Unterrichtung durch das Europäische Parlament
Entschließung des Europäischen Parlaments zu der SWIFT, dem Abkommen über Fluggastdatensätze und dem transatlantischen Dialog über diese Themen

Das Europäische Parlament,

• - unter Hinweis auf die Erklärungen des Rates und der Kommission während der Aussprache im Europäischen Parlament am 31. Januar 2007 über die Anfrage zur mündlichen Beantwortung zu dem Thema SWIFT sowie auf die Verhandlungen über ein neu -es Abkommen zwischen der EG und den USA über Fluggastdatensätze,
• - unter Hinweis auf das Antwortschreiben der Europäischen Zentralbank (EZB) vom 30. Januar 2007 betreffend die an sie gerichtete Frage, in der zur Sprache gebracht wurde, dass die EZB es versäumt hatte, die zuständigen Datenschutzbehörden und die nationalen Banken von der US-amerikanischen Praxis zu unterrichten, dass auf von der SWIFT erstellte Daten über Finanztransaktionen zugegriffen wird, und dass sie in dieser Angelegenheit auch nicht von ihrer Befugnis zur "moralischen Einflussnahme" auf die SWIFT Gebrauch gemacht hat,
• - unter Hinweis auf die Stellungnahmen der Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gemäß Artikel 29 der Datenschutzrichtlinie1 (Artikel-29-Arbeitsgruppe) zu dem künftigen Abkommen über Fluggastdatensätze und des Europäischen Datenschutzbeauftragten zu der Rolle der EZB im Fall SWIFT,
• - gestützt auf Artikel 103 Absatz 2 seiner Geschäftsordnung,

A. in der Erwägung, dass die gemeinsame Nutzung von Daten und Informationen ein wertvolles Instrument zur internationalen Bekämpfung des Terrorismus und der damit zusammenhängenden Verbrechen ist,

B. unter Hinweis darauf, dass Unternehmen, die auf beiden Seiten des Atlantiks tätig sind, sich immer häufiger in den einander widersprechenden gesetzlichen Anforderungen des US- und des EG-Rechtsbereichs verfangen,

C. unter Hinweis darauf, dass die gemeinsame Nutzung personenbezogener Daten auf einer tragfähigen Rechtsgrundlage erfolgen und mit klaren Regeln und Voraussetzungen verbunden sein muss und dass dabei durchweg ein angemessener Schutz der Privatsphäre und der bürgerlichen Freiheiten des Einzelnen gegeben sein muss,

D. in der Erwägung, dass die Bekämpfung von Terrorismus und Verbrechen demokratisch angemessen legitimiert sein muss, woraus folgt, dass Programme für die gemeinsame Nutzung von Daten jederzeit parlamentarischer Kontrolle und der Überprüfung durch Gerichte unterliegen müssen,

