllen. Das Abkommen sieht jedoch noch weitere Sicherungen wie die permanente Entsendung eines europäischen Prüfers in die USA oder regelmäßige Evaluationen vor.552 Die Zulässigkeit der Abkommensgestaltung hängt entscheidend davon ab, ob diese weiteren Maßnahmen die begrenzten Kompetenzen Europols kompensieren können.553

II. Ausschluss algorithmischer Auswertungsmethoden Nach der bisherigen Betrachtung des transatlantischen Abkommens kann die Schlussfolgerung formuliert werden, dass das Abkommen die maximale Effizienz bei der Aufgabenerfüllung des TFTP zum Ziel hat. So sind die Regelungen, die den Umfang der zu übermittelnden Daten betreffen, darauf ausgerichtet, dass möglichst viele S.W.I.F.T.-Nachrichten dem Datenpool zugeführt werden. Auch bei der Auswertung ist den Ermittlern der USA relativ freie Hand gelassen, solange ihr Handeln der Terrorismusaufklärung dient. Unter diesem Eindruck wäre zu erwarten, dass hinsichtlich der Methodik der Datenauswertung alle zur Verfügung stehenden Mittel 548 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 16; Jarass, EU-Grundrechte, § 13 Rn. 7; zum deutschen Grundrecht: BVerfGE 92, 191 (197); Becker/Ambrock, JA 561 (565). 549 Art. 4 Abs. 4 – 5 des Folgeabkommens; siehe dazu Kapitel 5 I. 550 Solange Bulk Data übermittelt wird kann Europol allerdings nicht einmal diesen Umstand sicherstellen; siehe dazu Kapitel 5 F. II. 551 Vgl. Art. 8 Abs. 3 GRCh. 552 Art. 12 f. des Folgeabkommens. 553 Eine Beurteilung der Auskunfts- und Kontrollstrukturen findet sich unten in Kapitel 5 I.

154

Kap. 5: Inhalt des Abkommens

und Techniken eingesetzt würden. Schließlich ist es konsequent, wenn schon große Mengen an Datensätzen gesammelt werden, die jeweils durch einen Grundrechtseingriff gewonnen wurden, dass diese auch optimal ausgenutzt werden. Umso erstaunlicher ist es, dass die Verhandlungsführer der USA eine ganze Gruppe auch in Europa absolut üblicher Auswertungsmethoden aus der Hand gegeben haben: Art. 5 Abs. 3 des Folgeabkommens untersagt „Data Mining oder andere Arten der algorithmischen oder automatischen Profilerstellung“ sowie die Nutzung einer „computergestützten Filterung“. Eine Rasterfahndung in dem Datenpool des TFTP ist damit ausgeschlossen. Der Verzicht auf algorithmische Auswertungsmethoden ist eine neuere Entwicklung, die erstmals im Interimsabkommen Niederschlag gefunden hat. Bereits vor der Etablierung des TFTP wurden zu Terrorbekämpfungszwecken von US-Banken angeforderte Transaktionsdaten auf Auffälligkeiten hin überprüft.554 Zudem wurde ursprünglich auch das TFTP zum Zweck des Aufspürens verdächtiger Transaktionen eingeführt.555 1. Ausschluss der Rasterfahndung Die Durchführung einer Rasterfahndung erfolgt durch Zusammenstellung von Kriterien, von denen die Ermittler vermuten, dass Terroristen sie typischerweise erfüllen. Deutsche Sicherheitsbehörden schreiben islamistischen Terroristen beispielsweise ein Lebensalter zwischen 18 und 40 Jahre, ein technisches Studium und die Geburt in einem Staat mit islamischer Bevölkerung zu.556 Daraufhin werden Datenbanken, auf die die Behörden Zugriff haben, auf Übereinstimmungen mit diesem Muster abgeglichen.557 Mit dem Ausschluss der Rasterfahndung wird bewusst auf eine Maßnahme verzichtet, die einen besonders intensiven Grundrechtseingriff darstellt, weil zum einen die Daten Unschuldiger durchsucht und die betroffenen Personen erst im Ergebnis als unverdächtig eingestuft werden.558 Zum anderen werden durch die Rasterfahndung einzelne Menschen lediglich wegen einer Häufung nicht verwerflicher Eigenschaften fälschlich als verdächtig eingestuft.559 Gleichwohl ist die Rasterfahndung je nach tatsächlich vorliegendem Gefahrengrad mit dem Recht auf

554 Die Zahlungen an die Attentäter vom 11.09. 2001 sind dabei nicht aufgefallen, weil Betrag, Intervall und Herkunft jeweils Unterhaltszahlungen im Ausland lebender Familien an in den USA lebenden Studenten entsprachen; siehe National Commission on Terrorist Attacks Upon the United States, Monograph on Terrorist Financing, 2004, S. 53; Santolli, The George Washington International Law Review 2008, 553 (556), Fn. 20. 555 Zscherpe, MMR 2006, Heft 12, XI. 556 Pieroth/Schlink, Polizei- und Ordnungsrecht, § 15 Rn. 51. 557 Lisken, NVwZ 2002, 513. 558 Becker/Ambrock, JA 2011, 561 (565); Riegel, DÖV 1994, 814 (818). 559 Becker/Ambrock, JA 2011, 561 (565); Krapp, ZRP 2004, 261 (263 f.).

G. Auswertung durch das TFTP

155

informationelle Selbstbestimmung vereinbar.560 Hinsichtlich des internationalen Terrorismus genügt hierfür nicht die allgemeine Bedrohungslage, der die westliche Welt seit dem 11. September 2001 ausgesetzt ist, sondern es müssen konkrete gegenwärtige Gefahren drohen.561 Das TFTP darf ohnehin nur aufgrund bereits bestehendem konkreten Verdacht hin agieren. Dass es anlasslos seinen Datenbestand auf Merkmale hin durchforstet, die für Terroristen typisch sind, ist deshalb ohnehin ausgeschlossen. Eine auf konkrete, erhebliche Gefahr hin durchgeführte Rasterfahndung in den USA mit aus der EU stammenden Daten müsste aufgrund ihrer Grundrechtsintensität allerdings einer strengen Aufsicht durch europäische Stellen unterliegen.562 Ferner müsste sichergestellt werden, dass die bei einer Rasterfahndung ermittelten Personen nicht automatisch als Verdächtige gelten, sondern dass das Ergebnis lediglich ein Ansatzpunkt für weitere Nachforschungen sein kann. 2. Ausschluss von Data Mining Die aufgrund einer expliziten Erwähnung im Abkommen nicht zugelassene Methode des Data Mining stellt eine Weiterentwicklung der Idee der Rasterfahndung dar. Dabei wird ebenfalls eine Datenbank nach Datensätzen durchsucht, die Merkmale aufweisen, die für Terroristen typisch sind. Allerdings werden die Suchkriterien nicht wie bei der Rasterfahndung vom Anwender der Software vorgegeben, sondern stammen aus einer computergestützten Datenanalyse.563 Das entsprechende Computerprogramm erhält allenfalls die Information, welche Personen sicher als Terroristen eingestuft werden. Daraufhin werden diejenigen Datensätze, in denen die Namen der Terroristen vorkommen, auf Gemeinsamkeiten hin untersucht.564 Die Ergebnisse dieser Suche bilden ein Suchraster mit für Terroristen typischen Merkmalen, das die Grundlage einer anschließenden Rasterfahndung im gesamten Datenbestand bildet.565 Der Vorteil dieses Verfahrens liegt nicht nur darin, dass es vollständig automatisiert abläuft, sondern auch, dass typische Merkmale von Terroristen ermittelt werden, die in einer manuellen, subjektiv geprägten Erstellung des Suchrasters nicht erkannt worden wären.566

560

BVerfGE 93, 181; OLG Düsseldorf NVwZ 2002, 629; DÖV 1994, 814 (818). BVerfGE 115, 320 (364). 562 Eine Beurteilung der im Abkommen vorgesehenen Aufsichts- und Kontrollstrukturen erfolgt unten in Kapitel 5 I. 563 Petersohn, Data Minig, S. 8. 564 Awad/Khan/Thuraisingham/Wang, Design and Implementation of Data Mining Tools, S. 12; Hagedorn/Bissantz/Mertens, WIRTSCHAFTSINFORMATIK 6/1997, 601 (601 f.). 565 Vgl. Chamoni/Budde, Methoden und Verfahren des Data Mining, S. 9. 566 Symeonidis/Mitkas, Agent Intelligence through Data Mining, S. 4. 561

156

Kap. 5: Inhalt des Abkommens

3. Ausschluss computergestützter Filterung Art. 5 Abs. 3 des Folgeabkommens schließt nicht nur die oben beispielhaft dargestellten Methoden algorithmischer oder automatischer Profilerstellungen aus, sondern geht noch einen gewichtigen Schritt weiter: Die Regelung verwehrt dem TFTP jegliche „computergestützte[] Filterung“. Mit dieser den Einsatz von Computern nahezu komplett ausschließenden Formulierung dürften die Parteien weit über das beabsichtigte Ziel hinausgegangen sein. Bereits die Ansicht eines konkreten Datensatzes auf dem Bildschirm eines Computers geschieht mittels einer computergestützten Filterung. Damit ein Computerbildschirm Text aus einer Datenbank anzeigen kann, benötigt der Prozessor des Rechners die Information, um welchen Datensatz es sich handelt, damit er diesen aus der Datenbank abrufen und graphisch aufbereiten kann.567 Nach wörtlicher Auslegung des Abkommens dürfte das TFTP demnach keine Daten auf Computerbildschirmen ansehen. Weil S.W.I.F.T. dem TFTP aber digitale Informationen übersendet,568 wären diese durch das TFTP nicht nutzbar. Die Übermittlung digitaler Daten anstelle von Papierausdrucken wird jedoch im Abkommen vorausgesetzt.569 Diese Folge kann von den Vertragsparteien nicht gewollt sein, weil ansonsten das gesamte Abkommen zwecklos wäre. Die Bildschirmansicht kann dem TFTP damit im Wege der teleologischen Reduktion nicht verwehrt bleiben. Dann stellt sich jedoch die Frage, welche computergestützten Filterungen dann in Art. 5 Abs. 3 des Folgeabkommens ausgeschlossen wurden. Jede Suche im Datenbestand ist eine Filterung, weil sie nach einem vorher definierten Kriterium, beispielsweise dem Namen eines Verdächtigen, einzelne Datensätze aus einer Menge separiert. Wenn eine solche für die Auswertung der Daten unumgängliche Filterung nicht computergestützt erfolgen darf, dann muss sie manuell erfolgen. Dies bedeutet, dass sich ein Mitarbeiter, der bestimmte Informationen aus der Datenbank generieren möchte, alle Datensätze anschauen muss. Nur über diesen mühevollen Weg kann er ohne computergestützte Filterungen erfahren, ob die Informationen, die er benötigt, in der Datenbank enthalten sind. Eine sortierte Datenbank, beispielsweise nach Empfängername oder Bankleitzahl, würde dieses Verfahren erheblich beschleunigen. Aber auch unter dieser Bedingung wäre eine manuelle Durchsicht der S.W.I.F.T.-Daten nicht zu bewerkstelligen. Monatlich werden dem TFTP ca. 90 Millionen Datensätze zur Verfügung gestellt,570 die wiederum bis zu fünf Jahre lang gespeichert werden.571 Damit ist 567

Zu den technischen Vorgängen siehe im Einzelnen Konopasek, SQL Server 2008 R2, S. 155 f. 568 Weichert, DuD 2006, 470. 569 Dies ergibt sich aus der im Abkommen vorgenommenen Differenzierung in extrahierte und nicht extrahierte Daten, siehe dazu Kapitel 5 H. I. 570 Siehe Kapitel 5 F. II. 4. a). 571 Siehe Kapitel 5 H.

G. Auswertung durch das TFTP

157

davon auszugehen, dass die Datenbank des TFTP Zahlungsverkehrsdaten in der Größenordnung mehrerer Milliarden umfasst. Auch die Anzahl an Einzelabfragen in diesem Datenbestand ist weitreichend. In den ersten fünf Jahren des TFTP wurden ca. 10.000 Suchvorgänge durchgeführt.572 Aufgrund des Volumens an Daten sowie der Masse an zu tätigenden Anfragen stößt das TFTP bereits mit Computerunterstützung auf Schwierigkeiten. So fällt es den Mitarbeitern Zeitungsberichten zufolge schwer, den Gesamtüberblick zu behalten, was zu redundanten Suchabfragen oder dem Übersehen von Ergebnissen führen kann.573 Entgegen dem eindeutigen Wortlaut des Abkommens wird in der Praxis des TFTP nach US-Angaben eine „sehr eingeschränkte Such- und Abfragefunktion“ verwendet.574 Die Separierung der benötigten Daten erfolgt dabei mittels einer Software, die überprüft, welche S.W.I.F.T.-Nachrichten den Namen der Zielperson oder -organisation enthält.575 Der Einsatz dieser Technologie ist im Wege der teleologischen Reduktion des Art. 5 Abs. 3 des Folgeabkommens als zulässig anzusehen. Ohne eine computergestützte Filterung wären die S.W.I.F.T.-Daten nicht nutzbar. Möglich wären dann lediglich Stichproben. Die Übermittlung zahlreicher Daten zum Zweck der Auswertung durch Stichproben wäre wiederum unverhältnismäßig. Weder die EU noch die USA können eine wörtliche Interpretation der Regelung bei Vertragsschluss gewollt haben. Damit bleibt jedoch die Frage, worin der Regelungsgehalt des Ausschlusses der „computergestützten Filterung“ besteht, wenn die Volltextsuche anhand von Namen doch zulässig ist. Diese Ausnahme kann, weil sie dem eindeutigen Wortlaut des Abkommens widerspricht, nur so eng wie möglich gefasst sein. Sie ist zulässig, damit die Daten in den Händen des TFTP nicht unbrauchbar sind. Etwaiger weiterer Computereinsatz zur Effizienzsteigerung kann dem TFTP nicht zugebilligt werden. Die bedeutet, dass nur die praktizierte Volltextsuche anhand von konkreten Namen verdächtiger Personen zulässig ist. Weitere Suchbegriffe wie Verwendungszwecke oder Kontonummern sind nicht mehr mit dem Gebot einer möglichst engen Auslegung vereinbar. Sie würden die Effizienz des TFTP zwar verbessern, sind aber nicht erforderlich, um die Unbrauchbarkeit der S.W.I.F.T.-Daten zu verhindern, weil bereits die Namenssuche hierfür genügt. Auch Verkettungen mehrerer Suchbegriffe sind unzulässig. Schließlich können die Ergebnisse zweier Personensuchvorgänge von Hand miteinander verglichen werden, sodass eine computergestützte Kombination beider Einzelabfragen nicht notwendig ist.

572

Connorton, Fordham Law Review 2007, 283 (289). Lichtblau/Risen, N. Y. Times v. 23.06. 2006, S. 1; Santolli, The George Washington International Law Review 2008, 553 (563). 574 Zusicherungen der USA, ABl. 2007 C 166 v. 20.07. 2007, S. 9 (19). 575 Connorton, Fordham Law Review 2007, 283 (289); Weichert, DuD 2006, 470. 573

158

Kap. 5: Inhalt des Abkommens

III. Physische Datensicherheit Art. 5 Abs. 4 des Folgeabkommens576 enthält Bestimmungen, nach denen das TFTP technische und organisatorische Maßnahmen gegen den Zugriff von außen umzusetzen hat. Dazu zählen die Speicherung in einer gesicherten Umgebung mit strikter Zugangskontrolle, die Trennung von anderen Datenbanken bereits auf Hardwareebene und das Verbot des Anlegens von Kopien. Dieses Vorgehen ist nach Art. 17 Abs. 1 der EG-Datenschutzrichtlinie verpflichtend und daher grundrechtlich geboten.577 In diesem Zusammenhang setzt das Abkommen die europäischen Grundrechtsstandards vollumfänglich um. Zu beachten ist jedoch, dass der Absatz 4 mit „Datensicherheit und Datenintegrität“ überschrieben ist, die dort aufgezählten Maßnahmen aber nicht alle ausschließlich diesem Zweck dienen, sondern teilweise auch aus allgemeinen Verhältnismäßigkeitserwägungen heraus geboten sind. So ist das Verknüpfungsverbot mit anderen Datenbanken nicht nur erforderlich, um den Zugriff durch Benutzer anderer Datenbanken zu verhindern, sondern auch, weil in der bloßen Verknüpfung von Daten ein besonders intensiver Grundrechtseingriff liegt.578 Die Absatzüberschrift darf deswegen nicht als alleinige Zweckbestimmung der aufgeführten Maßnahmen verstanden werden mit der Folge, dass etwa Verknüpfungen mit weiteren Datenbanken zulässig wären, wenn diese ausschließlich der Kontrolle des TFTP unterliegen. Gleiches gilt für das Verbot des Anfertigens von Kopien. Duplikate stellen weder eine Gefährdung der Datensicherheit noch der Datenintegrität dar. Der Zweck der Untersagung von Kopien liegt deshalb primär in der Vermeidung redundanter Speicherungen, die jeweils einen erneuten Grundrechtseingriff bedeuten, aber nicht erforderlich sind. Der einzige legitime Grund, warum Kopien der S.W.I.F.T.-Daten im TFTP angefertigt werden sollten, liegt in der Vorsorge vor Datenverlust. Aus diesem Grund erlaubt Art. 5 Abs. 4 lit. e des Folgeabkommens „Backup-Kopien für den Fall eines Systemzusammenbruchs“.579 Die regelmäßige Erstellung solcher Kopien ist sogar wiederum grundrechtlich geboten, weil sie die Integrität der gespeicherten Daten sicherstellt: Datenverluste aufgrund von Stromausfällen oder ähnlichen Ereignissen treffen oftmals nicht die gesamte Datenbank, sondern nur Teile der Daten. Ein teilweiser Datenverlust würde aber die Aussagekraft der verbliebenen Daten verfälschen. Beispielsweise könnte eine bislang unverdächtige Person, die einen Kleinbetrag an einen Verdächtigen überwiesen hat, dadurch selbst zum Verdächtigen werden, dass die Höhe der Zahlung versehentlich aus dem Datensatz gelöscht wird. Aus derartigen Gründen sind datenverarbeitende Stellen zu regelmäßigen Kom576

Bzw. Art. 5 Abs. 2 S. 2 lit. d-g des Interimsabkommens. Vgl. Hoffmann-Riem, ZRP 2002, 497 (501). 578 BVerfGE 65, 1 (3); Becker, in: Hill/Schliesky, Innovationen im und durch Recht, S. 57 (62); Becker/Ambrock, JA 2011, 561. 579 Bzw. Art. 5 Abs. 2 S. 2 lit. f des Interimsabkommens. 577

H. Speicherdauer

159

plettsicherungen verpflichtet sind.580 Dabei gilt es zu beachten, dass die Sicherungsdateien nicht für die regelmäßige Auswertungsarbeit herangezogen werden dürfen, sondern durch gesonderte technische Maßnahmen dem Zugriff der Mitarbeiter im Regelfall entzogen sind.

H. Speicherdauer Nicht nur die Erhebung und Benutzung personenbezogener Daten stellen einen Eingriff in das Recht auf informationelle Selbstbestimmung dar, sondern auch die bloße Aufbewahrung ist von eigenständiger grundrechtlicher Relevanz.581 Solange das TFTP Datensätze gespeichert hat, nimmt es fortdauernde Eingriffe in die Grundrechte derjenigen Personen vor, auf die die Daten bezogen sind. Aus diesem Grund gilt es, die Speicherung unabhängig von den bereits festgestellten Eingriffen daraufhin zu überprüfen, ob sie gerechtfertigt ist. Die Verpflichtung, personenbezogene Daten möglichst frühzeitig zu löschen, ergibt sich zunächst aus der in Art. 8 Abs. 2 S. 1 GRCh enthaltenen Zweckbindung.582 Daten dürfen nur so lange gespeichert werden, wie sie benötigt werden.583 Wird entweder der Zweck einer Datenerhebung erreicht oder stellt sich heraus, dass die erhobenen Daten zum Erreichen des ursprünglichen Zwecks nicht hilfreich sind, so müssen die Daten umgehend gelöscht werden. Über den Zweckbindungsgrundsatz hinaus sind es aber auch allgemeine Verhältnismäßigkeitserwägungen, die die Grundlage der Begrenzung der erlaubten Speicherdauer bilden.584 Darum kann im Einzelfall auch eine Löschung von Daten geboten sein, wenn eine lange Speicherdauer das Datenschutzinteresse der Betroffenen unangemessen beeinträchtigt, obwohl eine Nutzung der Daten weiterhin zielführend wäre.585

I. Regelung im Abkommen Das transatlantische Abkommen differenziert hinsichtlich der Speicherdauer zwischen extrahierten und nicht extrahierten Daten. Diese Begriffe werden im Abkommenstext nicht näher erläutert. Auch die Rechtsfolgen der Differenzierung sind kaum nachvollziehbar. Nach Ansicht des Europäischen Datenschutzbeauf580

Reiser, WM 1986, 1401 (1405). Jarass, EU-Grundrechte, § 13 Rn. 7. 582 Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 21; Schild, EuZW 1996, 549 (551 f.); Siemen, Datenschutz als europäisches Grundrecht, S. 283; Simitis, NJW 1997, 281 (285). 583 Bizer, DuD 2007, 350 (353); Frenz, NVwZ 2007, 631 (634). 584 Jarass, GRCh, Art. 8 Rn. 14. 585 Vgl. Frenz, EuZW 2009, 6 (8). 581

160

Kap. 5: Inhalt des Abkommens

tragten „ist das Konzept ,nicht extrahierter Daten‘ nicht eindeutig und sollte deswegen erläutert werden“.586 Auch das Europäische Parlament hat in einer Initiativentschließung darauf hingewiesen, „dass das Konzept der nicht extrahierten Daten nicht selbstverständlich ist und deshalb geklärt werden soll.“587 Unter nicht extrahierten Daten verstehen die Vertragsparteien „Daten, auf welche die amerikanischen Strafverfolgungsbehörden nicht für Terrorismus-Ermittlungen zugegriffen haben.“588 Bevor die Mitarbeiter des TFTP konkrete Datensätze am Computerbildschirm aufrufen können, muss die Datenbank Management Software des TFTP-Servers die jeweiligen Dateien so aufbereiten, dass sie betrachtet werden können. Durch dieses Verfahren erhält man die im Abkommen als extrahierte Daten bezeichneten Klardateien, die lesbare Texte enthalten. Diese Informationen, die aus den Rohdateien gewonnen werden, sind hinsichtlich ihrer Speicherdauer anders zu behandeln als die Rohdateien selbst. 1. Speicherdauer extrahierter Dateien Greifen die Ermittler auf einen Datensatz zu, wird aus ihm eine extrahierte Datei. Diese darf gemäß Art. 6 Abs. 7 des Folgeabkommens solange gespeichert werden, wie dies für die Ermittlungen oder die Strafverfolgung notwendig ist. Daraus folgt, dass die extrahierten Daten unverzüglich zu löschen sind, wenn die Ermittler feststellen, dass sie nicht die zuvor vermuteten belastenden Hinweise enthalten. Oftmals wird eine solche Einschätzung beim ersten Zugriff auf ein Datum aber noch nicht möglich sein. Wenn überprüft wird, von wem ein mutmaßlicher Terrorist Zahlungen erhalten hat, kann nur in offensichtlichen Fällen wie beispielsweise bei Zahlungen von Sozialversicherungsträgern oder geringwertigen Überweisungen sofort ausgeschlossen werden, dass der Anweisende einem Terrornetzwerk angehört. Kann der Ursprung einer Zahlung nicht eindeutig zugeordnet werden, weil zum Beispiel eine Geldüberweisung die Bezahlung eines Warenkaufs zu sein scheint, ist es zulässig, den extrahierten Datensatz zu speichern, bis die näheren Umstände ermittelt wurden. Diese Ermittlungen können ohne weiteres mehrere Jahre in Anspruch nehmen. Selbst nach Abschluss eines Strafverfahrens kann es erforderlich sein, die Daten weiterhin aufzubewahren, wenn sie gegen weitere Beschuldigte von Nutzen sein können. Angesichts der besonderen Schwere terroristischer Anschläge wird vertreten, dass es angemessen ist, bis zu acht Jahre oder im Einzelfall auch darüber hinaus Daten verdächtiger Personen zu speichern.589 Solange konkrete Tatsachen dafür sprechen, 586

Stellungnahme des EDSB zum Folgeabkommen, ABl. C 355 v. 29.12. 2010, S. 10 (12). Entschließung des EP v. 05.10. 2010, ABl. C 81 E v. 15.03. 2011, S. 66 (70). 588 Pressemitteilung des EDSB v. 22.06. 2010, abrufbar unter http://www.edps.europa.eu/ EDPSWEB/edps/lang/de/EDPS/Pressnews/News/N2010; siehe zur Differenzierung auch die Antwort der Kommissarin Malmström auf die parlamentarische Anfrage von MdEP Ehrenhauser Nr. E-7517/2010. 589 Léger, Schlussanträge v. 22.11. 2005, EuGH, Rs. C-317 u. 318/04, Slg. 2006 I-4721, Rn. 223; Frenz, EuZW 2009, 6 (8). 587

H. Speicherdauer

161

dass die Daten für Ermittlungen gegen den organisierten Terrorismus von Relevanz sind, dürfen sie also auch aus grundrechtlicher Sicht im Extremfall jahrzehntelang gespeichert werden. Trotz dieser sehr langen Speicherdauer, die das Folgeabkommen im Einzelfall für extrahierte Daten vorsieht, handelt es sich um einen Fortschritt gegenüber dem Interimsabkommen, weil die Aufbewahrung in zeitlicher Hinsicht an die Notwendigkeit zu Ermittlungs- oder Strafverfolgungszwecken gekoppelt wurde. Art. 5 Abs. 3 S. 2 lit. m des Interimsabkommens hatte zuvor lediglich bestimmt, dass für die Speicherung extrahierter Daten diejenige Höchstfrist gilt, „die die betreffende staatliche Stelle gemäß ihren eigenen Regelungen und Vorschriften für die Aufbewahrung von Unterlagen zu beachten hat.“ Die Klausel war nicht mehr als die deklaratorische Feststellung, dass im Interimsabkommen kein Festlegungen für die Speicherdauer extrahierter Daten getroffen wurden. Wäre das Interimsabkommen zur Anwendung gekommen, hätte nur das US-amerikanische Recht der Speicherung Grenzen setzen können. Aufbewahrungsfristen sind dem US-Recht jedoch bis auf wenige Ausnahmen fremd.590 Eine unbegrenzte, nicht auf konkrete Anlässe bezogene Speicherung wäre aber mit dem europäischen Grundrecht auf informationelle Selbstbestimmung unvereinbar gewesen.

2. Speicherdauer nicht extrahierter Dateien Nicht extrahierte Daten sind im Umkehrschluss solche Informationen in der Datenbank des TFTP, auf die noch kein ermittelnder Beamter zugegriffen hat. Diese Datensätze wurden noch nicht für die Bildschirmdarstellung aufbereitet. Automatisierten Zugriff der Software, die die Datenbank verwaltet, hat es in der Regel schon gegeben, weil die Suche nach Datensätzen anhand von Suchbegriffen mittels eines Abgleichs sämtlicher gespeicherter Daten erfolgt.591 Das TFTP führt jährlich tausende Einzelabfragen in seiner Datenbank durch,592 sodass alle nicht ganz neuen Daten bereits von einem Suchalgorithmus betroffen waren. Würde die Datenbanksoftware Extraktionen im Sinne des Abkommens vornehmen, um Datensätze zu durchsuchen, dann wären in der TFTP-Datenbank keine nicht extrahierten Daten enthalten und die Differenzierung in der transatlantischen Übereinkunft wäre hinfällig. Deshalb können extrahierte Daten nur solche sein, die von einem Mitarbeiter am Bildschirm betrachtet und zuvor dafür aufbereitet wurden. Nicht-extrahierte Dateien sind im Gegenzug solche, bislang nicht ausgewertet wurden, aber dennoch im Datenpool gespeichert bleiben, weil sie für künftige Ermittlungsvorgänge von Relevanz sein könnten. Solche Daten können vor allem aufgrund des Bulk Data Transfers übermittelt worden sein. Die Datensätze, die keinen Bezug zu den Zielpersonen der aktuellen Auswertungsvorgänge aufweisen, werden zunächst nicht 590 591 592

Schwartz/Reidenberg, Data Protection Law, S. 274. Siehe Kapitel 5 G. II. 3. Vgl. Connorton, Fordham Law Review 2007, 283 (289).

162

Kap. 5: Inhalt des Abkommens

extrahiert. Dies kann jedoch geschehen, wenn zu einem späteren Zeitpunkt gegen andere Verdächtige ermittelt wird. Die Regelspeicherdauer für nicht extrahierte Daten liegt bei fünf Jahren ab dem Zeitpunkt, an dem das TFTP die jeweilige S.W.I.F.T.-Nachricht erhalten hat.593 Jedoch ist mindestens jährlich eine Überprüfung des Bestandes daraufhin anzustrengen, ob sich unter den nicht extrahierten Daten solche befinden, die für die Terrorismusfahndung nicht mehr erforderlich sind.594 Diese überflüssigen Daten müssen „so schnell dies technisch möglich ist“ dauerhaft gelöscht werden. Nicht nachvollziehbar ist, warum im Interimsabkommen noch eine Speicherung bis zu acht Monaten nach der Entdeckung dieser Daten eingeräumt wurde, kombiniert mit der Option, bei „außergewöhnlichen technischen Umstände[n]“ die Daten noch länger vorzuhalten. Selbst dann, wenn technische Besonderheiten der TFTP-Datenbank einen mehrmonatigen Löschvorgang erfordern, müssten die ermittelten Daten zumindest so markiert werden, dass sie in künftigen Auswertungen nicht mehr mit durchsucht werden. Die Recherche in Daten, die erwiesenermaßen keinen Beitrag zur Terrorismusfahndung leisten können, ist schließlich ungeeignet, um die Zusammenhänge der Terrorismusfinanzierung zu ermitteln. Auf welchem Wege die jährliche Überprüfung nach nicht mehr benötigten Daten realisiert werden soll, ist unklar. Eine systematische Durchsicht aller Daten durch die Mitarbeiter des TFTP ist wegen der großen Datenmenge nicht durchführbar.595 Zudem müssten die Daten für die Prozedur extrahiert werden und dann auch wie extrahierte Daten gemäß Art. 6 Abs. 7 des Folgeabkommens behandelt werden. Es kann deshalb nur eine automatisierte Überprüfung auf nicht benötigte Dateien gemeint sein. Die computergesteuerte Form der Revision führt jedoch zu der Schwierigkeit, dass das TFTP Frage der Relevanz von Informationen in einem Algorithmus darstellen muss. Insofern ist kaum zu erwarten, dass eine automatisierte Überprüfung des Datenbestandes präzise von statten gehen kann, sodass Zweifel an der Kontrolldichte bestehen. Die fünfjährige Regelspeicherfrist gilt auch für solche Daten, die vor Inkrafttreten des Abkommens in den Bestand des TFTP gelangt sind. Art. 6 Abs. 3 des Folgeabkommens bestimmt, dass alle vor dem 20. Juli 2007 eingegangenen Daten bis spätestens 20. Juli 2012 zu löschen sind.596 Es fällt auf, dass die ebenfalls fünfjährige Frist nicht mit Erhalt der Daten zu laufen begann, sondern mit einem erst später eingetretenen festen Datum. Bei dem 20. Juli 2007 handelt es sich um das Datum an dem die einseitigen Zusicherungen der USA an die EU vom 28. Juni 2007 im Amtsblatt der EU veröffentlicht wurden.597 Zu der Zeit hatte das TFTP einen direkten 593 594 595 596 597

Art. 6 Abs. 4 des Folgeabkommens; Art. 5 Abs. 2 S. 2 lit. l des Interimsabkommens. Art. 6 Abs. 2 des Folgeabkommens; Art. 5 Abs. 2 S. 2 lit. i des Interimsabkommens. Siehe Kapitel 5 G. II. 2. Bzw. Art. 5 Abs. 2 S. 2 lit. l k des Interimsabkommens. ABl. C 166 v. 20.07. 2007, S. 18 – 25.

H. Speicherdauer

163

Zugriff auf den S.W.I.F.T.-Server auf US-amerikanischem Staatsgebiet.598 Die EU hatte deshalb keinen rechtlichen, sondern allenfalls politischen Einfluss auf die Arbeitsweise des TFTP. In den Zusicherungen erklärten die USA gegenüber der EU, dass sie grundlegender Grundrechtsstandards freiwillig einhalten würden. Dazu zählten auch Bestimmungen über die Speicherfrist. Bereits nach den Zusicherungen aus dem Jahre 2007 sollten alle nicht extrahierten Daten fünf Jahre nach ihrem Eingang beim TFTP gelöscht werden.599 Wurde diese Selbstverpflichtung umgesetzt, können am 20. Juli 2012 keine fünf Jahre alten nicht extrahierten Daten mehr existieren. Die Vorgabe in Art. 6 Abs. 3 des Folgeabkommens, an diesem Stichtag alle vor 2007 eingegangenen nicht extrahierten Daten zu löschen, stellt deshalb lediglich eine völkerrechtlich verpflichtende Bekräftigung dar, dass die freiwillige Zusicherung einzuhalten ist. Inhaltlich setzt die Regelung keine neuen Maßstäbe.

