CIA-Skandal überschattet neues Datentransferabkommen EU-USA
Von Erich Moechel
Am Freitag trafen EU-Justizkommissar Didier Reynders und Finanzministerin Gina Raimondo zu Gesprächen über ein neues transatlantisches Abkommen zum sicheren Datentransfer in die USA zusammen. 2020 hatte der EU-Gerichtshof bekanntlich das Abkommen „Privacy Shield“ für sicheren Datenaustausch mit den USA gekippt, da es keinen Schutz vor Zugriffen durch die US-Geheimdienste biete.
Das Treffen wurde vom jüngsten CIA-Datenskandal rund um das SWIFT-Finanzdatensysten überschattet. An allen Aufsichtsorganen im US-Kongress vorbei hatte die CIA seit 2016 bis mindestens 2021 massive Finanzdatensätze aus dem europäischen SWIFT-System zum Data-Mining abgezogen. Der US-Senatsausschuss zur Geheimdienstkontrolle wurde drüber erst Anfang 2022 informiert.
US Justice Department
Nähere Angaben zu dem Treffen zwischen Gina Raimondo und ihrem Brüsseler Verhandlungspartner Didier Reynders gibt es außer zwei Tweets der beiden Chefverhandler keine. Auf diesem Foto, das am Freitag vom US-Finanzministerium verbreitet wurde, ist im Hintergrund eindeutig ein Teil des Gebäudes der EU-Kommission zu erkennen.
Transatlantische Datenflüsse
Nach Monaten des Mauerns wird die Kommission nun der vertragswidrigen Weitergabe von Finanztransferdaten aus dem SWIFT-System an die CIA nachgehen.
Gemeinsame Erklärung gab es nach dem Gedankenaustausch bis jetzt keine, Reynders äußerte sich zum Treffen nur kurz auf Twitter. Das Gespräch habe „die sehr guten Fortschritte in den Diskussionen über transatlantische Datenflüsse“ zum Inhalt gehabt. Bald sei man in der Lage, die nächsten Schritte anzugehen. Raimondo vermerkte „Fortschritte in der Diskussion über transatlantische Datenflüsse“ und sprach nicht über die bevorstehenden nächsten Schritte, sondern nur allgemein darüber, dass man zusammen eine inklusive Digitalökonomie für Firmen und Konsumenten aus den USA und Europa errichten wolle. Nach einem baldigen Abschluss der Verhandlungen klingt das eher nicht.
Parallel zu diesen transatlantischen Verhandlungen über einen Nachfolgevertrag von „Safe Harbor“ und „Privacy Shield“ läuft nämlich gerade eine Überprüfung der im Rahmen des TFTP-Vertrags anfallenden transatlantischen Datenflüsse. Im Rahmen dieses Abkommens werden von Europol bekanntlich laufend massive Datensätze aus dem SWIFT-Finanztransaktionssystem zur Durchsuchung an das US-Finanzministerium übermittelt. Die folgende Durchsuchung dieser massiven Datensätze aus dem europäischen SWIFT-System findet unter Aufsicht eines EU-Notars statt, es darf nur nach Namen und Firmen gesucht werden, Data-Mining ist ebenso strikt verboten wie jede Weitergabe. Dazu gibt es detaillierte Löschvorschriften, dass behauptet werden kann, dass alles rechtskonform passiert.
CIA
Diese Passage stammt aus dem Bericht des „Privacy and Civil Liberties Oversight Board“ (PCLOB) im US-Kongress über die „Aktivitäten der CIA im Bereich Finanzdaten zur Unterstützung von Anti-Terror-Ermittlungen im Zusammenhang mit dem IS“. Dieser Report wurde dem Geheimdienstausschuss des Senats auf Antrag der Senatoren Martin Heinrich und Ron Wyden veröffentlicht. Die CIA hatte damit nicht nur gegen das transatlantische Abkommen gegen Terrorfinanzierung (TFTP) jahrelang verstoßen, sondern auch sämtliche US-Auflagen zur Geheimdienstkontrolle ignoriert. Obwohl die beiden Senatoren auf die Dringlichkeit des Antrags verwiesen hatten, benötigte die CIA zehn Monate, um die 17 Dokumente zu deklassifizieren und freizugeben. Das geschah Ende Jänner 2022.