Allgemeines

• 1. betont, dass in den vergangenen Jahren mehrere Abkommen, die durch amerikanische Anforderungen veranlasst waren und ohne Beteiligung des Europäischen Parlaments verabschiedet wurden, insbesondere die Abkommen über Fluggastdatensätze und das SWIFT-Memorandum, sowie die Existenz des amerikanischen Überwachungsprogramms "Automated Targeting System" (ATS) eine Situation der Rechtsunsicherheit haben entstehen lassen, soweit es um die notwendigen Datenschutzgarantien im Zusammenhang mit der gemeinsamen Nutzung und der Weitergabe von Daten zwischen der EU und den USA im Interesse der öffentlichen Sicherheit und insbesondere der Terrorismusvorbeugung und -bekämpfung geht;
• 2. bekräftigt, dass die bislang von Rat, Kommission und Privatunternehmen in Aussicht genommenen Lösungen die personenbezogenen Daten von EU-Bürgern nicht angemessen schützen (wie auch in dem Brief von Herrn Schaar, dem Vorsitzenden der Artikel-29-Arbeitsgruppe, zu dem neuen Interim-Abkommen über Fluggastdatensätze festgestellt wurde) und dass damit gegen Gemeinschaftsrecht und einzelstaatliches Recht verstoßen würde, wie im Fall SWIFT geschehen (vgl. Stellungnahme 010/2006 der Artikel-29-Arbeitsgruppe vom 22. November 2006 und Stellungnahme des Europäischen Datenschutzbeauftragten vom 1. Februar 2007);
• 3. stellt fest, dass der amerikanische Kongress im Zusammenhang mit der Terrorismusbekämpfung vor einiger Zeit die amerikanische Regierung aufgefordert hat, gezieltere Maßnahmen zu treffen, die die Privatsphäre besser schützen und der parlamentarischen und gerichtlichen Kontrolle unterliegen (dies wurde verlangt, als der Kongress vom Vorhandensein des Telefonabhörprogramms des Amtes für nationale Sicherheit (National Security Agency, NSA) erfuhr);
• 4. bekräftigt seine Vorbehalte - die vor kurzem auch vom amerikanischen Kongress geäußert wurden - bezüglich der Methoden der Profilerstellung und der gezielten Datensuche, die die wahllose Anhäufung immer größerer Bestände personenbezogener Daten beinhalten, wie im Fall des von der amerikanischen Regierung benutzten ATS;
• 5. begrüßt es, dass die amerikanische Regierung vor kurzem die genannten Vorbehalte zur Kenntnis genommen hat und sich bemühen wird, die Situation durch folgende Schritte zu verbessern:
  • a) Einführung von Beauftragten für den Schutz der Privatsphäre und/oder einer unabhängigen Einrichtung für den Schutz der Privatsphäre auf Bundesebene, die die Aufgabe haben, sämtliche Initiativen datenschutzrechtlich zu begutachten, die möglicherweise die Privatsphäre beeinträchtigen;
  • b) Schaffung eines Mechanismus, der US-Bürgern das Recht auf Beschwerde im Fall der nicht korrekten Verwendung ihrer Daten garantiert;
• 6. vertritt jedoch die Auffassung, dass diese Verbesserungen nicht ausreichend sind in Bezug auf den Schutz der Daten von EU-Bürgern und dass es sehr zu begrüßen wäre, wenn das Gesetz von 1974 über die Privatsphäre (Privacy Act) auf der Grundlage der Gegenseitigkeit auch für EU-Bürger gelten würde, damit sie Zugang zu den sie betreffenden Daten einschließlich des Anspruchs auf Berichtigung und Änderung dieser Daten sowie Zugang zu Rechtsbehelfen und zu einer unabhängigen Datenschutzbehörde erhielten;
• 7. bekräftigt seine Überzeugung, dass solche Datenschutzgarantien die gemeinsame Nutzung von Daten erleichtern und zugleich für den Schutz der Privatsphäre sorgen würden und dass eine entsprechende Weitergabe von Daten in jedem Fall aufgrund eines oder mehrerer internationaler Abkommen erfolgen müsste, die ähnlich aufgebaut sind wie das Abkommen zwischen der EG und den USA über die gerichtliche Zusammenarbeit in Strafsachen und die Auslieferung, das gegenwärtig vom amerikanischen Kongress geprüft wird;
• 8. vertritt die Auffassung, dass solche internationalen Abkommen, da sie die Grundrechte von EU-Bürgern und US-Bürgern berühren, unter uneingeschränkter Mitwirkung des Europäischen Parlaments und der nationalen Parlamente der Mitgliedstaaten sowie des amerikanischen Kongresses auszuhandeln wären;
• 9. verlangt, dass die Abkommen in Fragen des Datenschutzes auf ein hohes Schutzniveau bezüglich des Missbrauchsrisikos abzielen und durch verbindliche Grundsätze auf EU-Ebene ergänzt werden sollten, die den Schutz von Daten zu Sicherheitszwecken (dritte Säule) betreffen;
• 10. hebt die Notwendigkeit der Verabschiedung eines Rahmenbeschlusses über den Schutz personenbezogener Daten im Bereich der dritten Säule hervor; weist darauf hin, dass es in seinem einstimmig angenommenen Standpunkt vom 27. September 20062 einen weit und ambitioniert gefassten Geltungsbereich eines solchen Rahmenbeschlusses verlangt hat, durch den Datenschutzvorschriften auch für den Austausch personenbezogener Daten mit Drittstaaten gelten;
• 11. hält es für notwendig, mit den USA einen gemeinsamen Rahmen festzulegen, der für die notwendigen Garantien sorgt, die die besondere Partnerschaft zwischen EU und USA im Kampf gegen den Terrorismus erfordert, wobei in diesem Rahmen auch alle Aspekte betreffend den freien Personenverkehr zwischen der EU und den USA behandelt werden könnten;
• 12. erwartet, dass diese Strategie der transatlantischen Partnerschaft auf dem nächsten Gipfeltreffen EU-USA am 30. April 2007 erörtert wird, und vertritt die Auffassung, dass im Hinblick darauf Kontakte zwischen dem Europäischen Parlament und dem amerikanischen Kongress intensiviert werden sollten; verlangt,
  • a) dass Berichterstatter des Europäischen Parlaments an einer Anhörung des amerikanischen Kongresses zu Themen von gemeinsamem Interesse teilnehmen dürfen (Abkommen zwischen der EG und den USA über die gerichtliche Zusammenarbeit in Strafsachen und die Auslieferung, ATS, SWIFT);
  • b) dass die Vorsitzenden der zuständigen Ausschüsse des amerikanischen Kongresses zum nächsten transatlantischen Dialog (Brüssel/Berlin, Mitte April 2007) und in jedem Fall vor dem nächsten EU-USA-Frühjahrsgipfeltreffen eingeladen werden;