II. Erforderlichkeit der fünfjährigen Speicherung Die fünfjährige Speicherung von Zahlungsverkehrsdaten, die keinen konkreten Terrorismusbezug aufweisen, wird von mehreren offiziellen Stellen wie dem Europäischen Datenschutzbeauftragten,600 dem Bundesrat,601 dem Bundesbeauftragten für Datenschutz und Informationsfreiheit602 sowie einigen Bundesministerien603 als unverhältnismäßig angesehen. In zahlreichen politischen Stellungnahmen wird diese Einschätzung geteilt.604 Daten, die nicht extrahiert wurden, werden auf Vorrat vorgehalten, weil die Ermittler die Möglichkeit sehen, dass sie die darin enthaltenen Informationen zu einem späteren Zeitpunkt benötigen werden. Die fünfjährige Speicherung ist deshalb nur dann geeignet und erforderlich, wenn im Rahmen der Terrorismus-Ermittlungen auf Daten zugegriffen werden muss, die bis zu fünf Jahre alt sind. Laut Aussage der Kommissarin Malmström haben die Verhandlungspartner der USA ihr „Statistiken gezeigt, die belegen, dass für die Terrorismusbekämpfung und für Gerichtsverfahren

598

Siehe Kapitel 2. B. II. Zusicherungen der USA an die EU, ABl. C 166 v. 20.07. 2007, S. 18 (24). 600 Stellungnahme des EDSB zum Folgeabkommen, ABl. C 355 v. 29.12. 2010, S. 10 (12). 601 BR-Drs. 151/10, S. 2. 602 Pressemitteilung des BfDI Nr. 21/2010 v. 09.06. 2010. 603 Gutachten der wissenschaftlichen Dienste des BMI und des BMJ (unveröffentlicht), kommentiert in: Swift-Vertrag droht Hängepartie, FTD v. 29.03. 2010, S. 1. 604 MdEP Albrecht, MdEP Alvaro, wiedergegeben in: Heise Online v. 06.06. 2010, abrufbar unter http://www.heise.de/newsticker/meldung/Aerger-um-neues-Swift-Abkommen-10176 56.html; Roßnagel, wiedergegeben in: Swift-Vertrag droht Hängepartie, FTD v. 29.03. 2010, S. 1; MdEP Sippel, MdEP Weber, wiedergegeben in: EU plant besseren Schutz von Daten, Handelsblatt v. 25.03. 2010, S. 14 f. 599

164

Kap. 5: Inhalt des Abkommens

oft Daten herangezogen werden müssen, die zwischen drei und fünf Jahren alt sind.“605 Diese Aussage differenziert allerdings nicht zwischen Gerichtsverfahren und präventiver Ermittlung. Dass für die strafrechtliche Aufarbeitung häufig mehrere Jahre alte Daten als Beweise benötigt werden, liegt auf der Hand, weil die Verfahren mehrere Jahre andauern können und erst im Anschluss gegebenenfalls langwierige staatsanwaltliche Ermittlungen eröffnet werden. Solche Daten werden noch lange nachdem sie aufgespürt wurden benötigt. Im TFTP wurden aber beim erstmaligen Betrachten die entsprechenden Datensätze extrahiert. Die Speicherdauer für extrahierte Dateien liegt nicht bei fünf Jahren, sondern richtet sich flexibel nach dem Zeitraum, in dem sie benötigt werden. Nicht extrahierte Daten sind lediglich für die Ermittlungsarbeit von Nöten, nicht aber als Beweis in Strafverfahren. In wie weit auch für Ermittlungen drei bis fünf Jahre alte Daten benötigt werden, kann der Aussage Malmströms nicht entnommen werden. Erfahrungssätze bezüglich des Alters von Daten aus einer Vorratssammlung, auf das Ermittler zugreifen, bestehen im Telekommunikationsbereich. Infolge der Richtlinie 2006/24/EG606 sind Telefonanbieter dazu angehalten, Informationen über Telefon- und Internetverbindungen ihrer Kunden anlasslos für mindestens sechs Monate zu speichern, damit die Sicherheitsbehörden diese Informationen bei Bedarf abfragen können.607 Evaluationen der behördlichen Anfragen an die Provider haben gezeigt, dass die Zugriffsbegehren nahezu ausschließlich die ersten drei Monate der Speicherung betreffen.608 Allerdings ist die Vorratsdatenspeicherung der Telekommunikationsdaten hinsichtlich ihrer Zielrichtung nur begrenzt vergleichbar mit der Speicherung von Zahlungsverkehrsdaten. Die Speicherung der S.W.I.F.T.-Daten erfolgt ausschließlich zur Terrorismusabwehr.609 Die Speicherung der Telekommunikationsdaten erfolgt zur Abwehr und Aufklärung schwerer Straftaten.610 Terroristische Aktivitäten zählen dazu,611 nehmen aber nur einen kleinen Teil der schweren Straftaten ein. Insofern ist die Aussage, dass die Zugriffe nahezu ausschließlich auf jüngere Daten erfolgen, vor allem auf die Ermittlung zu weniger schwerer Straftaten gerichtet.

605 Kommissarin Malmström im Interview der Frankfurter Rundschau v. 22.06. 2010, S. 8; dies., zitiert in: MMR-Aktuell 2010, Nr. 304572. 606 ABl. L 105 v. 13.4. 2006, S. 54 ff. 607 In Deutschland umgesetzt durch die §§ 113a, b TKG, § 100 g Abs. 1 S. 1 StPO, die jedoch durch die BVerfGE 125, 260 für nichtig erklärt wurden. 608 Roßnagel, K&R 2006, Heft 2/2006, I; Westphal, EuZW 2006, 555 (558); siehe auch Alvaro, Datenschutz-Nachrichten (DANA) 2006, 52 (54). 609 Siehe Kapitel 5 F. I. und G. I. 610 Art. 1 Abs. 1 der RL 2006/24/EG. 611 Al-Jumaili, NJOZ 2008, 188 (204), Fn. 100; Leutheusser-Schnarrenberger, ZRP 2007, 9.

H. Speicherdauer

165

Straftaten haben zumeist eine relativ geringe Vorbereitungsdauer. Tötungs- und Körperverletzungsdelikte geschehen häufig im Affekt oder zumindest ohne das Verstreichen einer nennenswerten Vorbereitungszeit. Auch bei vergleichsweise vorbereitungsintensiven Delikten wie Banküberfällen ist der Zeitraum zwischen dem Tatentschluss und der Ausführung überschaubar. Bei lediglich 2,8 % aller Banküberfälle ist dieser Zeitraum länger als ein Jahr, während rund 80 % weniger als drei Monate nach dem Tatentschluss begangen werden.612 Eher selten werden Straftaten über mehrere Jahre hinweg geplant. Werden die strafrechtlichen Ermittlungen unmittelbar nach der Tatausführung begonnen, ist es deshalb in der Regel ausreichend, Hinweise und Daten auszuwerten, die jüngerer Natur sind. Die Vorbereitungszeit eines Terroranschlages ist hingegen in der Regel deutlich länger. Die Anschläge Al Quaidas haben einen Vorlauf von mehreren Jahren.613 Die Planungsdauer für besonders komplexe Anschläge wird auf rund achtzehn Monate geschätzt.614 Die Anschläge vom 11. September 2001 sind die logistisch aufwändigste Attentatsserie, die bislang durchgeführt wurde. Die ersten Planungen dazu wurden gemäß den Ergebnissen der staatlichen Untersuchungskommission der USA im Januar 2000 aufgenommen.615 Diese Zahlen zeigen zum einen, dass der organisierte Terrorismus hinsichtlich seiner Vorbereitungszeit nicht mit gewöhnlichen Straftaten vergleichbar ist und die Erfahrungen aus dem Bereich der Telekommunikation daher nicht übertragbar sind. Sie zeigen zum anderen, dass eine fünfjährige Speicherung für die Aufklärung der Taten des internationalen Terrorismus großzügig bemessen ist, weil der Vorlauf terroristischer Anschläge in der Regel zwei Jahre nicht überschreitet. Es gilt jedoch auch zu bedenken, dass die Finanzierung terroristischer Aktivitäten den Anfang einer Anschlagsplanung darstellt, weil sie die Grundlage für jedes weitere Agieren bildet. Die Beobachtungen terroristischer Vereinigungen zeigen zudem, dass deren Planungen zunehmend zeitaufwändiger werden.616 In Anbetracht der schwerwiegenden Folgen terroristischer Anschläge dürfen die mit der Terrorismusabwehr befassten Behörden nicht darauf vertrauen, dass die durchschnittliche Vorbereitungszeit auch in Zukunft konstant bleibt. Sie müssen auch die Möglichkeit haben, auf erweiterte Planungszeiten zu reagieren. Wie weit entfernt der Ausführungszeitpunkt eines Anschlags von dem ursprünglichen Tatentschluss im Extremfall entfernt sein kann, zeigt das Beispiel der Attentate von Oslo und Utøya am 22. Juli 2011. Der Einzeltäter Andreas Breivik hatte neun Jahre lang konkrete An-

612

Servay/Rehm, Bankraub aus Sicht der Täter, S. 49 f. War es wirklich Bin Laden?, Die Welt v. 19.09. 2001, S. 3. 614 Der Terror wird von einem souveränen Staat unterstützt, Die Welt v. 15.09. 2001, S. 2. 615 National Commission on Terrorist Attacks Upon the United States, The 9/11 Commission Report, S. 215. 616 Hirschmann, APuZ B 51/2001, S. 7 (13). 613

166

Kap. 5: Inhalt des Abkommens

schlagsplanungen unternommen.617 Weil er vor der Tatausführung noch nicht unter Beobachtung stand, konnte erst im Nachhinein gegen ihn ermittelt werden. Wäre Breivik – entgegen dem tatsächlichen Geschehen – in ein Terrornetzwerk eingegliedert gewesen, hätten Unterstützerleistungen anderer, die mehr als fünf Jahre vor dem Anschlag erfolgten, nicht mehr durch das TFTP ermittelt werden können. Damit das TFTP auch besonders aufwändige Anschlagsplanungen verfolgen kann, ist es notwendig, dass die S.W.I.F.T.-Daten nicht frühzeitig gelöscht werden. Eine maximale Speicherdauer von fünf Jahren für nicht extrahierte Daten ist im Zuge einer Prognose für die Flexibilität des TFTP erforderlich. Die tatsächlich benötigte Speicherdauer wird gemäß Art. 6 Abs. 6 des Folgeabkommens spätestens drei Jahre nach dem Inkrafttreten der Übereinkunft evaluiert und entsprechend angepasst werden.

III. Angemessenheit der fünfjährigen Speicherung Aus der Prognose, dass das TFTP für seine optimale Aufgabenerfüllung eine fünfjährige Speicherung nicht extrahierter Daten benötigt, folgt allerdings noch nicht, dass diese Praktik auch in einem grundrechtlichen Sinn angemessen ist. Werden Daten auf Vorrat gespeichert, hat die Tatsache, dass völlig unbeteiligte Personen von dieser Maßnahme betroffen sind, Auswirkungen auf die zulässige Speicherdauer.618 Hinsichtlich der Mindestspeicherdauer für Telekommunikationsdaten von sechs Monaten ist die Aussage des Bundesverfassungsgerichts auch außerhalb Deutschlands anerkannt,619 dass es sich um einen bereits sehr langen Zeitraum handelt, der einer besonderen Rechtfertigung bedarf.620 Die Betroffenen sind besonders schutzbedürftig, weil die gespeicherten Daten – seien es Telekommunikations- oder Zahlungsverkehrsdaten – die Bildung umfangreicher Profile über verschiedenste Aspekte des Lebens von Personen ermöglichen, die hierfür keinen Anlass gegeben haben.621 Nur der Schutz überragend wichtiger Rechtsgüter kann eine angemessene Rechtfertigung dafür sein, einen derart intensiven Eingriff für längere Zeit aufrecht zu erhalten.622 Der Schutz der Weltbevölkerung vor terroristischen Aktivitäten ist eine solche überragend wichtige Aufgabe, deren Bedeutung Grundrechtseingriffe

617 Manifest des Massenmörders, Spiegel Online v. 24.07. 2011, abrufbar unter http:// www.spiegel.de/panorama/justiz/0,1518,776299,00.html. 618 Frenz, EuZW 2009, 6 (8). 619 Stellungnahme des EDSB zum Folgeabkommen, ABl. C 355 v. 29.12. 2010, S. 10 (12); Urteil des rumänischen Verfassungsgerichtshofs v. 08.10. 2009, vgl. dazu Streinz, DuD 2011, 602 (606) Fn. 63. 620 BVerfGE 125, 260 (316/328); s.a. 121, 1 (20). 621 BVerfGE 125, 260 (318 ff.). 622 Beukelmann, NJW-Spezial 2010, 184.

I. Aufsichtsstrukturen

167

vieler Betroffener rechtfertigt.623 Die praktizierte großflächige Übermittlung von Daten völlig unbeteiligter Personen im Rahmen des Bulk Data Transfers stellt jedoch nach dem oben Festgestellten eine zu weitreichende Maßnahme dar.624 Die Beibehaltung eines unverhältnismäßigen Grundrechtseingriffs durch eine weitere Speicherung der zu Unrecht übermittelten Daten ist ebenfalls grundrechtswidrig. Der Umstand, der zur Unvereinbarkeit mit europäischen Grundrechten führt, ist aber nicht in der Speicherdauer begründet, sondern in der Tatsache, dass überhaupt Paketdaten an die USA übermittelt wurden, die keinen direkten Bezug zum Terrorismus aufweisen. Es ergeben sich somit keine Einwände gegen die Speicherdauer von fünf Jahren an sich, sondern lediglich gegen die Tatsache, dass das TFTP überhaupt Zugriff auf die Daten von am Terrorismus unbeteiligten Bankkunden hat. Aufgrund des Zweckbindungsprinzips aus Art. 8 Abs. 2 S. 1 GRCh können Daten, die unter Verletzung von Grundrechten erhoben wurden, nicht grundrechtskonform verarbeitet werden. Insofern sind sie sofort zu löschen.

I. Aufsichtsstrukturen Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 S. 2 AEUV bestimmen, dass die Einhaltung des Grundrechtsschutzes von einer unabhängigen Stelle überwacht wird. Im Anwendungsbereich des Unionsrechts wird dieses Erfordernis durch die Tätigkeiten des Europäischen Datenschutzbeauftragten sowie der Datenschutzbeauftragten der einzelnen Behörden umgesetzt.625 Auch auf mitgliedstaatlicher Ebene bestehen flächendeckende Netzwerke aus für einzelne Bereiche zuständigen Datenschutzbeauftragten.626 Erfolgt jedoch eine Datenverarbeitung so wie die des TFTP in einem Drittstaat, ist eine unmittelbare Aufsicht und eine direkte Einflussnahme der europäischen und nationalen Datenschutzbeauftragten nicht möglich.627 Die datenschutzrechtliche Aufsichtstätigkeit richtet sich dann nach den Regelungen des Verarbeitungslandes. Das TFTP untersteht dem Finanzministerium der USA, das aber keinen Einblick in die inhaltliche Arbeit des Programms hat. Stattdessen wurde vor Inkrafttreten des transatlantischen Abkommens das Beratungsunternehmen Booz Allen Hamilton mit der externen Aufsicht über das Programm beauftragt.628 Die Bestellung privatrechtlicher Unternehmen als externe betriebliche 623

Siehe Kapitel 5 F. II. 4. Siehe Kapitel 5 F. II. 5. 625 Art. 24, 41 der VO 45/2001/EG. 626 Überbl. über die behördlichen und betrieblichen Datenschutzbeauftragten bei Müller/ Wächter, Der Datenschutzbeauftragte, S. 51 ff. 627 Weichert, VuR 2009, 323. 628 Royaume de Belgique Commission de la Protection de la Vie Privee, Stellungnahme Nr. 37/2006; Connorton, Fordham Law Review 2007, 283 (289 f.); Shea, Journal of High Tech Law 2008, 143 (160). 624

168

Kap. 5: Inhalt des Abkommens

Datenschutzbeauftragte ist auch in Europa nicht ungewöhnlich, kommt mangels Unabhängigkeit vom Auftraggeber aber nicht im öffentlichen Bereich in Frage und kann schon gar nicht die übergeordnete Kontrolle durch eine staatliche Stelle ersetzen. Der mit Grundrechtsqualität ausgestattete629 Art. 39 EUV fordert daher eine „unabhängige Behörde“ als Kontrollinstanz.630 Damit die Datenübermittlung in die USA zulässig ist, muss im zugrundeliegenden Abkommen auch hinsichtlich der Aufsichts- und Kontrollstrukturen ein dem Europäischen Grundrechtsstandard entsprechender Zustand geschaffen werden.631

I. Aufsicht über den Datentransfer Ein auf den ersten Blick großes Zugeständnis der USA gegenüber europäischen Datenschutzbedenken ist in Art. 4 Abs. 3 – 5 des Folgeabkommens zu finden.632 Danach erhält das US-Finanzministerium zwar im unmittelbaren Austausch Daten direkt von S.W.I.F.T., es muss aber jeder einzelne Transfer zunächst von Europol gebilligt werden. Ohne ausdrückliche Zustimmung von Europol findet keine Datenübermittlung statt. Damit nimmt Europol die formale Stellung der letztentscheidenden Behörde ein. Die nähere Betrachtung zeigt jedoch, dass der tatsächliche Einfluss Europols gering ist. 1. Die Befugnisse Europols Das US-Finanzministerium sendet das Ersuchen, das eine Aufstellung der benötigten Daten sowie eine Begründung des Bedarfs enthält,633 zeitgleich an S.W.I.F.T. und an Europol.634 Europol überprüft daraufhin als Eilsache, ob die Anfrage den Anforderungen des Abkommens genügt. Erkennt die Polizeibehörde keine Verstöße, erteilt sie die Freigabe des Datentransfers, den S.W.I.F.T. und das US-Finanzministerium untereinander durchführen. Europol prüft die Rechtmäßigkeit der Anfragen nach den Anforderungen des Art. 4 Abs. 2. Danach erfordert eine korrekte Anfrage die Angabe einer Datenkategorie, das Vorhandensein einer nachvollziehbaren Begründung, ein möglichst eng gefasstes Ersuchen und das Erfordernis, dass keine Daten angefordert werden dürfen, die im SEPA-Format gespeichert sind. Problematisch ist jedoch, dass Europol nur die 629

Knecht, in: Schwarze, EU-Kommentar, Art. 8 GRCh Rn. 10. Bernsdorff, in: Meyer, GRCh, Art. 8 Rn. 24. 631 Siehe Kapitel 5 E. VI. 632 Im Interimsabkommen findet sich keine vergleichbare Regelung, weil das Verfahren zur Freigabe nach einem komplett abweichenden Konzept vorgesehen war, vgl. Art. 4 des Interimsabkommens. 633 Art. 4 Abs. 2 lit. a, b des Folgeabkommens. 634 Art. 4 Abs. 3 des Folgeabkommens. 630

I. Aufsichtsstrukturen

169

Anfrage zu sehen bekommt, nicht aber die Antwort durch S.W.I.F.T. Weil die Polizeibehörde auch keinen Einblick in den Datenbestand von S.W.I.F.T. hat, kann sie nur erahnen, welchen Inhalt die in die USA übermittelten Daten haben. Ob Nachrichten im SEPA-Format angefordert wurden, kann aber nur beurteilen, wer die entsprechenden Datensätze ansehen kann, denn es hängt von der konkreten im Kreditinstitut verwendeten Technologie ab, ob dies der Fall ist. Schwierigkeiten dürften bei Europol auch bestehen, wenn die Behörde bestätigen soll, dass das Ersuchen so eng wie möglich gefasst ist. Wie bereits dargestellt werden nicht präzise Abfragen einzelner Datensätze getätigt, sondern es müssen aus technischen Gründen die Daten aus ganzen Regionen abgefragt werden. Ob im Einzelfall eine engere Eingrenzung möglich gewesen wäre, kann ebenfalls nur beurteilen, wer Einblick in die S.W.I.F.T.-Server oder zumindest die übermittelten Daten hat. Aus diesen Gründen ist Europol gar nicht in der Lage, die in Art. 4 Abs. 4 des Folgeabkommen zugewiesene Überprüfung vollständig auszuführen. Weil Europol nur die Anfrage des US-Finanzministeriums, nicht aber die Antwort von S.W.I.F.T. einsehen kann, ist die Behörde zudem noch nicht einmal dazu befähigt, zu beurteilen, ob das Ersuchen korrekt beantwortet wird oder ob Daten in die USA übermittelt werden, nach denen gar nicht angefragt wurde. Eine Kontrolle der Übermittlung durch Europol ist im Abkommen auch gar nicht vorgesehen, obwohl es sich um die zentrale Maßnahme handelt, für deren Durchführung das Abkommen geschlossen wurde.635 Ist tatsächlich die Datenübermittlung weiter als sie es nach der Anfrage hätte sein müssen, so werden diese Daten nach Erhalt beim TFTP gelöscht.636 Eine Aufsicht darüber geschieht erst im Nachhinein und nicht durch Europol.637 Die Löschung nach Erhalt betrifft auch nur solche Daten, die nicht angefordert wurden. Werden entgegen der Bestimmungen im Abkommen Nachrichten im SEPA-Format übermittelt, muss keine Löschung erfolgen. Dass die USA tatsächlich keine SEPA-Daten erhalten, kann demnach allenfalls durch eine präventive Kontrolle verhindert werden, deren Durchführung grundsätzlich Europol obliegt. Zusammenfassend gilt es festzuhalten, dass die ausschließlich durch Europol erfolgende Aufsicht über die Datenübermittlungen nur unzureichend ist, weil der Behörde durch das Abkommen keine Befugnis erteilt wurde, die übermittelten Daten einzusehen. Sie ist deshalb nicht in der Lage, ihre Aufgabe angemessen zu erfüllen.

2. Die tatsächliche Nutzung der Befugnisse Europols Nach dem gerade Festgestellten ist Europol angehalten, eine Beurteilung auszusprechen, für die nicht alle erforderlichen Informationen vorliegen. In einer sol635

Die Bedeutung der Übermittlung in die USA ergibt sich schon aus der Bezeichnung als „Abkommen […] über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika […]“. 636 Art. 4 Abs. 2 des Folgeabkommens. 637 Siehe Kapitel 5 H. II.

170

Kap. 5: Inhalt des Abkommens

chen Situation ergeben sich zwei Handlungsalternativen: Zum einen kann die Behörde immer dann ein Veto einlegen, wenn sie sich nicht sicher ist, ob die Anforderungen des Abkommens gewahrt wurden. Sie würde damit der Maxime folgen, im Zweifel gegen den Grundrechtseingriff zu entscheiden. Zum anderen kann sie die Variante wählen, im Zweifel die Transaktion zu genehmigen und damit auf die Einschätzung derjenigen Stellen zu vertrauen, die Einsicht in alle entscheidungserheblichen Informationen haben. Da Europol als Aufsichtsbehörde im Sinne des Art. 8 Abs. 3 GRCh fungiert, muss die Entscheidung zu Gunsten der ersten Variante fallen. Das mit Grundrechtsfunktion ausgestattete Erfordernis, unabhängige Stellen über die Datenverarbeitungen anderer wachen zu lassen ist in keinster Weise mit einer Praxis vereinbar, in der die verarbeitenden Akteure nur selbst umfassenden Einblick in ihre Tätigkeiten haben. Gemäß dem Untersuchungsbericht des Europol Joint Supervisory Body638 haben die USA im Zeitraum vom 28. Juni bis zum 11. November 2010 genau vier Anfragen getätigt, die von Europol gebilligt wurden.639 Die Anfragen waren allgemein gehalten und zielten auf die Übermittlung großer Datenmengen ab. Die Begründung des Terrorismuszusammenhangs geschah dem Untersuchungsbericht zufolge in der Regel allenfalls mündlich. Die Untersuchungskommission kam zu der Einschätzung, dass Europol wegen der Abstraktheit der Anfragen keine Möglichkeit hatte, eine tiefgreifende Beurteilung nach Art. 4 Abs. 4 des Folgeabkommens durchzuführen. Dieses Vorgehen der USA überrascht nicht, weil es auf die Erlangung von Bulk Data abzielt. Europol hätte bei korrekter Ausführung ihrer Aufsichtstätigkeit aber gegen die Datenübermittlungen ein Veto einlegen müssen. Art. 4 Abs. 2 lit. b und c des Folgeabkommens verlangen so eng wie möglich gefasste Anfragen, die mit einer klaren Begründung versehen sind, warum die Daten notwendig sind. Damit Europol die Einhaltung zumindest dieser Mindestvoraussetzungen bestätigen kann, muss die Anfrage den Namen der verdächtigten Person inklusive einer konkreten Begründung enthalten, die den Terrorverdacht erhärtet. Dass S.W.I.F.T., wie von der EU-Kommission gefordert,640 aus Gründen der Geheimhaltung keine Kenntnis von derartigen geheimdienstlichen Informationen erhalten soll, ist nachvollziehbar. Es steht dem TFTP jedoch frei, Europol ergänzende Informationen zukommen zu lassen. Die Anonymität der Verdächtigen würde damit gewahrt und eine Überprüfung der Anfragen nach den im Abkommen niedergelegten Kriterien dennoch ermöglicht. Fehlt es aber an detaillierten Informationen zum konkreten Fall, in dem das TFTP ermitteln soll, muss Europol in ordnungsgemäßer Ausübung ihrer Aufsichtsfunktion die Datenübermittlung ablehnen.

638

Der EJSB ist ein unabhängiges Gremium der EU, das mit der Kontrolle über Europol befasst ist, vgl. http://europoljsb.consilium.europa.eu. 639 European Joint Supervisory Body, Untersuchungsbericht Nr. 11 – 07, S. 5. 640 Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429, S. 3; siehe dazu Kapitel 5 F. II. 3. a) dd).

I. Aufsichtsstrukturen

171

3. Unabhängige Stelle Die beaufsichtigende Stelle muss gemäß Art. 8 Abs. 3 GRCh unabhängig sein. Art. 28 Abs. 1 UAbs. 2 der EG-Datenschutzrichtlinie konkretisiert diesen Grundsatz sogar dahingehend, dass die „in völliger Unabhängigkeit“ agieren soll. a) Gefährdung der Unabhängigkeit durch Interessenskonflikte Zweifel an der Unabhängigkeit Europols kommen dadurch auf, dass die Polizeibehörde selbst von den Informationen des TFTP profitiert und die Mitarbeiter Europols deshalb an einer möglichst großzügigen Datenübermittlung interessiert sein könnten.641 Gemäß Art. 9 Abs. 1 S. 1, 10 S. 1 des Folgeabkommens kann Europol Einsicht in einzelne Ermittlungsergebnisse des TFTP beantragen bzw. erhält bei Bestehen einer hinreichenden Gefahr automatisch Hinweise aus den USA.642 Die Vermutung liegt deshalb nahe, dass die Ermittler bei Europol das Sicherheitsinteresse ihrer eigenen Institution bei der Genehmigung der Datentransfers stets im Blick haben und deshalb die Abwägung zwischen Datenschutz und Sicherheit nicht gänzlich unabhängig vornehmen. Die Kommissarin für Inneres Malmström hat solchen Bedenken entgegengehalten, dass es zu Europol keine Alternative gibt und auf die bei Europol angesiedelte, gut ausgebaute Datenschutzabteilung verwiesen.643 Die Tatsache, dass nicht die für Ermittlungen zuständigen Mitarbeiter Europols, sondern eine davon getrennte Datenschutzabteilung die Datentransfers überwachen, mildert den Interessenskonflikt ab. Nicht nachvollziehbar ist hingegen die Aussage, dass Europol als Kontrollinstanz alternativlos ist, verfügt die EU doch über einen Datenschutzbeauftragten, dessen Mitarbeiter mit der Aufsichtstätigkeit in dem Bereich des Datenschutzes vertraut sind. Die Ermittlungsarbeit Europols ist nach dem gerade Festgestellten teilweise abhängig von den Informationen, über die das TFTP verfügt. Nach dem allgemeinen Sprachgebrauch ist Europol deshalb keine unabhängige Stelle. Dieser Begriff der Unabhängigkeit deckt sich jedoch nicht mit dem der Grundrechtecharta und der EGDatenschutzrichtlinie. Das dort aufgestellte Erfordernis einer unabhängigen Kontrollstelle zielt darauf ab, dass diese frei von Weisungen und ohne Drück handeln kann.644 Gemeint ist also die Unabhängigkeit gegenüber Einflussnahme von außen,645 insbesondere durch die Legislative oder die Exekutive.646 Diese Weisungsfreiheit umfasst ebenso wie die von Richtern die inhaltlichen Entscheidungen 641 BfDI Schaar, zitiert in MMR-Aktuell 2010, Nr. 306799; MdEP Albrecht, Pressemitteilung v. 08.07. 2010, abrufbar unter http://janalbrecht.eu/page/23. 642 Bzw. Art. 7 f. des Interimsabkommens. 643 Kommissarin Malmström im Interview der Frankfurter Rundschau v. 22.06. 2010, S. 8. 644 EuGH DuD 2010, 335 (336). 645 Petri/Tinnefeld, MMR 2010, 157 (159). 646 Schild, DuD 2010, 549 (551).

172

Kap. 5: Inhalt des Abkommens

der Aufsichtsbehörde, die lediglich einer eingeschränkten Rechts- und Dienstaufsicht unterworfen ist.647 Nicht gemeint ist die innere Abhängigkeit aufgrund von Interessenskonflikten. Dies wird deutlich aus der Literatur zur richterlichen Unabhängigkeit, die gleichermaßen für den verfassungsrechtlichen als auch für den europarechtlichen Kontext gilt.648 Selbst die Befangenheit eines Richters führt nur dann zu einer Einschränkung seiner Unabhängigkeit, wenn sie auf äußerem Druck basiert.649 Eine Befangenheit aufgrund eigener, autonomer Interessen des Richters hat diese Folge nicht. Dasselbe muss für Datenschutz-Aufsichtsbehörden gelten, deren Unabhängigkeit mit denen der Richter vergleichbar ist.650 Zweifellos ist die Einsetzung Europols als alleinige Kontrollinstanz über die Datentransfers in die USA nicht geglückt. Zur fehlenden Unabhängigkeit Europols von äußerem Druck führt der aufgezeigte Interessenskonflikt hingegen nicht. b) Gefährdung der Unabhängigkeit durch Weisungen Europol ist nur dann eine unabhängige Stelle im i.S.d. Art. 8 Abs. 3 GRCh, wenn die Behörde frei agieren kann, ohne dass sie Druck von außen oder auf Sachfragen bezogene Weisungen erdulden muss. Die Ermittlungsarbeit wird jedoch vom Verwaltungsrat der Behörde überwacht, der sich aus Vertretern aller Mitgliedstaaten der EU zusammensetzt.651 Das Gremium überwacht insbesondere die Amtsführung des Direktors und erstellt eine verbindliche Strategie für die Arbeitsweise Europols.652 Es verfügt damit über einen bedeutsamen Einfluss auf die inhaltlichen Entscheidungen Europols. Europol ist damit keine unabhängige Stelle i.S.d. Art. 8 Abs. 3 GRCh. Es muss jedoch bedacht werden, dass die Genehmigungen der Übermittlung von S.W.I.F.T.-Daten durch die „Datenschutzabteilung“ Europols vorgenommen wird.653 Damit hat die Kommissarin Malmström den behördlichen Datenschutzbeauftragten Europols gemeint.654 Dessen Unabhängigkeit im datenschutzrechtlichen Sinne ist sekundärrechtlich garantiert.655 Solange die Überwachungsaufgabe tatsächlich von 647 Schild, DuD 2010, 549 (551); Zöllner, Der Datenschutzbeauftragte im Verfassungssystem, S. 167 f. 648 Hillgruber, in: Maunz/Dürig, GG, Art. 97 Rn. 117. 649 Europarechtlicher Kontext: Meyer-Ladewig, in: ders., EMRK, Art. 6 Rn. 68 f.; Schädler, in: Hannich, Karlsruher Kommentar zur StPO, Art. 6 EMRK Rn. 13; verfassungsrechtlicher Kontext: Hillgruber, in: Maunz/Dürig, GG, Art. 97 Rn. 5; Krekeler, NJW 1981, 1633 (1636); Riedel, Das Postulat der Unparteilichkeit des Richters, S. 156. 650 Zöllner, Der Datenschutzbeauftragte im Verfassungssystem, S. 167 f. 651 Art. 37 Abs. 1 des Ratsbeschlusses Nr. 2009/371/JI v. 06.04. 2009 zur Errichtung des Europäischen Polizeiamts (Europol), ABl. L 121 v. 15.05. 2009, S. 37. 652 Art. 37 Abs. 9 lit. a, b des Ratsbeschlusses Nr. 2009/371/JI. 653 Siehe Kapitel 5 I. I. 3. a). 654 BT-Drs. 17/4949. 655 Art. 28 Abs. 1 S. 2 des Ratsbeschlusses Nr. 2009/371/JI.

I. Aufsichtsstrukturen

173

ihm bzw. seiner als Datenschutzsekretariat bezeichneten Abteilung vorgenommen wird, bestehen keine Bedenken. Die Befassung des Datenschutzbeauftragten findet allerdings im Abkommen mit den USA keine Erwähnung. Stattdessen ist die nichtunabhängige Behörde Europol als Ganzes für die Genehmigung der transatlantischen Übermittlungen vorgesehen.656 Die im Abkommen angestrebte Garantie einer unabhängigen Kontrollinstanz geht deshalb nicht weit genug. Sie bedarf der Konkretisierung, dass es die „Datenschutzabteilung“ Europols ist, die Aufsichtstätigkeit vorzunehmen hat. 4. Fehlen eines Richtervorbehalts Bei Europol handelt es sich um eine Polizeibehörde und damit eine Einrichtung der Exekutive.657 Der oben dargelegte Interessenskonflikt, dem eine Ermittlungsbehörde ausgesetzt sein kann, die zugleich auch den Datenschutz überwachen soll,658 hat zahlreiche Mitglieder des Europäischen Parlaments dazu veranlasst, Richter als Kontrollinstanz einsetzen zu wollen.659 Die Kommission hat daraufhin in den Verhandlungen mit den USA die Position verfolgt, dass die Aufsicht über die Datentransfers durch eine „juristische Behörde“ erfolgen sollte.660 Im endgültigen Abkommenstext hat die Forderung jedoch keinen Niederschlag gefunden. Der Ruf nach präventiver richterlicher Genehmigung jeder einzelnen Transaktion stand unter dem Eindruck des kurz zuvor erlassenen Urteils des Bundesverfassungsgerichts zur Vorratsdatenspeicherung.661 Nach der Maßgabe der Entscheidung dürfen die bei den Telekommunikationsprovidern gespeicherten Vorratsdaten nur nach richterlicher Einzelfallgenehmigung von den Ermittlungsbehörden angefordert werden. Der Grund dafür liegt in der besonderen Intensität des Eingriffs, weil ganze Personenprofile mit einer Abfrage erstellt werden können und die Maßnahme heimlich erfolgt.662 Wenn die Betroffenen nicht über einen so gravierenden Eingriff informiert sind, dann soll zumindest eine Stelle über ihre Interessen wachen, die in der Lage ist, diese angemessen zu vertreten. Richter, so das Bundesverfassungsgericht, können aufgrund ihrer persönlichen und sachlichen Unabhängigkeit sowie ihrer ausschließlichen Gesetzesbindung die Rechte Betroffener am sichersten wahren.663 Der rumänische Verfassungsgerichtshof hat in einer vergleichbaren Entscheidung ebenfalls aufgrund des starken Privatsphärebezugs664 der Vorratsda-

656 657 658 659 660 661 662 663 664

Art. 4 Abs. 4, 5 des Folgeabkommens. Schaefer, NJW 1999, 543. Siehe Kapitel 5 I. I. 3. a). Kommission geht auf Bedenken des Parlaments ein, FAZ v. 25.03. 2010, S. 5. Pressemitteilung der Kommission Nr. IP/10/348 v. 24.03. 2010. BVerfGE 125, 260. BVerfGE 125, 260 (337). BVerfGE 125, 260 (337); 77, 1 (51); 120, 274 (332). Murphy, CMLRev 2010 (47), 933 (938), bezogen auf die rumänische Entscheidung.

