Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Dr. Diether Dehm, Ulla Jelpke, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 19/12458 – Nutzung des EU-US-Abkommens zum „Aufspüren der Finanzierung des Terrorismus“ V o r b e m e r k u n g d e r F r a g e s t e l l e r Das Abkommen zwischen der Europäischen Union und der US-Regierung über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der EU an die USA zum Aufspüren der Finanzierung des Terrorismus (TFTP oder auch SWIFT-Abkommen) trat trotz Protesten von Bürgerrechtsorganisationen und Einwänden des Europäischen Parlaments am 1. August 2010 in Kraft (Bundestagsdrucksache 17/5133). US-Behörden haben gemäß dem TFTP Zugriff auf Transaktionsdaten der Society for Worldwide Interbank Financial Telecommunication (SWIFT). Verarbeitet werden neben der Höhe der Zahlung die Namen der Absender und Empfänger sowie deren Adresse. Diese können in den USA bis zu fünf Jahren gespeichert werden. Ermittlungsersuchen im Rahmen des TFTP müssen an die Polizeiagentur Europol als zentrale Kontaktstelle (Single Point of Contact – SPoC) gerichtet werden. Von dort werden sie an das US-Finanzministerium weitergeleitet. Mit dem Anstieg der Zahl der Terroranschläge seit 2015 sei das TFTP laut der EU- Kommission „zu einem zunehmend wichtigen Instrument geworden“. In einigen Fällen hätten die Informationen im Rahmen des Abkommens „entscheidend dazu beigetragen“, Ermittlungen zu Terroranschlägen innerhalb der EU „voranzubringen“. In einer Pressemitteilung vom 22. Juli 2019 nennt die EU- Kommission die Anschläge in Stockholm, Barcelona und Turku. Europol ist außerdem ist für die Überprüfung des Datentauschs im Rahmen des TFTP zuständig und nutzt hierfür Mitteilungen des US-Finanzministeriums . Die EU-Kommission soll zudem dem Rat regelmäßig über die Umsetzung des Abkommens und etwaige Verstöße oder Defizite berichten. Weitere regelmäßige gemeinsame Überprüfungen durch „Überprüfungsteams“ der Europäischen Union und der USA sind in Artikel 13 des Abkommens vorgesehen . Diesen Teams gehören die Europäische Kommission, das US- Finanzministerium und Vertreter zweier Datenschutzbehörden aus EU- Mitgliedstaaten an. Auch Sachverständige für Sicherheits- und Datenschutzfragen sowie „Personen mit Erfahrung in Justizangelegenheiten“ können aufgenommen werden. Deutscher Bundestag Drucksache 19/12975 19. Wahlperiode 03.09.2019 Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, für Bau und Heimat vom 30. August 2019 übermittelt. Die Drucksache enthält – in kleinerer Schrifttype – den Fragetext. Der Bericht zur fünften gemeinsamen Überprüfung des Abkommens deckt einen Zeitraum von 35 Monaten ab (1. Januar 2016 bis 30. November 2018; vgl. Kommissionsdokument COM(2019) 342 final vom 22. Juli 2019). Neben der EU-Kommission und dem US-Finanzministerium nahmen daran Vertreter zweier Datenschutzbehörden teil. Das „Überprüfungsteam“ reiste hierfür zu Europol nach Den Haag und nach Washington zum US-Finanzministerium. Vorher hatte das US-Finanzministerium auf einen vorab übermittelten EU- Fragebogen geantwortet. Die EU-Kommission kommt zu dem Schluss, „dass das Abkommen und seine Garantien und Kontrollen ordnungsgemäß durchgeführt werden“. Dem Bericht zur fünften gemeinsamen Überprüfung des Abkommens ist jedoch zu entnehmen, dass das US-Finanzministerium sogenannte „extrahierte Daten“ länger als vereinbart speichert. Die US-Regierung soll deshalb Mechanismen einrichten, „damit diese Daten nicht länger aufbewahrt werden, als für die Ermittlungen oder die Strafverfolgung, für die sie verwendet werden, notwendig ist“. Die EU-Kommission fordert die Mitgliedstaaten auf, Europol als zentrale Anlaufstelle (Single Point of Contact – SPoC) zu unterrichten, wenn Ermittlungen endgültig abgeschlossen sind. Europol soll dann gegenüber dem US-Finanzministerium sicherstellen, dass die „extrahierten