„Transatlantischer Datenschutzrahmenvertrag“
2013 hatte das EU-Parlament die Kündigung des TFTP-Abkommens gefordert, nachdem bekanntgeworden war, dass das SWIFT-System von der NSA als Angriffsziel geführt wird.
Erst Ende Jänner kam dann der tatsächliche Sachverhalt durch eine Intervention zweier US-Senatoren (siehe oben) an die Öffentlichkeit. Nachdem alle diese oben beschriebenen transatlantischen Sicherheitsrituale absolviert waren, gingen diese massiven Datensätze in Kopie regelmäßig an den Auslandsgeheimdienst CIA. Dabei wurden alle Regeln und Meldepflichten des US-Senats zum Schutz von US-Staatsbürgern ignoriert, zumal für alle US-Auslandsgeheimdienste ein striktes Verbot durch die Verfassung gilt, die eigenen Staatsbürger zu bespitzeln. Tatsächlich stammten diese riesigen Datensätze aus dem europäischen Teil des internationalen Finanztransaktionssystems SWIFT.
Unter diesen nicht eben günstigen Auspizien verhandelt die Europäische Union nun mit den USA über ein neues Abkommen zu transatlantischen Datentransfers. Diese neue „Transatlantische Datenschutzrahmenvereinbarung“ (Trans-Atlantic Data Privacy Framework) soll garantieren, dass die Daten von EU-Bürger:innen, die in den USA gespeichert werden, den Auflagen der Datenschutzgrundverordnung entsprechend abgesichertt sind. In einer gemeinsamen Erklärung nach dem letzten hochrangigen Treffen Ende März war bereits eine grundsätzliche Einigung verlautbart worden.
EU / US
Titelabschnitt der gemeinsamen Presseerklärung zur transatlantischen Datenschutzrahmenvereinbarung von Ende März. Beim EU-Gerichtshof werden die negativen Sprüche zu "Safe Harbor und „Privacy Shield“ als „Schrems I“ und „Schrems II“. geführt. Um Fragen vorzubeugen: Ja, dieser Text steht tatsächlich so auf der echten Website der EU-Kommission, das wurde dreimal überprüft.
Die nächste transatlantische Datenfarce
Nach dem Aus für „Privacy Shield“ durch den EUGH hatte Reynders vor dem EU-Parlament erklärt, dass es kein weiteres solches Abkommen mit den USA geben werde.
Und nun, da sich auch bis zur EU-Kommission herumgesprochen haben muss, dass die CIA auch die gesetzlichen Vorgaben in den USA im Zweifelsfall ignoriert, wenn sie einer ihrer „Missions“ im Wege stehen, strebt die Kommission ein Abkommen an, wie folgt. Für das „Trans-Atlantic Data Privacy Framework“ würden die USA neue Absicherungsmaßnahmen einziehen, um zu garantieren, dass „Maßnahmen der Nachrichtenaufklärung notwendig und ausgewogen im Sinne der nationalen Sicherheitsinteressen“ seien. Außerdem sei „eine rigorose, mehrstufige Überwachung der Aktivitäten zur Nachrichtenaufklärung“ durchzuführen, um „die Einhaltung der Einschränkungen für Nachrichtenaufklärung“ zu gewährleisten.
Nicht zu vergessen, ein „Rechtsschutzmechanismus durch eine unabhängige Instanz mit der Befugnis, Maßnahmen zur Entschädigung und Wiedergutmachung einzuleiten“ sei ebenfalls einzuleiten. Offenbar soll das dazu dienen, dass sich Proportionalität und Notwendigkeit die Waage halten, und das gleich auf zwei Ebenen, wohl um das Abkommen durch eine solchermaßen garantierte doppelte Rechtskonformität gegen ein mögliches „Schrems III“-Verfahren abzusichern.
Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 21.09.2022