174

Kap. 5: Inhalt des Abkommens

tenspeicherung einen Richtervorbehalt für Anfragen der Ermittlungsbehörden gefordert.665 Die beiden Entscheidungen unterstreichen die Bedeutung einer unabhängigen Kontrollinstanz, die ein Veto gegen jede einzelne Datenübermittlung einlegen kann. Dass diese Aufgabe Richtern übertragen wird, erscheint sinnvoll. Zwingend ist es jedoch keineswegs. Die beiden Urteile sind auf das jeweilige nationale Verfassungsrecht bezogen und haben daher keine Bindungswirkung für Abkommen, die die Europäische Union schließt. Die Äußerung zweier Verfassungsgerichte genügt schließlich noch nicht, um eine gemeinsame Verfassungsüberlieferung der Mitgliedstaaten zu begründen, die gemäß Art. 6 Abs. 3 Alt. 2 EUV das Handeln der Union binden würde. Auch in sachlicher Hinsicht ist nicht ersichtlich, warum zwingend ein Richter die Aufsicht über die Datentransfers vornehmen sollte. Datenschutzbeauftragte und andere unabhängige Stellen sind für diese Aufgabe ebenso geeignet. Weil das Grundrecht auf informationelle Selbstbestimmung aus Art. 8 GRCh auch keinen Richtervorbehalt kennt, wäre es systemwidrig, diesen hineinzulesen, solange die Aufsichtstätigkeit durch andere Stellen nicht zu einer Negierung des Wesensgehalts des Grundrechts führen würde. Dies ergibt sich aus der Tatsache, dass Richtervorbehalte im europäischen Grundrechtesystem durchaus vorkommen,666 jedoch nicht in Bezug auf den Datenschutz.667 5. Zwischenergebnis Die Einsetzung Europols als Aufsicht über die Datenübermittlungen ist sowohl hinsichtlich der Unabhängigkeit des Gremiums als auch hinsichtlich möglicher Interessenskonflikte nicht geglückt. Solange der Datenschutzbeauftragte Europols die Aufgabe übernimmt, bestehen jedoch keine rechtlichen Bedenken. Die Befassung einer konkreten der des Datenschutzbeauftragten als einer Abteilung Europols ist jedoch im Abkommen nicht vorgesehen. Stattdessen ist die Behörde Europol im Ganzen mit der Aufsichtstätigkeit befasst worden, was im Hinblick auf die Unabhängigkeit des Gremiums nicht den Anforderungen von Art. 8 Abs. 3 GRCh genügt. In grundrechtlicher Hinsicht problematisch sind jedoch zum einen die stark be665 Entscheidung des rumänischen Verfassungsgerichtshofs Nr. 1258 v. 08.10. 2009, abrufbar unter http://www.legi-internet.ro/fileadmin/editor_folder/pdf/Decizie_curtea_constitutionala_pastrarea_datelor_de_trafic.pdf; als nichtamtliche englischsprachige Übersetzung abrufbar unter http://www.statewatch.org/news/2009/nov/romania-court-data-ret.pdf. 666 Freiheitsentziehungen erfordern im Unionsrecht die Genehmigung durch einen Richter. Diese Maßgabe ist in Art. 6 GRCh zwar nicht explizit enthalten, ist gemäß den verbindlichen Erläuterungen des Grundrechtekonvents aber in den Schranken aus Art. 5 Abs. 2 EGMR enthalten, die auf Art. 6 GRCh zu übertragen sind, siehe Bernsdorff, in: Meyer, GRCh, Art. 6 Rn. 13. 667 Dieses Argument hat Wolff, NVwZ 2010, 751 (752), im Zusammenhang der TK-Vorratsdatenspeicherung zu Art. 10 GG entworfen.

I. Aufsichtsstrukturen

175

grenzte Informationsgrundlage und die restriktive Anwendung der Kontrollbefugnisse.

II. Aufsicht über die Auswertung Sind die Zahlungsverkehrsdaten an das TFTP übermittelt worden, befinden sie sich im Hoheitsgebiet der USA, sodass grundsätzlich kein Einfluss der EU auf die weitere Verwendung der Daten besteht. Die EU kann dann nur noch solche Aufsichtsmaßnahmen durchführen, die die USA ihr explizit gestattet haben. Solche Kontrollbefugnisse sind ihr durch die Art. 12 und 13 des Folgeabkommens eingeräumt. Die Überwachungsstrategie des Abkommens gliedert sich in zwei Teile: Zum einen sind im TFTP kontinuierlich unabhängige Kontrolleure vor Ort, zum anderen finden regelmäßige großangelegte Überprüfungen durch eine Kommission aus Europäern und US-Amerikanern statt. 1. Laufende Kontrolle durch unabhängige Prüfer Art. 12 Abs. 1 des Folgeabkommens sieht die Einrichtung einer unabhängigen Prüferkommission vor, die ein von der EU benanntes Mitglied enthält. Hinsichtlich der weiteren Mitglieder gibt das Abkommen keine Angaben. Aus der ausdrücklichen Ermächtigung, dass die EU eine Person bestimmen darf, folgt im Umkehrschluss, dass die USA Größe und sonstige Zusammensetzung des Gremiums einseitig bestimmen können. Der von der EU benannte Aufseher hat im August 2010, also unmittelbar mit Inkrafttreten des Folgeabkommens seinen Dienst aufgenommen; über seine Identität ist aus Sicherheitsgründen nichts bekannt.668 Die Mitglieder des Kontrollgremiums halten sich permanent in den USA auf und haben die Befugnis, alle Suchabfragen der bereitgestellten Daten in Echtzeit und nachträglich zu überprüfen.669 Dies bedeutet nicht, dass stets Mitglieder des Gremiums im TFTP anwesend sind. Jegliche Kontrollhandlungen dürfen gemäß Art. 12 Abs. 1 des Folgeabkommens nur „mit Zustimmung der Vereinigten Staaten und nach Durchführung angemessener Sicherheitsüberprüfungen durch die Vereinigten Staaten“ geschehen. Es ist nur verständlich, dass es sich die USA in einer für die eigene Sicherheit höchst sensiblen Einrichtung vorbehalten, die Aufseher strengen Sicherheitsüberprüfungen zu unterziehen. Dieser Vorbehalt dient nicht nur dem nationalen Interesse der USA, sondern auch dem datenschutzrechtlich gebotenen verantwortungsvollen Umgang in einer gesicherten Umgebung.670 Dass jedoch jegliche Aufsichtstätigkeit von der Zustimmung der USA abhängig ist, stellt einen massiven Einschnitt in die Arbeit des Kontrollgremiums dar. Damit wird die Aufsicht unter den Vorbehalt derjenigen Institution gestellt, die beaufsichtigt werden soll. Zu 668 669 670

MMR-Aktuell 2010, 307648. Art. 12 Abs. 1 S. 2 des Folgeabkommens. Vgl. Art. 17 Abs. 1 der RL 95/46/EG.

176

Kap. 5: Inhalt des Abkommens

Recht weist der Bundesdatenschutzbeauftragte in diesem Zusammenhang auf die zu engen Kontrollbefugnisse des Prüfergremiums hin.671 Dem Wortlaut des Abkommens nach bedürfen die Zustimmung der USA zu Tätigkeiten der Kontrolleure sowie deren Verweigerung keiner Begründung. Insbesondere muss die Verweigerung einer Zustimmung nicht das Ergebnis einer Sicherheitsüberprüfung sein, weil aus der Formulierung im Abkommen eindeutig hervorgeht, dass Zustimmung und positive Sicherheitsüberprüfung kumulativ vorliegen müssen. Würde aber die Durchführung von Aufsichtsmaßnahmen alleine der Willkür der zu überwachenden Stelle unterliegen, wären die im Abkommen vorgesehenen Kontrollstrukturen ohne Wert. Es ist nicht anzunehmen, dass die Vertragsparteien eine wirkungslose Aufsicht über die Datenauswertung im TFTP einsetzen wollten. Dies würde zum einen europäischen Datenschutzanforderungen nicht gerecht werden, zum anderen widerspräche dies der Einfügung eines mit der Überschrift „Überwachung der Garantien und Kontrollen“ versehenen Art. 12 in das Abkommen. Deshalb ist das Erfordernis der Zustimmung der USA dahingehend auszulegen, dass Tätigkeiten des Kontrollgremiums nur bei Vorliegen eines konkreten, gewichtigen Grundes abgelehnt werden dürfen. Gründe für die Verweigerung eines Kontrolleurs können beispielsweise dann gegeben sein, wenn infolge der Sicherheitsüberprüfung Bedenken bestehen, weil sie einen persönlichen Bezug zum Terrorismus aufweisen. Fälle in denen ein Kontrolleur eine Verbindung zu einem ausländischen Geheimdienst oder ähnlichen Gruppen aufweist, können ebenfalls eine Ablehnung der Person zur Folge haben. Dies kann im Regelfall nur bezüglich einzelner Mitglieder des Kontrollgremiums gelten. Kaum zu rechtfertigen wird eine Ablehnung von Tätigkeiten des gesamten Gremiums sein. 2. Regelmäßige nachträgliche Überprüfung Zur oben dargestellten laufenden Überprüfung durch ein Gremium aus unabhängigen Aufsichtspersonen tritt eine zweite Kontrollinstanz hinzu: Die gemeinsame Überprüfung durch die Vertragsparteien nach Art. 13 des Folgeabkommens. Dazu finden sich in regelmäßigen Abständen eine Delegation der EU-Kommission und eine des US-Finanzministeriums beim TFTP ein überprüfen die Rechtmäßigkeit vergangener Suchabfragen. Auch von der Kommission benannte Sachverständige und Datenschutzbeauftragte sind Teil der EU-Delegation.672 Die gemeinsame Überprüfung findet in nicht näher spezifizierten „regelmäßigen Abständen“ statt und kann von jeder Vertragspartei, also der EU oder der USA verlangt werden.673 Es handelt sich bei der gemeinsamen Überprüfung nicht um eine umfassende Auswertung der Tätigkeiten des TFTP, sondern lediglich um eine Beurteilung des 671 672 673

BfDI Schaar, wiedergegeben in MMR-Aktuell 2010, Nr. 306799. Art. 13 Abs. 3 des Folgeabkommens. Art. 13 Abs. 1 des Folgeabkommens.

J. Rechtsschutz betroffener Bürger

177

grundsätzlichen Arbeitsablaufs des Programms. Dies wird deutlich in Art. 13 Abs. 2 S. 2 des Folgeabkommens, wonach lediglich „repräsentative Zufallsstichproben“ vorgenommen werden. Bei mehreren tausend Suchabfragen pro Jahr,674 die jeweils zahlreiche Datensätze als Ergebnis liefern, wäre eine Betrachtung jedes Einzelfalls sehr aufwändig, wenn auch durchaus möglich. Eine lückenlose Überwachung ist auch nicht erforderlich, weil bereits die laufende Kontrolle durch unabhängige Prüfer diese übernehmen kann. Solange die USA die kontinuierliche Aufsichtstätigkeit nicht durch die Verweigerung von Zustimmungen hierzu beeinträchtigen, ist es deshalb nicht problematisch, dass die gemeinsame Überprüfung relativ oberflächlich ist.

J. Rechtsschutz betroffener Bürger Allen Unionsbürgern steht die Gewähr effektiven Rechtsschutzes zu, wenn durch das Handeln der EU in ihre Rechte eingegriffen wird. Veranlasst die EU den Transfer personenbezogener Zahlungsverkehrsdaten in einen Drittstaat ohne angemessenes Schutzniveau, so ist dies nur zulässig, wenn dem Betroffenen im Bestimmungsland Rechtsmittel zur Verfügung stehen, die mit denen im Unionsgebiet vergleichbar sind.675 Das Rechtsschutzgebot ergibt sich als subjektives Recht nicht nur aus Art. 47 GRCh und dem für Maßnahmen gegen die Terrorismusfinanzierung speziell vorgesehenen Art. 75 UAbs. 3 AEUV, sondern ist auch als rechtsstaatliches Grundprinzip europaweit anerkannt.676 Die das Grundrecht auf informationelle Selbstbestimmung betreffende Regelung des Art. 8 Abs. 2 S. 2 GRCh konkretisiert den Rechtsschutz auf zwei typische Begehren: Die Auskunft darüber, welche Daten erhoben, gespeichert und verarbeitet wurden und die Berichtigung der Datensätze. Erst das Wissen über bei einer Behörde gespeicherte Daten kann die Initiative des Betroffenen zur Berichtigung unrichtiger Daten auslösen, sodass die Auskunft die Grundvoraussetzung für einen effektiven Rechtsschutz bildet.677 Die Relevanz der Berichtigungsmöglichkeit versteht sich von selbst: Überall dort, wo Informationen im großen Stil verarbeitet werden, sind Fehler nicht auszuschließen. Unrichtige personenbezogene Angaben können besonders intensive Grundrechtsbeeinträchtigungen nach sich ziehen,678 sodass die Möglichkeit bestehen muss, Korrekturen zu erzwingen. Ein drittes, ebenfalls zum effektiven Rechtsschutz im Bereich des Datenschutzes zählendes Begehren ergänzt Art. 12

674

Siehe Kapitel 5 G. II. 3. Zum Erfordernis des angemessenen Schutzniveaus bei der Datenübermittlung in Drittstaaten siehe Kapitel 5 E. V. 676 Schmidt-Jortzig, NJW 1994, 2569 (2570 ff.). 677 Korn, DÖV 232 (233). 678 BVerfG NJW 2008, 822 (830) – Onlinedurchsuchung; Becker, ZLR 2011, 391 (413 f.); Gola/Schomerus, in: dies., BDSG, § 22 Rn. 2. 675

178

Kap. 5: Inhalt des Abkommens

lit. b der EG-Datenschutzrichtlinie: Sofern die Speicherung personenbezogener Daten rechtswidrig ist, muss der Betroffene die Löschung erwirken können.

I. Auskunftsrecht Art. 15 des Folgeabkommens räumt Unionsbürgern Einsicht in die sie betreffenden Zahlungsverkehrsdaten ein, die das TFTP gespeichert hat. Obwohl die nachfolgend erläuterten Beschränkungen und verfahrenstechnischen Hürden das Auskunftsrecht stark verwässern, ist die grundsätzliche Bereitschaft der USA, Einsicht in ihren Datenbestand zu gewähren als Fortschritt zu bewerten. Das Interimsabkommen enthielt noch kein Auskunftsrecht, sondern lediglich die gegebenenfalls kostenpflichtige Möglichkeit, von der jeweiligen nationalen Datenschutzbehörde Bestätigungen darüber zu erhalten, dass seitens der Europäischen Union alle erforderlichen Aufsichtsmaßnahmen durchgeführt wurden.679 Dieser als „Rechtsbehelf“ bezeichnete Antrag war weder auf Einsicht in die in den USA gespeicherten Daten gerichtet noch hätte die Antwort einen direkten Bezug auf konkrete Datensätze gehabt. Der „Rechtsbehelf“ diente in keiner Weise dem grundrechtlich verbürgten Auskunfts- und Rechtsschutzinteresse betroffener Personen. Das im Folgeabkommen enthaltene Auskunftsrecht genügt den grundrechtlichen Anforderungen zwar auch nicht, stellt jedoch im Vergleich zum vorherigen Vertragstext einen deutlichen Verhandlungserfolg der EU dar. 1. Antragsvoraussetzungen Die Voraussetzungen, die ein Antrag auf Einsicht in die persönlichen Daten, die beim TFTP gespeichert sind, erfüllen muss, werden im Abkommen nur angedeutet. Art. 14 S. 2 des Folgeabkommens verweist hinsichtlich des Verfahrens auf Bekanntmachungen auf der Website des US-Finanzministeriums. Diese Verweisungstechnik hat zur Folge, dass die USA das Vorgehen hinsichtlich einer Auskunftserteilung nicht nur einseitig festlegen können, sondern auch nach Belieben abändern können. Es ist deshalb kaum verwunderlich, dass die Antragstellung nicht unkompliziert ist. Die Leitlinien zur Antragstellung sind abrufbar auf der Website des US-Finanzministeriums.680 In der Menüstruktur der umfangreichen Internetpräsenz der Behörde ist die Unterseite schwer auffindbar, jedoch ist der Bundesdatenschutzbeauftragte den Antragstellern beim Auffinden des Dokuments behilflich.

679

Art. 11 Abs. 1 des Interimsabkommens. http://www.treasury.gov/resource-center/terrorist-illicit-finance/Terrorist-Finance-Tra cking/Documents/Revised%20Redress%20Procedures%20for%20Web%20Posting%20 % 288 – 8-11 %29.pdf. 680

J. Rechtsschutz betroffener Bürger

179

a) Antragsberechtigung Das Recht, eigene Daten einzusehen, die im TFTP gespeichert sind, besteht für „Jede Person“.681 Dem Wortlaut nach sind davon alle Personen weltweit umfasst. Eine solche Lösung würde auch Sinn ergeben, weil S.W.I.F.T. Zahlungsverkehrsdaten von Bankkunden aller Kontinente versendet. Insofern wäre es denkbar, dass die USA und die EU in diesem Punkt einen völkerrechtlichen Vertrag zu Gunsten Dritter vereinbart haben.682 Dieser weiten Auslegung widerspricht allerdings, dass die Auskunft ersuchenden Personen sich an „ihre Datenschutzbehörde in der Europäischen Union“ zu wenden haben.683 Deshalb können die Verhandlungspartner lediglich Unionsbürger im Sinn gehabt haben. Die Berechtigung jeder Person684 statt jedes Bürgers deutet an, dass auch juristischen Personen ein Auskunftsrecht zusteht. Auch in den USA ist die Rechtskonstruktion der artificial person etabliert.685 Weil auch Unternehmen Bankkonten führen und ihre Daten im europäischen Recht ebenfalls Grundrechtsschutz genießen,686 ist Art. 15 des Folgeabkommens dahingehend auszulegen, dass juristischen Personen die gleichen Rechtsmittel zustehen wie Individuen. b) Adressat Das Abkommen sieht keinen direkten Kontakt zwischen den Unionsbürgern und dem US-Finanzministerium vor. Vielmehr müssen sich Antragsteller an ihre nationale Datenschutz-Aufsichtsbehörde wenden, die die den Antrag prüft und an das Finanzministerium der USA weiterleitet. In Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die nationale Aufsichtsbehörde.687 Weniger präzise war das Interimsabkommen, das lediglich festlegte, dass sich jede Person von „ihrer Datenschutzbehörde“ Auskünfte bekommen konnte.688 Darunter hätten auch der Europäische Datenschutzbeauftragte oder die Aufsichtsbehörde des jeweiligen Bundeslandes fallen können. Nach Erhalt des Auskunftsbegehrens bearbeitet der Datenschutzbeauftragte des US-Finanzministeriums den Antrag und sendet seine Antwort zurück zur nationalen Aufsichtsbehörde, von der er den Antrag erhalten hat.689 Die mitgliedstaatliche 681 682

(3). 683 684 685 686 687 688 689

Art. 15 Abs. 1 des Folgeabkommens. Zur Zulässigkeit einer solchen Vertragskonstruktion siehe Ballreich, FS Bilfinger, S. 1 Art. 15 Abs. 1 des Folgeabkommens. In der englischsprachigen Version „any person“. Vgl. Jungmann, ZGR 2006, 638. Siehe Kapitel 5 C. II. 3. b). Im Folgenden als Bundesdatenschutzbeauftragter bzw. BfDI bezeichnet. Art. 11 Abs. 1 S. 1 des Interimsabkommens. Art. 15 Abs. 2 S. 1 des Folgeabkommens.

180

Kap. 5: Inhalt des Abkommens

Behörde leitet diese Antwort schließlich dem Antragsteller zu. Der Umweg über nationale Datenschutzbeauftragte ist zwar mit Bürokratie und Verzögerungen verbunden, führt aber zumindest in Deutschland dazu, dass der Antragsteller einen deutschsprachigen Ansprechpartner hat, der sich seinem Anliegen annimmt. c) Formloses Auskunftsbegehren Der Antrag auf Einsichtnahme erfolgt durch ein formloses Schreiben mit Originalunterschrift des Antragstellers. Ein Formular existiert nicht. Hinsichtlich der Sprache, in der es abgefasst werden muss, haben die USA keine Vorgaben veröffentlicht. Das Büro des Bundesdatenschutzbeauftragten empfiehlt, den Antrag zur Sicherheit zweisprachig in deutscher und englischer Sprache abzufassen.690 Ein rein deutschsprachiges Anschreiben muss jedoch auch ausreichend sein, weil die nationale Aufsichtsbehörde die „notwendigen Überprüfungen“ vorzunehmen hat und das Ergebnis dem US-Finanzministerium mitteilt.691 Dies bedeutet, dass eine Bestätigung des Bundesdatenschutzbeauftragten, dass es sich bei einem in deutscher Sprache verfassten Schriftstück um einen Auskunftsantrag handelt, genügen muss. Schließlich kann von den Antragstellern nicht ohne nähere Einzelfallbetrachtung erwartet werden, dass sie eine Fremdsprache bestimmten beherrschen.692 Dem Antrag ist eine ebenfalls unterschriebene Erklärung darüber beizufügen, dass der Antragsteller explizit damit einverstanden ist, dass das US-Finanzministerium die angeforderten Daten an den nationalen Datenschutzbeauftragten sendet.693 d) Identitätsnachweis Das europäische Datenschutzrecht erfordert eine Verwahrung der Daten des TFTP in einer gesicherten Umgebung, ohne dass Informationen an nicht berechtigte Personen nach außen getragen werden.694 Diese Vorgabe hat insofern Auswirkungen auf das Auskunftsverfahren als dass verhindert werden muss, dass interessierte Dritte unter Angebe eines falschen Namens Einsicht in Informationen erhalten, die nicht sie selbst betreffen. Zum Zweck des Identitätsnachweises verlangt das US-Finanzministerium die Einsendung einer Photokopie eines offiziellen Dokumentes, das die Unterschrift des

690

BfDI. 691

Dies ergibt sich aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro des

Art. 15 Abs. 3 S. 1 des Folgeabkommens. Vgl. Stelkens, in: ders./Bonk/Sachs, VwVfG, § 41 Rn. 64. 693 Diese Information stammt aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro des BfDI. 694 Siehe Kapitel 5 G. III. 692

J. Rechtsschutz betroffener Bürger

181

Antragstellers enthält.695 Dazu werden beispielhaft Personalausweis, Reisepass und Führerschein genannt. Hinsichtlich der Kopie des Personalausweises gilt es zu bedenken, dass diese von Privatpersonen in Deutschland nur zu den gesetzlich vorgeschriebenen Zwecken angefertigt werden darf,696 zu denen die Beantragung von Akteneinsicht nicht zählt. Weil der Kopiervorgang aber selbständig vorzunehmen ist, bleiben nur alternative Dokumente. Keine Vorgaben machen die USA hinsichtlich des Identitätsnachweises juristischer Personen. Sofern ein Unternehmen Kontoinhaber bei einer Bank ist, kann es nicht genügen, wenn ein mit Vertretungsbefugnis ausgestatteter Mitarbeiter sein Ausweisdokument in Kopie einsendet. Hier sind ergänzend Dokumente, aus denen die Vertretungsbefugnis eindeutig hervorgeht, beizufügen. Unmittelbar nach Inkrafttreten des Folgeabkommens ging der Bundesdatenschutzbeauftragte noch davon aus, dass die überwiegenden Angaben auf der Kopie des Ausweisdokumentes geschwärzt werden dürften, wovon er inzwischen abgerückt ist, nachdem das US-Finanzministerium die Anforderungen an den Identitätsnachweis erhöht hat.697 Nunmehr verlangen die USA die Einsendung einer ungeschwärzten Kopie eines Ausweisdokumentes. Diese Vorgabe ist unverhältnismäßig, weil damit personenbezogene Daten in die USA übermittelt werden, die zur Feststellung der Identität nicht erforderlich sind.698 Dazu zählen beispielsweise das Lichtbild des Antragstellers und im Fall eines Führerscheins die Fahrzeugklassen, die der Antragsteller führen darf. Dass das US-Finanzministerium verlangt, derartige Daten einem Auskunftsersuchen beizufügen, widerspricht europäischem Datenschutzrecht. Auch unabhängig von der Frage der Unkenntlichmachung einzelner Passagen ist die Übersendung einer Ausweiskopie in die USA nicht erforderlich. Schließlich ist bereits die nationale Aufsichtsbehörde nach Eingang eines Antrages dazu verpflichtet, die Identität des Antragstellers zu überprüfen.699 Eine erneute Überprüfung der Identität durch US-Behörden ist redundant und damit unzulässig. Der besonders gravierende Eingriff einer Datenübermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau700 kann nicht gerechtfertigt werden, wenn die Identitätsprüfung zuvor bereits im Inland erfolgte. Erschwerend kommt hinzu, dass die USA im

695

Leitlinien zur Antragstellung auf der Website des US-Finanzministeriums (siehe Kapitel 5 J. I. 1.). 696 Das Verbot ergibt sich aus § 14 PAuswG; vgl. die Gesetzesbegründung, BT-Drs. 16/ 10489, S. 40 697 Diese Informationen stammen aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro des BfDI. Die erhöhten Anforderungen wurden erstmals in einem Schreiben vom 20.04. 2011 mitgeteilt. 698 Heinemann/Wäßle, MMR 2010, 600 (601), Fn. 10. 699 Art. 15 Abs. 3 S. 1 des Folgeabkommens; präziser noch die Leitlinien zur Antragstellung auf der Website des US-Finanzministeriums, S. 2 (siehe Kapitel 5 J. I. 1.). 700 Siehe Kapitel 5 E. V.

182

Kap. 5: Inhalt des Abkommens

Abkommen keinerlei Garantien hinsichtlich einer datenschutzfreundlichen Verarbeitung der Auskunftsanträge abgegeben haben. Das Erfordernis, ungeschwärzte Ausweiskopien in die USA versenden zu lassen, stellt nach den obigen Ausführungen einen Verstoß gegen europäisches Datenschutzrecht dar. Das in Art. 15 des Folgeabkommens eingeräumte Auskunftsrecht für europäische Bürger kann aus diesem Grund nicht den Anforderungen ihres Grundrechts auf informationelle Selbstbestimmung gerecht werden. Die Folge der grundrechtswidrigen Praxis des US-Finanzministeriums ist, dass es auch Auskunftsersuchen zu beantworten hat, die den eigenen, strengen Anforderungen an den Identitätsnachweis des Antragstellers nicht gerecht werden. Schließlich wird die grundrechtswidrige Prozedur des strengen Identitätsnachweises einseitig von der US-Verwaltung verlangt, findet also keine Grundlage im transatlantischen Abkommen. Wenn das Abkommen ein Auskunftsrecht vorsieht, dann ist die Umsetzung dieses Auskunftsrechts selbstverständlich grundrechtskonform auszugestalten. Dies ergibt sich aus Art. 8 des Folgeabkommens, wonach das USFinanzministerium bei der Datenverarbeitung einen angemessenen Datenschutz gewährleistet. e) Fakultative Angaben Schließlich fordert das US-Finanzministerium die Antragsteller noch dazu auf „soweit möglich, die angeforderten Datensätze“ genau zu spezifizieren.701 Der Formulierung nach handelt es sich dabei um eine fakultative Angabe. Ohnehin sind die Antragsteller kaum in der Lage, die über sie gespeicherten Datensätze präzise zu bezeichnen, weil ihnen der Aufbau der Datenbank im TFTP nicht bekannt ist. Allenfalls ist es ihnen möglich, konkrete Transaktionen inklusive Datum und Bankverbindungen zu benennen. Auch der Bundesdatenschutzbeauftragte rät „zur besseren Auffindbarkeit“ dazu, die eigene Bankverbindung anzugeben.702 Würden die Antragsteller ihr Ersuchen jedoch auf die ihnen bekannten Umstände beschränken, müsste damit gerechnet werden, dass das US-Finanzministerium zur Beantwortung der Anfrage auch nur die vom Antragsteller spezifizierten Kontonummern und Zeiträume durchsucht. Gerade die für einen späteren Berichtigungsanspruch relevanten fehlerhaften Datensätze können dabei teilweise übersehen werden. Das TFTP verfügt über die Technologie, alleine auf der Basis eines Namens und eines ungefähren Aufenthaltsortes seine Datenbank nach passenden S.W.I.F.T.Nachrichten zu durchsuchen. Die entsprechende Software setzt es schließlich zur Auswertung des von ihr verwalteten Datenbestandes ein, um die Finanzströme des 701

Leitlinien zur Antragstellung auf der Website des US-Finanzministeriums (siehe oben Kapitel 5 J. I. 1.). 702 Dies ergibt sich aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro des BfDI.

J. Rechtsschutz betroffener Bürger

183

organisierten Terrorismus aufzudecken.703 Es spricht nichts dagegen, die Technik auch zugunsten der europäischen Grundrechtsträger einzusetzen. Die Mitteilung zusätzlicher Angaben neben der eigenen Identität kann zwar zu einer Beschleunigung des Verfahrens beitragen, ist aber keineswegs notwendig und kann deshalb unterbleiben. 2. Beantwortung des Auskunftsersuchens Nicht jeder, der einen Antrag auf Einsicht in seine Daten beantragt, erhält die begehrten Informationen auch tatsächlich. Obwohl Art. 15 des Folgeabkommens mit „Recht auf Auskunft“ überschrieben ist, gewährt dessen Absatz 1 lediglich das jedermann zustehende Recht „zumindest eine Bestätigung darüber zu erhalten, dass alle erforderlichen Überprüfungen durchgeführt wurden, um sicherzustellen, dass ihre Datenschutzrechte gemäß diesem Abkommen geachtet wurden“. Die Möglichkeit, eine Offenlegung der beim TFTP gespeicherten S.W.I.F.T.-Daten zu erwirken, wird erst in Absatz 2 der Regelung eingeräumt. Ob im Einzelfall die Einsicht in die eigenen Daten oder lediglich eine allgemein gehaltene Bescheinigung der rechtmäßigen Verarbeitung gewählt wird, bestimmt sich nach einzelstaatlichem Recht.704 Weil es eine US-Behörde ist, die über die Anträge entscheidet, kann damit nur das nationale Recht der USA gemeint sein. Es liegt an den USA zu entscheiden, ob und in welchem Umfang Unionsbürger erfahren, welche Daten das US-Finanzministerium von S.W.I.F.T. erhalten hat. Bevor die Herausgabe gespeicherter Daten an einen konkreten Antragsteller verweigert wird, sind dessen berechtigte Interessen gebührend zu berücksichtigen.705 Anstelle der Auskunftserteilung ist der Grund der Verweigerung schriftlich darzulegen.706 Ein möglicher Grund für eine Beschränkung der Transparenz ist nur in Fällen denkbar, in denen Personen die Einsicht in ihre Daten ersuchen, die vom TFTP tatsächlich als Verdächtige eingestuft werden oder von denen die Ermittler annehmen, dass sie zu Verdächtigen in engem Kontakt stehen.707 Dann könnte die Kenntnis der mutmaßlichen Terroristen oder Terrorhelfer darüber, welche konkreten Zahlungen im Visier des TFTP stehen, die weiteren Ermittlungen behindern. Zahlungswege, die vom TFTP beobachtet werden, würden eingestellt werden und bislang unbemerkte Kontaktpersonen würden verstärkt involviert werden. In Anbetracht der Übermittlung ganzer Datenpakete, von deren Inhalt nur ein Bruchteil für die tatsächlichen Ermittlungen relevant ist,708 dürfen auch die Auskunftsverweigerungen eine seltene Ausnahme darstellen, weil ansonsten das über Art. 8 des Fol-

703 704 705 706 707 708

Siehe Kapitel 5 G. II. 3. Art. 15 Abs. 2 des Folgeabkommens. Art. 15 Abs. 2, 2. Hs. des Folgeabkommens. Art. 15 Abs. 3 S. 3 des Folgeabkommens. Zum Begriff des Verdächtigen siehe Kapitel 5 F. I. 3. b). Siehe Kapitel 5 F. II.

184

Kap. 5: Inhalt des Abkommens

geabkommens an europäisches Datenschutzrecht gebundene TFTP gegen Art. 8 Abs. 2 S. 2 GRCh verstößt. Keinen Anknüpfungspunkt bietet das Abkommen für die offenbar im TFTP etablierte Praxis, dass für die Beantwortung der Auskunftsersuchen nur die extrahierten Daten durchsucht und herausgegeben werden.709 Dies bedeutet, dass all diejenigen Datensätze, die im Rahmen des Bulk Data Transfers mit übermittelt wurden, aber bislang nicht von einem Ermittler auf dem Bildschirm betrachtet wurden,710 aus dem Auskunftsrecht ausgeklammert werden. Es handelt sich dabei um die deutliche Mehrzahl der beim TFTP gespeicherten Daten, in die keine Einsicht gewährt wird. Diese Vorgehensweise widerspricht dem eindeutigen Wortlaut des Abkommens, wonach die „auf der Grundlage dieses Abkommens verarbeiteten personenbezogenen Daten“ umfasst sind.711 Der Begriff der Verarbeitung umfasst gemäß Art. 2 lit. b der EG-Datenschutzrichtlinie unter anderem die Übermittlung und die Aufbewahrung. Wenn mit der EU eine der beiden Vertragsparteien in ihrem Sekundärrecht über eine derart präzise Legaldefinition eines datenschutzrechtlichen Fachbegriffs verfügt, dann ist davon auszugehen, dass der im Abkommen verwendete Verarbeitungsbegriff dem nicht widerspricht. Deshalb sind sämtliche beim TFTP gespeicherten personenbezogenen Daten vom Auskunftsrecht des Abkommens umfasst. Zwar ist es nachvollziehbar, dass die Beschränkung auf extrahierte, also bereits aufbereitete Datensätze die Auskunftserteilung vereinfacht. Es ist jedoch nicht so, dass die Durchsuchung des gesamten Datenbestandes für das TFTP unmöglich ist. Zur Auswertung der Daten für die Terrorfahndung verfügt das TFTP schließlich über eine Software, die auch nicht-extrahierte Daten in Bezug auf darin vorkommende Personennamen durchsucht.712 Wird diese Software nicht nur zum Aufspüren möglicher Terroristen verwendet, sondern auch zur Beantwortung von Auskunftsersuchen eingesetzt, so erfordert dies zweifellos einen Mehraufwand an Rechnerleistung im TFTP. Der Mehraufwand ist aber technisch zu bewerkstelligen, sodass allenfalls Kostengründe dagegen sprechen, deren zu erwartende Höhe im Vergleich zu den Gesamtkosten des TFTP überschaubar wären. In jedem Fall rechtfertigen die zu erwartenden Mehrkosten keine einseitige Beschränkung des Auskunftsrechts, die im Abkommen nicht vorgesehen ist.

709 BfDI Schaar, zitiert in MMR-Aktuell 2010, Nr. 306799; Kommissarin Malmström, zitiert in: EU-Kommission zu SWIFT: Daten bleiben anonym, Heise Online v. 07.08. 2010, abrufbar unter http://www.heise.de/newsticker/meldung/EU-Kommission-zu-SWIFT-Datenbleiben-anonym-1052162.html. 710 Siehe Kapitel 5 H. I. 1. 711 Art. 15 Abs. 2 des Folgeabkommens; in Abs. 1 und 3 ist weniger konkret von „ihre[n] personenbezogenen Daten“ die Rede. 712 Siehe Kapitel 5 G. II. 3.