Daten“ im Zusammenhang mit diesem Fall gelöscht werden. Dies betreffe insbesondere solche Daten, die von den Analysten des US-Finanzministeriums nicht an zuständige Behörden der EU-Mitgliedstaaten weitergegeben werden. V o r b e m e r k u n g d e r B u n d e s r e g i e r u n g Die Antworten der Bundesregierung unterliegen den nachfolgenden Einschränkungen : Die Antworten zu den Fragen 3, 4 und 4a können in Teilen nicht offen erfolgen und sind mit dem Geheimhaltungsgrad „VS – Nur für den Dienstgebrauch“ eingestuft . Dieser Teil wird dem Deutschen Bundestag gesondert übermittelt. Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beantwortung gestellter Fragen in der Öffentlichkeit angelegt. Die Einstufung der Antworten auf die vorgenannten Fragen als Verschlusssache (VS) mit dem Geheimhaltungsgrad „VS – Nur für den Dienstgebrauch“ ist aus Gründen des Staatswohls gleichwohl erforderlich. Nach § 2 Absatz 2 Nummer 4 VSA sind Informationen, deren Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein kann, entsprechend einzustufen. Welche Firmen oder sonstigen internationalen Zahlungsverkehrsdatendienste sind nach Kenntnis der Bundesregierung derzeit im TFTP- Abkommen zur Übermittlung von Zahlungsverkehrsdaten verpflichtet?  1. Gemäß Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika über die Verarbeitung von Zahlungsverkehrsdaten und deren Übermittlung aus der Europäischen Union an die Vereinigten Staaten von Amerika für die Zwecke des Programms zum Aufspüren der Finanzierung des Terrorismus sind die bezeichneten Anbieter von internationalen Zahlungsverkehrsdatendiensten im Anhang zum Ankommen aufgeführt. Derzeit wird dort die Society for Worldwide Interbank Financial Telecommunication (SWIFT) gelistet. Drucksache 19/12975 – 2 – Deutscher Bundestag – 19. Wahlperiode Welchen Mehrwert sieht die Bundesregierung in den über das TFTP erlangten Hinweisen des US-Finanzministeriums, und welche Rückmeldungen hat sie hierzu zuletzt an Europol übermittelt?  2. Zur Aufklärung von Terrorismusfinanzierung sind auch grenzüberschreitende Finanztransaktionsdaten wichtige Erkenntnisquellen. Grundsätzlich wird ein Mehrwert darin gesehen, dass aus den Hinweisen ggf. finanzielle Beziehungsgeflechte von Personen und Organisationen aufgezeigt sowie neue Ermittlungsansätze generiert oder Modi operandi erkennbar werden. Wichtig dabei ist, dass diese Informationen möglichst aktuell sind. Die Möglichkeit, gemäß Trivial File Transfer Protocol (TFTP) Personen abfragen zu können, wird als ein alternativloses Ermittlungstool erachtet. Insbesondere das Aufspüren von Konten im Ausland ist auf anderem Wege nur schwer möglich, da hierzu regelmäßig der langwierige Weg der Rechtshilfe zu bestreiten wäre. Eine unmittelbare, formelle Rückmeldung gegenüber Europol erfolgte nicht. Hinsichtlich welcher terroristischer Anschläge hat das TFTP nach Kenntnis der Bundesregierung „entscheidend dazu beigetragen“, Ermittlungen zu Terroranschlägen innerhalb der EU „voranzubringen“ (Kommissionsdokument COM(2019) 342 final vom 22. Juli 2019)? a) Eine Bewertung im Sinne der Fragestellung findet nicht statt. In welchem Umfang haben deutsche Behörden das TFTP nach dem Anschlag auf den Berliner Weihnachtsmarkt an der Gedächtniskirche am 19. Dezember 2016 genutzt, und inwiefern waren diese Hinweise entscheidend oder hilfreich? b) Im Zusammenhang mit den Ermittlungen nach dem Anschlag auf den Berliner Weihnachtsmarkt wurde eine TFTP-Anfrage gestellt, die 93 potentielle Hinweise enthielt. Grundsätzlich gilt: Personenbezogene Daten werden bei TFTP-Anfragen fast ausschließlich ohne Geburtsdatum angeliefert. Dieser Umstand ist in der Systematik einer Auslandstransaktion begründet, in der nicht zwingend ein Geburtsdatum beim Absender und Empfänger gefordert wird. Daraus resultieren Probleme , die mitgeteilten Personen zu identifizieren. Dies ist häufig nur über Adresszusätze, Name und Standort der genannten Banken möglich. Wie viele Ersuchen haben Bundes- und Landesbehörden im Rahmen des TFTP über Europol an das US-Finanzministerium gerichtet (bitte nach Jahren darstellen)?  