Aushandlung des langfristigen Abkommens über Fluggastdatensätze

• 13. betont, dass ein künftiges langfristiges Abkommen über Fluggastdatensätze, zusätzlich zu den von ihm in seinem oben genannten Standpunkt vom 27. September 2006 bereits aufgezeigten Punkten, auf folgenden Grundsätzen beruhen sollte:
  • a) Politik anhand erwiesener Tatsachen: vor dem Abschluss eines neuen Abkommens muss eine sorgfältige Auswertung durchgeführt werden; die Frage der Wirksamkeit des laufenden Abkommens (und des Vorläuferabkommens) sowie die Frage der Kosten und der Wettbewerbsfähigkeit europäischer Luftverkehrsunternehmen sollten behandelt werden; in der Auswertung sind auch die Umsetzung der Verpflichtungen und das Problem der Fluggastdaten im ATS zu behandeln;
  • b) die Weitergabe von Fluggastdaten muss dem Grundsatz einer klaren Zweckbegrenzung entsprechen;
  • c) Begründetheit und Verhältnismäßigkeit: in der Praxis dürften APIS-Daten (Advance Passenger Information System) für Strafverfolgungs- und Sicherheitszwecke mehr als ausreichen; diese Daten werden in Europa bereits in Übereinstimmung mit der Verordnung (EWG) Nr. 2299/89 des Rates vom 24. Juli 1989 über einen Verhaltenskodex im Zusammenhang mit computergesteuerten Buchungssystemen3 erfasst und können deshalb aufgrund einer vergleichbaren Regelung mit den USA ausgetauscht werden; verhaltensbezogene Daten in den Fluggastdatensätzen dürften von begrenztem Nutzen sein, weil sie nicht zugeordnet werden können, wenn sie nicht mit dem APIS verbunden sind; eine allgemeine Weitergabe von Fluggastdaten ist somit nicht ausreichend begründet;
  • d) ein künftiges Abkommen muss auf dem Kriterium der Angemessenheit beruhen, was den Schutz personenbezogener Daten angeht; aus europäischer Sicht steht fest, dass Regeln über den Schutz personenbezogener Daten im Bereich der dritten Säule dringend notwendig sind, sowie weltweit geltende Normen, die für sämtliche Kategorien personenbezogener Daten gelten;
  • e) es bedarf einer regelmäßigen Bewertung der Angemessenheit und Wirksamkeit des Programms unter dem Aspekt des Datenschutzes, an der das Europäische Parlament und, wenn möglich, der amerikanische Kongress zu beteiligen sind; jedes künftige Abkommen muss eine alljährliche Bewertung vorsehen; der Bewertungsbericht muss veröffentlicht und dem Europäischen Parlament unterbreitet werden;
  • f) auch Alternativlösungen wie elektronische Reisepässe ("Electronic Travel Authorisations") im Rahmen eines Programms für visafreie Einreise, die die Weitergabe von Fluggastdaten durch die Luftverkehrsunternehmen ersetzen, müssen mit EU-Datenschutznormen in Einklang stehen;
  • g) die derzeit in den Verpflichtungen der USA festgelegten Bedingungen müssen integraler Bestandteil des Abkommens werden und rechtsverbindlich sein; ein künftiges Abkommen muss in höherem Maße demokratisch legitimiert sein, wobei die uneingeschränkte Mitwirkung des Europäischen Parlaments und/oder die Ratifizierung durch die nationalen Parlamente vorzusehen ist;
  • h) ein künftiges Abkommen muss in jedem Fall auf dem "PUSH"-System beruhen, und das "PULL"-System ist nicht länger hinzunehmen, denn "PUSH" hätte schon im Rahmen des Vorläuferabkommens eingeführt werden müssen, sobald es technisch durchführbar war;
  • i) die Reisenden sollten über die Weitergabe von Fluggastdaten informiert werden, und sie sollten Zugang zu den sie betreffenden Daten einschließlich des Anspruchs auf Berichtigung und Änderung dieser Daten sowie Zugang zu Rechtsbehelfen oder zu einer unabhängigen Datenschutzbehörde haben;
  • j) geht davon aus, dass die US-amerikanischen Behörden im Falle einer bestätigten Bedrohung durch Terroristen verpflichtet sind, die EU-Behörden über den Verdacht zu informieren;