J. Rechtsschutz betroffener Bürger

185

3. Bearbeitungsdauer Bei der Beantwortung von Auskunftsersuchen durch das US-Finanzministerium ist die zeitliche Komponente von besonderer Wichtigkeit. Dadurch, dass ständig neue Datenpakete bei S.W.I.F.T. angefordert und in die USA übermittelt werden, kann der gewährte Einblick in die gespeicherten Daten nur eine Momentaufnahme des im Bearbeitungszeitraum aktuellen Datenbestandes widerspiegeln. Eine übermäßig lange Beantwortungsdauer hätte entsprechend zur Folge, dass die übersendeten Informationen nicht aktuell, d. h. nicht vollständig sind. Entscheidet sich ein Unionsbürger dafür, stets darüber informiert zu sein, welche Informationen das TFTP über ihn speichert, muss er also in regelmäßigen, kurzen Abständen Anträge auf Offenlegung stellen. Würde die Beantwortung viel Zeit in Anspruch nehmen, würde aber nicht einmal dieses Vorgehen dazu führen, dass der Betroffene über den aktuellen Stand informiert ist. Im Abkommen findet sich ein Hinweis zu dieser Problematik, der das US-Finanzministerium dazu anhält, „ohne unangemessene Verzögerung“ der nationalen Aufsichtsbehörde des Antragstellers mitzuteilen, ob ein Einblick gewährt wird oder ob sich die Antwort auf eine Bestätigung der Rechtmäßigkeit beschränkt.713 Dieser Passus bezieht sich nur auf die Vorankündigung, wie die wirkliche Beantwortung des Auskunftsersuchens aussehen wird, die möglicherweise eine langwierige Recherche erfordert. Im Erst-Recht-Schluss muss das Erfordernis der verzögerungsfreien Reaktion, aber auch für die Offenlegung der angefragten Daten, gelten. Schließlich besteht für die Prognose, welcher Art die Beantwortung sein wird, keinerlei Eilbedürfnis. Erst hinsichtlich der Übermittlung der angefragten Daten hat der Antragsteller ein Interesse an einer zügigen Bearbeitung, damit die Aktualität gewahrt wird. Wenn also bereits die Prognosemitteilung unverzüglich ergehen muss, dann gilt dies erst recht für die eigentliche Beantwortung. Hinsichtlich der praktischen Umsetzung berichtet MdEP Alexander Alvaro, dass es ihm trotz Einhaltung aller Formalien und ständigen Kontakt mit dem Büro des Bundesdatenschutzbeauftragten nicht gelungen ist, in absehbarer Zeit Einsicht in seine beim TFTP gespeicherten Daten zu erlangen.714 Sein im Oktober 2010 gestellter Antrag wurde bis zum Februar 2012 noch nicht beantwortet.715 Dem Autor sind vergleichbare Fälle bekannt. Es handelt sich zwar um Einzelfälle, sie verdeutlichen aber die begrenzten Möglichkeiten der Antragsteller, wenn die Beantwortung lange Zeit in Anspruch nimmt. Auch dem Bundesdatenschutzbeauftragten, der nach dem Abkommen als Mittler zwischen den Antragstellern und dem USFinanzministerium vorgesehen ist, bleibt in derartigen Fällen nur die Option des 713

Art. 15 Abs. 3 S. 2 des Folgeabkommens. MdEP Alvaro, zitiert in: Brüssel berät über Stopp des Swift-Abkommens, SPIEGEL Online v. 16.03. 2011, abrufbar unter http://www.spiegel.de/politik/ausland/0,1518, 751236,00.html. 715 Diese Information stammt aus der Korrespondenz des Verfassers dieser Arbeit mit dem Büro von MdEP Alvaro. 714

186

Kap. 5: Inhalt des Abkommens

Erinnerungsschreibens, das nicht zwangsläufig Beachtung findet. Unter diesen Voraussetzungen liegt es am US-Finanzministerium, für eine zügige Verarbeitung zu sorgen, damit es zum einen den Verpflichtungen des Abkommens gerecht wird und zum anderen die Grundrechte europäischer Bürger gewahrt werden. Keineswegs darf die Grundrechtsausübung europäischer Antragsteller an den Bearbeitungskapazitäten des TFTP scheitern.716

II. Berichtigung, Löschung oder Sperrung 1. Grundrechtliche Rahmenbedingungen Stellt sich heraus, dass einzelne beim TFTP gespeicherte Daten unrichtig sind, also nicht mit den tatsächlichen Umständen einer Geldüberweisung übereinstimmen, so kann kein Interesse daran bestehen, sie in der bisherigen Form weiterhin aufzubewahren. Sofern eine Berichtigung möglich ist, hat diese als für den betroffenen Bankkunden milderes Mittel zu erfolgen, weil die Speicherung korrekter Informationen einen niedrigeren Grundrechtseingriff darstellt als die inhaltlich falscher Angaben.717 Ist eine Berichtigung nicht möglich, weil die tatsächlichen Umstände nicht mehr rekonstruiert werden können oder weil gar kein dokumentierbarer Zahlungsverkehr stattgefunden hat, so müssen die betreffenden unrichtigen Datensätze gelöscht werden.718 Vergleichbares muss für Daten gelten, die infolge von Rechtsverstößen in die USA übermittelt wurden. Im Recht der EU greift ein Beweisverwertungsverbot, wenn wesentliche Verfahrensvorschriften nicht eingehalten wurden.719 Dies betrifft sowohl die Strafverfolgung als auch Verwaltungshandeln720 etwa zur Gefahrenabwehr. Rechtswidrig gewonnene Erkenntnisse dürfen Verdächtigen nicht zur Last gelegt werden, sodass die entsprechenden Daten zu löschen sind.721 Auch dann, wenn die Beschaffung einer Information in Unionsgrundrechte einer Person massiv eingreift, liegt kein verwertbarer Beweis mehr vor,722 sodass die Information umgehend zu löschen ist. Dieses Modell ist mit der deutschen Kernbereichslehre vergleichbar, nach der vor dem Hintergrund des Rechtsstaatsprinzips solche Daten unverzüglich zu 716

Allg. Korn, DÖV 2012, 232 (239). Becker, ZLR 2011, 391 (413 f.). 718 Zum Recht auf Löschung unrichtiger Angaben EGMR v. 04.05. 2000, Rs. 28341/95 = ÖJZ 2001, 74. 719 EuGH, Rs. C-204, Slg. 2004, I-123, Rn. 68 ff.; Rs. C-89, Slg. 1993, I-1307, Rn. 153 f.; verb. Rs. T-191, 212 u. 214/98, Slg. 2003, II-3275, Rn. 170 ff.; Nehl, in: Heselhaus/Nowak, Handbuch der Europäischen Grundrechte, § 54 Rn. 47. 720 Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 45 Rn. 1202. 721 Patzak, in: Graf, BeckOK StPO, § 106a Rn. 6. 722 EuGH, Rs. C-276/01, Slg. 2003, I-3735 Rn. 60 ff.; Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 4 Rn. 289. 717

J. Rechtsschutz betroffener Bürger

187

löschen sind, deren Erhebung und Speicherung den persönlichen Kernbereich einer Person betrifft.723 2. Voraussetzungen im Abkommen Um diesen grundrechtlichen Anforderungen gerecht zu werden, wurde das subjektive Recht auf Berichtigung, Löschung oder Sperrung einzelner Daten in Art. 16 Abs. 1 des Folgeabkommens verankert. Jeder Unionsbürger724 kann die Modifizierung der sie betreffenden Daten in der Datenbank des TFTP erwirken, wenn die gespeicherten Informationen nicht richtig sind oder die Verarbeitung gegen das Abkommen verstößt. a) Formelle Voraussetzungen Das Verfahren hierzu verläuft analog zum Antrag auf Auskunft über gespeicherte Daten: Der Antragsteller verfasst ein formloses Schreiben, das er über die nationale Datenschutz-Aufsichtsbehörde an das US-Finanzministerium sendet.725 Zum Identitätsnachweis und weiteren Antragsvoraussetzungen wird auf die oben gemachten Ausführungen zum Auskunftsrecht verwiesen.726 Ergänzend sind für einen Antrag auf Berichtigung, Löschung oder Sperrung weitere Angaben erforderlich: Eine präzise Beschreibung des Datensatzes inklusive dem Datum des zugrunde liegenden Zahlungsvorgangs, der konkrete Inhalt eines Datensatzes, dessen Modifikation begehrt wird, sowie eine Begründung und einen Beweis über zur Änderungsbedürftigkeit.727 b) Inhaltlich falsche Daten Die eingeräumte Möglichkeit zur Korrektur oder Löschung inhaltlich falscher Daten entspricht für sich gelesen den grundrechtlichen Vorgaben. Probleme ergeben sich jedoch im Zusammenspiel mit dem nur unzureichend gewährleisteten Auskunftsrecht. Das Erfordernis, dass ein Antragsteller genau darlegen muss, welche Daten er in welcher Form geändert haben möchte, ist zwingend notwendig für die Bearbeitung seines Anliegens. Um den Antrag hinreichend präzise formulieren zu können, muss er aber Einsicht in die im TFTP über ihn gespeicherten Daten haben. Wird ihm stattdessen lediglich eine Bestätigung darüber ausgestellt, dass seine Daten rechtmäßig verarbeitet wurden, so ist er faktisch nicht in der Lage, eine Löschung oder Korrektur zu erwirken. Dasselbe gilt, wenn er aufgrund einer langen Bear723 BVerfGE 120, 274 (338 f.); Durner, in: Maunz/Dürig, GG, Art. 10 Rn. 157; Gola/ Schomerus, in: dies., BDSG, § 13 Rn. 5b. 724 Zur Formulierung „Jede Person“ in Art. 16 Abs. 1 des Folgeabkommens gilt das zuvor zu Art. 15 Abs. 1 Gesagte, wonach jede natürliche und juristische Person der EU antragsberechtigt ist, siehe Kapitel 5 J. I. 1. a). 725 Art. 16 Abs. 2 S. 1 des Folgeabkommens. 726 Siehe Kapitel 5 J. I. 1. 727 Leitlinien zur Antragstellung auf der Website des US-Finanzministeriums (siehe oben Kapitel 5 J. I. 1.), S. 1 f.

188

Kap. 5: Inhalt des Abkommens

beitungsdauer seitens des US-Finanzministeriums in absehbarer Zeit keine Einsicht in seine Daten erhält728 oder ihm Daten vorenthalten werden, die das TFTP noch nicht extrahiert hat.729 Das Recht auf Löschung und Berichtigung wegen inhaltlicher Fehler kann immer nur so weit reichen, wie das Recht auf Einsicht in den Datenbestand des TFTP geschnitten ist. Weil weder das Abkommen noch dessen Umsetzung ein flächendeckendes Auskunftsrecht vorsehen, ist auch das Recht auf Löschung und Berichtigung stark begrenzt. Den grundrechtlichen Anforderungen kann es deshalb nicht genügen. c) Rechtsverstoß Gemäß Art. 16 Abs. 1 des Folgeabkommens kann eine Berichtigung, Löschung oder Sperrung nicht nur hinsichtlich unrichtiger Daten erfolgen, sondern sie ist auch möglich, wenn die Verarbeitung gegen das Abkommen verstößt. Damit wird den grundrechtlichen Vorgaben hinsichtlich der Verletzung von Verfahrensvorschriften Rechnung getragen. Es fällt auf, dass lediglich im Abkommen festgehaltene Garantien umfasst sind. Die Grundrechtsstandards, die in den USA oder der EU gelten, finden in Art. 16 des Folgeabkommens keine Erwähnung. Grundrechtliche Maßstäbe haben jedoch über Art. 8 Einzug in das Abkommen gefunden. Nach dem Regelungstext „wird davon ausgegangen“, dass das US-Finanzministerium „einen angemessenen Datenschutz gewährleistet“.730 Es handelt sich dabei nicht etwa um einen Erwägungsgrund, sondern um einen eigenständigen Artikel des Abkommens. Daraus kann geschlossen werden, dass die Parteien, wenn sie „davon ausgehen“, dass die informationelle Selbstbestimmung geachtet wird, den Text des Abkommens nicht genutzt haben, um eine unverbindliche Erläuterung auszusprechen. Vielmehr kommt Art. 8 Regelungswirkung zu, nach der das US-Finanzministerium zu grundrechtskonformem Handeln verpflichtet wird. Der Datenschutzstandard der EU wurde auf diese Weise in das Abkommen inkorporiert. Deshalb können nicht nur Verfahrensverstöße, sondern auch Grundrechtsverstöße als Grund für die Löschung einzelner Datensätze geltend gemacht werden. Einen Grund, der zur teilweisen Löschung eines Datensatzes führen muss, liegt demnach beispielsweise dann vor, wenn die Einsicht in die persönlichen Daten ergeben hat, dass es sich um sensible Daten handelt. Der Text des Abkommens enthält zu deren Behandlung nur vage Ausführungen, während aus dem europäischen Grundrecht auf informationelle Selbstbestimmung in den überwiegenden Fällen die sofortige Löschung verhältnismäßig ist.731 Ein noch wesentlich relevanterer, weil häufig vorkommender Grund für eine Löschung der betreffenden Daten ist dann gegeben, wenn Datensätze im Rahmen des Bulk Data Transfer in die USA gelangt sind. Diese Praxis widerspricht zwar nicht 728 729 730 731

Siehe Kapitel 5 J. I. 3. Siehe Kapitel 5 J. I. 2. Bzw. Art. 6 des Interimsabkommens. Siehe Kapitel 5 F. III. 3.

J. Rechtsschutz betroffener Bürger

189

zwangsläufig dem Abkommen,732 sie greift jedoch in unverhältnismäßiger Weise in die Grundrechte europäischer Bankkunden ein.733 Praktische Schwierigkeiten ergeben sich zwar dadurch, dass dem Antragsteller nicht bekannt ist, warum und in welchem Zusammenhang seine Daten angefordert wurden. Aus grundrechtlichen Schutzpflichten heraus folgt jedoch, dass bei massiven Informationsdefiziten zu Lasten der Bürger eine Umkehr der Darlegungslast zu erfolgen hat.734 Aus diesem Grund unterliegt der Datenschutzbeauftragte des US-Finanzministeriums einer Amtsermittlungspflicht. Deshalb lohnt es sich immer dann, die Löschung aller einen Antragsteller betreffenden Daten zu verlangen, wenn ihm keine persönlichen Verwicklungen zum organisierten Terrorismus nachzuweisen sind. Die Wahrscheinlichkeit ist dann groß, dass seine Daten in unverhältnismäßiger Weise in einem großen Datenpaket mit übermittelt wurden, ohne konkret angefordert worden zu sein. Dies wäre unverhältnismäßig und deshalb mit dem in Art. 8 des Folgeabkommens garantierten angemessenen Datenschutz nicht vereinbar.735 3. Mögliche Rechtsfolgen Art. 16 Abs. 1 des Interimsabkommens nennt mit der Berichtigung, Löschung und Sperrung einen Katalog aus drei möglichen Rechtsfolgen, die ein positiv beschiedener Antrag auslösen kann. Die Wahl der Rechtsfolge im Einzelfall liegt beim Datenschutzbeauftragten des US-Finanzministeriums.736 Um europäischen Datenschutzstandards zu entsprechen, darf diese Wahl nicht beliebig erfolgen, sondern muss verhältnismäßig sein. Sofern der Antrag des Betroffen damit begründet wird, dass die gespeicherten Daten fehlerhaft sind, ist die Berichtigung die adäquateste Maßnahme. In einem solchen Fall hat der Antragsteller keinen Einspruch dagegen erhoben, dass die Daten überhaupt dem TFTP zur Verfügung stehen, sondern hat lediglich Anmerkungen zum Inhalt der Daten. Sofern er angibt und nachweist, wie die Daten korrekterweise auszusehen haben, ist eine Anpassung möglich und geboten. Nur dann, wenn der Antragsteller nachweist, dass die Daten vollständig unrichtig sind, weil der dokumentierte Zahlungsverkehr gar nicht stattgefunden hat, ist eine Löschung angebracht. Dasselbe gilt in Fällen, in denen der Betroffene nachweisen kann, dass die gespeicherten Daten unrichtig sind, er aber nicht in der Lage ist, die tatsächlichen Umstände zu rekonstruieren. 732

Siehe Kapitel 5 F. II. 2. Siehe Kapitel 5 F. II. 5. 734 Huster, NJW 1995, 112 (113); Reinhardt, NJW 1994, 93 (96 ff.); s.a. Dawin, in: Schoch/ Schmidt-Aßmann/Pietzner, VwGO, § 108 Rn. 84. 735 Allerdings ist nicht zu erwarten, dass das US-Finanzministerium diese Auffassung teilt. Daher muss damit gerechnet werden, dass Löschersuchen, die auf der Argumentationsgrundlage gestellt werden, die betreffenden Daten wären im Wege eines grundrechtswidrigen Bulk Data-Transfers übermittelt worden, abgelehnt worden. 736 Art. 16 Abs. 2 S. 3 des Folgeabkommens. 733

190

Kap. 5: Inhalt des Abkommens

Ergeht der Antrag auf der Argumentationsgrundlage, dass die Datenverarbeitung rechtswidrig ist, kommt in der Regel nur die Löschung der betreffenden Daten in Betracht. Wenn das TFTP nicht über die Daten verfügen dürfte, kann der rechtswidrige Zustand nicht durch eine Korrektur aufgelöst werden, weil es sich um sachlich richtige Daten handelt, die nicht korrigiert werden können. Lediglich dann, wenn einzelne in einem Datensatz enthaltene Informationen die Rechtswidrigkeit auslösen, kann eine Modifikation ohne komplette Löschung erfolgen. Dies ist in Fällen denkbar, in denen Zahlungsverkehrsdaten sensible Daten enthalten.737 Gibt beispielsweise die Verwendungszweck-Zeile einer Geldüberweisung Auskunft über die sexuelle Orientierung oder die Gewerkschaftszugehörigkeit des Antragstellers, so ist es denkbar, nur diese Information zu löschen, aber den Datensatz im Ganzen zu erhalten.738 Genau betrachtet handelt es sich auch dabei um eine Löschung und nicht um eine Berichtigung, weil kein Textmaterial eingefügt wird und die Daten auch nicht „richtiger“, sondern, im Gegenteil, unvollständiger werden. Die Sperrung der Zahlungsverkehrsdaten, wie sie das Abkommen als dritte Rechtsfolgenalternative vorsieht, ist fast immer unverhältnismäßig. Eine Sperrung bedeutet, dass die betreffenden Datensätze nicht gelöscht werden, sondern die Verarbeitende Stelle sie weiterhin behält und lediglich den Zugriff derart beschränkt, dass die Nutzung zunächst unterbleibt.739 Wenn aber Daten nicht verwendet werden dürfen, weil sie rechtswidrig verarbeitet wurden oder unrichtig sind und nicht korrigiert werden können, dann besteht auch kein legitimes Interesse daran, sie weiterhin aufzubewahren. Denkbar sind Sperrungen allenfalls, wenn über die Richtigkeit der Daten noch gestritten wird oder gesetzliche Aufbewahrungspflichten einer Löschung im Wege stehen.740

III. Klagerecht Das Recht auf Berichtigung oder Sperrung der Daten im TFTP wäre reine Makulatur, wenn es sich auf ein Antragsverfahren beschränken würde, dessen Ausgang im Belieben der Behörden der USA stünde. Es muss deshalb durch die Möglichkeit abgesichert sein, die Berichtigung oder Sperrung auch gegen den Willen des USFinanzministeriums zu erzwingen. Dies ergibt sich bereits aus dem in Art. 8 Abs. 2 S. 2 GRCh verankerten Berichtigungsanspruch als Teilaspekt des Grundrechts auf informationelle Selbstbestimmung. Hinzu tritt das Grundrecht auf effektiven Rechtsschutz aus Art. 47 UAbs. 1 GRCh, das jeder in ihren Unionsrechten verletzten Person zugesteht, bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. 737

Siehe Kapitel 5 F. III. Dann ist ein Vermerk anzufügen, dass der Verwendungszweck nachträglich entfernt wurde, weil ansonsten die Integrität und damit die Aussagefähigkeit des Datensatzes verfälscht wäre; siehe dazu Kapitel 5 G. III. 739 Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 12 Rn. 17. 740 Vgl. § 20 Abs. 3 Nr. 1, Abs. 4 BDSG; s. a. Dammann/Simitis, EG-Datenschutzrichtlinie, Art. 12 Rn. 17. 738

J. Rechtsschutz betroffener Bürger

191

1. Regelung im Abkommen Art. 18 Abs. 2 S. 2 – 3 des Folgeabkommens gewährt jedermann das Recht, gegen Datenverarbeitungen zu klagen, die gegen die Garantien des Abkommens verstoßen. Ein solches Verfahren geschieht vor dem zuständigen Gericht in den USA. Damit eine solche Klage nicht bereits wegen des extraterritorialen Bezuges unzulässig ist, gewährt das Folgeabkommen im Gegensatz zum Interimsabkommen741 eine Gleichbehandlung vor US-Gerichten unabhängig von der Staatsangehörigkeit und dem Wohnsitz des Klägers. 2. Formelle Voraussetzungen Die Gleichbehandlung von US-Bürgern und Europäern erscheint zunächst großzügig. Jedoch kann das Klagerecht bei näherer Betrachtung nicht dem Anspruch auf Rechtsschutz gerecht werden, der jedem Unionsbürger aus seinen Grundrechten heraus zusteht. Bereits die Notwendigkeit, vor einem Gericht der USA in englischer Sprache und nach dort geltendem Prozessrecht verhandeln zu müssen, wofür in der Regel die Beauftragung eines in den USA zugelassenen Anwalts erforderlich ist, stellt für potentielle europäische Kläger ein gewaltiges psychologisches und finanzielles Hemmnis dar. Zuständig für die Verhandlung von Klagen auf Einsicht oder Berichtigung von bei Behörden gespeicherten personenbezogenen Daten ist der jeweilige Federal District Court.742 Da das US-Finanzministerium, dem das TFTP angegliedert ist, in Washington D.C. ansässig ist, ist die Klage beim District Court des District of Columbia einzureichen.743 3. Relevantes materielles US-Recht Das relevante materielle US-Recht ist im Privacy Act, einem Bundesgesetz von 1974, zu finden.744 Der Privacy Act gewährt ein allen US-Bürgern oder Inländern ein anlassloses Recht, Kopien der sie betreffenden Daten anzufordern, die staatliche Stellen aufbewahren.745 Dieses Auskunftsrecht wird ergänzt durch einen Anspruch auf Berichtigung, wenn die gespeicherten Daten nicht korrekt, irrelevant, veraltet oder unvollständig sind.746 Auf diese Anspruchsgrundlagen kann sich der europäische Kläger berufen, wenn ihm zuvor im Antragsverfahren die Einsicht oder die Berichtigung der ihn betreffenden im TFTP gespeicherten Daten verweigert wurde. 741

Art. 11 Abs. 3 des Interimsabkommens. 5 U.S.C. § 552a (g) (1) (A). 743 Vgl. http://www.uscourts.gov/FederalCourts/UnderstandingtheFederalCourts/DistrictCour ts.aspx. 744 Näheres bei Scheja/Haag, in: Leupold/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 4 Rn. 4. 745 5 U.S.C. § 552a (d) (1). 746 5 U.S.C. § 552a (d) (1) (B) (i). 742

192

Kap. 5: Inhalt des Abkommens

Es handelt sich allerdings bei den beiden Regelungen um die einzigen gerichtlich durchsetzbaren Rechtsbehelfe des Privacy Act.747 Hinsichtlich weiterer denkbarer Begehren besteht deshalb im Datenschutzrecht der USA eine Rechtsschutzlücke.748 So gewährt das US-Recht lediglich dann einen Berichtigungsanspruch, wenn die Datenbank nicht sorgfältig gepflegt wurde, es also auch im Interesse der datenverarbeitenden Behörde ist, eine Aktualisierung vorzunehmen.749 Eine vertragsgemäße Auslegung des US-Rechts ist in diesem Fall ebenfalls ausgeschlossen, weil Art. 18 Abs. 2 des Folgeabkommens Kläger aus der EU vor US-Gerichten mit US-Bürgern gleichstellt. Daher müssen die Unionsbürger auch mit dem materiellen Recht begnügen, das US-Bürgern zusteht. Nicht vorgesehen sind hingegen Löschungen aus dem Grund, dass die betreffenden Daten rechtswidrig erhoben oder verarbeitet wurden. Verletzt eine US-Ermittlungsbehörde das Recht am gesprochenen Wort, so kann aus diesem Grund ausnahmsweise eine Löschung erwirkt werden, weil das Recht auf Privacy im Sinne des 4. Verfassungszusatzes750 betroffen ist.751 Darunter fällt jedoch nur die Privatheit im sehr engen Sinne, sodass von Verfassungs wegen kein Recht an den eigenen elektronischen Daten besteht.752 Zahlungsverkehrsdaten als reine Spuren sozialer Interaktion unterstehen deshalb keinem besonderen verfassungsrechtlichen Schutz. Ein subjektives Recht auf Vernichtung rechtswidrig gewonnener oder verarbeiteter Daten besteht in den USA deshalb nicht. 4. Zwischenergebnis Die im Abkommen eingeräumte Möglichkeit vor einem Gericht der USA nach den dort geltenden Maßstäben zu klagen, kann der in den Unionsgrundrechten verankerten Rechtsweggarantie nur teilweise gerecht werden. Insofern verstößt bereits die Zeichnung des unvollkommenen Abkommens durch die EU gegen Art. 8 Abs. 2 S. 2 GRCh. Verweigert das US-Finanzministerium die Einsicht in gespeicherte Daten oder lässt eine Antwort unverhältnismäßig lange auf sich warten, ist der Rechtsweg in den USA eröffnet. Auch die Berichtigung von nicht korrekten Daten nach dem US-Datenschutzrecht ist erfolgversprechend. Für den wesentlich häufiger relevanten Fall, dass eine rechtswidrige Datenverarbeitung gerügt wird, weil beispielsweise Daten im Zuge des Bulk Data Transfer übermittelt wurden, wird hingegen kein Anspruch eingeräumt.

747 748 749 750 751 752

Schwartz/Reidenberg, Data Privacy Law, S. 116. Schwartz/Reidenberg, Data Privacy Law, S. 114. Schwartz/Reidenberg, Data Privacy Law, S. 114. Bzw. 4th Amendment. Spies, MMR 3/2007, V. Spies, MMR 3/2007, V (V f.) am Beispiel der Telekommunikations-Verbindungsdaten.

Kapitel 6

Konsequenzen und Ausblick Die Ausführungen in Kapitel 5 dieser Arbeit haben gezeigt, dass die Anwendung des Abkommens in zahlreichen Punkten gegen die Grundrechte europäischer Bankkunden verstößt.1 Diese Erkenntnis wirft zum einen die Frage auf, welche Schritte nun notwendig sind. Zum anderen bietet sie Anlass, von der Kommission erwogene Veränderungen zu untersuchen.

A. Konsequenzen der Grundrechtswidrigkeit einzelner Bestimmungen des Abkommens I. Konsequenzen im Innenverhältnis der EU Sämtliche Organe und Einrichtungen der Union sind verpflichtet, die Grundrechte zu achten.2 Auch völkerrechtliche Vereinbarungen dürfen nur dann durch Stellen der Union umgesetzt werden, wenn der Abkommenstext mit den Unionsgrundrechten vereinbar ist.3 Keineswegs handelt es sich bei zwischenstaatlichen Übereinkünften um Rechtssätze, die in der Normenhierarchie über dem Unionsrecht stehen. Zwar sind sie über dem Sekundärrecht angesiedelt,4 aus Art. 218 Abs. 11 S. 2 AEUVergibt sich jedoch, dass ein Verstoß eines völkerrechtlichen Abkommens gegen primärrechtliche Regelungen das Inkrafttreten der Übereinkunft verhindern kann. Daraus folgt, dass solche Abkommen auf einer Hierarchieebene zwischen dem Primär- und dem Sekundärrecht angesiedelt sind.5 Die Charta der Grundrechte ist seit Inkrafttreten des Vertrags von Lissabon mit dem EUV und dem AEUV gleichrangig,6 steht also über völkerrechtlichen Vereinbarungen mit Drittstaaten. Aus diesem Grund dürfen die Einrichtungen der EU keine Vertragsverpflichtungen umsetzen, die die Grundrechte von Unionsbürgern verlet1

Überblick siehe Kapitel 7. Art. 51 Abs. 1 GRCh. 3 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 16; Ehlers, in: ders., Europäische Grundrechte und Grundfreiheiten, § 14 Rn. 22. 4 Vgl. Art. 216 Abs. 2 AEUV. 5 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 16; Ehlers, in: ders., Europäische Grundrechte und Grundfreiheiten, § 14 Rn. 23. 6 Art. 6 Abs. 1 UAbs. 1 EUV. 2

194

Kap. 6: Konsequenzen und Ausblick

zen.7 Die wesentliche Mitwirkung der europäischen Vertragspartner an der Durchführung des Abkommens zur Übermittlung von Zahlungsverkehrsdaten liegt in der Freigabe einzelner Datenströme in die USA durch Europol. Weil sowohl die Datenverarbeitung im TFTP als auch die nur begrenzt vorhandenen Aufsichts-, Auskunfts- und Rechtsschutzmöglichkeiten gegen Unionsgrundrechte verstoßen,8 ist Europol dazu verpflichtet, keinerlei Freigaben zu erteilen. Einer Kündigung des Abkommens bedarf es insofern nicht, um der staatlichen Schutzpflicht9 gegenüber den europäischen Grundrechtsträgern nachzukommen. Das Abkommen ist ohnehin unanwendbar, wenn europäische Stellen es nicht umsetzen dürfen.

II. Konsequenzen im Außenverhältnis zwischen EU und USA Die Unanwendbarkeit des Abkommens, die im Innenverhältnis der EU gilt, schlägt jedoch nicht in das Außenverhältnis zwischen der EU und den USA durch. Solange das Abkommen nicht gekündigt ist, entfaltet es eine völkerrechtliche Verpflichtungswirkung. Dies ergibt sich zum einen aus Völkergewohnheitsrecht, zum anderen aus der Existenz von Art. 218 Abs. 11 AEUV,10 nach dem der EuGH die Vereinbarkeit eines Vertrages mit dem Primärrecht prüfen kann, bevor er abgeschlossen wird. Nur durch dieses Verfahren kann sicher verhindert werden, dass – wie im vorliegenden Fall – ein Abkommen im Außenverhältnis gilt, während es im Innenverhältnis nicht umgesetzt werden darf. Insofern fallen internes Unionsrecht und Völkerrecht auseinander.11 Solange keine Beendigung im Außenverhältnis bewirkt wird, haben die USA einen Anspruch gegen die EU, dass das Abkommen weiter umgesetzt wird. Dies würde sogar dann gelten, wenn das Abkommen in der EU durch eine Nichtigkeitsklage gegen den Ratsbeschluss zur Zeichnung des Abkommens vom EuGH für nichtig erklärt werden würde.12 Internes divergierendes Recht einer Vertragspartei kann allenfalls gemäß Art. 27, 46 der Wiener Übereinkunft über das Recht der Verträge zur Lösung der Pflicht im Außenverhältnis führen. Nach diesen Vorschriften ist grundsätzlich jeder Staat an seine völkerrechtlich eingegangenen Verpflichtungen unabhängig von seinem internen Recht gebunden. Auch divergierendes Unionsrecht kann deshalb zunächst 7 Borowsky, in: Meyer, GRCh, Art. 51 Rn. 16; Ehlers, in: ders., Europäische Grundrechte und Grundfreiheiten, § 14 Rn. 22. 8 Siehe Kapitel 5 G.-J. 9 Britz, Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, S. 13 f.; Jarass, EU-Grundrechte, § 5 Rn. 19; Streinz/Michl, EuZW 2011, 384 (387). 10 Müller-Ibold, in: Lenz/Borchardt, EU-Verträge, Kommentar nach dem Vertrag von Lissabon, Art. 218 AEUV Rn. 24. 11 Ceia, Die verfassungsgerichtliche Kontrolle völkerrechtlicher Verträge , S. 130. 12 Hummer, in: Vedder/v. Heinegg, Europäisches Unionsrecht, Art. 218 AEUV Rn. 33.

A. Grundrechtswidrigkeit einzelner Bestimmungen

195

nicht genügen, um einen Vertrag nicht durchzuführen.13 Als Grund für die Nichterfüllung eine Abkommens erkennt die Wiener Übereinkunft ausschließlich interne Vorschriften an, die von besonderer Bedeutung sind und deren Verletzung bei Vertragsschluss offenkundig war. Die Unionsgrundrechte bilden als Ausdruck der Grundwerte der EU das Fundament des Handelns der Unionsorgane,14 sodass eine besondere Bedeutung zwar angenommen werden kann. Das Tatbestandsmerkmal der Offenkundigkeit wird jedoch so eng gefasst, dass gewöhnliche Grundrechtsverstöße nicht darunter fallen.15 Bei dem sogenannten Evidenzkriterium ist auf den objektivierten Empfängerhorizont abzustellen.16 Von fremden Staaten, mit denen die EU Verträge schließt, können keine vertieften Kenntnisse des internen EU-Rechts erwartet werden.17 Dies gilt selbst dann, wenn es sich bei den betreffenden internen Vorschriften um solche des Primärrechts handelt.18 Der Wiener Übereinkunft liegt ein hohes Bedürfnis nach Rechtssicherheit zugrunde, sodass ihre Vorschriften dahingehend zu interpretieren sind, dass eine Übereinkunft im Zweifel Bestand hat.19 Das eng auszulegende Evidenzkriterium ist deshalb nur dann zu bejahen, wenn unter Beachtung der Grundsätze von Treu und Glauben jeder verständigen Person in dem Staat, der Vertragspartner ist, einleuchtet, dass das Abkommen keinen Bestand haben kann.20 Um diese hohe Schwelle zu überschreiten, bedarf es eklatanter Menschenrechtsverstöße oder der Verletzung des ius cogens,21 was jeweils nur sehr selten der Fall ist.22 Die Verstöße gegen Art. 8 GRCh, die die Umsetzung des Abkommens zur Übermittlung der S.W.I.F.T.-Daten nach sich zieht, sind aus grundrechtlicher Sicht gravierend. Aufgrund der Verankerung des Schutzes der Privatheit in Art. 8 EMRK und wegen der engen Verbindung zur Menschenwürde23 ist die informationelle Selbstbestimmung auch zu den Menschenrechten zu zählen.24 Selbst eine großflächige Verletzung des Datenschutz-Menschenrechts kann jedoch nicht die Dimensionen wirklich eklatanter Menschenrechtsverstöße wie etwa Sklaverei oder Genozid 13

Aust, Modern Treaty Law and Practice, S. 141 Fn. 3. Jarass, EU-Grundrechte, § 3 Rn. 1 f.; vgl. Pache, in: Heselhaus/Nowak, Handbuch der Europäischen Grundrechte, § 4 Rn. 2 f. 15 Geck, ZaöRV 1976, 428 (438). 16 Heintschel v. Heinegg, in: Ipsen, Völkerrecht, § 15 Rn. 22. 17 Bothe, in: Corten/Klein, Les Conventions de Vienne sur le Droit des Traites, Art. 46 Rn. 13. 18 Müller-Ibold, in: Lenz/Borchardt, EU-Verträge, Kommentar nach dem Vertrag von Lissabon, Art. 218 AEUV Rn. 24; Hummer, in: Vedder/v. Heinegg, Europäisches Unionsrecht, Art. 218 AEUV Rn. 32. 19 StIGH, PCIJ Ser. A/B, No. 53 (1933), 71; Geck, ZaöRV 1976, 428 (438). 20 Vgl. Heintschel v. Heinegg, in: Ipsen, Völkerrecht, § 15 Rn. 22. 21 EuG, Rs. T-315/01, Slg. 2005, S. II-3649, Rn. 239 f. 22 Vgl. Spranger, EuR 2009, 514 (518); Tietje/Hamelmann, JuS 2006, 299 (301). 23 BVerfGE 65, 1 (41); Tinnefeld, NJW 2007, 625 (628 f.). 24 Tinnefeld, NJW 2007, 625 (625 ff.). 14

196

Kap. 6: Konsequenzen und Ausblick

erreichen. Bei den genannten Beispielen der Sklaverei und des Genozids ist für nahezu jedermann offensichtlich, dass ein Menschenrechtsverstoß vorliegt. Um zu diesem Schluss zu kommen, muss der Beurteilende kein Jurist sein; es genügt vielmehr, dass er sein Gewissen zu Rate zieht. Eine derart deutliche Offenkundigkeit des Menschenrechtsverstoßes liegt bei Verstößen gegen datenschutzrechtliche Grundsätze nicht vor, auch wenn sie noch so gravierend sind. Das Schutzniveau für personenbezogene Daten divergiert weltweit sehr stark. Während in Europa ein grundrechtlicher Schutz besteht, fehlt es etwa in den USA schon an flächendeckendem einfachgesetzlichen Datenschutz.25 Es kann deshalb nicht erwartet werden, dass US-Amerikaner ohne nähere Einarbeitung in der Lage sind, die komplexe Regel-Ausnahme-Struktur des europäischen Datenschutzrechts zu überblicken. Es handelt sich dabei um Kenntnisse, die oftmals nicht einmal Juristen geläufig sind, die in Europa ausgebildet wurden.26 Die durch das Abkommen hervorgerufenen Menschenrechtsverletzungen sind aus den vorgenannten Gründen nicht offensichtlich erkennbar. Damit gilt gemäß Art. 27 der Wiener Übereinkunft der Grundsatz pacta sunt servanda ohne dass die EU ihr entgegenstehendes internes Recht anführen kann. Die USA haben einen völkerrechtlichen Anspruch darauf, dass die EU das Abkommen umsetzt, während die Unionsgrundrechte die Umsetzung verbieten. Aus grundrechtlicher Sicht ist dieser Zustand nicht zu beanstanden, weil die Grundrechtsbindung die Unionsorgane und mitgliedstaatlichen Stellen stärker bindet, als völkerrechtliche Pflichten.27 Beendet die EU die Wirksamkeit des Abkommens nicht, ist sie also gezwungen, permanent vertragsbrüchig zu werden, was Schadenersatzforderungen der USA nach sich ziehen kann.28 Insofern ist zu einer zügigen Kündigung des Abkommens zu raten.