3. Für den aktuellen Berichtszeitraum wurde vom Bundeskriminalamt (BKA) die nachfolgende Anzahl an TFTP Anfragen gestellt: • 2016: 14 TFTP-Anfragen • 2017: 7 TFTP-Anfragen • 2018: 12 TFTP-Anfragen • 2019: bisher 7 TFTP-Anfragen • Gesamt: 40 TFTP-Anfragen Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/12975 Die Antwort des Bundesamts für Verfassungsschutz (BfV) zu Frage 3 ist als Verschlusssache mit dem Geheimhaltungsgrad „VS – Nur für den Dienstgebrauch “ eingestuft.* Wie viele dieser Ersuchen wurden von Europol als nicht im Einklang mit dem TFTP zurückgewiesen? a) Das BKA hat die ersuchenden Stellen über die von Europol aufgestellten Kriterien für eine TFTP-Anfrage ausführlich informiert. Aus diesem Grund wurden seit über fünf Jahren keine Anfragen zurückgewiesen. Fragen deutsche Behörden nur Daten auf der Grundlage bereits vorliegender Informationen oder Beweise ab, die die Annahme stützen, dass die Person, um die es in der Abfrage geht, einen Bezug zu Terrorismus oder Terrorismusfinanzierung hat? b) Die angefragten Personen müssen zwingend einen Bezug zu Terrorismus bzw. Terrorismusfinanzierung aufweisen, damit eine Anfrage gestellt werden kann. Falls nein, in welchem Umfang und nach welcher Maßgabe erfolgen die Abfragen auch in anderen Bereichen? c) Entfällt. In wie vielen Fällen haben Bundesbehörden im Rahmen des TFTP daraufhin wie viele Hinweise vom US-Finanzministerium erhalten (bitte nach Jahren darstellen), und wie viele davon wurden an Behörden der Bundesländer weitergeleitet?  4. Für den aktuellen Berichtszeitraum erhielt das BKA die nachfolgende Anzahl an TFTP-Mitteilungen gem. Artikel 9: • 2016: 2 Mitteilungen • 2017: 2 Mitteilungen • 2018: 2 Mitteilungen • 2019: bisher 3 Mitteilungen • Gesamt: 9 Mitteilungen Für das BfV wird auf die Antwort zu Frage 3 verwiesen. In wie vielen Fällen haben Bundesbehörden wie viele unverlangte Hinweise im Rahmen des TFTP (Artikel 9) vom US-Finanzministerium erhalten (bitte nach Jahren darstellen)? a) Eine Statistik über die Weiterleitung von unverlangten Hinweisen im Rahmen des Informationsaustausches mit den Bundesländern wird beim BKA nicht geführt . * Das Bundesministerium des Innern, für Bau und Heimat hat die Antwort als „VS – Nur für den Dienstgebrauch“ eingestuft . Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. Drucksache 19/12975 – 4 – Deutscher Bundestag – 19. Wahlperiode Die Antwort des Bundesamts für Verfassungsschutz (BfV) auf die Frage 4a ist als Verschlusssache mit dem Geheimhaltungsgrad „VS – Nur für den Dienstgebrauch “ eingestuft.* Wie viele Ersuchen hat Europol nach Kenntnis der Bundesregierung „proaktiv“ nach Artikel 10 des TFTP eingeleitet, und wie viele davon erhielten deutsche Behörden zur Kenntnis (bitte nach Jahren darstellen )? b) Hierzu liegen der Bundesregierung keine Erkenntnisse vor. An welchen „Überprüfungsteams“ haben deutsche Behörden nach Artikel 13 des TFTP teilgenommen?  5. Hierzu liegen der Bundesregierung keine Erkenntnisse vor. Kann die Bundesregierung die Kritik der EU-Kommission nachvollziehen , wonach das US-Finanzministerium sogenannte „extrahierte Daten“ länger als vereinbart speichert (Kommissionsdokument COM(2019) 342 final)?  