rating service  security service privacy service
 
2007/04/12 SWIFT-Datenmissbrauch - Kein Rechtsschutz für Opfer?
Aktuelle Entscheidung der DSK (K 121.245/0009-DSK/2007) zeigt problematische Abgrenzung zwischen Auftraggeber und Dienstleisters im Sinne des DSG 2000 - mit unangenehmen Folgen für den Betroffenen - skurrile Argumentation der DSK: ein gesetzwidrig handelnder Dienstleister wird zum Auftraggeber und bleibt nicht bloß rechtsbrechender Dienstleister

Was ist SWIFT?

SWIFT ist die Abkürzung für Society for Worldwide Interbank Financial Telecommunication.

Es handelt sich dabei internationale Genossenschaft der Geldinstitute, die ein Telekommunikationsnetz (SWIFT-Netz) für den Nachrichtenaustausch zwischen diesen unterhält. Diese Genossenschaft leitet Finanztransaktionen zwischen Banken, Brokerhäusern, Börsen und anderen Finanzinstituten täglich weiter. Der Sitz ist in La Hulpe, Belgien. In den Niederlanden und in Culpepper, USA befinden sich jeweils ein Operating Center. In jedem Mitgliedsland existieren Konzentratoren. SWIFT standardisiert den Zahlungsverkehr der Finanzinstitute untereinander.


Die Entscheidung

Der Beschwerdeführer, der zahlreiche Auslandsüberweisungen unter Zuhilfenahme des SWIFT-Systems getätigt hatte, stellte an seine Hausbank ein Auskunftsbegehren, in welchem Ausmaß SWIFT die damit verbundenen Daten weitergeben würde, insbesondere an US-amerikanische Behörden. Dies unter Bezugnahme auf das von SWIFT in den USA betriebene Rechenzentrum. Die Antwort der Hausbank war spärlich, lediglich wurde darauf verwiesen, SWIFT hätte darüber informiert, Daten nur dann weiterzugeben, wenn ein terroristischer Hintergrund vermutet werde. Weitere Informationen konnte oder wollte die Hausbank nicht geben. Der Betroffene fühlte sich dadurch, dass die Bank nur diese generelle Information gewährt hatte, in seinem Auskunftsbegehren verletzt. Da er davon ausging, SWIFT wäre für die Hausbank als Dienstleister tätig, rief er die Datenschutzkommission an.


Auftraggeber oder Dienstleister?

Im Rahmen des Verfahrens stellte sich die Frage, ob SWIFT als Dienstleister der jeweiligen Bank tätig wird oder als eigenständiger Auftraggeber von Datenverarbeitungen zu betrachten ist.

Herangezogen wurden durch die DSK bei dieser Betrachtung eine Entscheidung der belgischen Datenschutzbehörde, die für SWIFT national zuständig ist sowie ein Papier der sogenannten Art.29-Gruppe, einer gemeinsamen Kommission nationaler Datenschutzbehörden innerhalb der Europäischen Union, die sich mit Angelegenheiten der EU-Datenschutzrichtlinie beschäftigt.

Beide Betrachtungen kamen zur Auffassung, dass SWIFT für die jeweiligen Banken nicht als Dienstleister tätig wird sondern selbst Auftraggeber ist. Die DSK schloss sich dieser Auffassung an, die Begründung blieb dürftig. Die Auftraggebereigenschaft sei von einem faktischen Verhalten abhängig, der autonom getroffenen Entscheidung, bestimmte Verarbeitungsschritte zu setzen. Diese Frage sei unabhängig davon zu beurteilen, ob eine entsprechende Verarbeitung rechtmäßig durchgeführt werde oder nicht. Im konkreten Falle sei SWIFT sowohl Auftraggeber als auch Dienstleister. Im Rahmen seiner vertragsgemäßen Hauptleistungspflicht, der Durchführung von Transportleistungen für die entsprechenden Banken, sei SWIFT Dienstleister. Die Entscheidung, ein Rechenzentrum in den USA zu betreiben, habe SWIFT aber autonom getroffen, sei insoferne alleine für diesen Verarbeitungsschritt verantwortlich und somit als eigenständiger Auftraggeber zu sehen.

Die Folge dieser Rechtsansicht war die Abweisung der Beschwerde. Da der Beschwerdegegner - die Hausbank - für die entsprechenden Verarbeitungsschritte gar nicht Auftraggeber sei, sei sie auch nicht Adressat eines entsprechenden Auskunftsbegehrens. Vielmehr sei ein entsprechendes Auskunftsbegehren an SWIFT in Belgien zu richten. Dies sei insoferne kein Problem, da das Auskunftsrecht europaweit mittels der EU-Datenschutzrichtlinie verankert sei und im Falle der Verletzung in Belgien die Datenschutzbehörde angerufen werden könne.


Unsinnige Differenzierung

Die Unterscheidung zwischen Auftraggeber einer Datenverarbeitung und zugezogenem Dienstleister ist prinzipiell eine heikle Frage. § 4 DSG versucht, die Verarbeitung von Daten weitgehend dem "Werkbesteller" somit dem Vertragspartner, der eine bestimmte Datenverarbeitung veranlasst - zuzurechnen. Grund dafür ist vor allem, dass die entsprechenden Betroffenenrechte gegenüber dem Auftragnehmer erschwert durchsetzbar sein würden. Dieser ist einerseits aufgrund des bestehenden Vertragsverhältnisses mit dem Besteller der Datenverarbeitung an bestimmte Pflichten gebunden, andererseits hat der Betroffene mit ihm in der Regel auch kein direktes Vertragsverhältnis. Problematisch ist die Möglichkeit der Überlassung von Daten an einen Dienstleister ohne weitgehende Einschränkungen nach § 10 DSG.