B. Kündigung Die Kündigung des Abkommens wird auch von mehreren politischen Akteuren gefordert.29 Den Grund dafür bilden vor allem die mit der Durchführung des Ab25

Siehe Kapitel 5 E. V. 1. Becker/Ambrock, JA 2011, 561. 27 Cronauer, Der internationale Vertrag im Spannungsfeld zwischen Verfassung und Völkerrecht, S. 346. 28 Allg. Cronauer, Der internationale Vertrag im Spannungsfeld zwischen Verfassung und Völkerrecht, S. 346. 29 MdEP Alvaro, zitiert in: EU-Kommission wiegelt Bedenken gegen Bankdaten-Transfer in die USA ab, Heise Online v. 17.03. 2011, abrufbar unter http://www.heise.de/ newsticker/mel dung/EU-Kommission-wiegelt-Bedenken-gegen-Bankdaten-Transfer-in-die-USA-ab-1209 949. html; MdEP Ehrenhauser, zitiert in: USA kommen an noch mehr Bankdaten, FTD v. 01.02. 2011, S. 1; MdB Notz, zitiert in: Mangelhafte Kontrolle des Bankdaten-Transfers in die USA 26

B. Kündigung

197

kommens einhergehenden Grundrechtsverstöße. Eine weitere Motivation für die Forderung liegt darin, dass die meisten Parlamentarier bei ihrer Zustimmung zum Folgeabkommen irrtümlich davon ausgegangen sind, es würden keine innereuropäischen Zahlungsverkehrsdaten in die USA übermittelt werden.30 Weil aber der SEPA-Standard in den Bankhäusern noch nicht flächendeckend umgesetzt ist, sind zahlreiche EU-interne Überweisungen betreffende Daten vom Abkommen umfasst.31

I. Verfahren im Außenverhältnis zwischen EU und USA Die Kündigung durch eine Vertragspartei ist in Art. 21 Abs. 2 des Folgeabkommens geregelt.32 Sie kann jederzeit ohne Angabe eines Grundes ergehen. Im Vorfeld ist die informelle Kontaktierung des Vertragspartners mit dem Ziel einer einvernehmlichen Lösung vorgeschrieben.33 Nachdem „ausreichend Zeit“ für einen Kompromiss verstrichen ist, kann die Kündigungserklärung erfolgen. Wird die Übereinkunft wegen konkreter Passagen des Textes des Abkommens gekündigt, so kann diese Wartezeit auf wenige Tage beschränkt werden, weil ein Konsens ohnehin nur über den Abschluss eines neuen Vertrages erzielt werden kann. Sind hingegen Aspekte der Durchführung der Grund für die Kündigung, so muss dem Vertragspartner eine Verhandlungszeit von mehreren Wochen zugestanden werden. Dies kann etwa der Fall sein, wenn die europäische Seite künftige Bulk Data Transfers verhindern oder die Auswertungsmethoden verändern möchte. Solange sich die USSeite verhandlungsbereit zeigt und keine deutliche Zeitverzögerung betreibt, kann dann über mehrere Wochen hinweg keine Kündigung erfolgen. Die Kündigung wird auf durch einen diplomatischen Notenwechsel erklärt. Es handelt sich dabei um eine förmliche schriftliche Mitteilung, die zwischen einem für auswärtige Beziehungen zuständigen Ministerium und einer Botschaft des Korrespondenzpartners ausgetauscht wird.34 Sie wird sechs Tage nach ihrem Eingang wirksam. Diese kurze Zeitspanne muss den in dem Fall notwendigen technischen Anpassungen im TFTP zugestanden werden. Im Interimsabkommen war noch ein Zeitraum von 30 Tagen vorgesehen, der zwischen dem Zugang und der Wirksamkeit einer Kündigung hätte verstreichen müssen.35 Für eine derartig lange Spanne wäre kein sachlicher Grund ersichtlich gewesen. gerügt, Heise Online v. 09.03. 2011, abrufbar unter http://www.heise.de/newsticker/meldung/ Mangelhafte-Kontrolle-des-Bankdaten-Transfers-in-die-USA-geruegt-1204886. html. 30 USA kommen an noch mehr Bankdaten, FTD v. 01.02. 2011, S. 1. 31 Siehe Kapitel 5. B. II. 32 Bzw. Art. 14 Abs. 1 des Interimsabkommens. 33 Art. 21 Abs. 3 des Folgeabkommens. 34 Vgl. Aust, Modern Treaty Law and Practice, S. 355 ff. 35 Art. 14 Abs. 1 S. 3 des Interimsabkommens.

198

Kap. 6: Konsequenzen und Ausblick

II. Verfahren im Innenverhältnis der EU Das innereuropäische Verfahren zur Kündigung einer völkerrechtlichen Vereinbarung ist weder im AEUV noch in einer anderen Rechtsgrundlage explizit geregelt. Jedoch finden sich in den Art. 216 ff. AEUV ausführliche Regelungen, welche Organe in welcher Form zu beteiligen sind, wenn ein Abkommen geschlossen wird. Die Kündigung stellt den actus contrarius zum Abschluss eines Abkommens dar.36 Sowohl bei der Beendigung als auch beim Beginn einer zwischenstaatlichen Übereinkunft ist die Interessenslage die gleiche: Beide Male geht es im Kern um die Frage, ob in Zukunft vertragliche Verpflichtungen bestehen sollen oder nicht. Deshalb werden die Vertragsschlussregelungen der Art. 216 ff. AEUV analog auf die Kündigung eines Abkommens angewendet.37 Dies betrifft insbesondere auch die Beteiligungsrechte des Europäischen Parlaments.38 Eine direkte Übertragung der Vertragsschlussregelungen ist nicht möglich, weil Art. 218 AEUV einen länger angelegten Verhandlungsprozess zugrunde legt. Bei einer Kündigung wird hingegen nicht über einen Text mit zahlreichen Einzelformulierungen bilateral diskutiert, sondern die EU beschließt ohne Beteiligung des Drittstaates die schlichte Beendigung aller Vertragsklauseln. Deshalb müssen bei einer Kündigung solche Vorschriften, die beispielsweise der Festlegung von Verhandlungsrichtlinien39 oder der Bestellung eines Verhandlungsführers dienen,40 außer Acht gelassen werden. Damit verbleiben drei erforderliche Handlungen: Die Initiative zur Kündigung hat gemäß Art. 218 Abs. 2, 6, 8 AEUV analog durch einen Ratsbeschluss zu erfolgen. Dieser bedarf gemäß Art. 218 Abs. 6 S. 2 lit. a AEUV analog der Zustimmung des Parlaments. An die Stelle der Unterzeichnung des Vertrages durch die Ratspräsidentschaft41 tritt die Abfassung der Kündigungserklärung durch den Rat und die Zusendung über eine diplomatische Not gemäß Art. 21 Abs. 2 des Folgeabkommens.

III. Rechtsfolge Die Kündigung hat nicht zur Folge, dass das Abkommen nicht mehr durchgeführt wird. Es ist lediglich bestimmt, dass keine Beiträge seitens der EU mehr erfolgen. Ist 36 Lorenzmeier, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 218 AEUV Rn. 61; Kirsten/Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 218 AEUV Rn. 13. 37 Flaesch-Mougin, CDE 1993, 351 (387). 38 Lorenzmeier, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 218 AEUV Rn. 61; Müller/Ibold, in: Lenz/Borchardt, EUV/AEUV, Art. 218 AEUV Rn. 20. 39 Art. 218 Abs. 2 AEUV. 40 Art. 218 Abs. 3 AEUV. 41 Vgl. Art. 218 Abs. 2 AEUV; s. a. Khan, in: Geiger/ders./Kotzur, EUV/AEUV, Art. 218 AEUV Rn. 10.

B. Kündigung

199

das Abkommen durch Kündigung beendet, erhält das US-Finanzministerium also keine aktuellen Daten aus dem Bestand des Providers S.W.I.F.T. Die Daten, die das TFTP bereits besitzt, weil sie vor der Kündigung übermittelt wurden, werden gemäß Art. 21 Abs. 4 des Folgeabkommens „weiter im Einklang mit den Garantien dieses Abkommens einschließlich der Bestimmung über die Löschung von Daten verarbeitet“.42 Dass das Abkommen über den Zeitpunkt seiner Beendigung hinaus eine Nachwirkung entfaltet, ist für den Schutz der informationellen Selbstbestimmung europäischer Bankkunden essentiell. Würde das TFTP nach einer Kündigung des Abkommens nur noch den Gesetzen der USA unterworfen sein, könnte es europäische Daten unbefristet und unter Beachtung eines deutlich niedrigeren Schutzniveaus nach Belieben verarbeiten.43 Es steht den Unionsorganen nicht zu, Daten in Drittstaaten zu übermitteln, wenn dort eine Verarbeitung droht, die den europäischen Schutzstandards nicht gerecht wird.44 Die Fortgeltung der im Abkommen verankerten Garantien ist deshalb aus grundrechtlicher Sicht notwendig, weil die Vertragsparteien erreichen wollten, dass die in der Vergangenheit übermittelten Daten nach einer Kündigung weiterhin im TFTP ausgewertet werden. Jedoch hätte das Recht der USA auf Fortführung der Datenverarbeitung keineswegs vereinbart werden müssen. Es wäre ebenso denkbar gewesen, das US-Finanzministerium zu verpflichten, im Fall einer Kündigung alle erhaltenen Daten binnen einer angemessenen Frist zu löschen und die Datenauswertung einzustellen. Schließlich ist die typische Folge einer Kündigung die Beendigung sämtlicher in einem Vertrag behandelten Tätigkeiten. Handelt es sich um ein völkerrechtliches Abkommen der EU mit einem Drittstaat, so steht die EU zudem in der Pflicht, eine wirksame Kündigungsklausel einzufügen.45 Dies ergibt sich aus der Treuepflicht der EU gegenüber ihren Mitgliedstaaten. Die der Union übertragenen Hoheitsrechte dürfen nicht ohne weiteres an Drittstaaten übertragen werden ohne dass ständige Einflussmöglichkeiten verbleiben. Verarbeitet aber das TFTP nach einer Kündigung weiterhin Daten europäischer Bürger, deren Übermittlung die EU veranlasst hat, dann ist der Einfluss der EU darüber auf null reduziert. Daraus folgt, dass das in Art. 21 Abs. 2, 4 des Folgeabkommens eingeräumte Kündigungsrecht für lediglich einen Teil des Abkommens nicht weit genug reicht. Erforderlich ist die Möglichkeit der kompletten Beendigung des Abkommens, die eine Löschung der bislang übermittelten Daten im TFTP zur Folge hätte.

42

In der Sache ebenso Art. 13 Abs. 2 des Interimsabkommens. Zum Schutzniveau in den USA siehe Kapitel 5 E. V. 3. 44 Art. 25 Abs. 1, 2 der RL 95/46/EG. 45 Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 216 AEUV Rn. 22 Fn. 65; Tomuschat, in: v. d. Groeben/Thiersing/Ellermann, Handbuch des Europäischen Rechts, Art. 228 EGV Rn. 6. 43

200

Kap. 6: Konsequenzen und Ausblick

C. Suspendierung Eine Alternative zur Kündigung stellt die Suspendierung des Abkommens dar. Art. 218 Abs. 9 AEUV hält diese Maßnahme als flexibles Instrument bereit, wenn Vertragsverletzungen der anderen Partei eine zeitnahe, vorübergehende Nichtanwendung des Abkommens erfordern.46 Insbesondere die Beendigung von Menschenund Grundrechtsverstößen bei der Umsetzung eines Abkommens soll so ermöglicht werden.47 Art. 218 Abs. 9 AEUV eröffnet damit eine Möglichkeit, um völkerrechtliche Verträge auszusetzen, die ihrem Wortlaut nach grundrechtskonform ausgestaltet sind, deren Umsetzung jedoch unter Missachtung von Menschen- und Grundrechten erfolgt. Erforderlich ist eine Suspendierungsklausel im in Frage stehenden Abkommen.48 Während das Interimsabkommen eine solche noch nicht enthielt, hat das Folgeabkommen in Art. 21 Abs. 1 die Möglichkeit der vorübergehenden Aussetzung eröffnet. Der Vertragstext erlaubt jeder Partei die einseitige, sofortige Suspendierung im Fall eines Verstoßes gegen eine Pflicht aus dem Abkommen. Die vorangegangene Untersuchung des transatlantischen Abkommens zur Übermittlung von Zahlungsverkehrsdaten hat gezeigt, dass die Verletzung der Grundrechte von Unionsbürgern zum einen im Vertragstext angelegt sind, zum anderen aber auch aus der Umsetzung auf Seiten des US-Finanzministeriums beruht. So ist beispielsweise der Anwendungsbereich des Abkommens durch eine zu offene Definition des Tatbestandsmerkmals Terrorismus bereits im Text des Abkommens so formuliert worden, dass er unverhältnismäßig weit ist.49 Beantragt das US-Finanzministerium aufgrund der begrifflichen Offenheit der im Abkommen enthaltenen Definition die Übermittlung der Zahlungsverkehrsdaten von Tätern einer geringfügigen Straftat, so ist in darin kein Vertragsbruch seitens der USA zu sehen, der zur Suspendierung berechtigt. Wird jedoch beispielsweise das Verfahren zur Einsichtnahme der Unionsbürger in ihre beim TFTP gespeicherten Daten seitens der USA in grundrechtswidriger Weise ausgestaltet, so handelt es sich um eine einseitige Maßnahme der USA, für die es im Abkommen keine Grundlage gibt. Ein solches Fehlverhalten stellt einen Grund für die wirksame Suspendierung des Abkommens dar. Auch die Anforderung von Bulk Data Transfers stellt ein solches Fehlverhalten bei der Umsetzung des Abkommens dar. Damit liegen hinreichende Suspendierungsgründe für die EU vor.

46

Lorenzmeier, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 218 AEUV Rn. 59; Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 218 AEUV Rn. 13/23. 47 Hoffmeister, Menschenrechts- und Demokratieklauseln in den vertraglichen Außenbeziehungen der Europäischen Gemeinschaft, S. 5 ff. 48 Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 218 AEUV Rn. 24. 49 Siehe Kapitel 5 F. I. 1. c) cc).

D. Rechtsweg vor dem EuGH

201

Das Fehlverhalten muss dabei eine gewisse Erheblichkeit aufweisen.50 Es genügt deshalb beispielsweise nicht eine überlange Bearbeitungsdauer von Auskunftsersuchen in einzelnen Fällen. Die mehrfach erfolgte Anforderung ganzer Datenpakete, die weitgehend Daten unverdächtiger Personen enthalten, stellt hingegen einen tauglichen Suspendierungsgrund dar. Es handelt sich dabei um eine unverhältnismäßige Maßnahme, die der in Art. 8 des Folgeabkommens verankerten Pflicht zur Gewährleistung eines angemessenen Datenschutzes zuwiderläuft.51 Das Verfahren zur Suspendierung erfolgt durch einen Ratsbeschluss,52 der den USA auf diplomatischem Wege zugeleitet wird.53 Einer Mitwirkung des Europäischen Parlaments bedarf es nicht.54

D. Rechtsweg vor dem EuGH Besteht keine politische Mehrheit für eine Kündigung oder Suspendierung des Abkommens, bleibt noch immer die Möglichkeit der gerichtlichen Überprüfung. Um die Vereinbarkeit des Abkommens mit den Unionsgrundrechten verbindlich zu klären, kann der Rechtsweg zum EuGH beschritten werden.

I. Gutachten nach Art. 218 Abs. 11 AEUV Das in Art. 218 Abs. 11 AEUV vorgesehene spezielle Verfahren zur Überprüfung völkerrechtlicher Vertrage, dem aktuell das ACTA-Abkommen unterzogen wird,55 kommt allerdings nicht in Betracht. Entsprechend dem eindeutigen Wortlaut des AEUV können derartige Gutachten des EuGH nur bezüglich geplanter, also noch nicht geschlossener Übereinkünfte eingeholt werden.

II. Nichtigkeitsklage gegen das Abkommen Gegen völkerrechtliche Vereinbarungen mit Drittstaaten, die bereits gültig sind, kann die allgemeine Nichtigkeitsklage gemäß Art. 263 f. AEUV erhoben werden.56 50

Behrens, EuZW 2010, 121. Siehe Kapitel 5 F. II. 3.–5. 52 Art. 218 Abs. 9 AEUV. 53 Art. 21 Abs. 1 des Folgeabkommens. 54 Lorenzmeier, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 218 AEUV Rn. 59; Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 218 AEUV Rn. 13, 23. 55 Pressemitteilung der Kommission v. 22.02. 2012, MEMO/12/128. 56 Khan, in: ders./Geiger/Kotzur, EUV/AEUV, Art. 218 AEUV Rn. 21; Schmalenbach, in: Calliess/Ruffert, EUV/AEUV, Art. 218 AEUV Rn. 35. 51

202

Kap. 6: Konsequenzen und Ausblick

Schließlich handelt es sich um Bestandteile der Unionsrechtsordnung,57 die unterhalb des Primärrechts angesiedelt sind58 und deshalb wie jeder andere Rechtsakt auch den etablierten Mechanismen der Rechtskontrolle unterliegen.59 Die Nichtigkeitsklage ermöglicht es einzelnen Mitgliedstaaten, dem Europäischen Parlament, dem Rat und der Kommission, die Vereinbarkeit eines Rechtsaktes der EU mit dem Primärrecht verbindlich feststellen zu lassen. Das Verfahren ist jedoch an eine enge Klagefrist von zwei Monaten gebunden. Bei Klagen gegen völkerrechtliche Abkommen beginnt diese Frist gemäß Art. 263 UAbs. 6 AEUV mit der „Bekanntgabe“.60 Darunter ist der Tag der Veröffentlichung im Amtsblatt zu verstehen,61 die am 27. Juni 2010 erfolgte.62 Die Zweimonatsfrist endet gemäß Art. 80 § 1 lit. b VerfO-EuGH mit Ablauf des Tages, der im übernächsten Monat dieselbe Zahl trägt wie der Tag, an dem das fristauslösende Ereignis eingetreten ist.63 Hinzuzuaddieren ist eine pauschale Entfernungsfrist von zehn Tagen,64 um dem gegebenenfalls langwierigen grenzüberschreitenden Postverkehr Rechnung zu tragen. Damit erfolgte der Ablauf der Klagefrist am 07. Oktober 2010.65 Bis zu diesem Datum wurde keine Klage erhoben. Einzelne Akteure hatten die Beschreitung des Rechtsweges erwogen.66 Letztendlich bedarf die Klageerhebung aber ebenso wie die Kündigung einer politischen Mehrheit, auch wenn die Hürden niedriger sind, weil ein einzelnes Organ oder ein Mitgliedstaat als Kläger ausreicht. Jedoch sind die Gremien, denen ein Klagerecht zustand, identisch mit denjenigen, die dem Abkommen kurz zuvor zugestimmt haben: Rat und Parlament haben abgestimmt, die Mitgliedstaaten waren über den Rat beteiligt und die Kommission hat das Abkommen ausgehandelt. Dass sich weniger als zwei Monate später innerhalb eines beteiligten Gremiums eine Mehrheit für eine Klageerhebung herausbildet, war deshalb ohnehin kaum vorstellbar.

57

Art. 216 Abs. 2 AEUV. Siehe Kapitel 6 A. I. 59 Khan, in: ders./Geiger/Kotzur, EUV/AEUV, Art. 218 AEUV Rn. 21. 60 In der englisch- und der französischsprachigen Fassung „publication“. 61 Cremer, in: Calliess/Ruffert, EUV/AEUV, Art. 263 AEUV Rn. 77. 62 ABl. L 195. 63 Cremer, in: Calliess/Ruffert, EUV/AEUV, Art. 263 AEUV Rn. 80. 64 Art. 81 § 2 VerfO-EuGH. 65 Es handelte sich um einen Donnerstag, weshalb keine weitere Verschiebung nach Art. 80 § 2 VerfO-EuGH erfolgt. 66 Für die Bundesrepublik Deutschland BfDI Schaar, wiedergegeben in Beck Aktuell, becklink 294103; für das EP MdEP Albrecht, wiedergegeben in: SWIFT-Abkommen zum Transfer von Bankdaten an US-Behörden beschlossen, Heise Online v. 30.11. 2009, abrufbar unter http://www.heise.de/newsticker/meldung/SWIFT-Abkommen-zum-Transfer-von-Bankdaten-an-US-Behoerden-beschlossen-872553.html. 58

D. Rechtsweg vor dem EuGH

203

III. Nichtigkeitsklage gegen Durchführungsmaßnahmen Art. 263 UAbs. 4, 5 AEUV beinhaltet ein zweites, von der oben dargestellten Nichtigkeitsklage zu unterscheidendes Verfahren, bei dem nicht die Unionsorgane, sondern betroffene Einzelpersonen Kläger sind. Zuständig ist das EuG.67 Die natürlichen oder juristischen Personen können sich dabei nicht gegen das Abkommen an sich wenden, sondern nur konkrete, sie belastende Maßnahmen von Stellen der EU rügen.68 Die Nichtigkeitsklage kann deshalb nicht die Geltung des Abkommens beeinflussen, sondern lediglich die Zustimmung Europols69 zur Datenübermittlung in die USA für nichtig erklären. 1. Klagebefugnis Damit das EuG über die Klage verhandelt, sind klägerseits enge Voraussetzungen an die Klagebefugnis zu erfüllen. Gemäß Art. 263 UAbs. 4 AEUV kann der Kläger nur gegen solche Handlungen vorgehen, die an ihn gerichtet sind oder die ihn unmittelbar und individuell betreffen. Die Zustimmung Europols zur Datenübermittlung ergeht in schriftlicher Form an S.W.I.F.T., damit der Zahlungsverkehrsprovider die betreffenden Daten in die USA übermittelt.70 Deshalb kommen die Bankkunden, deren Daten das US-Finanzministerium erhält, nicht als Adressaten der Entscheidung Europols in Betracht. Klagebefugt sind nach der zweiten Tatbestandsalternative des Art. 263 UAbs. 4 AEUV auch Personen, die unmittelbar und individuell von einer Entscheidung betroffen sind, die an einen anderen Adressaten gerichtet ist.71 Solche Dritten als Adressaten können beispielsweise andere Behörden sein.72 Deshalb ist es entscheidend, ob die in den Zahlungsverkehrsdaten aufgeführten Bankkunden von der Freigabemitteilung Europols an S.W.I.F.T. unmittelbar und individuell betroffen sind. a) Unmittelbare Betroffenheit Unmittelbar betroffen sind die Bankkunden dann, wenn sie durch die Entscheidung Europols beeinträchtigt werden, ohne dass weitere Zwischenakte ergehen.73 Durch die Übermittlung ihrer Zahlungsverkehrsdaten in den im Hinblick auf den Datenschutz unsicheren Drittstaat USA wird in das Grundrecht auf informationelle 67 Müller-Ibold, in: Lenz/Borchardt, EU-Verträge, Kommentar nach dem Vertrag von Lissabon, Art. 218 AEUV Rn. 22. 68 Art. 263 UAbs. 1 S. 2, UAbs. 4 AEUV. 69 Art. 4 Abs. 5 des Folgeabkommens. 70 Art. 4 Abs. 4 S. 2 des Folgeabkommens. 71 Cremer, in: Calliess/Ruffert, EUV/AEUV, Art. 263 AEUV Rn. 33; Kotzur, in: Geiger/ Khan/ders., EUV/AEUV, Art. 263 Rn. 24. 72 Vgl. Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 263 Rn. 24 ff. 73 Cremer, in: Calliess/Ruffert, EUV/AEUV, Art. 263 AEUV Rn. 33.

204

Kap. 6: Konsequenzen und Ausblick

Selbstbestimmung der Bankkunden eingegriffen.74 Die Freigabe durch Europol ist eine notwendige Voraussetzung für diesen Grundrechtseingriff. Vollendet wird er jedoch erst durch die tatsächliche Übermittlung, die Mitarbeiter des privatrechtlichen Unternehmens S.W.I.F.T. vornehmen. Insofern ist noch ein Zwischenschritt erforderlich, um aus der Freigabe durch Europol eine Betroffenheit der Bankkunden herzuleiten. Dabei muss jedoch bedacht werden, dass S.W.I.F.T. keine autonome Entscheidung fällt, wie mit der Datenanforderung der USA und der Freigabe durch Europol zu verfahren ist. Erhält das Unternehmen die Zustimmung von Europol, ist es dazu verpflichtet, die ersuchten Daten in die USA zu transferieren.75 Wenn S.W.I.F.T. allenfalls unter Inkaufnahme eines Rechtsbruches die Übermittlung verweigern kann, dann handelt es sich nicht mehr um einen Zwischenschritt. Europol entscheidet vielmehr abschließend über die Frage der Datenübertragung, die nach Zustellung der Entscheidung bei S.W.I.F.T. „quasi automatisch“76 geschieht. Deshalb bleiben bei der Beurteilung der Unmittelbarkeit solche Zwischenakte unberücksichtigt, zu deren Durchführung die zuständige Stelle ohne einen eigenen Ermessensspielraum verpflichtet ist.77 Nach diesen Feststellungen ist die Zustimmung Europols ein Akt, der abschließend über die Datenübermittlung entscheidet und deshalb die betroffenen Bankkunden unmittelbar beeinträchtigt. b) Individuelle Betroffenheit Angesichts der Tatsache, dass Europol im Rahmen des Bulk Data Transfers Millionen von Datensätzen en bloc freigibt,78 stellt sich die Frage, ob der einzelne Bankkunde auch individuell betroffen ist. Schließlich ist er in der Freigabeentscheidung nicht namentlich bezeichnet. Auch die Anfrage der USA erfolgt in der Regel ohne die Nennung konkreter Personen, sondern anhand der Spezifikation von Zeiträumen und geographischen Regionen.79 Der EuGH beurteilt die Frage der individuellen Betroffenheit nach der sogenannten Plaumann-Formel. Danach „kann, wer nicht Adressat einer Entscheidung ist, nur dann geltend machen, von ihr individuell betroffen zu sein, wenn die Entscheidung ihn wegen bestimmter persönlicher Eigenschaften oder besonderer, ihn aus dem Kreis der übrigen Personen heraushebender Umstände berührt und ihn daher 74

Siehe Kapitel 5 D. III. Art. 4 Abs. 5 S. 2 des Folgeabkommens. 76 EuGH, Rs. 113/77, Slg. 1979, 1185, Rn. 11, zur Umsetzungspflicht ohne Ermessensspielraum durch Mitgliedstaaten. 77 EuGH, Rs. 113/77, Slg. 1979, 1185, Rn. 11; Daig, Nichtigkeits- und Untätigkeitsklagen im Recht der Europäischen Gemeinschaften, S. 100 ff.; Koch, Die Klagebefugnis Privater gegenüber europäischen Entscheidungen gem. Art. 173 Abs. 2 EWG-Vertrag, S. 240. 78 Siehe Kapitel 5 F. II. 79 Siehe Kapitel 5 F. II. 2. 75

D. Rechtsweg vor dem EuGH

205

in ähnlicher Weise individualisiert wie den Adressaten“.80 In letzter Zeit wurde der Begriff der individuellen Betroffenheit zunehmend um weitere Fallgruppen erweitert, um effektiven Rechtsschutz zu gewährleisten.81 Europäische Bankkunden, deren Daten Europol für die Übermittlung in die USA freigegeben hat, sind jedoch bereits nach der engen Plaumann-Formel klagebefugt. Dass eine sehr große Personenzahl von einer Maßnahme einer EU-Einrichtung berührt wird, steht nach dieser Definition der Individualität jedes einzelnen Betroffenen nicht im Wege. Entscheidend ist vielmehr, dass sie aufgrund besonderer Umstände von der üblichen Bevölkerung abgegrenzt werden, können, die so gravierend sind, dass die Betroffenen mit Adressaten der Maßnahme gleichgestellt werden können. Die betreffenden Bankkunden sind zwar nicht in den Entscheidungen Europols namentlich genannt, wohl aber in den Daten, die S.W.I.F.T. übermittelt. Europol verfügt damit über die informationellen Selbstbestimmungsrechte konkret individualisierter Personen. S.W.I.F.T. als Adressat der Entscheidung Europols wird lediglich als Werkzeug genutzt, um die Daten anderer Personen zu erhalten. Der Zweck der Maßnahme liegt nicht darin, Informationen über S.W.I.F.T., sondern für die Terrorismusabwehr relevante Hinweise über europäische Bankkunden zu erhalten. Rechtlich verpflichtet wird durch die Entscheidung Europols lediglich S.W.I.F.T. In grundrechtlicher Hinsicht sind die in den übermittelten Bankdaten namentlich bezeichneten Kontoinhaber jedoch mindestens genauso betroffen wie der Adressat S.W.I.F.T. Deshalb sind sie von der Freigabe ihrer Daten individuell betroffen und haben die nötige Klagebefugnis, um sich an den EuGH bzw. das EuG zu wenden. 2. Klagefrist Anders als die Nichtigkeitsklage eines Unionsorgans gegen die Geltung des Abkommens würde die Klage einer Einzelperson gegen eine Umsetzungsmaßnahme nicht zwangsläufig an der Klagefrist scheitern. Zwar gilt für die Länge der Frist ebenfalls das oben unter II. Gesagte.82 Jedoch kann hinsichtlich des Fristbeginns nicht auf die Bekanntgabe abgestellt werden, weil die Entscheidung Europols den betroffenen Bankkunden nicht zugeht. Deshalb ist der Zeitpunkt heranzuziehen, an dem der Kläger tatsächlich Kenntnis erlangt hat.83 Entsprechendes Wissen kann nur über ein beantwortetes Auskunftsersuchen beim US-Finanzministerium gemäß Art. 15 des Folgeabkommens erlangt werden. Deshalb beginnt auch die Klagefrist erst mit der Zustellung der Antwort des US-Finanzministeriums durch den Bundesdatenschutzbeauftragten beim Betroffenen zu laufen. 80

EuGH, Rs. 169/84, Slg. 1986, 391, Rn. 22. Überblick bei Bebr, Development of judicial control of the European communities, S. 83; Löw, Der Rechtsschutz des Konkurrenten gegenüber Subventionen aus gemeinschaftsrechtlicher Sicht, S. 155 f. 82 Siehe Kapitel 6 D. II. 83 Art. 80 § 1 VerfO-EuGH, siehe näher Kotzur, in: Geiger/Khan/ders., EUV/AEUV, Art. 263 Rn. 45. 81

206

Kap. 6: Konsequenzen und Ausblick

IV. Zwischenergebnis Eine weitere Möglichkeit, im Abkommen vorgesehene Maßnahmen vom EuGH überprüfen zu lassen, besteht im Vorabendscheidungsverfahren nach Art. 267 AEUV. Eine Vorlage durch ein mitgliedstaatliches Gericht ist allerdings nur denkbar, wenn Pflichtverletzungen nationaler Stellen gerügt werden. Hierbei kommen lediglich die begrenzten Beteiligungspflichten der datenschutzrechtlichen Aufsichtsbehörden in Betracht, deren Erfüllung in der Praxis wenige Probleme bereiten dürfte. Die verfügbaren gerichtlichen Schritte sind jeweils nicht geeignet, die Geltung des Abkommens zu beeinflussen, weil sie lediglich gegen konkrete Ausführungshandlungen gerichtet sind. Ohnehin kann ein Urteilsspruch des EuG oder des EuGH keinesfalls die Wirkung im Außenverhältnis gegenüber den USA beeinträchtigen.84

E. Aktuelle Entwicklungen I. Wahrscheinlichkeit einer politischen Beendigung des Abkommens Mit einer Kündigung oder Suspendierung des Abkommens kann in absehbarer Zeit nicht gerechnet werden. Beide Maßnahmen können nur durch den Rat erfolgen.85 Das Organ hat jedoch auch nach einer Analyse der Anwendung Abkommens positive Stellungnahmen abgegeben.86 Im Parlament, dessen Beteiligung für eine Kündigung erforderlich ist, beschränkt sich die anhaltende Kritik auf Akteure, die bereits die Zustimmung zum Folgeabkommen am 08. Juli 2010 verweigert hatten.87 Ein Antrag der ALDE-Fraktion auf Einfrierung eines Teils des Kommissionshaushalts, um eine rechtmäßige Umsetzung des Abkommens zu erzwingen, fand keine Mehrheit.88 Möglicherweise könnte sich die Ausgangslage verändern, wenn der EuGH sich zur Vereinbarkeit der Vorratsdatenspeicherung im Telekommunikationsbereich mit europäischen Grundrechten positioniert. Bislang hatte das Gericht lediglich zu 84

Müller/Ibold, in: Lenz/Borchardt, EUV/AEUV, Art. 218 AEUV Rn. 24. Khan, in: ders./ Geiger/Kotzur, EUV/AEUV, Art. 218 AEUV Rn. 21; Lorenzmeier, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, Art. 218 AEUV Rn. 79. 85 Siehe Kapitel 6 B. II. 86 Ratsdok. 14207/11 v. 15.09. 2011; 8692/11 v. 12.04. 2011, S. 12. 87 Überblick im Ergebnisprotokoll der namentlichen Abstimmung v. 08.07. 2010, PE 445.585. 88 Pressemitteilung von MdEP Alvaro v. 01.12. 2011, abrufbar unter http://www.alexanderalvaro.de/archives/2266/alvaro-cdu-spd-gruene-und-linke-blockieren-durchsetzung-des-daten schutzes-beim-swift-abkommen.