6. Hierzu liegen der Bundesregierung keine Erkenntnisse vor. Was versteht die Bundesregierung unter „extrahierte Daten“?a) Hiesiger Kenntnis nach handelt es sich bei „extrahierten Daten“ um die Daten, die das US-Finanzministerium nach bestimmten Kriterien aus den SWIFT- Datenströmen herausfiltert. In welchem Umfang wird die zulässige Speicherdauer aus Sicht der Bundesregierung vom US-Finanzministerium überzogen? b) Hierzu liegen der Bundesregierung keine Erkenntnisse vor. Welche Mechanismen hält die Bundesregierung für geeignet, „damit diese Daten nicht länger aufbewahrt werden, als für die Ermittlungen oder die Strafverfolgung, für die sie verwendet werden, notwendig ist“? c) Die mit TFTP zugesicherten Datenschutzverpflichtungen sind einzuhalten. Wie bewertet die Bundesregierung die Qualität und Quantität der gemäß den Artikeln 9 und 10 des TFTP ausgetauschten Informationen, und welche Defizite stellt sie hierzu fest?  7. Bezüglich der Qualität der gemäß den Artikeln 9 und 10 des TFTP ausgetauschten Informationen ist, wie bereits in der Beantwortung der Frage 2b dargestellt , festzustellen, dass die personenbezogenen Daten bei TFTP-Anfragen * Das Bundesministerium des Innern, für Bau und Heimat hat die Antwort als „VS – Nur für den Dienstgebrauch“ eingestuft . Die Antwort ist im Parlamentssekretariat des Deutschen Bundestages hinterlegt und kann dort von Berechtigten eingesehen werden. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/12975 fast ausschließlich ohne Geburtsdatum (name matched only) übermittelt werden . Dieser Umstand ist in der Systematik einer Auslandstransaktion begründet , in der nicht zwingend ein Geburtsdatum beim Absender und Empfänger gefordert wird. Daraus resultieren Probleme, die mitgeteilten Personen zu identifizieren . Dies ist häufig nur über Adresszusätze, Name und Standort der genannten Banken möglich. Außerdem nutzen nach bisher hier vorliegenden Erkenntnissen Personen des islamistischen Spektrums in Deutschland eher keine herkömmlichen Bankkonten für Geldtransfers in das Ausland, sondern vielmehr kontenungebundene Transfersysteme , wie z. B. Western Union. Dennoch wird, wie bereits in der Antwort zu Frage 2 erwähnt, das TFTP als alternativloses Ermittlungstool angesehen. In welcher Form werden die vom US-Finanzministerium bereitgestellten Hinweise übermittelt? a) Die vom US-Finanzministerium bereitgestellten Hinweise werden in elektronischer Form übermittelt. Sofern diese in Papierform bereitgestellt werden, müssen diese dann von deutschen Behörden eingescannt werden? b) Entfällt. Haben Bundes- und nach Kenntnis der Bundesregierung auch Landesbehörden Europol als zentrale Anlaufstelle für Ersuchen im TFTP wie vorgeschrieben unterrichtet, wenn Ermittlungen endgültig abgeschlossen sind?  8. Nach hier vorliegenden Erkenntnissen wurde Europol nach Abschluss der Ermittlungen bisher nicht regelmäßig unterrichtet. Dies hat z. T. den Hintergrund, dass oftmals von Seiten der Justizbehörden keine Rückmeldung über Verfahrensausgänge an die Polizeibehörden erfolgte. Hat Europol anschließend erfolgreich gegenüber dem US-Finanzministerium sichergestellt, dass die „extrahierten Daten“ im Zusammenhang mit diesen Fällen gelöscht wurden?  9. Der Bundesregierung liegen hierzu keine Erkenntnisse vor. Wie viele Auskunftsersuchen womöglich Betroffener hat das Bundeskriminalamt (BKA) bislang hinsichtlich des TFTP erhalten, und wie wurde damit verfahren? Was ist der Bundesregierung über die Bearbeitung der Ersuchen bei Europol und möglicher Beschwerden hierzu bekannt? Wie viele der Ersuchen wurden über das Bundeskriminalamt als internationale Kontaktstelle an Europol gesteuert? 10. a) b) Nach im BKA vorliegenden Erkenntnissen sind bisher keine Auskunftsersuchen Betroffener bezüglich TFTP-Anfragen eingegangen. Drucksache 19/12975 – 6 – Deutscher Bundestag – 19. Wahlperiode Welche Suchmuster wollen das Bundesministerium des Innern, für Bau und Heimat und die Bundespolizei im Rahmen des Gesetzes über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 „hinzuschalten“ (Jahresbericht Bundespolizei 2018, Seite 64; sofern diese noch nicht festgelegt sind, bitte mitteilen wann dies erfolgt)? 