Zugang zu SWIFT-Daten

• 14. erklärt sich erneut besorgt darüber, dass die SWIFT vier Jahre lang auf gerichtliche Anordnungen hin dem US-amerikanischen Staat einen Satz von in ihrem US-amerikanischen System verarbeiteten Daten übermittelt hat, einschließlich Daten, die nicht US-Bürger betrafen, und solcher, die nicht auf US-amerikanischem Hoheitsgebiet erstellt worden waren, und zwar unter Verletzung gemeinschaftsrechtlicher und einzelstaatlicher Datenschutzvorschriften und aufgrund der von der SWIFT aus kommerziellen und systembedingten Gründen getroffenen Entscheidungen, die Daten systematisch in ein paralleles Informationssystem zu kopieren, das sich in den USA befindet;
• 15. hält es für sehr beunruhigend, dass dieser Sachverhalt, der einen Verstoß gegen die Konvention zum Schutze der Menschenrechte und Grundfreiheiten und die Charta der Grundrechte der Europäischen Union sowie gegen die Verträge und das abgeleitete Recht (Datenschutzrichtlinie und Verordnung (EG) Nr. 045/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr4) darstellt, nicht in einem früheren Stadium von der EZB oder der Gruppe der zehn Zentralbanken, die die SWIFT-Tätigkeiten überwachen, nachdrücklich kritisiert worden ist und dass erst seit kurzem die europäischen Banken und ihre Kunden durch Pressemeldungen darauf aufmerksam geworden sind;
• 16. bedauert nachdrücklich, dass der Rat - mehrere Monate nach Bekanntwerden dieser Angelegenheiten - noch immer nicht zu diesem Thema Stellung genommen hat, das so viele Bürger, Kunden und Unternehmen betrifft, und dass nur sieben von 27 Mitgliedstaaten den Fragebogen beantwortet haben, den die Kommission verschickt hat, um Klarstellungen bezüglich der Einhaltung einzelstaatlicher und gemeinschaftsrechtlicher Datenschutzvorschriften zu erhalten;
• 17. bringt erneut seine Bedenken gegen das gegenwärtige System der Überwachung der SWIFT zum Ausdruck, für die die Gruppe der zehn Zentralbanken verantwortlich ist, wobei die EZB die Aufsicht, aber keine formalen Kompetenzen hat; fordert den Rat und die EZB auf, gemeinsam Überlegungen zur Verbesserung dieses Systems anzustellen, damit für ein ordentliches Funktionieren des Warnverfahrens ohne Einschränkung der dadurch notwendigen konkreten Schritte gesorgt ist;
• 18. schließt sich der vom Europäischen Datenschutzbeauftragten zum Ausdruck gebrachten Auffassung über die Rolle der EZB an und fordert die EZB auf,
  • - als Aufsichtsinstanz für die SWIFT Lösungen zu sondieren, die zur Einhaltung der Datenschutzvorschriften und dazu führen, dass Vertraulichkeitsbestimmungen nicht der rechtzeitigen Übermittlung von Informationen an die zuständigen Behörden entgegenstehen;
  • - als Nutzerin des SWIFT Net-FIN Lösungen zu sondieren, durch die ihre Zahlungsvorgänge in Einklang mit Datenschutzvorschriften gebracht werden, und bis spätestens April 2007 einen Bericht über die getroffenen Maßnahmen auszuarbeiten;
  • - als Entscheidungsträger in Zusammenarbeit mit Zentralbanken und Geldinstituten dafür zu sorgen, dass europäische Zahlungssysteme, einschließlich des aktualisierten Großzahlungssystems TARGET2 und des geplanten Systems für TARGET-Securities, sofern dieses tatsächlich geschaffen wird, uneingeschränkt mit dem EG-Datenschutzrecht in Einklang stehen; fordert die EZB auf, ihm eine Bewertung dieser Einhaltung des Datenschutzrechts vorzulegen;
• 19. bringt erneut seine Überzeugung zum Ausdruck, dass Daten, die anlässlich von Finanztransaktionen erstellt werden, unter klar festgelegten Bedingungen ausschließlich im Zusammenhang mit dem Verdacht der Terrorismusfinanzierung für Zwecke gerichtlicher Ermittlungen verwendet werden dürfen, und weist darauf hin, dass sowohl die EG als auch die USA in ihrem jeweiligen Recht (Verordnung (EG) Nr. 1781/2006 des Europäischen Parlaments und des Rates vom 15. November 2006 über die Übermittlung von Angaben zum Auftraggeber bei Geldtransfers5 und US-amerikanisches Gesetz über das Bankgeheimnis (Bank Secrecy Act)) die Empfehlung VII der Financial Action Task Force (FATF) umgesetzt haben;