E. Aktuelle Entwicklungen

207

formalen Aspekten der entsprechenden Richtlinie Stellung genommen,89 jedoch keine inhaltliche Beurteilung abgegeben. Eine Gelegenheit zur Grundrechtsprüfung bietet sich bei der Behandlung der Vorlagefrage des irischen High Court, die am 27. Januar 2012 eingereicht wurde.90 Das TFTP speichert die Zahlungsverkehrsdaten zunächst unverdächtiger Personen, die im Rahmen des Bulk Data Transfers in großen Mengen erhalten hat, für mehrere Jahre. Diese Situation weist Parallelen zur vorbeugenden Speicherung von Telekommunikationsdaten auf.91 Sollte der EuGH die Idee der anlasslosen Erhebung und Aufbewahrung personenbezogener Daten grundsätzlich in Frage stellen, könnte dies einen Stimmungswandel in den Unionsorganen hervorrufen.

II. Einrichtung eines europäischen Pendants zum TFTP Seitens der Kommission wird aktuell geprüft, ob die Einrichtung eines europäischen Systems zur Aufspürung der Terrorismusfinanzierung erstrebenswert ist.92 Der Zweck einer solchen Einrichtung nach dem Vorbild des TFTP soll zum einen in der Erlangung weiterer geheimdienstlich relevanter Informationen liegen. Zum anderen soll ein System geschaffen werden, das den Bulk Data Transfer obsolet macht. Das Projekt befindet sich in einer frühen Phase, sodass weder die Ausgestaltung noch die zeitlichen Dimensionen festgelegt sind. Verschiedene Varianten, die die Diskussion bestimmen, wurden oben im Kapitel 5, Abschnitt E. II. 3. b) cc) dargestellt und bewertet. Sollte ein Programm eingerichtet werden, das aus den von S.W.I.F.T. bereitgestellten Daten diejenigen herausfiltert, die tatsächlich von den USA angefordert und benötigt werden, könnte künftig der Bulk Data Transfer unterbleiben. Der zentrale Kritikpunkt an der derzeitigen Durchführung des Abkommens würde damit entfallen. Gerade im Hinblick auf die Auskunfts- und Klagerechte betroffener Kontoinhaber würden zwar weiterhin Grundrechtsverstoße verbleiben,93 der Fortschritt im Hinblick auf den Datenschutz wäre aber bereits beachtlich. Bereits die Zwischenschaltung einer Einrichtung, die Datenübermittlungen von S.W.I.F.T. filtert, erfordert eine Neufassung des Abkommens, weil bislang direkte Transfers von S.W.I.F.T. an das US-Finanzministerium vorgesehen sind.94 Bei den anstehenden Neuverhandlungen gebietet es die Schutzpflicht der Unionsorgane für die Grundrechte der EU-

89 90 91 92 93 94

EuGH, Rs. C-301/06, Slg. 2009, I-593, Rn. 56 ff. Machtwort aus Luxemburg, SZ v. 30.01. 2012, S. 1. Siehe Kapitel 5 F. II. 3. a) dd). Mitteilung der Kommission v. 13.07. 2011, KOM(2011) 429. Siehe Kapitel 5 J. Art. 4 Abs. 6 S. 1 des Folgeabkommens.

208

Kap. 6: Konsequenzen und Ausblick

Bürger,95 auf eine Löschung der zuvor durch Bulk Data Transfers übermittelten Daten zu drängen. Sollte sich die EU entschließen, ein komplettes mit dem TFTP vergleichbares Programm zur Auswertung von Zahlungsverkehrsdaten zu etablieren, stellt sich die Frage, ob ein transatlantisches Abkommen weiterhin notwendig ist. S.W.I.F.T. betreibt ein Operationszentrum in Zoeterwornde in den Niederlanden,96 in dem sämtliche weltweit über das S.W.I.F.T.-Netz versendeten Nachrichten als Sicherungskopie gespeichert werden.97 Damit wird der Datenbestand des Zahlungsverkehrsproviders lückenlos auf europäischem Boden gespeichert. Auf eine Mitwirkung der USA wäre die EU deswegen nicht mehr angewiesen. Beide Parteien haben zwar vereinbart, auch nach der Einführung eines europäischen Auswertungssystems eng zusammenzuarbeiten.98 Dies kann jedoch auch in einem Austausch der Ermittlungsergebnisse geschehen. Für die Fortführung einer in Grundrechte eingreifenden Übermittlung von Zahlungsverkehrsdaten besteht dann keine Veranlassung mehr. Dann wäre es unverhältnismäßig, weiterhin Rohdaten in einen Drittstaat ohne angemessenes Schutzniveau zu übermitteln.

95 96 97 98

Rengeling/Szczekalla, Grundrechte in der Europäischen Union, § 16 Rn. 684. Siehe Kapitel 2 A. II. 1. a). Siehe Kapitel 2 A. 2. Art. 11 Abs. 3 des Folgeabkommens.

Kapitel 7

Zusammenfassung und Fazit Angesichts der Bedrohungslage durch den organisierten Terrorismus ist es für die weltweite Sicherheitslage von großer Bedeutung, dass das in den S.W.I.F.T.-Daten ruhende Ermittlungspotential ausgeschöpft wird. Die Auswertung dieser Zahlungsverkehrsdaten muss nicht zwangsläufig durch Behörden der USA erfolgen. Europäische Stellen verfügen ebenfalls über die Möglichkeit, ein eigenes TFTP aufzubauen. Würde die Etablierung eines solchen Programms den transatlantischen Datentransfer obsolet machen, würde die grundrechtliche Belastung der Unionsbürger deutlich abgemildert werden. Der Aufbau einer europäischen Einrichtung zur Auswertung der weltweiten Finanzströme erfordert jedoch Zeit. Bis er gelungen ist, kann die Terrorismusbekämpfung nicht ruhen. Solange bestehen keine grundsätzlichen Bedenken gegen die Übermittlung von S.W.I.F.T.-Daten an das US-Finanzministerium. Lediglich die konkrete Ausgestaltung der aktuell praktizierten Lösung bedarf aus grundrechtlichen Erwägungen heraus der Optimierung. Welche Anforderungen an ein zulässiges Abkommen mit den USA zu stellen sind, wurde in dieser Arbeit dargestellt. Danach müssten die folgenden Punkte Berücksichtigung finden: 1.

Die Europäische Union hat keine Zuständigkeit zum Abschluss eines Abkommens, das auf den Zugriff auf S.W.I.F.T.-Daten abzielt. Es müsste bi- oder trilateral zwischen den USA und Belgien und/oder den Niederlanden geschlossen werden, weil nur letztere Staaten in der Lage sind, den Vertrag zu erfüllen.

2.

Der Bulk Data Transfer ist einzustellen, weil er weder erforderlich noch angemessen ist. Die dafür notwendige Filterung der S.W.I.F.T.-Daten hinsichtlich tatsächlich benötigter Datensätze vor der Übermittlung an die USA kann durch S.W.I.F.T. oder besser noch durch den Europäischen Datenschutzbeauftragten, Europol oder eine mitgliedstaatliche Behörde erfolgen.

3.

Eine Erweiterung des Anwendungsbereichs auf die Daten anderer Provider neben S.W.I.F.T. kann nicht alleine durch diplomatische Notenwechsel erfolgen, sondern bedarf der Beteiligung des Rates und des Parlaments.

4.

Die im Abkommen verwendete Terrorismusdefinition ist aus Gründen der Verhältnismäßigkeit durch eine Erheblichkeitsschwelle zu ergänzen.

5.

Der Schutz sensibler Daten erfordert konkretere Vorgaben an das TFTP, als das Abkommen bislang bereithält. Insbesondere ist eine sofortige Löschung an-

210

Kap. 7: Zusammenfassung und Fazit

gezeigt, wenn die Information nicht von konkreter Bedeutung für die Terrorismusaufklärung ist. 6.

Der bislang im Abkommen enthaltene Ausschluss computergestützter Filterung ist praktisch nicht durchführbar und bedarf deshalb der klärenden Präzisierung.

7.

Die ständige Kontrollfunktion durch europäische Stellen, die von Europol wahrgenommen wird, bedarf der deutlichen Ausweitung. Insbesondere muss das Gremium ausführliche schriftliche Anfragen der USA erhalten und auch die als Antwort in die USA gesendeten Daten zuvor einsehen. Nur so kann eine effektive Vorabkontrolle realisiert werden. Im Hinblick auf die gebotene Unabhängigkeit des Gremiums sollte klargestellt werden, dass der Datenschutzbeauftragte von Europol die Kontrolle ausübt und nicht die mit der Gefahrenabwehr befassten Mitarbeiter.

8.

Die Befugnis des US-Finanzministeriums, Aufsichtsmaßnahmen durch das permanente gemeinsame Gremium der EU und der USA zu verweigern, bedarf der Ergänzung, dass dies nur ausnahmsweise und aus wichtigem Grund zulässig ist.

9.

Das Verfahren, nach dem europäische Bürger Einsicht in ihre Daten nehmen können, die beim TFTP gespeichert sind, bedarf der Vereinfachung. Insbesondere ist die Menge der erforderlichen Angaben zu reduzieren, sodass etwa auch ein geschwärztes Ausweisdokument zum Identitätsnachweis genügt. Die Verweigerung der Einsichtnahme darf nur ausnahmsweise und nur aus einem wichtigen, für europäische Behörden nachprüfbaren Grund erfolgen.

10. Der Rechtsweg betroffener Unionsbürger gegen Maßnahmen des TFTP muss auch eröffnet sein, wenn ein Verstoß gegen das Abkommen oder europäische Grundrechte geltend gemacht wird. 11. Die Kündigung des Abkommens ist so auszugestalten, dass sie eine vollständige Beendigung des Abkommens bewirkt, ohne dass die zuvor übermittelten Daten weiterhin verarbeitet werden.

Anhang: Text des Abkommens Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus vom 28. Juni 2010 (Folgeabkommen), ohne Abdruck der Erwägungsgründe Artikel 1 Ziel des Abkommens (1) Ziel dieses Abkommens ist es, unter uneingeschränkter Achtung der Privatsphäre und des Schutzes personenbezogener Daten und der übrigen in diesem Abkommen festgelegten Bedingungen sicherzustellen, dass a) Zahlungsverkehrsdaten und damit verbundene Daten, die von gemäß diesem Abkommen gemeinsam bezeichneten Anbietern von internationalen Zahlungsverkehrsdatendiensten im Gebiet der Europäischen Union gespeichert werden, dem US-Finanzministerium ausschließlich für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung bereitgestellt werden und b) sachdienliche Informationen, die im Wege des TFTP erlangt werden, den für die Strafverfolgung, öffentliche Sicherheit oder Terrorismusbekämpfung zuständigen Behörden der Mitgliedstaaten, Europol oder Eurojust für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus und Terrorismusfinanzierung zur Verfügung gestellt werden. (2) Die Vereinigten Staaten, die Europäische Union und die Mitgliedstaaten der Europäischen Union ergreifen in ihrem Zuständigkeitsbereich alle erforderlichen und geeigneten Maßnahmen, damit die Bestimmungen dieses Abkommens durchgeführt werden und das Ziel dieses Abkommens erreicht wird. Artikel 2 Anwendungsbereich Handlungen, die zu Terrorismus oder Terrorismusfinanzierung gehören Dieses Abkommen findet Anwendung auf die Erlangung und Verwendung von Zahlungsverkehrsdaten und damit verbundenen Daten im Hinblick auf die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von a) Handlungen von Personen oder Organisationen, die mit Gewalt verbunden sind oder in anderer Weise Menschenleben, Vermögenswerte oder Infrastruktur gefährden und bei denen aufgrund ihrer Art und ihres Kontexts berechtigter Grund zu der Annahme besteht, dass sie mit dem Ziel begangen wurden,

212 i.

Anhang: Text des Abkommens die Bevölkerung einzuschüchtern oder zu nötigen;

ii. eine Regierung oder internationale Organisation durch Einschüchterung, Ausübung von Zwang oder Nötigung zu einer Handlung oder Unterlassung zu veranlassen, oder iii. die politischen, verfassungsrechtlichen, wirtschaftlichen oder sozialen Grundstrukturen eines Landes oder einer internationalen Organisation ernsthaft zu destabilisieren oder zu zerstören; b) Personen oder Organisationen, die die unter Buchstabe a beschriebenen Handlungen unterstützen oder begünstigen oder finanzielle, materielle oder technische Hilfe oder finanzielle und andere Dienstleistungen für solche Handlungen oder zu deren Unterstützung bereitstellen; c) Personen oder Organisationen, die in irgendeiner Weise direkt oder indirekt Finanzmittel in der Absicht oder in dem Wissen bereitstellen oder beschaffen, dass diese Mittel ganz oder teilweise zur Begehung von Handlungen im Sinne der Buchstaben a oder b verwendet werden oder verwendet werden sollen, oder d) Personen oder Organisationen, die Beihilfe zu den unter den Buchstaben a, b oder c beschriebenen Handlungen leisten, zu deren Begehung anstiften oder den Versuch der Begehung solcher Handlungen unternehmen. Artikel 3 Bereitstellung von Daten durch bezeichnete Anbieter Die Parteien sorgen im Einklang mit diesem Abkommen, insbesondere mit Artikel 4, sowohl einzeln als auch gemeinsam dafür, dass die von den Parteien auf der Grundlage dieses Abkommens gemeinsam als Anbieter von internationalen Zahlungsverkehrsdatendiensten bezeichneten Stellen („bezeichnete Anbieter“) dem US-Finanzministerium angeforderte Zahlungsverkehrsdaten und damit verbundene Daten, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus und Terrorismusfinanzierung notwendig sind, bereitstellen („bereitgestellte Daten“). Die Liste der bezeichneten Anbieter wird diesem Abkommen als Anhang beigefügt und kann bei Bedarf im Wege eines diplomatischen Notenwechsels aktualisiert werden. Jede Änderung des Anhangs wird im Amtsblatt der Europäischen Union veröffentlicht. Artikel 4 Ersuchen der Vereinigten Staaten um Daten von bezeichneten Anbietern (1) Für die Zwecke dieses Abkommens stellt das US-Finanzministerium nach Maßgabe des Rechts der Vereinigten Staaten einem bezeichneten Anbieter im Hoheitsgebiet der Vereinigten Staaten nachstehend als „Ersuchen“ bezeichnete Vorlageanordnungen (production orders) zu, um im Gebiet der Europäischen Union gespeicherte Daten zu erlangen, die zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus und Terrorismusfinanzierung notwendig sind. (2) An das Ersuchen (und etwaige ergänzende Dokumente) werden folgende Anforderungen gestellt: a) Die angeforderten Daten, die zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Terrorismus und Terrorismusfinanzierung notwendig sind, müssen möglichst präzise unter Angabe der Datenkategorien bezeichnet werden. b) Es muss klar begründet werden, warum die Daten notwendig sind.

Anhang: Text des Abkommens

213

c) Das Ersuchen muss so eng wie möglich gefasst sein, um die Menge der angeforderten Daten auf ein Minimum zu beschränken, wobei den Analysen früherer und gegenwärtiger Terrorrisiken anhand der Art der Daten und geografischer Kriterien sowie den Erkenntnissen über terroristische Bedrohungen und Schwachstellen, geografischen Analysen sowie Bedrohungs- und Gefährdungsanalysen gebührend Rechnung zu tragen ist. d) Es dürfen keine Daten angefordert werden, die sich auf den Einheitlichen Euro-Zahlungsverkehrsraum beziehen. (3) Zeitgleich mit der Zustellung des Ersuchens an den bezeichneten Anbieter übermittelt das US-Finanzministerium eine Kopie des Ersuchens zusammen mit etwaigen ergänzenden Dokumenten an Europol. (4) Nach Eingang der Kopie überprüft Europol in einem als Eilsache eingestuften Vorgang, ob das Ersuchen den Anforderungen von Absatz 2 genügt. Nach dieser Überprüfung teilt Europol dem bezeichneten Anbieter mit, ob das Ersuchen den Anforderungen von Absatz 2 genügt. (5) Sobald Europol bestätigt hat, dass das Ersuchen den Anforderungen von Absatz 2 genügt, ist dieses nach dem Recht der Vereinigten Staaten für die Zwecke dieses Abkommens sowohl in der Europäischen Union als auch in den Vereinigten Staaten rechtsverbindlich. Der bezeichnete Anbieter ist daraufhin befugt und verpflichtet, dem US-Finanzministerium die Daten bereitzustellen. (6) Die Daten werden dem US-Finanzministerium vom bezeichneten Anbieter direkt im Push-Verfahren bereitgestellt. Der bezeichnete Anbieter führt über sämtliche Daten, die dem US- Finanzministerium für die Zwecke dieses Abkommens übermittelt werden, genau Protokoll. (7) Sobald die Daten auf der Grundlage dieser Verfahren bereitgestellt wurden, gelten die Pflichten, die dem bezeichneten Anbieter nach diesem Abkommen obliegen, sowie alle anderen in der Europäischen Union geltenden rechtlichen Anforderungen an die Übermittlung dieser Daten aus der Europäischen Union in die Vereinigten Staaten als erfüllt. (8) Den bezeichneten Anbietern stehen alle administrativen und gerichtlichen Rechtsbehelfe zu, die den Adressaten von Ersuchen des US-Finanzministeriums nach dem Recht der Vereinigten Staaten zur Verfügung stehen. (9) Die Parteien sprechen sich in Bezug auf die notwendigen technischen Voraussetzungen für die Überprüfung durch Europol ab. Artikel 5 Garantien für die Verarbeitung bereitgestellter Daten Allgemeine Verpflichtungen (1) Das US-Finanzministerium sorgt dafür, dass die bereitgestellten Daten nach Maßgabe dieses Abkommens verarbeitet werden. Das US-Finanzministerium gewährleistet, dass personenbezogene Daten durch die folgenden Garantien ohne Diskriminierung insbesondere aufgrund der Staatsangehörigkeit oder des Wohnsitzlandes geschützt werden. (2) Die bereitgestellten Daten werden ausschließlich für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung verarbeitet. (3) Das TFTP beinhaltet weder jetzt noch in Zukunft Data-Mining oder andere Arten der algorithmischen oder automatischen Profilerstellung oder computergestützten Filterung.

214

Anhang: Text des Abkommens Datensicherheit und Datenintegrität

(4) Um einen unbefugten Datenzugriff, die Offenlegung oder den Verlust von Daten sowie jedwede unbefugte Verarbeitung zu verhindern, a) werden die bereitgestellten Daten in einer gesicherten physischen Umgebung aufbewahrt, getrennt von anderen Daten gespeichert und durch leistungsfähige Systeme und technische Schutzvorkehrungen gesichert; b) dürfen die bereitgestellten Daten nicht mit anderen Datenbanken verknüpft werden; c) ist der Zugang zu den bereitgestellten Daten ausschließlich Analytikern vorbehalten, die Ermittlungen zu Terrorismus oder Terrorismusfinanzierung durchführen, und Personen, die mit der technischen Unterstützung, Verwaltung und Beaufsichtigung des TFTP befasst sind; d) dürfen die bereitgestellten Daten weder bearbeitet, verändert noch ergänzt werden; e) dürfen von den bereitgestellten Daten keine Kopien angefertigt werden, mit Ausnahme von Backup-Kopien für den Fall eines Systemzusammenbruchs. Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung (5) Alle Suchabfragen der bereitgestellten Daten erfolgen auf der Grundlage bereits vorliegender Informationen oder Beweise, die die Annahme stützen, dass der Gegenstand der Abfrage einen Bezug zu Terrorismus oder Terrorismusfinanzierung hat. (6) Jede einzelne TFTP-Abfrage bereitgestellter Daten ist eng eingegrenzt, enthält Belege für die Annahme, dass der Gegenstand der Abfrage einen Bezug zu Terrorismus oder Terrorismusfinanzierung hat, und wird protokolliert; dies gilt auch für den Bezug zu Terrorismus oder Terrorismusfinanzierung, der für die Einleitung der Abfrage erforderlich ist. (7) Zu den bereitgestellten Daten können Angaben zur Identifizierung des Auftraggebers und/oder des Empfängers der Transaktion gehören, einschließlich des Namens, der Kontonummer, der Anschrift und der nationalen Kennnummer. Die Parteien erkennen die besondere Sensibilität personenbezogener Daten an, die Aufschluss über die Rasse, ethnische Herkunft, politische Überzeugung, die Religion oder Weltanschauung, die Mitgliedschaft in einer Gewerkschaft oder die Gesundheit und das Sexualleben geben („sensible Daten“). Sollten extrahierte Daten ausnahmsweise sensible Daten umfassen, werden diese Daten vom US-Finanzministerium im Einklang mit den in diesem Abkommen festgelegten Garantien und Sicherheitsmaßnahmen unter uneingeschränkter Achtung und gebührender Berücksichtigung ihrer besonderen Sensibilität geschützt. Artikel 6 Aufbewahrung und Löschung von Daten (1) Während der Laufzeit dieses Abkommens führt das US-Finanzministerium eine fortlaufende, mindestens jährliche Überprüfung durch, um etwaige nicht extrahierte Daten zu ermitteln, die für die Bekämpfung des Terrorismus oder der Terrorismusfinanzierung nicht mehr notwendig sind. Werden solche Daten ermittelt, so werden sie vom US-Finanzministerium, so schnell dies technisch möglich ist, dauerhaft gelöscht. (2) Stellt sich heraus, dass Zahlungsverkehrsdaten übermittelt wurden, die nicht angefordert worden waren, so löscht das US-Finanzministerium diese Daten unverzüglich und dauerhaft und unterrichtet den betreffenden bezeichneten Anbieter.

Anhang: Text des Abkommens

215

(3) Vorbehaltlich einer etwaigen früheren Löschung von Daten nach Maßgabe der Absätze 1, 2 oder 5 werden alle nicht extrahierten Daten, die vor dem 20. Juli 2007 eingegangen sind, bis spätestens 20. Juli 2012 gelöscht. (4) Vorbehaltlich einer etwaigen früheren Löschung von Daten nach Maßgabe der Absätze 1, 2 oder 5 werden alle nicht extrahierten Daten, die am 20. Juli 2007 oder später eingegangen sind, spätestens fünf (5) Jahre nach Eingang gelöscht. (5) Während der Laufzeit dieses Abkommens führt das US-Finanzministerium eine fortlaufende, mindestens jährliche Überprüfung der in den Absätzen 3 und 4 genannten Speicherfristen durch, um sicherzustellen, dass diese nicht länger sind, als für die Bekämpfung des Terrorismus oder der Terrorismusfinanzierung notwendig ist. Stellt sich heraus, dass diese Speicherfristen länger sind, als für die Bekämpfung des Terrorismus oder der Terrorismusfinanzierung notwendig ist, werden sie vom US-Finanzministerium, soweit erforderlich, gekürzt. (6) Spätestens drei Jahre nach Inkrafttreten dieses Abkommens erstellen die Europäische Kommission und das US-Finanzministerium einen gemeinsamen Bericht über den Nutzen der bereitgestellten TFTP-Daten unter besonderer Berücksichtigung des Nutzens von Daten, die mehrere Jahre lang gespeichert werden, und der einschlägigen Informationen, die bei der gemeinsamen Überprüfung nach Artikel 13 erlangt worden sind. Die Parteien legen einvernehmlich die Einzelheiten dieses Berichts fest. (7) Aus bereitgestellten Daten extrahierte Informationen einschließlich nach Artikel 7 weitergegebene Informationen werden nicht länger aufbewahrt, als für die Ermittlungen oder die Strafverfolgung, für die sie verwendet werden, notwendig ist. Artikel 7 Weiterleitung von Informationen Die Weiterleitung von aus bereitgestellten Daten extrahierten Informationen wird auf der Grundlage folgender Garantien begrenzt: a) Es werden nur Informationen weitergegeben, die als Ergebnis einer individualisierten Suchabfrage nach Maßgabe dieses Abkommens, insbesondere des Artikels 5, extrahiert wurden. b) Derartige Informationen werden nur an die für Strafverfolgung, öffentliche Sicherheit und Terrorismusbekämpfung zuständigen Behörden in den Vereinigten Staaten, in den Mitgliedstaaten oder Drittstaaten, an Europol, Eurojust oder entsprechende andere internationale Einrichtungen im Rahmen ihres jeweiligen Mandats weitergegeben. c) Diese Informationen werden nur zu wichtigen Zwecken und nur zur Ermittlung, Aufdeckung, Verhütung oder Verfolgung von Terrorismus und Terrorismusfinanzierung weitergegeben. d) Ist dem US-Finanzministerium bekannt, dass diese Informationen einen Staatsbürger eines Mitgliedstaats oder eine in einem Mitgliedstaat ansässige Person betreffen, unterliegt die Weitergabe der Informationen an die Behörden eines Drittstaats der vorherigen Zustimmung der zuständigen Behörden des betreffenden Mitgliedstaats oder einschlägigen bestehenden Protokollen zwischen dem US-Finanzministerium und diesem Mitgliedstaat, es sei denn, die Weitergabe der Daten ist für die Verhütung einer unmittelbaren, ernsten Gefahr für die öffentliche Sicherheit einer Partei dieses Abkommens, eines Mitgliedstaats oder eines Drittstaats unerlässlich. Im letzteren Fall werden die zuständigen Behörden des betreffenden Mitgliedstaats zum frühestmöglichen Zeitpunkt über die Angelegenheit in Kenntnis gesetzt.

216

Anhang: Text des Abkommens

e) Wenn das US-Finanzministerium diese Informationen weitergibt, ersucht es die Empfangsbehörde um Löschung der Informationen, sobald diese für die Zwecke, zu denen sie weitergegeben wurden, nicht mehr notwendig sind. f) Jede Weiterleitung von Informationen ist ordnungsgemäß zu protokollieren. Artikel 8 Angemessenheit Vorbehaltlich einer fortlaufenden Erfüllung der in diesem Abkommen festgelegten Verpflichtungen in Bezug auf den Schutz der Privatsphäre und den Schutz personenbezogener Daten wird davon ausgegangen, dass das US-Finanzministerium bei der Verarbeitung von Zahlungsverkehrsdaten und damit verbundenen Daten, die von der Europäischen Union für die Zwecke dieses Abkommens an die Vereinigten Staaten übermittelt werden, einen angemessenen Datenschutz gewährleistet. Artikel 9 Bereitstellung von Informationen ohne Ersuchen (1) Das US-Finanzministerium stellt sicher, dass über das TFTP erlangte Informationen, die der Europäischen Union bei der Ermittlung, Verhütung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung dienlich sein können, den für Strafverfolgung, öffentliche Sicherheit und Terrorismusbekämpfung zuständigen Behörden der betreffenden Mitgliedstaaten und gegebenenfalls Europol und Eurojust im Rahmen ihres jeweiligen Mandats so rasch wie möglich und auf schnellstem Weg zur Verfügung stehen. In gleicher Weise werden Folgeinformationen, die den Vereinigten Staaten bei der Ermittlung, Verhütung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung dienlich sein können, auf der Grundlage der Gegenseitigkeit an die Vereinigten Staaten zurück übermittelt. (2) Zur Erleichterung eines effizienten Austauschs von Informationen kann Europol einen Verbindungsbeamten zum US-Finanzministerium entsenden. Die Einzelheiten des Status und der Aufgabenstellung des Verbindungsbeamten werden von den Parteien gemeinsam festgelegt. Artikel 10 Ersuchen der EU um TFTP-Suchabfragen Besteht nach Auffassung einer für Strafverfolgung, öffentliche Sicherheit oder Terrorismusbekämpfung zuständigen Behörde eines Mitgliedstaats oder von Europol oder Eurojust Grund zu der Annahme, dass eine Person oder Organisation eine Verbindung zu Terrorismus im Sinne der Artikel 1 bis 4 des Rahmenbeschlusses 2002/475/JI des Rates in der geänderten Fassung des Rahmenbeschlusses 2008/919/JI des Rates und der Richtlinie 2005/60/EG aufweist, so kann diese Behörde um Abfrage der betreffenden über das TFTP erlangten Informationen ersuchen. Das US-Finanzministerium führt unverzüglich eine Abfrage gemäß Artikel 5 durch und stellt auf solche Ersuchen hin die betreffenden Informationen bereit. Artikel 11 Zusammenarbeit mit dem künftigen vergleichbaren EU- System (1) Während der Laufzeit dieses Abkommens führt die Europäische Kommission eine Studie über die mögliche Einführung eines vergleichbaren EU-Systems durch, das eine gezieltere Datenübermittlung erlaubt.

Anhang: Text des Abkommens

217

(2) Beschließt die Europäische Union im Anschluss an diese Studie, ein eigenes System einzuführen, tragen die Vereinigten Staaten mit ihrer Mitwirkung, Unterstützung und Beratung konkret zur Einführung dieses Systems bei. (3) Da sich die Rahmenbedingungen dieses Abkommens durch die Einführung eines EUeigenen Systems grundlegend ändern könnten, sollten die Parteien einander im Hinblick auf die Notwendigkeit einer entsprechenden Anpassung dieses Abkommens konsultieren, falls die Europäische Union beschließt, ein solches System einzuführen. Die US- und die EU-Behörden arbeiten in dieser Frage zusammen, um die Komplementarität und Leistungsfähigkeit des USund des EU-Systems in einer Weise zu gewährleisten, die der Sicherheit der Bürger in den Vereinigten Staaten, in der Europäischen Union und andernorts förderlich ist. Im Geist dieser Kooperation fördern die Parteien aktiv nach dem Grundsatz der Gegenseitigkeit und auf der Grundlage angemessener Garantien die Mitwirkung aller relevanten in ihrem jeweiligen Gebiet niedergelassenen Anbieter von internationalen Zahlungsverkehrsdatendiensten mit dem Ziel, den Fortbestand und die Leistungsfähigkeit des US- und des EU-Systems zu sichern. Artikel 12 Überwachung der Garantien und Kontrollen (1) Die Einhaltung der strengen Zweckbeschränkung auf die Terrorismusbekämpfung sowie der anderen Garantien in den Artikeln 5 und 6 unterliegt — mit Zustimmung der Vereinigten Staaten und nach Durchführung angemessener Sicherheitsüberprüfungen durch die Vereinigten Staaten — einer Überwachung und Aufsicht durch unabhängige Prüfer, einschließlich einer von der Europäischen Kommission ernannten Person. Mit dieser Aufsicht ist die Befugnis verbunden, alle Suchabfragen der bereitgestellten Daten in Echtzeit und nachträglich zu überprüfen, diese Suchabfragen nachzuvollziehen und gegebenenfalls eine zusätzliche Begründung des Terrorismusbezugs anzufordern. Die unabhängigen Prüfer sind insbesondere befugt, bestimmte oder alle Suchabfragen zu sperren, die offenbar gegen Artikel 5 verstoßen. (2) Die in Absatz 1 genannte Aufsicht einschließlich ihrer Unabhängigkeit sind ihrerseits Gegenstand regelmäßiger Überwachung im Rahmen der in Artikel 13 geregelten Überprüfung. Der Inspector General des US-Finanzministeriums trägt dafür Sorge, dass die unabhängige Aufsicht gemäß Absatz 1 nach Maßgabe geltender Prüfungsstandards erfolgt. Artikel 13 Gemeinsame Überprüfung (1) Die Parteien überprüfen auf Ersuchen einer der Parteien und in jedem Fall nach Ablauf von sechs (6) Monaten nach dem Datum des Inkrafttretens des Abkommens gemeinsam die im Abkommen enthaltenen Garantien, Kontrollen und Reziprozitätsbestimmungen. Die Überprüfung erfolgt danach in regelmäßigen Abständen; erforderlichenfalls werden zusätzliche Überprüfungen angesetzt. (2) Gegenstand der Überprüfung sind insbesondere a) die Anzahl der abgerufenen Zahlungsverkehrsdaten, b) die Anzahl der Fälle, in denen wichtige Hinweise an die Mitgliedstaaten, Drittstaaten, Europol und Eurojust weitergegeben wurden, c) die Anwendung und Wirksamkeit dieses Abkommens einschließlich der Geeignetheit des Verfahrens für die Informationsübermittlung, d) die Fälle, in denen Informationen für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung genutzt wurden, und e) die Einhaltung der in diesem Abkommen festgelegten Datenschutzpflichten. Anhand einer repräsentativen Zufallsstichprobe von Abfragen wird geprüft, ob die in diesem Ab-