11. Muster für den Abgleich mit Fluggastdaten werden nicht statisch festgelegt, sondern nach § 4 Absatz 3 FlugDaG von der Fluggastdatenzentrale im BKA „unter Einbeziehung der oder des Datenschutzbeauftragten der Fluggastdatenzentralstelle erstellt und in Zusammenarbeit mit den in § 6 Absatz 1 Satz 1 und Absatz 2 Satz 1 genannten Behörden sowie mit der oder dem Datenschutzbeauftragten der Fluggastdatenzentralstelle regelmäßig, mindestens alle sechs Monate, überprüft. Da der Aufbau des Fluggastdaten-Informationssystems schrittweise geschieht, erfolgt noch kein automatisierter Abgleich von Fluggastdaten mit Mustern. Diese Funktionalität wird in einer kommenden Ausbaustufe des Fluggastdaten- Informationssystems zur Verfügung stehen, die derzeit noch nicht datiert werden kann. Die Bundespolizei beabsichtigt, im Rahmen der für die Mustereinführung vorgesehenen Testphase Muster zu erproben. Diese Muster folgen dem in § 1 Absatz 2 des Gesetzes über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 (Fluggastdatengesetz – FlugDaG) genannten Zwecks des Fluggastdaten-Informationssystems. Diese Muster befinden sich derzeit in der Entwicklung. Die Testphase soll nach Vorliegen der technischen Voraussetzungen beginnen. Inwiefern und auf welche Weise können Bundesbehörden derzeit auf Registrierungsdaten in der Whois-Datenbank zugreifen? 12. Die WHOIS-Datenbank, in der alle wichtigen – auch personenbezogenen – Daten der Domaininhaber gespeichert wurden, war bis zum Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) (25. Mai 2018) öffentlich zugänglich . Sicherheitsbehörden, Rechteinhaber (geistiges Eigentum), Sicherheitsforscher , Verbraucherschützer u. a. können aktuell nicht mehr wie gewohnt Daten zur Identifizierung von Betreibern von Internetdomains abfragen. Die DSGVOkonforme Nachfolge-Datenbank befindet sich noch nicht im Wirkbetrieb. Die Daten müssen bis zum Abschluss der WHOIS Reform individuell bei den Registries und Registraren abgefragt werden. Nach der Planung von Internet Corporation for Assigned Names and Numbers (ICANN) sollte eigentlich bis Mai 2019 eine Lösung zur DSGVO-konformen Ablösung der bisherigen WHOIS-Datenbank erstellt werden. Dieses Ziel wurde aber verfehlt und soll nun in einer sog. Phase II, die verschiedenen Einschätzungen zufolge bis zu drei Jahre dauern kann, einen einheitlichen Rahmen und eine technische Lösung für den Zugang zu nicht-öffentlichen WHOIS-Daten für Berechtigte (zum Beispiel Strafverfolger, Rechteinhabern etc.) schaffen. Mit einer Lösung wird nicht vor dem Jahr 2020 gerechnet. Wie oft haben dem Bundesministerium des Innern, für Bau und Heimat nachgeordnete Behörden seit Inkrafttreten der EU-Datenschutz- Grundverordnung im Rahmen des beschleunigten Verfahrens auf die Datenbank zugegriffen? a) Ein beschleunigtes Verfahren ist der Bundesregierung nicht bekannt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/12975 Wann endete dieses beschleunigte Verfahren?b) Auf die Antwort zu den Fragen 12 und 12a wird verwiesen. Welche deutschen Behörden fordern einen Zugang zur Whois- Datenbank, und was hat die Bundesregierung der EU-Kommission hierzu mitgeteilt? c) Die Europäische Kommission hatte die Mitgliedstaaten mit E-Mail vom 7. Mai 2019 gebeten mitzuteilen, welche Behörden zur Erfüllung ihrer öffentlichen Aufgaben Zugang zur WHOIS-Datenbank benötigen. Die Bundesregierung hat der Kommission am 17. Juni 2019 folgende öffentlichen Stellen übermittelt. • Bundesamt für Sicherheit in der Informationstechnik • Bundeskriminalamt • Verfassungsschutzbehörden von Bund und Ländern • Zentrale Stelle für Informationstechnik im Sicherheitsbereich • Bundespolizei • Landeskriminalämter und Polizeipräsidien • Bundesprüfstelle für jugendgefährdende Medien • Deutsches Patent- und Markenamt • Finanzämter • Bundeswehr und Bundesamt für den Militärischen Abschirmdienst Drucksache 19/12975 – 8 – Deutscher Bundestag – 19. Wahlperiode Gesamtherstellung: H. Heenemann GmbH & Co. KG, Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333