• 20. weist darauf hin, dass Geldinstitute nach dem 31. Dezember 2006 aufgrund der Empfehlung VII der FATF gehalten sind, Aufzeichnungen bestimmter genau angegebener Daten über Geldtransaktionen ab 1 000 USD in Europa (ab 3 000 USD in den Vereinigten Staaten) zu erstellen und aufzuheben, und dass solche Aufzeichnungen durchweg den zuständigen Behörden auf Verlangen vorzulegen oder zugänglich zu machen sind6;
• 21. ist der Überzeugung, dass die EU und die USA im Kampf gegen den Terrorismus grundsätzlich und loyal miteinander verbunden sind und dass dieser gesetzliche Rahmen deshalb die Grundlage zur Aushandlung eines möglichen internationalen Abkommens bilden sollte, dem der Gedanke zugrunde liegt, dass die SWIFT als belgisches Unternehmen dem belgischen Recht unterliegt und demzufolge für die Behandlung von Daten gemäß Artikel 4 Absatz 1 der Richtlinie 95/46/EG verantwortlich ist; weist darauf hin, dass die natürliche Folge darin besteht, dass die SWIFT die Pflicht hat, ihre derzeitige Praxis der Parallelaufzeichnung sämtlicher Daten über EU-Bürger und EU-Unternehmen auf ihrer amerikanischen Internet-Seite einzustellen oder ihren alternativen Datenbankstandort nach außerhalb des Hoheitsgebiets der USA zu verlegen; verlangt, dass das genannte internationale Abkommen die notwendigen Garantien gegen einen Missbrauch von Daten zu wirtschaftlichen und geschäftlichen Zwecken bietet;
• 22. weist darauf hin, dass die SWIFT Dienstleistungen außerhalb der Europäischen Union und der USA anbietet, und ist deshalb der Auffassung, dass bei allen Maßnahmen die Globalität der SWIFT-Dienstleistungen berücksichtigt werden sollte;
• 23. fordert die Kommission, die sowohl für Datenschutzrecht als auch für Vorschriften über Zahlungssysteme zuständig ist, auf, das Potenzial für Wirtschafts- und Unternehmensspionage zu analysieren, das sich aus der derzeitigen Struktur der Zahlungssysteme im weitesten Sinne ergibt, sodass insbesondere Datenübermittlungsdienste (messaging providers) darin einbezogen sind, und über Wege zur Lösung dieses Problems zu berichten;
• 24. weist darauf hin, dass Finanzdienstleistungen vom "Safe Harbour Agreement" ausgenommen werden können, wie es in der Stellungnahme 010/2006 der Artikel-29-Arbeitsgruppe heißt; erklärt sich darüber besorgt, dass europäische Unternehmen und Wirtschaftszweige, die in den USA Aktivitäten ausüben, die nicht unter das "Safe Harbour Agreement" fallen, derzeit gezwungen werden können, personenbezogene Daten amerikanischen Stellen verfügbar zu machen, insbesondere amerikanische Zweigunternehmen von europäischen Banken, Versicherungsunternehmen, Einrichtungen der sozialen Sicherheit und Telekommunikationsdiensteanbietern; fordert die Kommission auf, diesen Sachverhalt dringend zu untersuchen;
• 25. beauftragt seinen Präsidenten, diese Entschließung dem Rat und der Kommission sowie den Regierungen und Parlamenten der Mitgliedstaaten und dem amerikanischen Kongress zu übermitteln.

• 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
• 2 Angenommene Texte, P6_TA(2006)0370.
• 3 ABl. L 220 vom 29.7.1989, S. 1.
• 4 ABl. L 8 vom 12.1.2001, S. 1.
• 5 ABl. L 345 vom 8.12.2006, S. 1.
• 6 Siehe den am 17. Januar 2006 veröffentlichten Bericht des Financial Crimes Enforcement Network (FinCEN) über die Meldung von Vorgängen im grenzüberschreitenden Zahlungsverkehr: http://www.fincen.gov/news_release_cross_border.htm .