218

Anhang: Text des Abkommens

kommen festgelegten Garantien und Kontrollen eingehalten wurden, und es wird die Verhältnismäßigkeit der bereitgestellten Daten auf der Grundlage ihres Wertes für die Ermittlung, Verhütung, Aufdeckung oder Verfolgung von Terrorismus oder Terrorismusfinanzierung geprüft. Nach dieser Überprüfung wird die Europäische Kommission dem Europäischen Parlament und dem Rat über die Anwendung dieses Abkommens unter Berücksichtigung der in diesem Absatz genannten Aspekte berichten. (3) Zu Überprüfungszwecken wird die Europäische Union durch die Europäische Kommission vertreten; die Vereinigten Staaten werden durch das US-Finanzministerium vertreten. Jede Partei kann in seine Delegation für Überprüfungszwecke Sachverständige für Sicherheitsund Datenschutzfragen sowie eine Person mit Erfahrung in Justizangelegenheiten aufnehmen. Der Überprüfungsdelegation der Europäischen Union gehören Vertreter zweier Datenschutzbehörden an, von denen mindestens eine aus einem Mitgliedstaat stammt, in dem ein bezeichneter Anbieter niedergelassen ist. (4) Zu Überprüfungszwecken gewährleistet das US-Finanzministerium den Zugang zu relevanten Unterlagen, Systemen und Mitarbeitern. Die Parteien legen einvernehmlich die Einzelheiten der Überprüfung fest. Artikel 14 Transparenz — Informationen für Betroffene Das US-Finanzministerium stellt auf seiner für die Öffentlichkeit zugänglichen Website detaillierte Informationen über das TFTP und seinen Zweck sowie Kontaktangaben für weitere Auskünfte bereit. Darüber hinaus veröffentlicht es Informationen über die Verfahren, die für die Ausübung der in den Artikeln 15 und 16 beschriebenen Rechte in Betracht kommen, darunter die administrativen und gerichtlichen Rechtsbehelfe, die in den Vereinigten Staaten im Zusammenhang mit der Verarbeitung der auf der Grundlage dieses Abkommens eingegangenen personenbezogenen Daten zur Verfügung stehen. Artikel 15 Recht auf Auskunft (1) Jede Person hat das Recht, frei und ungehindert und ohne unzumutbare Verzögerung auf Antrag in angemessenen Abständen über ihre Datenschutzbehörde in der Europäischen Union zumindest eine Bestätigung darüber zu erhalten, dass alle erforderlichen Überprüfungen durchgeführt wurden, um sicherzustellen, dass ihre Datenschutzrechte gemäß diesem Abkommen geachtet wurden und dass insbesondere keine gegen dieses Abkommen verstoßende Verarbeitung ihrer personenbezogenen Daten stattgefunden hat. (2) Die Offenlegung der auf der Grundlage dieses Abkommens verarbeiteten personenbezogenen Daten gegenüber der betroffenen Person kann angemessenen rechtlichen Beschränkungen unterworfen werden, die nach Maßgabe des einzelstaatlichen Rechts im Interesse der Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten und zum Schutz der öffentlichen oder nationalen Sicherheit unter gebührender Beachtung des berechtigten Interesses der betroffenen Person anwendbar sind. (3) Der Antrag nach Absatz 1 wird von der betroffenen Person an ihre nationale Aufsichtsbehörde in Europa gerichtet, die den Antrag an den Datenschutzbeauftragten des USFinanzministeriums weiterleitet, der alle nach Maßgabe des Antrags notwendigen Überprüfungen vornimmt. Der Datenschutzbeauftragte des US-Finanzministeriums teilt der zuständigen nationalen Aufsichtsbehörde in Europa ohne unangemessene Verzögerung mit, ob der betroffenen Person Einblick in ihre personenbezogenen Daten gewährt werden kann und ob die

Anhang: Text des Abkommens

219

Rechte dieser Person ordnungsgemäß gewahrt wurden. Wird die Auskunft über personenbezogene Daten nach Maßgabe der Beschränkungen in Absatz 2 verweigert oder eingeschränkt, ist diese Verweigerung oder Beschränkung schriftlich zu erläutern und mit einer Belehrung über die in den Vereinigten Staaten verfügbaren administrativen und gerichtlichen Rechtsbehelfe zu versehen. Artikel 16 Recht auf Berichtigung, Löschung oder Sperrung (1) Jede Person hat das Recht, die Berichtigung, Löschung oder Sperrung ihrer vom USFinanzministerium nach Maßgabe dieses Abkommens verarbeiteten personenbezogenen Daten zu verlangen, wenn die Daten nicht richtig sind oder die Verarbeitung gegen dieses Abkommen verstößt. (2) Jede Person, die von dem in Absatz 1 genannten Recht Gebrauch macht, richtet ein entsprechendes Ersuchen an ihre zuständige nationale Aufsichtsbehörde in Europa, die das Ersuchen an den Datenschutzbeauftragten des US-Finanzministeriums weiterleitet. Jeder Antrag auf Berichtigung, Löschung oder Sperrung von Daten muss hinreichend begründet werden. Der Datenschutzbeauftragte des US-Finanzministeriums nimmt auf diesen Antrag hin alle notwendigen Überprüfungen vor und teilt der zuständigen nationalen Aufsichtsbehörde in Europa ohne unangemessene Verzögerung mit, ob personenbezogene Daten berichtigt, gelöscht oder gesperrt und ob die Rechte der betroffenen Person ordnungsgemäß gewahrt worden sind. Diese Mitteilung erfolgt schriftlich unter Angabe der in den Vereinigten Staaten verfügbaren administrativen oder gerichtlichen Rechtsbehelfe. Artikel 17 Wahrung der Richtigkeit der Angaben (1) Stellt eine Partei fest, dass auf der Grundlage dieses Abkommens eingegangene oder übermittelte Daten nicht richtig sind, ergreift sie alle geeigneten Maßnahmen, zu denen eine Ergänzung, Löschung oder Berichtigung dieser Daten gehören kann, um zu verhindern, dass solche Daten irrtümlich als verlässlich herangezogen werden, und um ihre weitere Nutzung zu unterbinden. (2) Jede Partei unterrichtet, sofern möglich, die andere Partei, wenn sie feststellt, dass sie auf der Grundlage dieses Abkommens wichtige Angaben übermittelt oder von der anderen Partei erhalten hat, die nicht richtig oder nicht verlässlich sind. Artikel 18 Rechtsbehelf (1) Die Parteien treffen alle angemessenen Maßnahmen, um sicherzustellen, dass das USFinanzministerium und der betreffende Mitgliedstaat einander unverzüglich unterrichten und erforderlichenfalls untereinander und mit den Parteien Konsultationen aufnehmen, wenn personenbezogene Daten ihrer Auffassung nach unter Verstoß gegen dieses Abkommen verarbeitet wurden. (2) Jede Person, die der Ansicht ist, dass ihre personenbezogenen Daten unter Verstoß gegen dieses Abkommen verarbeitet wurden, hat das Recht, gemäß den Rechtsvorschriften der Europäischen Union, ihrer Mitgliedstaaten beziehungsweise der Vereinigten Staaten einen wirksamen administrativen und gerichtlichen Rechtsbehelf einzulegen. Zu diesem Zweck und in Bezug auf Daten, die auf der Grundlage dieses Abkommens in die Vereinigten Staaten übermittelt wurden, behandelt das US-Finanzministerium bei der Anwendung seiner Ver-

220

Anhang: Text des Abkommens

waltungsverfahren alle Personen ohne Ansehen ihrer Staatsangehörigkeit oder ihres Wohnsitzlands gleich. Allen Personen steht ohne Ansehen der Staatsangehörigkeit oder des Wohnsitzlands nach dem Recht der Vereinigten Staaten ein Verfahren zur Verfügung, mit dem sie einen gerichtlichen Rechtsbehelf gegen ein sie beschwerendes Verwaltungshandeln einlegen können. Artikel 19 Konsultationen (1) Die Parteien konsultieren einander soweit erforderlich, um eine möglichst effektive Nutzung dieses Abkommens zu ermöglichen und die Beilegung etwaiger Streitigkeiten über die Auslegung und Anwendung dieses Abkommens zu erleichtern. (2) Die Parteien treffen Maßnahmen, damit sich für die jeweils andere Partei aufgrund der Anwendung dieses Abkommens keine außergewöhnliche Belastung ergibt. Ergibt sich dennoch eine außergewöhnliche Belastung, so nehmen die Parteien unverzüglich Konsultationen auf, um die Anwendung dieses Abkommens gegebenenfalls auch durch Maßnahmen zur Reduzierung der bestehenden und der künftigen Belastung zu erleichtern. (3) Die Parteien nehmen unverzüglich Konsultationen auf, falls ein Dritter, einschließlich der Behörde eines anderen Landes, einen Rechtsanspruch in Bezug auf die Wirkung oder Durchführung dieses Abkommens anfechtet oder geltend macht. Artikel 20 Durchführung und Ausnahmeverbot (1) Durch dieses Abkommen werden keinerlei Rechte oder Vergünstigungen für Personen oder Einrichtungen privater oder öffentlicher Art begründet oder auf diese übertragen. Jede Partei sorgt dafür, dass dieses Abkommen ordnungsgemäß durchgeführt wird. (2) Dieses Abkommen weicht in keinem Punkt von bestehenden Pflichten der Vereinigten Staaten und der Mitgliedstaaten aus dem Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über Rechtshilfe vom 25. Juni 2003 und den damit verbundenen bilateralen Rechtshilfeabkommen zwischen den Vereinigten Staaten und den Mitgliedstaaten ab. Artikel 21 Suspendierung oder Kündigung (1) Die Anwendung dieses Abkommens kann von jeder Partei im Falle eines Verstoßes gegen Pflichten aus diesem Abkommen durch die andere Partei durch Notifizierung auf diplomatischem Weg mit sofortiger Wirkung suspendiert werden. (2) Dieses Abkommen kann von jeder Partei durch Notifizierung auf diplomatischem Wege jederzeit gekündigt werden. Die Kündigung wird sechs (6) Tage nach dem Tag ihres Eingangs wirksam. (3) Vor einer etwaigen Suspendierung oder Kündigung konsultieren die Parteien einander in einer Weise, die ausreichend Zeit lässt, um zu einer einvernehmlichen Lösung zu gelangen. (4) Unbeschadet der Suspendierung oder Kündigung dieses Abkommens werden alle Daten, über die das US-Finanzministerium aufgrund dieses Abkommens verfügt, weiter im Einklang mit den Garantien dieses Abkommens einschließlich der Bestimmungen über die Löschung von Daten verarbeitet.

Anhang: Text des Abkommens

221

Artikel 22 Räumlicher Geltungsbereich (1) Dieses Abkommen findet vorbehaltlich der Absätze 2 bis 4 im territorialen Geltungsbereich des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union sowie im Hoheitsgebiet der Vereinigten Staaten Anwendung. (2) Dieses Abkommen gilt nur dann für Dänemark, das Vereinigte Königreich oder Irland, wenn die Europäische Kommission den Vereinigten Staaten schriftlich notifiziert, dass Dänemark, das Vereinigte Königreich oder Irland beschlossen hat, sich diesem Abkommen zu unterwerfen. (3) Notifiziert die Europäische Kommission den Vereinigten Staaten vor Inkrafttreten dieses Abkommens, dass es auf Dänemark, das Vereinigte Königreich oder Irland Anwendung findet, gilt dieses Abkommen für das Hoheitsgebiet des betreffenden Staates ab dem gleichen Tag wie für die durch dieses Abkommen gebundenen EU-Mitgliedstaaten. (4) Notifiziert die Europäische Kommission den Vereinigten Staaten nach Inkrafttreten dieses Abkommens, dass es auf Dänemark, das Vereinigte Königreich oder Irland Anwendung findet, gilt dieses Abkommen für das Hoheitsgebiet des betreffenden Staates ab dem ersten Tag des Monats nach Eingang der Notifikation bei den Vereinigten Staaten. Artikel 23 Schlussbestimmungen (1) Dieses Abkommen tritt am ersten Tag des Monats in Kraft, der auf den Tag folgt, an dem die Parteien einander den Abschluss der einschlägigen internen Verfahren notifizieren. (2) Vorbehaltlich des Artikels 21 Absatz 2 bleibt dieses Abkommen für einen Zeitraum von fünf (5) Jahren ab dem Tag seines Inkrafttretens in Kraft und verlängert sich automatisch um jeweils ein (1) Jahr, sofern nicht die eine Partei der anderen Partei mindestens sechs (6) Monate vor Ablauf eines solchen Einjahreszeitraums schriftlich auf diplomatischem Weg ihre Absicht notifiziert, dieses Abkommen nicht zu verlängern. Geschehen zu Brüssel am 28. Juni 2010 in zwei Urschriften in englischer Sprache. Das Abkommen wird ebenfalls in bulgarischer, dänischer, deutscher, estnischer, finnischer, französischer, griechischer, italienischer, lettischer, litauischer, maltesischer, niederländischer, polnischer, portugiesischer, rumänischer, schwedischer, slowakischer, slowenischer, spanischer, tschechischer und ungarischer Sprache abgefasst. Nach Genehmigung durch beide Parteien gilt der Wortlaut in diesen Sprachfassungen als gleichermaßen verbindlich. Anhang Society for Worldwide Interbank Financial Telecommunication (SWIFT)

Literaturverzeichnis Ambrock, Jens/Karcher, Victoria: Verwaltung durch Information?, NVwZ 2011, S. 1371 – 1373 Archick, Kristin (Hrsg.): U.S.-EU Cooperation Against Terrorism, Congressional Research Service 7 – 5700, Washington D.C. 2011 Arnold, Rainer/Meindl, Elisabeth: Außenhandelsrecht, Grundlagen, in: Dauses, Manfred (Hrsg.), Handbuch des EU-Wirtschaftsrechts, 31. EL München 2012, Kapitel K.I. Artikel-29-Datenschutzgruppe (Hrsg.): 13. Jahresbericht 2009, Brüssel 2011 Aust, Antony: Modern Treaty Law and Practice, Cambridge 2000 Awad, M./Khan, Latifur /Thuraisingham, Bhavani/Wang, Lei: Design and Implementation of Data Mining Tools, Boca Raton (USA) 2009 Bader, Johann/Ronellenfitsch, Michael (Hrsg.): Verwaltungsverfahrensgesetz, München 2010 Ballreich, Hans: Völkerrechtliche Verträge zu Lasten Dritter, in: Völkerrechtliche und Staatsrechtliche Abhandlungen, Festschrift für Carl Bilfinger zum 75. Geburtstag am 21. Januar 1954, Köln/Berlin 1954, S. 1 – 26. Bantekas, Ilias: The International Law of Terrorist Financing, in: American Journal of International Law (AJIL) 97 (2003), S. 315 – 332 Barnes, Dan: Is Swift Living in the Past?, The Banker v. 01. Oktober 2006, S. 20 Baumhof, Christopher: Die deutschen Bundesländer im europäischen Einigungsprozess, unter besonderer Berücksichtigung der Länder an EWG-Vorhaben, München 1991 Bebr, Gerhard: Development of judicial control of the European Communities, Den Haag 1981 Becker, Florian: Völkerrechtliche Verträge und parlamentarische Gesetzgebungskompetenz, NVwZ 2005, S. 289 – 291 – Verfassungswandel als Grenze staatlicher Innovation, in: Hill, Hermann/Schliesky, Utz (Hrsg.): Innovationen im und durch Recht, Evolution des Rechts- und Verwaltungssystems II, Kiel 2010, S. 57 – 65. – Verfassungs- und unionsrechtliche Aspekte der Novelle von VIG und § 40 LFGB, ZLR 2011, S. 391 – 424 – Der grundrechtliche Schutz von Geschäftsgeheimnissen, in: Sachs, Michael / Siekmann, Helmut (Hrsg.): Der grundrechtsgeprägte Verfassungsstaat, Festschrift für Klaus Stern zum 80. Geburtstag, Berlin 2012, S. 1233 – 1247 – Gebiets- und Personalhoheit des Staates, in: Isensee, Josef/Kirchhof, Paul (Hrsg.): Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band 11, 3. Auflage, Heidelberg, erscheint demnächst, § 205 Becker, Florian/Ambrock, Jens: Datenschutz in den Polizeigesetzen, JA 2011, S. 561 – 566

Literaturverzeichnis

223

Becker, Florian/Blackstein, Ylva: Der transparente Staat – Staatliche Verbraucherinformation über das Internet, NJW 2011, S. 490 – 494 Behrens, Peter: Ist ein Ausschluss aus der Euro-Zone ausgeschlossen?, EuZW 2010, S. 121 Ben Jelloun, Tahar: Arabischer Frühling – vom Wiedererlangen der arabischen Würde, Berlin 2011 Bergmann, Michael: Grenzüberschreitender Datenschutz, Baden-Baden 1985 von Bernstorff, Jochen: Die Wesensgehalte der Grundrechte und das Verhältnis von Freiheit und Sicherheit unter dem Grundgesetz, in: Farahat, Anuscheh/Arndt, Felix/Sucker, Franziska/ Schaefer, Jan/Smrkolj, Maja/Goldmann, Matthias/Huber, Matthias/Betz, Nicole/Láncos, Petra Lea/Keil, Rainer/Valta, Stefanie (Hrsg.): Freiheit – Sicherheit – Öffentlichkeit, 48. Assistententagung Öffentliches Recht Heidelberg 2008, Baden-Baden 2009, S. 40 – 60 Beukelmann, Stephan: Vorratsdatenspeicherung so nicht verfassungsgemäß, NJW-Spezial 2010, S. 184 Bianchi, Andrea: Enforcing International Law Norms against Terrorism, Oxford 2004 Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, DuD 2007, S. 350 – 356 Blume, Peter: Transborder Data Flow: Is There a Solution in Sight?, Int. Journal of Law and Information Technology, Volume 8/2000, S. 65 – 86 Borries, Reimer von: Deutschland: Die Sicht der Bundesregierung, in: Rudolf Hrbek (Hrsg.), Die Anwendung des Subsidiaritätsprinzips in der Europäischen Union – Erfahrungen und Perspektiven, Baden-Baden 2005, S. 21 – 34 Britz, Gabriele: Das Grundrecht auf Datenschutz in Art. 8 der Grundrechtecharta, Gießen 2009 Bruha, Thomas: Grundrechtsverfassung als Teil der Unionsverfassung, in: Heselhaus, Sebastian/Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte, München u. a. 2006 Brühann, Ulf: EG-Datenschutzrichtlinie – Umsetzung in einem vernetzten Europa, DuD 1996, S. 66 – 72 Bubnoff, Eckhart von: Terrorismusbekämpfung – eine weltweite Herausforderung, NJW 2002, S. 2672 – 2676 Bundesverband Öffentlicher Banken Deutschlands (Hrsg.): Single Euro Payments Area (SEPA), Berlin 2007 Bunte, Hermann-Josef (Hrsg.): AGB Banken und Sonderbedingungen mit AGB Sparkassen und AGB Postbank, 2. Auflage München 2009 Bunzel, Heide: Erkenntnisgewinn aus konzelierten Daten, Zur Verpflichtung einer Entschlüsselung kryptografisch gesicherter Daten zum Zwecke der Erkenntnis- und Beweisgewinnung im Strafverfahren, Berlin 2011 Calliess, Christian: Subsidiaritäts- und Solidaritätsprinzip in der Europäischen Union, 2. Auflage Baden-Baden 1999 Calliess, Christian/Ruffert, Matthias (Hrsg.): EUV/EGV, Kommentar des Vertrages über die Europäische Union und des Vertrages zur Gründung der Europäischen Gemeinschaft, 3. Auflage Neuwied 2007

224

Literaturverzeichnis

Calliess, Christian/Ruffert, Matthias (Hrsg.): EUV/AEUV, Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 4. Auflage München 2011 Ceia, Elonora: Die verfassungsgerichtliche Kontrolle völkerrechtlicher Verträge, BadenBaden 2011 Chamoni, Peter/Budde, C.: Methoden und Verfahren des Data Mining, Duisburg 1997 Connolly, Chris: The US Safe Harbor – Fact or Fiction?, Pyrmont (Australien) 2008, abrufbar unter http://www.galexia.com/public/research/articles/research_articles-pa07.html Connorton, Patrick M.: Tracking Terrorist Financing Through SWIFT: When U.S. Subpoenas and Foreign Privacy Law Collide, Fordham Law Review 2007 (76), S. 283 – 322 Corten, Olivier/Klein, Pierre: Les Conventions des Vienne sur le Droit des Traites, Commentaire article par article, Brüssel 2006 Cronauer, Harald: Der internationale Vertrag im Spannungsfeld zwischen Verfassung und Völkerrecht, München 1986 Daig, Hans-Wolfram: Nichtigkeits- und Untätigkeitsklagen im Recht der Europäischen Gemeinschaften unter besonderer Berücksichtigung der Rechtsprechung des Gerichtshofs der Europäischen Gemeinschaften und der Schlußanträge der Generalanwälte, BadenBaden 1985 Dammann, Ulrich: Internationaler Datenschutz, RDV 2002, 70 – 77 Dammann, Ulrich/Simitis (Hrsg.), Spiros: EG-Datenschutzrichtlinie, Baden-Baden 1997 Deeg, Ernst: Wo kann S.W.I.F.T. mithelfen, Probleme zu lösen?, ZKredW, Ausgabe Technik vom 15. März 1982, S. 15 – 18 Demaret, Paul: Le traité de Maastricht ou les voies diverses de l’Union, in: Monar, Jörg/Ungerer, Werner/Wessels, Wolfgang (Hrsg.): The Maastricht Treaty on European Union, Bonn/ Brüssel 1993 Dembinski, Matthias: EU-Außenbeziehungen nach Lissabon, APuZ 18/2010, S. 9 – 15 Denninger, Erhard/Petri, Thomas Bernhard: Normenklarheit und Normenbestimmtheit im Polizeirecht – Sieben Thesen, in: Bäumler, Helmut (Hrsg.): Polizei und Datenschutz, Neupositionierung im Zeichen der Wissenschaft, Neuwied 1999, S. 13 – 32 Di Fabio, Udo: Sicherheit in Freiheit, NJW 2008, S. 421 – 425 Di Martino, Alessandra: Datenschutz im europäischen Recht, Baden-Baden 2005 Draf, Oliver: Die Regelung der Übermittlung personenbezogener Daten in Drittländer nach Art. 25, 26 der EG-Datenschutzrichtlinie, Frankfurt am Main 1999 Drallé, Lutz: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Kiel 2010 Dreier, Horst (Hrsg.): Grundgesetz, Band 1, 6. Auflage Tübingen 2011 Dretzka, Edna/Mildner, Stormy-Annika: Anything but SWIFT: Why Data Sharing is still a problem for the EU, AICGS Issue Brief 35 (2010), S. 1 – 7 Duschanek, Alfred: Grundrechte für Europa, die Europäische Union nach Nizza, Wien 2002

Literaturverzeichnis

225

Ebenroth, Carsten Thomas/Boujong, Karlheinz/Joost, Detlev/Strohn, Lutz (Hrsg.): Handelsgesetzbuch, Band 2, 2. Auflage München 2009 Ehlers, Dirk (Hrsg.): Europäische Grundrechte und Grundfreiheiten, 3. Auflage Berlin 2009 – Verwaltung und Verwaltungsrecht im demokratischen und sozialen Rechtsstaat, in: Erichsen, Hans-Uwe / ders. (Hrsg.): Allgemeines Verwaltungsrecht, 13. Auflage 2005, S. 4-212 Ehmann, Eugen/Helfrich, Marcus (Hrsg.), EG-Datenschutzrichtlinie, Köln 1999 Einsele, Dorothee: Bank- und Kapitalmarktrecht, 2. Auflage Tübingen 2010 Emmerich-Fritsche, Angelika: Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EG-Rechtssetzung, Berlin 1999 Engel, Alexandra: Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95/46/ EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, Berlin 2005 Engel, Christoph: Privater Rundfunk vor der Europäischen Menschenrechtskonvention, BadenBaden 1993 Epping, Volker: Grundrechte, 5. Auflage Berlin / Heidelberg 2012 Epping, Volker/Hillgruber (Hrsg.), Christian: Beck’scher Onlinekommentar Grundgesetz, 16. Edition München 2012 Erd, Rainer: Zehn Jahre Safe Harbor Abkommen – kein Grund zum Feiern, K&R 2010, S. 624 – 627 Etzkorn, Jörg: Rechtsfragen des internationalen Zahlungsverkehrs durch S.W.I.F.T., Berlin 1991 Europol Joint Supervisory Body (Hrsg.): Report on the Inspection of Europol’s Implementation of the TFTP Agreement, Conducted in November 2010 by the Europol Joint Supervisory Body, Report Nr. JSB/Ins. 11 – 07, Brüssel 2011, abrufbar unter http://www.bfdi.bund.de/ SharedDocs/Publikationen/Allgemein/ReportGKIzuSWFT.pdf;jsessionid=AB0454AAC D783E1B1130F7FD9201BBB9.1_cid136?__blob=publicationFile Exten, Sarah Elizabeth: Major Developments in Financial Privacy Law 2006, The SWIFT Database Incident, and Updates to the Gramm-Leach-Bliley and Fair Credit Reporting Acts, Journal of Law and Policy 2007, S. 649 – 676 Falter, Manuel/Hermanns, Fritz: Die Praxis des Kreditgeschäfts bei Sparkassen und anderen Kreditinstituten, Stuttgart 1980 Findeisen, Michael: „Underground Banking“ in Deutschland, WM 2000, S. 2125 – 2133 Flaisch-Mougin, Catherine: Le Trait de Maastricht et les comptences externes de la Communaut europenne, à la recherche d’une politique commune de l’Union, CDE 1993, S. 351 – 398 Föh, Jörg: Die Bekämpfung des internationalen Terrorismus nach dem 11. September 2001, Auswirkungen auf das Völkerrecht und die Organisation der Vereinten Nationen, Berlin 2011 Fraenckel, Reinhard/Hammer, Volker: Rechtliche Löschvorschriften, DuD 2007, S. 899 – 904 Frenz, Walter: Menschenwürde und Persönlichkeitsrecht versus Opferschutz und Fahndungserfolg, NVwZ 2007, S. 631 – 635

226

Literaturverzeichnis

– Europäischer Datenschutz und Terrorabwehr, EuZW 2009, S. 6 – 8 – Die neue GASP, ZaöRV 2010, S. 487 – 521 Fritzsch, Falk: Zur Bindungswirkung der EU-Terrorliste im Rahmen ausländerrechtlicher Maßnahmen, ZAR 2010, S. 333 – 341 Frowein, Jochen: Zum Begriff und zu den Folgen der Nichtigkeit von Verträgen im Völkerrecht, in: Ehmke, Horst/Meessen, Karl/Rüfner, Wolfgang (Hrsg.): Festschrift für Ulrich Scheuner zum 70. Geburtstag, Berlin 1973, S. 106 – 122 Frowein, Jochen/Peukert, Wolfgang (Hrsg.): Europäische Menschenrechtskonvention, EMRKKommentar, 3. Auflage Kehl / Straßburg / Arlington 2009 Fuhrberg, Kai/Häger, Dirk/Wolf, Stefan: Internet-Sicherheit – Browser, Firewalls und Verschlüsselung, 3. Auflage München 2001 Fülbier, Andreas/Aepfelbach, Rolf (Hrsg.): Kommentar zum Geldwäschegesetz, 5. Auflage Köln 2006 Geck, Wilhelm: The Conclusion of Treaties in Violation of the Internal Law of a Party, Comments on Arts. 6 and 43 of the ILC’s 1966 Draft Articles on the Law of Treaties, ZaöRV 1967, S. 428 – 450 Geiger, Rudolf (Hrsg.): Vertrag über die Europäische Union und Vertrag zur Gründung der Europäischen Gemeinschaft, 4. Auflage 2004 Geiger, Rudolf/Khan, Daniel-Erasums/Kotzur, Markus (Hrsg.): Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 5. Auflage, München 2010 Geppert, Martin/Piepenbrock, Hermann-Josef/Schütz, Raimund/Schuster, Fabian (Hrsg.): Beck‘scher TKG-Kommentar, 3. Auflage München 2006 Germann, Michael/Seitz, Jochen: Elektronische Kommunikation und Öffentliches Recht, JA 2001, S. 727 – 733 Gersdorf, Hubertus: Funktionen der Gemeinschaftsgrundrechte im Lichte des Solange II-Beschlusses des Bundesverfassungsgerichts, AöR Bd. 119 (1994), S. 400 – 426 Gietl, Andreas: Die Zukunft der Vorratsdatenspeicherung, Anmerkung zum Urteil des BVerfG vom 2. März 2010, DuD 2010, S. 398 – 403 Gilor, Edward E.: Begriffsklärungen zur Sicherheit der Informationssysteme, DuD 1991, S. 641-643 Gola, Peter/Schomerus, Rudolf (Hrsg.): Bundesdatenschutzgesetz, 10. Auflage München 2010 Golder, Ben/Williams, George: What Is ,Terrorism‘? Problems of Legal Definition, UNSW Law Journal Vol. 27 (2004), S. 270 – 295 Gößmann, Wolfgang/Weber, Beatrix: Recht des Zahlungsverkehrs, 4. Auflage Berlin 2005 Gößmann, Wolfgang/Wagner-Wieduwilt, Klaus/Weber, Ahrend: Allgemeine Geschäftsbedingungen der Banken, Köln 1993 Gounalakis, Georgios/Mand, Elmar: Die neue EG-Datenschutzrichtlinie – Grundlagen einer Umsetzung in nationales Recht (I), CR 1997, S. 431 – 438

Literaturverzeichnis

227

Grabenwarter, Chritstoph: Europäische Menschenrechtskonvention, ein Studienbuch, 5. Auflage München 2012 Grabitz, Eberhard/Hilf, Meinhard (Hrsg.): Das Recht der Europäischen Union, 40. EL München 2009 Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, 48. EL München 2012 Graf, Jürgen Peter (Hrsg.): Beck’scher Online Kommentar Strafprozessordnung, 13. Ed. München 2012 Greulich, Anette: Der Landesminister als Vertreter der Bundesrepublik im Rat der Europäischen Union, eine Untersuchung des Art. 146 EGV im Lichte des Gemeinschaftsrechts und des deutschen Verfassungsrechts, München 1997 Grill, Wolfgang/Gramlich, Ludwig/Eller, Roland (Hrsg.): Gabler Bank Lexikon, Teil L-Z, 11. Auflage Wiesbaden 1995 Groeben, Hans von der/Schwarze, Jürgen (Hrsg.): Kommentar zum Vertrag über die Europäische Union und zur Gründung der Europäischen Gemeinschaft, 6. Auflage Baden-Baden 2003 Groeben, Hans von der/Thiersing, Jochen/Ehlermann, Claus-Dieter (Hrsg.): Handbuch des Europäischen Rechts, 5. Auflage Baden-Baden 1997 Grote, Rainer/Marauhn, Thilo (Hrsg.): EMRK/GG, Konkordanzkommentar zum europäischen und deutschen Grundrechtsschutz, Tübingen 2006 Groux, Jean/Manin, Philippe: Die Europäischen Gemeinschaften in der Völkerrechtsordnung, Luxemburg 1984 Gutmann, Melanie: Outsourcing bei den Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht, Hamburg 2007 Haase, Martin: Neues Abkommen zur Übermittlung von Fluggastdaten in die USA, ZD-Aktuell 2011, S. 128 – 129 Haddenbrock, Karl-Heinz: S.W.I.F.T., Automation und Standardisierung im nichtdokumentären Zahlungsverkehr des Auslandsgeschäftes, Geldinstitute 1975, Heft 2, S. 21 – 32 Hafner, Gerhard (Hrsg.): Liber amicorum, Professor Ignaz Seidl-Hohenveldern in honour of his 80th birthday, Den Haag 1998 Hagedorn, Jürgen/Bissantz, Nicolas/Mertens, Peter: Data Mining (Datenmustererkennung): Stand der Forschung und Entwicklung, Wirtschaftsinformatik 6/1997, S. 601 – 612 Hannich, Rolf (Hrsg.): Karlsruher Kommentar zur Strafprozessordnung mit GVG, EGGVG und EMRK, 6. Auflage München 2008 Hansen, Marit/Meissner, Sebastian (Hrsg.): Verkettung digitaler Identitäten, Kiel 2007 Hartmann, Wendelin: Die Praxis des grenzüberschreitenden Zahlungsverkehrs, in: Blaurock, Uwe (Hrsg.): Das Recht der grenzüberschreitenden Überweisung, Verhandlungen der Fachgruppe für vergleichendes Handels- und Wirtschaftsrecht anläßlich der Tagung der Gesellschaft für Rechtsvergleichung in Freiburg vom 22.–25. September 1999, BadenBaden 2000, S. 113 – 123

228

Literaturverzeichnis

Häußler, Ulf: Der Schutz der Rechtsidee – Zur Notwendigkeit effektiver Terrorismusbekämpfung nach geltendem Völkerrecht, ZRP 2001, S. 537 – 541 Heidrich, Joerg/Forgó, Nikolaus/Feldmann, Thorsten: Heise Online-Recht, Der Leitfaden für Praktiker und Juristen, 2. EL Hannover 2010 Heil, Helmut: Europäische Herausforderung – Transatlantische Debatte, DuD 1999, S. 458 – 462 Herzog, Felix/Mülhausen, Dieter: Geldwäsche und Gewinnabschöpfung, Handbuch der strafund wirtschaftsrechtlichen Regelungen, München 2006 Heselhaus, Sebastian M.: Grundrechte und Kompetenzen, in: ders./Nowak (Hrsg.): Handbuch der Europäischen Grundrechte, München/Wien/Bern 2006, S. 122 – 145 Heymann, Ernst/Horn, Norbert (Hrsg.): Handelsgesetzbuch (ohne Seerecht), Band 3, Berlin 1999 Higgins, Rosalyn: The general international law of terrorism, in: dies./Floy, Maurice (Hrsg.): Terrorism and International Law, London 2002, S. 13 – 19 Hirschmann, Kai: Terrorismus in neuen Dimensionen, Hintergründe und Schlussfolgerungen, APuZ B 51/2001, S. 7 – 15 Hoffmann-Riem, Wolfgang: Freiheit und Sicherheit im Angesicht terroristischer Anschläge, ZRP 2002, S. 497 – 501 Hoffmeister, Frank: Menschenrechts- und Demokratieklauseln in den vertraglichen Außenbeziehungen der Europäischen Gemeinschaft, Berlin 1998 Hofmann, Ekkehard: Abwägung im Recht, Chancen und Grenzen numerischer Verfahren im Öffentlichen Recht, Tübingen 2007 Huber, Bertold: Ein Europäischer Nachrichtendienst?, 6. Konferenz der Parlamentarischen Kontrollausschüsse vom 29. 9. bis 1.10. 2010 in Brüssel, NVwZ 2011, S. 409 – 412 Hufen, Friedhelm: Staatsrecht II, Grundrechte, 3. Auflage München 2011 Husmann, Manfred: Die Richtlinien der Europäischen Union, NZS 2010, S. 655 – 662 Huster, Stefan: Beweislastverteilung und Verfassungsrecht, NJW 1995, S. 112 – 113 Isensee, Josef: Das legalisierte Widerstandsrecht – eine staatsrechtliche Analyse des Art. 20 Abs. 4 Grundgesetz, Bad Homburg u.a. 1969 – Der Verfassungsstaat als Friedensgarant, in: Die Erneuerung des Verfassungsstaates, Symposion aus Anlass des 60. Geburtstages von Professor Dr. Paul Kirchhof, Heidelberg 2003, S. 7 – 43 Jaeckel, Liv: Schutzpflichten im deutschen und europäischen Recht, eine Untersuchung der deutschen Grundrechte, der Menschenrechte und Grundfreiheiten der EMRK sowie der Grundrechte und Grundfreiheiten der Europäischen Gemeinschaft, Baden-Baden 2001 Jarass, Hans D.: EG-Kompetenzen und das Prinzip der Subsidiarität nach Schaffung der Europäischen Union, EuGRZ 1994, S. 209 – 219 – EU-Grundrechte, München 2005 – Charta der Grundrechte der Europäischen Union, München 2010

Literaturverzeichnis

229

Jarass, Hans D./Pieroth, Bodo: Grundgesetz für die Bundesrepublik Deutschland, 12. Auflage München 2012 Jellinek, Walter: Gesetz, Gesetzesanwendung und Zweckmäßigkeitserwägung, Zugleich ein System der Ungültigkeitsgründe von Polizeiverordnungen und -verfügungen, Tübingen 1913 Jueterbock, Dietrich: Zehn Jahre S.W.I.F.T.-Netzwerk – ein Meilenstein der Automation?, Die Bank 1988, S. 269 – 275 – S.W.I.F.T. II für die 90er Jahre, Die Bank 1988, S. 329 – 335 Jumaili, Diana Al: Stationen im Kampf gegen die Terrorismusfinanzierung, New York – Brüssel – Berlin, NJOZ 2008, S. 188 – 211. Jungmann, Carsten: Solvenztest- versus Kapitalschutzregeln, Zwei Systeme im Spannungsfeld von Gläubigerschutz und Finanzierungsfreiheit der Kapitalgesellschaft, ZGR 2006, S. 638-682 Kaspersen, Henrik W. K.: Some Observations on the Implementation of the E.U.-Data Protection Directive in the Netherland, in: Kilian, Wolfgang (Hrsg.): EC Data Protection Directive, Interpretation/Application/Transposition, Darmstadt 1997, S. 147 – 157 Keber, Tobias: Der Begriff des Terrorismus im Völkerrecht, Entwicklungslinien im Vertragsund Gewohnheitsrecht unter besonderer Berücksichtigung der Arbeiten zu einem „Umfassenden Übereinkommen zur Bekämpfung des Terrorismus“, Frankfurt am Main 2009 Kern, Markus: Einschätzungsverzerrungen der richterlichen Risikoabschätzung: Das Beispiel der Grundrechtsanwendung auf extremistische Betätigungen, in: Farahat, Anuscheh/Arndt, Felix/Sucker, Franziska/Schaefer, Jan/Smrkolj, Maja/Goldmann, Matthias/Huber, Matthias/ Betz, Nicole/Láncos, Petra Lea/Keil, Rainer/Valta, Stefanie (Hrsg.): Freiheit – Sicherheit – Öffentlichkeit, 48. Assistententagung Öffentliches Recht Heidelberg 2008, Baden-Baden 2009, S. 83 – 110 Kilian, Wolfgang/Heussen, Benno (Hrsg.): Computerrechts-Handbuch, Informationstechnologie in der Rechts- und Wirtschaftspraxis, 30. Ergänzungslieferung München 2011 Kind, Anne: Die grundrechtliche Überprüfung der Vorratsdatenspeicherung: EuGH oder BVerfG – wer traut sich?, MMR 2009, S. 661 – 666 Klabbers, Jan: Rebel with a Cause? Terrorists and Humanitarian Law, EJIL 14 (2003), S. 229 – 312 Knemeyer, Franz-Ludwig: Subsidiarität – Föderalismus, Dezentralisation, ZPR 1990, S. 173 – 174 Koch, Arwed: Die Allgemeinen Geschäftsbedingungen der Banken, Jena 1932 Koch, Klaus: Die Klagebefugnis Privater gegenüber Europäischen Entscheidungen gemäß Art. 173 Abs. 2 EWG-Vertrag, Frankfurt am Main 1981 Koch, Martin: Datenerhebung und -verarbeitung in den Polizeigesetzen der Länder, BadenBaden 1999 Koch, Oliver: Der Grundsatz der Verhältnismäßigkeit in der Rechtsprechung des Gerichtshofs der Europäischen Gemeinschaften, Berlin 2003 Köck, Heribert Franz: Das Verhältnis des Grundrechtsschutzes nach der Europäischen Menschenrechtskonvention und nach dem Recht der Europäischen Union unter besonderer Be-

230

Literaturverzeichnis

rücksichtigung des Beitritts der Letzteren zur EMRK, in: Sachs, Michael / Siekmann, Helmut (Hrsg.): Festschrift für Klaus Stern zum 80. Geburtstag, Berlin 2012, S. 785 – 810 Koenig, Christian/Lorz, Ralph Alexander: Stärkung des Subsidiaritätsprinzips, JZ 2003, S. 167-173 Konopasek, Klemens: SQL Server 2008 R2, Der schnelle Einstieg, 4. Auflage München 2010 Kopp, Ferdinand/Ramsauer, Ulrich (Hrsg.): Verwaltungsverfahrensgesetz, 13. Auflage München 2012 Korn, Juhani: Akteneinsicht und Informationsfreiheit im Steuerrecht, Voraussetzungsfreier Zugang zu Steuerakten über das Informationsfreiheitsrecht?, DÖV 2012, S. 232 – 239 Kowalczyk, Anneliese: Datenschutz im Polizeirecht, Köln 1989 Krapp, Katharina: BAföG-Rasterfahndung – Führt ein Datenabgleich zur automatischen Kriminalisierung?, ZRP 2004, S. 261 – 264 Krekeler, Wilhelm: Der befangene Richter, NJW 1981, S. 1633 – 1638 Krieken, Peter van: Terrorism and the International Legal Order, Den Haag 2002 Krück, Hans: Völkerrechtliche Verträge im Recht der Europäischen Gemeinschaften, Abschlußkompetenzen, Bindungswirkung, Kollisionen, Berlin 1977 Kugelmann, Dieter: Der Schutz privater Individualkommunikation nach der EMRK, EuGRZ 2003, S. 16 – 25 Kühling, Jürgen: Datenschutz gegenüber öffentlichen Stellen im digitalen Zeitalter, Die Verwaltung 44 (2011), S. 525 – 562 Lambers, Hans-Jürgen: Subsidiarität in Europa – Allheilmittel oder juristische Leerformel?, EuR 1993, S. 229 – 242 Lechler, Helmut: Der Europäische Gerichtshof und die allgemeinen Rechtsgrundsätze, Berlin 1971 Leisner, Walter: Stuttgart 21: „Wir sind das Volk!“ – Wer?, NJW 2011, S. 33 – 36 Leitermann, Hubert: Drei Jahre S.W.I.F.T. – Lautlose Revolution im Auslands-Zahlungsverkehr, Die Bank 1980, S. 418 – 423 Lenz, Carl Otto: Die Bedeutung des Europäischen Gemeinschaftsrechts für die Juristenausbildung, JuS 2002, S. 1154 – 1157 Lenz, Carl Otto/Borchardt, Klaus-Dieter (Hrsg.): EU- und EG-Vertrag, 4. Auflage Köln 2006 Lenz, Carl Otto/Borchardt, Klaus-Dieter (Hrsg.): EU-Verträge, EU-Verträge Kommentar, EUV – AEUV – GRCh, 6. Auflage Köln 2012 Leupold, Andreas/Glossner, Silke: Münchener Anwaltshandbuch IT-Recht, 2. Auflage München 2011 Leutheusser-Schnarrenberger, Sabine: Vorratsdatenspeicherung – Ein vorprogrammierter Verfassungskonflikt, ZRP 2007, S. 9 – 13 Lichtblau, Eric/Risen, James: Bank Data Is Wifted by U.S. in Secret to Block Terror, New York Times v. 23.06. 2006, S. 1

Literaturverzeichnis

231

Lindner, Josef Franz: Grundrechtsschutz in Europa – System einer Kollisionsdogmatik, EuR 2007, S. 160 – 192 Lisken, Hans: Zur polizeilichen Rasterfahndung, NVwZ 2002, S. 513 – 519. Loh, Wolfram: Das S.W.I.F.T.-System – Die moderne Datenübertragung im internationalen Zahlungsverkehr, Frankfurt am Main 1983 Louis, Hans Walter: Datenschutz und Informationsrecht in den USA, Eine Darstellung der Gesetzgebung des Bundes, München 1984 Löw, Norbert: Der Rechtsschutz des Konkurrenten gegenüber Subventionen aus gemeinschaftsrechtlicher Sicht, Baden-Baden 1992 Luch, Anika D.: Das neue „IT-Grundrecht“, Grundbedingung einer „Online-Handlungsfreiheit“, MMR 2011, S. 75 – 79 Lück, Michael: Die Gemeinschaftstreue als allgemeines Rechtsprinzip im Recht der Europäischen Gemeinschaft, Baden-Baden 1992 Magiera, Sigfried: Die Grundrechtecharta der Europäischen Union, DÖV 2000, S. 1017 – 1026 Mangoldt, Hermann von/Klein, Friedrich/Starck, Christian (Hrsg.): Kommentar zum Grundgesetz, Band 3, 6. Auflage 2010 Maunz, Theodor/Dürig, Günter (Hrsg.): Grundgesetz Kommentar, 66. EL 2012 Mehde, Veith: Datenschutz, in: Heselhaus, F. Sebastian M./Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte, München/Wien/Bern 2006, S. 608 – 630 Mellinghof, Rudolf (Hrsg.): Die Erneuerung des Verfassungsstaates, Symposion aus Anlass des 60. Geburtstages von Professor Dr. Paul Kirchhof, Heidelberg 2003 Merten, Detlef: Subsidiarität als Verfassungsprinzip, in: ders. (Hrsg.): Die Subsidiarität Europas, 2. Auflage Berlin 1993, S. 77 – 96 – Verhältnismäßigkeitsgrundsatz, in: ders./Papier, Hans-Jürgen (Hrsg.): Handbuch der Grundrechte, Heidelberg 2009, § 68 Meyer, Frank: Rechtsstaat und Terrorlisten - Kaltstellung ohne Rechtsschutz?, HRRS 2010, S.74-85 – Das Strafrecht im Raum der Freiheit, der Sicherheit und des Rechts, EuR 2011, S. 169 – 194 Meyer, Hans/Borgs-Maciejewski, Hermannn (Hrsg.): Verwaltungsverfahrensgesetz, 2. Auflage Frankfurt am Main 1982 Meyer, Josh/Miller, Greg: U.S. Secretly Tracks Global Bank Data, Los Angeles Times v. 23.06. 2006, S. 1 Meyer, Jürgen (Hrsg.): Charta der Grundrechte der Europäischen Union, 3. Auflage Baden-Baden 2011 Meyer-Ladewig, Jens (Hrsg.): Europäische Menschenrechtskonvention, 3. Auflage BadenBaden 2011 Möller, Ulrich: Praxisleitfaden Außenhandel im Bankgeschäft, Köln 2008 Molsberger, Philipp: Das Subsidiaritätsprinzip im Prozess europäischer Konstitionalisierung, Berlin 2009

232

Literaturverzeichnis

Müller, Gerhard/Wächter, Michael: Der Datenschutzbeauftragte, Eine systematische Darstellung des Bundesdatenschutzgesetzes, 2. Auflage München 1991 Müller-Glöge, Rudi/Preis, Ulrich/Schmidt, Ingrid (Hrsg.): Erfurter Kommentar zum Arbeitsrecht, 12. Auflage München 2012 Münch, Ingo von/Kunig, Philip (Hrsg.): Grundgesetz-Kommentar, Band 2, 6. Auflage München 2012 Murphy, Cian: Romanian Constitutional Court, Decision No. 1258 of 8 October 20091 regarding the unconstitutionality exception of the provisions of Law No. 298/2008, Common Market Law Review (CMLRev) 2010 (Vol. 47), S. 933 – 941 National Commission on Terrorist Attacks Upon the United States (Hrsg.): Final Report, Washington D.C. 2004 – (Hrsg.): Monograph on Terrorist Financing, Staff Report to the Commission, 2004, abrufbar unter http://www.9 – 11commission.gov/staff_statements/index.htm Nettesheim, Martin: Grundrechtskonzeptionen des EuGH im Raum der Freiheit, der Sicherheit und des Rechts, EuR 2009, S. 23 – 42 Nolte, Martin: Die Anti-Terror-Pakete im Lichte des Verfassungsrechts, DVBl. 2002, S. 573 – 578 – Anti-Doping-Meldepflichten im Lichte des Datenschutzrechts, in: ders. (Hrsg.): Neue Bedrohungen für die Persönlichkeitsrechte von Sportlern, Stuttgart/München 2011, S. 59 – 73 Nungesser, Jochen: Hessisches Datenschutzgesetz unter Berücksichtigung der EG-Datenschutzrichtlinie, 2. Auflage Stuttgart 2001 Ohler, Christoph: Terrorismusbekämpfung mit den Mitteln der Finanzmarktaufsicht, Die Verwaltung 41 (2008), S. 405 – 434 Pache, Eckhard: Begriff, Geltungsgrund und Rang der Grundrechte in der EU, in: Heselhaus, Sebastian/Nowak, Carsten (Hrsg.): Handbuch der Europäischen Grundrechte, München u. a. 2006 Parker, Donn: Neuformulierung der Grundlagen der Informationssicherheit, DuD 1991, S. 557-565 Peine, Franz-Joseph: Die Legalisierungswirkung, JZ 1990, S. 201 – 212 Petersohn, Helge: Data Mining – Verfahren, Prozesse, Anwendungsarchitektur, München 2005 Petri, Thomas: Unzulässige Vorratssammlungen nach dem Volkszählungsurteil? Die Speicherung von TK-Verkehrsdaten und Flugpassagierdaten, DuD 2008, S. 729 – 732 Petri, Thomas/Tinnefeld, Marie-Theres: Völlige Unabhängigkeit der Datenschutzkontrolle, Demokratische Legitimation und unabhängige parlamentarische Kontrolle als moderne Konzeption der Gewaltenteilung, MMR 2010. S. 157 – 161 Pieper, Stefan Ulrich: Subsidiaritätsprinzip – Strukturprinzip der Europäischen Union, DVBl 1993, S. 705 – 712 Pieroth, Bodo/Schlink, Bernhard: Grundrechte, 28. Auflage Heidelberg 2012 Pieroth, Bodo/Schlink, Bernhard: Polizei- und Ordnungsrecht, 7. Auflage München 2012

Literaturverzeichnis

233

Räther, Philipp: Die EU-US-Flugdaten-Affäre, Aus der Sicht der Betreiber von Datenbanken mit Fluggastdaten, DuD 2004, S. 468 – 470 Räther, Philipp/Seitz, Nicolai: Übermittlung personenbezogener Daten in Drittstaaten – Angemessenheitsklausel, Safe Harbor und die Einwilligung, MMR 2002, S. 425 – 433 Reinhardt, Michael: Die Umkehr der Beweislast aus verfassungsrechtlicher Sicht, NJW 1994, S. 93 – 99 Reiser, Christof: Rechtliche Aspekte der Zahlungsverkehrsnetze, WM 1986, S. 1401 – 1408 Rengeling, Hans-Werner/Szczekalla, Peter (Hrsg.): Grundrechte in der Europäischen Union, Charta der Grundrechte und Allgemeine Rechtsgrundsätze, Köln u.a. 2004 Riedel, Joachim: Das Postulat der Unparteilichkeit des Richters – Befangenheit und Parteilichkeit – im deutschen Verfassungs- und Verfahrensrecht, Berlin 1980 Riegel, Reinhard: Datenschutz bei den Sicherheitsbehörden, 2. Auflage Köln/Berlin /Bonn/ München 1992 – Zu Stand und Entwicklungstendenzen des informationellen Befugnisrechts zur polizeilichen Aufgabenerfüllung - Licht, Schatten und Hoffnung, DÖV 1994, S. 814 – 821 Roberts, Marc: Terrorismusfinanzierung, Zugleich ein Beitrag zum internationalen Verwaltungsrecht, Frankfurt am Main 2011 Rosand, Eric: The Security Council’s Efforts to Monitor the Implementation of al Qaeda/Taliban Sancitons, American Journal of International Law (AJIL) 98 (2004), S. 745 – 763 Sachs, Michael (Hrsg.): Grundgesetz, 6. Auflage München 2011 Santolli, Justin: The Terrorist Finance Tracking Program: Illumination the Shortcomings of the European Union’s Antiquated Data Privacy Directive, The George Washington International Law Review 2008 (Vol. 49), S. 553 – 582 Sauerwein, L. B./Linnemann, J. J.: Personal Data Protection Act, Den Haag 2001 Schaar, Peter: Telefonkunden unter Generalverdacht?, MMR 2004, S. 57 – 58 Schaefer, Hans: Sanktionsbefugnisse für die Polizei, Eine weitere Verschiebung der Gewaltenteilung zum Nachteil der Justiz, NJW 1999, S. 543 – 544 Schäfer, Peter: Der Vertrag von Nizza – seine Folgen für die Zukunft der Europäischen Union, BayVBl. 2001, S. 460 – 466 Schaffland, Hans-Jürgen/Wiltfang, Noeme (Hrsg.): Bundesdatenschutzgesetz (BDSG), Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschriften, EL 1/11 Berlin 2011 Schapper, Claus-Henning: Grenzüberschreitender Datentransfer und Datenschutz, CR 1987, S. 86 – 94 Schäuble, Wolfgang: Aktuelle Sicherheitspolitik im Lichte des Verfassungsrechts, ZRP 2007, S. 210-213 Scheerer, Sebastian: Die Zukunft des Terrors, Lüneburg 2002 Schild, Hans-Hermann: Die EG-Datenschutzrichtlinie, EuZW 1996, S. 549 – 555 – Die völlige Unabhängigkeit der Aufsichtsbehörden aus europäischer Sicht – zugleich Überlegungen, die bestehende Vertragsverletzung im Bereich der Kontrollbehörden nach

234

Literaturverzeichnis

Art. 28 EG-DS-RiLi der Bundesrepublik Deutschland endlich zu beenden, DuD 2010, S. 549 – 553 Schilling, Theodor: Zur Verfassungsbindung des deutschen Vertreters bei der Mitwirkung an der Rechtsetzung im Rate der EU, DVBl. 1997, S. 458 – 463 – Bestand und allgemeine Lehren der bürgerschützenden allgemeinen Rechtsgrundsätze des Gemeinschaftsrechts, EuGRZ 2000, S. 3 – 43 Schimansky, Herbert (Hrsg.): Bankrechts-Handbuch, Band 1, 4. Auflage München 2011 Schipper, Martin: Neue Instrumente des Datenschutzes für das Verhältnis zwischen Privatpersonen und Unternehmen in der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika, Münster 2003 Schmidt, Karsten (Hrsg.): Münchener Kommentar zum Handelsgesetzbuch, Band 5, 2. Auflage München 2009 Schmidt-Bleibtreu, Bruno/Hofmann, Hans/Brockmeyer, Hans Bernhard (Hrsg.): Kommentar zum Grundgesetz, 12. Auflage Köln 2011 Schmidt-De Caluwe, Reimund: Der Verwaltungsakt in der Lehre Otto Mayers, Tübingen 1999 Schmidt-Jortzig, Edzard: Effektiver Rechtsschutz als Kernstück des Rechtsstaatsprinzips nach dem Grundgesetz, NJW 1994, S. 2569 – 2573 Schnabel, Christoph: Polizeiliche Videoüberwachung öffentlicher Räume nach § 8 Absatz III HbgPolDVG am Beispiel der Reeperbahn-Entscheidung des OVG Hamburg, NVwZ 2010, S. 1457 – 1461 Schneider, Jens-Peter: Stand und Perspektiven des Europäischen Datenverkehrs- und Datenschutzrechts, Die Verwaltung 44 (2011), S. 499 – 562 Schoch, Friedrich: Das Recht auf informationelle Selbstbestimmung, in: Sachs, Michael/ Siekmann, Helmut (Hrsg.): Der grundrechtsgeprägte Verfassungsstaat, Festschrift für Klaus Stern zum 80. Geburtstag, Berlin 2012, S. 1491 – 1512 Schoch, Friedrich/Schmidt-Aßmann, Eberhard/Pietzner, Rainer (Hrsg.): Verwaltungsgerichtsordnung, 24. EL München 2012 Schramm, Marc/Wegener, Christoph: Neue Anforderungen an eine anlasslose Speicherung von Vorratsdaten, Umsetzungsmöglichkeiten der Vorgaben des Bundesverfassungsgerichts, MMR 2011, S. 9 – 13 Schröder, Christian: Die Haftung für Verstöße gegen Privacy Polices und Codes of Conduction nach US-amerikanischem und deutschem Recht, Baden-Baden 2007 Schulz, Sönke: Cloud Computing in der öffentlichen Verwaltung – Chancen, Risiken, Modelle, MMR 2010, S. 75 – 80. Schulze, Reiner/Zuleeg, Manfred: Europarecht, Handbuch für die deutsche Rechtspraxis, 2. Auflage 2010 Schürenkrämer, Ulrich: Technologiebewertung des internationalen Datennetzes der Kreditinstitute, Berlin 1987 Schwartz, Paul/Reidenberg, Joel: Data Protection Law, A Study of United States Data Protection, Charlottesville (USA) 1996

Literaturverzeichnis

235

Schwarze, Jürgen (Hrsg.): EU-Kommentar, 2. Auflage Baden Baden 2009 Schweizer, Rainer/Burkert, Herbert: Datenschutz in Europa – Schweizer Gesetzgebung entspricht europäischem Maßstab, DuD 1994, S. 442 – 427 Scott, Susan/Zachariadis, Markos: A historical analysis of core financial services infrastructure: Society for Worldwide Interbank Financial Telecommunication (S.W.I.F.T.), London 2010 Selke, Gisbert: Kryptographie – Verfahren, Ziele, Einsatzmöglichkeiten, Köln 2000 Servay, Wolfgang/Rehm, Jürgen: Bankraub aus Sicht der Täter, Täterleitende Faktoren bei Raubüberfällen auf Geldinstitute, Wiesbaden 1986 Shea, Courtney: A Need For SWIFT Change, The Struggle Between The European Union’s Desire For Privacy In International Financial Transactions And The United State’s Need For Security From Terrorists As Evidenced By The SWIFT Scandal, Journal of High Technology Law, Vol. III, Nr. 1, 2008, S. 143 – 168. Shrader, Jeremy: Secrets Hurt: How SWIFT Shook Up Congress, the European Union, and the U.S. Banking Industry, North Carolina Banking Institute Journal 2007 (Vol. 11), S. 397 – 420 Siekmann, Helmut (Hrsg.): Kommentar zur Europäischen Währungsunion, Tübingen 2013 Siemen, Birte: Datenschutz als europäisches Grundrecht, Berlin 2006 Simitis, Spiros: Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281 – 288 – (Hrsg.): Bundesdatenschutzgesetz, 7. Auflage Baden Baden 2011 Simpson, Glenn R.: Politics & Economics: American Executive in Brussels Aided TerroristTracking Program, Wall Street Journal v. 24.06. 2006, S. 4 Sinclair, Ian: The Vienna Convention on the Law of Treaties, 2. Auflage Manchester 1984 Slobogin, Christopher: Die Zukunft des Datenschutzes in den USA, Die Verwaltung 44 (2011), S. 465 – 497 Söllner, Renate: Art. 5 EWG-Vertrag in der Rechtsprechung des Europäischen Gerichtshofes, München 1985 Spies, Axel: USA: Datenschutz schützt vor fehlerhafter Beschlagnahme beim ISP, MMR 3/ 2007, S. V-VI – USA: Grenzüberschreitende elektronische Beweiserhebung (Discovery) vs. Datenschutz?, MMR 7/2007, S. V-VII Spindler, Gerald/Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 2. Auflage München 2011 Spranger, Tade: Europäischer Grundrechtsschutz im Kontext vernetzter Rechtsordnungen, EuR 2009, S. 514 – 527 Sprecher, Franziska: Die Schweiz im europäischen Verwaltungsraum: Mittendrin oder außen vor?, in: Debus, Alfred/Kruse, Franziska/Peters, Alexander/Schröder, Hanna/Seifert, Olivia/ Sicko, Corinna/Stirn, Isabel (Hrsg.): Verwaltungsrechtsraum Europa, 51. Assistententagung Öffentliches Recht Speyer 2011, Baden-Baden 2011, S. 253 – 284

236

Literaturverzeichnis

Stelkens, Paul/Bonk, Heinz/Sachs, Michael (Hrsg.): Verwaltungsverfahrensgesetz, 8. Auflage München 2012 Stentzel, Rainer: Datenschutz zwischen Utopie und Anpassung, Die politische Debatte um den polizeilichen Datenaustausch mit den USA, ZFAS 2010, S. 137 – 148 Stern, Klaus/Becker, Florian (Hrsg.): Grundrechte-Kommentar, Die Grundrechte des Grundgesetzes mit ihren europäischen Bezügen, Köln 2010 Stettner, Rupert: Gemeinschaftsrecht und nationales Recht, in: Dauses, Manfred (Hrsg.): Handbuch des EU-Wirtschaftsrechts, 31. EL München 2012, Kap. A. IV. Streinz, Rudolf: Der Vertrag von Lissabon – eine Verfassung für Europa, FPR 2010, S. 481 – 485 – Die Rechtsprechung des EuGH zum Datenschutz, DuD 2011, S. 602 – 606 Streinz, Rudolf/Michl, Walther: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW2011, S. 384 – 388 S.W.I.F.T. (Hrsg.): Annual Report 2008, Brüssel 2009 – (Hrsg.): Distributed Architecture Phase 1, White Paper, Version 1.3 Brüssel 2009, abrufbar unter http://www.swift.se/files/3958 Symeonidis, Andreas/Mitkas, Pericles: Agent Intelligence through Data Mining, New York 2005 Szczekalla, Peter: Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, Berlin 2002 Tamm, Marina: Rückwirkungen des gescheiterten SWIFT-Abkommens auf das Abkommen über Fluggastdaten?, VuR 2010, S. 215 – 223 Teitgen, Pierre-Henry: Cours de droit institutionnel communautaire, Paris 1973 Tettinger, Peter (Hrsg.): Kölner Gemeinschaftskommentar zur Europäischen GrundrechteCharta, München 2006 Thilo, Lutz: Bankgeheimnis, Bankauskunft und Datenschutzgesetze, NJW 1984, S. 582 – 585 Tietje, Christian/Hamelmann, Sandy: Gezielte Finanzsanktionen der Vereinten Nationen im Spannungsverhältnis zum Gemeinschaftsrecht und zu Menschenrechten, JuS 2006, S. 299-302 Tinnefeld, Marie-Theres: Sapere aude! Über Informationsfreiheit, Privatheit und Raster, NJW 2007, S. 625 – 630 Tinnefeld, Marie-Theres/Buchner, Benedikt: The European Union (EU) after the Treaty of Lisbon, DuD 2011, S. 657 Todd, Emmanuel: Frei! Der arabische Frühling und was er für die Welt bedeutet, München/ Zürich 2011 Tomuschat, Christian: Bundesstaats- und Integrationsprinzip des Grundgesetzes, in: Magiera/ Merten (Hrsg.), Bundesländer und Europäische Gemeinschaft, Berlin 1988, S. 21 Toussaint, Guido: Das Recht des Zahlungsverkehrs im Überblick, Berlin 2009

Literaturverzeichnis

237

Türke, Peter/Dortschy, Jochen W.: Der Zahlungsverkehr mit dem Ausland, 3. Auflage Stuttgart 1991 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Hrsg.): Datenschutzrecht in Schleswig-Holstein mit allen Ausführungsbestimmungen, 4. Auflage Kiel 2007 Vedder, Christoph: Rechtswirkungen von Assoziierungsratsbeschlüssen, EuR 1994, S. 202 – 211 Vedder, Christoph/Heinschel von Heinegg, Wolff: Europäischer Verfassungsvertrag, 1. Auflage Baden-Baden 2007 Vedder, Christoph/Heinschel von Heinegg, Wolff: Europäisches Unionsrecht, EUV, AEUV, Grundrechte-Charta, Handkommentar mit den vollständigen Texten der Protokolle und Erklärungen und des EAGV, Baden-Baden 2012 Verdross, Alfred: Die Quellen des universellen Völkerrechts, Freiburg 1973 Warius, Silke: Das Hawala-Finanzsystem in Deutschland – ein Fall für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung?, Berlin 2009 Watts, Duncan: Six Degrees – The Science of a Connected Age, New York 2003 Watts, Duncan/Strogatz, Stephen: Collective dynamics of „small-world“ networks, Nature 393 (1998), S. 440 – 442. Weber, Martina: Der betriebliche Datenschutzbeauftragte im Lichte der EG-Datenschutzrichtlinie, DuD 1995, S. 698 – 702 Weichert, Thilo: USA kontrollieren SWIFT, DuD 2006, S. 470 – Datenschutz bei Internetveröffentlichungen, VuR 2009, S. 323 – 329 Westphal, Dietrich: Die neue EG-Richtlinie zur Vorratsdatenspeicherung, Privatsphäre und Unternehmerfreiheit unter Sicherheitsdruck, EuZW 2006, S. 555 – 560 Graf v. Westphalen, Friedrich: Gratwanderung zwischen Sicherheit und Freiheit, AnwBl. 2008, S. 801 Willems, Wolfgang: Codierungstheorie und Kryptographie, Basel 2008 Winkler, Roland: Grundrechte in der Europäischen Union, Wien 2006 Wippermann, Gerd: Zur Frage der Unabhängigkeit der Datenschutzbeauftragten, DÖV 1994, S. 929 – 940 Wolff, Heinrich: Vorratsdatenspeicherung – Der Gesetzgeber gefangen zwischen Europarecht und Verfassung?, NVwZ 2010, S. 751 – 753 Wölker, Ulrich: Grundrechtsschutz durch den Gerichtshof der Europäischen Gemeinschaften und nationale Gerichte nach Amsterdam, EuR Beiheft 1/1999, S. 99 – 110 Ziegler, Andreas R.: Die De-facto-Mitgliedschaft der Schweiz in der EU, ZEuS2007, S. 247 – 272 Zöller, Dieter: Der Datenschutzbeauftragte im Verfassungssystem, Grundsatzfragen der Datenschutzkontrolle, Berlin 1995 Zöller, Mark Alexander: Terrorismusstrafrecht, ein Handbuch, Heidelberg 2009 Zöller, Wolfgang: Hanns Martin Schleyer, Ein Nachruf, ZfA 1977, S. 445 – 446

238

Literaturverzeichnis

Zscherpe, Kerstin: Überwachung von Finanztransaktionen durch die USA datenschutzrechtlich unzulässig?, MMR 2006, Heft 12, S. XI-XII

Sachwortverzeichnis Abfragegrund 152 ACTA 66, 201 Aktuelle Entwicklungen 206 Albrecht, Jan-Philipp 127, 163, 202 algorithmische Auswertungsmethoden 153, 210 Alvaro, Alexander 74, 127, 163, 185 Anhang des Abkommens 65 Anschlagsplanung 165 Anwendungsbereich 65, 72 Arabischer Frühling 120 Aufsicht über die Auswertung 175, 210 Aufsicht über die Übermittlung 153, 168 Auskunftsrecht 178, 210 Aussetzung des Abkommens 200 Auswertung der Daten 151 Backup-Kopien 158 Berichtigungsrecht 186 Biden, Joe 18 Booz Allen Hamilton 167 Breivik, Andreas 165 Bulk Data Transfer 126, 188, 209 Bundesbeauftragter für Datenschutz und Informationsfreiheit 38, 163, 167, 179, 185, 202 Charta der Grundrechte 77, 193 Clearing-Systeme 66, 69, 88 Data Mining 155 Datenkategorien 68 Datenschutzabkommen EU-USA 113 Datenschutzrichtlinie 79 Datensicherheit 158 Datensparsamkeit 87 Diplomatischer Wechsel 67, 197, 209 Dissens 75 Distributet Architecture 24, 29, 47 Drittwirkung der Unionsgrundrechte 91

EG-Datenschutzrichtlinie 79 Einheitlicher Euro-Zahlungsverkehrsraum 73, 169 Einsichtnahmerecht 178, 210 Einwilligung 102 Erfolge 32 Erheblichkeitsklausel 121 EuGH, Rechtsweg 201 Europäischer Datenschutzbeauftragter 159, 163, 167 Europäisches System zum Aufspüren der Terrorismusfinanzierung 139, 150, 207 Europol 153, 168 Europol Joint Supervisory Body 170 EU-TFTP 139, 150, 207 Executive Order 13224 32, 103 extrahierte Daten 159 Flugreisende 18, 80 Folgeabkommen 50 GASP 55, 80 Gemeinsame Außen- und Sicherheitspolitik 55 Gemeinsame Überprüfungen 176 Gesundheitsdaten 148 Grund der Abfrage 152 Grundrechte der EU 77 Hennis-Plasschaert, Jeanine 145 IEEPA 32 Informationelle Selbstbestimmung 78 Inhalt des Abkommens 63 Integrität der Daten 158, 186 Interimsabkommen 35 International Economy Powers Act 32 juristische Personen 83

240

Sachwortverzeichnis

Klagerecht 190, 201, 210 Kommunikationsfreiheit 87 Kompetenz der EU 54, 209 Korrektur falscher Daten 186 Korrespondenzfreiheit 87 Kündigung des Abkommens 196, 206, 210 Löschungsfristen 150, 159 Löschungsrecht 186 Lybische Oppositionsbewegung 120 Maizière, Thomas de 37, 40, 51 Malmström, Celia 75, 163, 171, 172 Manipulationssicherheit 158 Massendatenübermittlung 126, 188, 209 Monopolstellung S.W.I.F.T.s 135 nichtextrahierte Daten 159 Nichtigkeitsklage 201 Normenhierarchie 193 Online-Durchsuchung 115 Operation Centres 21, 23, 71 Oppositionsbewegungen 120 Paketdatenweitergabe 126, 188, 209 Parchara, Uzair 33 Patriot Act 31 personenbezogene Daten 82 Physische Datensicherheit 158 PJZS 54, 81 Planungsdauer eines Terroranschlags 165 Plaumann-Formel 204 PRISM 18 Privacy Act 110, 191 Profilerstellung 154 Push-Verfahren 64, 100 Rasterfahndung 154 Ratifizierungsvorbehalt 37 Rechtsgrundlage 32 Rechtsschutz 177 Rechtsweg vor dem EuGH 201 Redundante Datensätze 157, 158 Religionszugehörigkeit 148 Revision des Datenbestandes 162 Richtervorbehalt 173 Richtlinie 95/46/EG 79

S.W.I.F.T. II-System 23 S.W.I.F.T. 19 S.W.I.F.T.-Nachrichten 25, 65 S.W.I.F.T.-Netz 20 Safe Harbor Principles 112 Sauerland-Gruppe 33 Schleyer, Hanns Martin 121 Schrank, Leonard 30 Schutzbereich 82, 96 sensible Daten 148, 209 SEPA 73, 169 Sexualleben 148 Sicherheit der Daten 158 Sicherungskopien 158 Single Euro Payments Area 73, 169 Sippel, Birgit 74, 163 Speicherdauer 150, 159 Sperrung der Daten 186, 190 Subsidiarität 57, 193 Suspendierung des Abkommens 200 TARGET 66 Telekommunikationsdaten 135, 146, 164, 173, 206 Terrorismusdefinition 116 Terrorismusfinanzierung 123 Terrorist Finance Tracking Program 28 TFTP 28 Umfang der Datenübermittlung 145, 156, 170 Unabhängige Aufsichtsstelle 171, 210 Unionstreue 46 United Nations Participation Act 32 Unmittelbarkeit der Datenerhebung 86 UNPA 32 Unternehmen 83 UN-Terrorismus-Abkommen 117 US-Datenschutz 109 US-Recht 31, 191 Verknüpfungsverbot 158 Verschlüsselung 28, 127, 132 Vertrag von Lissabon 40, 77 Vertragsschlusskompetenz 54 Vertragsschlussverfahren 36, 50 Videoüberwachung 17, 146 Vorabentscheidungsverfahren 206

Sachwortverzeichnis Vorratsdatenspeicherung 135, 145, 164, 137, 206

Wiener Übereinkunft 76, 194 Wirtschaftsspionage 152

Wesentlichkeitslehre 67 Western Union 31 Widerstandsbewegungen 120

Zahlungsverkehrsdaten 65, 68 Zuständigkeit der EU 54, 209 Zweckbindung 86, 105, 159

241