Die Intention des DSG 2000 lässt sich hier so zusammenfassen: Die Hinzuziehung von Dienstleistern verbunden mit der Überlassung von Daten soll für die Auftraggeber einer Datenverarbeitung möglichst ohne Restriktionen möglich sein, andererseits ist das Verhalten des Dienstleisters dem Auftraggeber zuzurechnen.

Umso fragwürdiger ist aber die Auffassung der DSK, jemand - hier SWIFT - könne gleichzeitig als Dienstleister wie als Auftraggeber tätig sein, sobald er "autonome Entscheidungen" über Verarbeitungsschritte setzt. Zunächst ist zu bedenken, dass der Dienstleister nur aufgrund der vertraglichen Beziehung zum Auftraggeber überhaupt Daten erhält. Die Formulierung "autonome Entscheidung" bedeutet letztendlich, dass der Dienstleister Entscheidungen trifft, die nicht durch die bestehende Vertragsbeziehung zum ursprünglichen Auftraggeber gedeckt sind. Solche Verarbeitungsschritte können dann aber auch nicht mehr rechtmäßig im Sinne des Datenschutzgesetzes sein, da der Dienstleister ja nur über die Vertragsbeziehung zum Auftraggeber in Besitz der Betroffenendaten gelangt ist.

Die Auffassung der DSK, solange ein Dienstleister im Rahmen seiner Vertragspflichten agiert, bleibt er Dienstleister, sobald er unabhängig von der vertraglichen Beziehung - somit rechtswidrig - agiert, wird er selbst zum Auftraggeber, hat folgende fatale Konsequenz: Der ursprüngliche Auftraggeber - hier die Bank - kann sich ohne weitere große Einschränkungen einen Dienstleister zur Vornahme ihrer Datenverarbeitungen suchen. Sobald dieser aber nicht mehr am Boden des bestehenden Vertrages agiert, haftet er nicht mehr dafür und der Betroffene kann sich sein Rechte selbst beim Dienstleister erkämpfen.

Letztlich bedeutet eine solche Auffassung ein Abschieben datenschutzrechtlicher Verantwortlichkeit, die nicht mit dem Dienstleister-/Auftraggeberbegriff des DSG vereinbar ist.


Probleme in der Praxis

Im konkreten Fall ist auf den mühsameren Rechtsweg für alle Betroffenen zu verweisen. Zunächst ist bei einer juristischen Person in Belgien das Auskunftsrecht geltendzumachen. Falls dies nicht funktioniert, muss der Betroffene die dortige Datenschutzbehörde anrufen. Oft wird der Betroffene rechts- und sprachunkundig und somit auf anwaltliche Hilfe im Mitgliedsstaat zur Durchsetzung seiner Rechte angewiesen sein. Es stellt sich die Frage, wie ein Bankkunde dazukommt, einen solchen Aufwand zur Rechtsdurchsetzung treiben zu müssen, weil seine Bank einen Dienstleister, der seinen Sitz in einem anderen Staat hat, zuzieht. Würde man - im Sinne des DSG- die Zurechnung des Verhaltens des Dienstleisters zum Auftraggeber konsequent durchziehen, wären die Betroffenenrechte viel besser gewahrt.

Innerhalb der EU sind allerdings zumindest datenschutzrechtliche Mindeststandards vorhanden. Fraglich ist aber, was eigentlich passiert, wenn sich eine Bank entscheidet, einen Vertrag mit einem Dienstleister außerhalb der EU abzuschließen. Die Datenüberlassung ist auch hier nicht weiter eingeschränkt, bezüglich Sicherheitsstandards könnte sich die Bank auf das Vertragsverhältnis berufen. Zu befürchten ist- setzt man die Logik der DSK fort- dass auch hier der Betroffene, falls er Auskunft möchte oder sich in seinen Rechten verletzt fühlt, sich selbst an den Dienstleister wenden müsste, sofern es um autonome Entscheidungen geht, die über das bestehende Vertragsverhältnis hinausgehen. Was aber, falls der betreffende Sitzstaat keine entsprechenden datenschutzrechtlichen Standards hat?

Diese Erwägungen zeigen, wie problematisch die Entscheidung der DSK in der Praxis sein kann.


Was tun?

Für alle, die wissen möchten, ob SWIFT ihre personenbezogenen Daten weitergibt, hier die belgische Adresse für ein entsprechendes Auskunftsbegehren:

S.W.I.F.T. SCRL ("SWIFT"),
Avenue Adèle 1,
B-1310 La Hulpe, Belgium

Eine Beschwerde aufgrund der Verletzung der Auskunftspflicht kann hier eingebracht werden:

Commission de la protection de la vie privée - Ministére de la Justice
B-1000 Bruxelles
Boulevard de Waterloo 115
Formulare finden sich im Anhang

mehr --> http://ec.europa.eu/community_law/complaints/form/index_de.htm
mehr --> DSK Entscheidung zu SWIFT

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVOwebmaster