12 Monate Vorratsdatenspeicherung, Trojaner Federal, IMSI-Catcher – das neue BÜPF

Geht es nach dem Bundesrat, werden diese Zwangsmassnahmen demnächst in der Strafverfolgung zulässig sein. Gestern hat er – fast drei Jahre nach dem Start der Vernehmlassung – die Botschaft und den Entwurf zur Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) sowie der Schweizerischen Strafprozessordnung (StPO) bekannt gegeben.

Obwohl die Reaktionen, insbesondere (aber nicht nur) aus der Digitalen Gesellschaft (es äusserten sich ausführlich die Swiss Privacy Foundation, Grundrechte.ch und die Piratenpartei Schweiz) eindeutig waren, wurde den Bedenken wenig Rechnung getragen.

Die Vorratsdatenspeicherung soll neu für 12 anstatt 6 Monate gelten. Dabei wird behauptet, dass die Provider «bereits heute alle oder einen Teil der betreffenden Daten während mindestens einem Jahr aufbewahren, vor allem aus geschäftlichen Gründen und zum Zweck der Rechnungsstellung». Insbesondere bei Flatrate- und Prepaid-Angeboten gibt es keinen Grund, verwendete IP-Adressen oder Handy-Standortdaten zu speichern. Daten darüber, mit wem wir wann, wo und wie lange per Telefon, SMS, E-Mail kommuniziert haben, zeigen ein detailliertes Personenprofil auf und lassen tiefe Rückschlüsse zu Beziehungsnetz und Gewohnheiten zu. Solche Daten dürfen nicht «aus geschäftlichen Gründen» gespeichert werden. Sie unterliegen dem Datenschutzgesetz – und gehören nach Abschluss der technischen Notwenigkeit gelöscht. Das BÜPF ist keine Verpflichtung, diese Daten «aufzubewahren», sondern sie zu erheben.

Die Ausdehnung der Speicherpflicht wird damit begründet, dass «diese Frist bereits vollständig oder grösstenteils abgelaufen [ist], wenn die Behörde in der Lage ist, eine Überwachung anzuordnen». Ein massiver Grundrechtseingriff wird also damit legitimiert, dass die Strafverfolgungsbehörden zu wenig schnell arbeiten. Zahlen dazu gibt es jedoch keine.

Ebenso werden keine genaueren Angaben dazu gemacht, wieso die Vorratsdaten «zur Bekämpfung  der  Kriminalität  unerlässlich» seien. Eine Studie des renommierten Max-Planck-Institut im Auftrag des deutschen Bundesamtes für Justiz kommt im Gegenteil zum Schluss, dass die Vorratsdatenspeicherung für die effektive Strafverfolgung unnötig ist. Ein Grundrechtseingriff muss immer verhältnismässig (also notwendig und geeignet) sein. Fehlt dieser Nachweis, muss die Vorratsdatenspeicherung als eine unrechtmässige Einschränkung der Grundrechte gelten.

Der Trojaner Federal (Bundestrojaner, Staatstrojaner oder im Behördensprech GovWare genannt) soll neu eingesetzt werden dürfen. Das deutsche Bundesverfassungsgericht hat sich im Urteil zur Online-Durchsuchung klar dahingehend geäussert, dass sich die Beschränkung der Überwachung ausschliesslich auf Daten aus einem laufenden Telekommunikationsvorgang beschränken – und dies «durch technische und rechtliche Vorgaben sichergestellt sein» muss. Es folgt der Leitidee, dass es nicht um konkret ausgeübte Kontrolle, sondern andersherum um den Kontrollverlust des Betroffenen geht. (Natürlich ist dies nicht bindend für die Schweiz. Das deutsche Bundesverfassungsgericht ist aber auch keine beliebige Institution.) Die entsprechende Bestimmung (Entwurf Art. 269ter StPO) enthält nur eine rechtliche Einschränkung. In der Botschaft wird auch zugegeben, dass per «GovWare  […] technisch auf  sämtliche Daten, beispielsweise auch auf alle privaten Informationen  zugegriffen werden  (z.B. Dokumente, Fotos) [kann], die  in  einem Computer gespeichert sind».

Zusammen mit dem Recht auf den Einsatz soll die Staatsanwaltschaft auch die Erlaubnis erhalten «die nicht öffentlichen Räume, in die allenfalls eingedrungen werden muss, um besondere Informatikprogramme in das betreffende Datenverarbeitungssystem einzuschleusen» zu bezeichnen.

Mehrfach wird in der Botschaft suggeriert, dass für den Trojaner-Einsatz ein viel enger gefasster Deliktskatalog gelten würde. Allein schon der Blick auf die beiden Listen zeigt, dass sie praktisch identisch sind.

Auf einige grundsätzliche Fragen werden in der Botschaft kurz eingegangen, andere verschwiegen. Stichworte sind:

  • Wie kommt der Trojaner Federal auf das System – und wie wird eine Deaktivierung und Entfernung gewährleistet?
  • Woher nimmt sich die zuständige Polizeibehörde eine allenfalls nötige Sicherheitslücke, um die Software auf das Zielgerät zu bringen? Darf sie sich einen Exploit auf dem Schwarz-Markt  beschaffen?
  • Darf beim Einsatz eine vorhandene AntiViren-Software deaktiviert werden?
  • Wie wird sichergestellt, dass nur die Kommunikation von der tatsächlich zu überwachenden Person aufgezeichnet wird, insbesondere wenn sich mehrere Personen einen Computer teilen?
  • Was bedeutet die Überwachung des «Inhalts der Kommunikation»? Eine E-Mail, die ich heute schreibe, speichere und morgen anstatt zu versenden lösche, dürfte nicht dazu gehören. Da ich sie aber heute schon verschlüssle, ist sie womöglich bereits bei den Untersuchungsbehörden, bevor ich darüber geschlafen habe – und obwohl nie ein Telekommunikationsvorgang stattfinden wird. Eine strikte Trennung von Inhalts- und Kommunikationsverschlüsselung wäre nötig.
  • Die Aufzeichnung eines Video-Chats ist immer auch eine Wohnraumüberwachung (dessen, was im Hintergrund geschieht).
  • Wie wird die nötige Beweissicherheit für die Verwendung vor Gericht auf einem fremden und entfernten System gewährleistet?

Auch hier stellt sich die Frage zur Verhältnismässigkeit: Nicht erst der konkrete Akt ist die Bedrohung, sondern bereits dessen Möglichkeit. Anstatt dies festzustellen, beschränkt sich der Bundesrat darauf, festzuhalten, dass «nach Auffassung der befragten Fachleute aus dem Polizeibereich […] die im Zusammenhang mit GovWare geäusserten Befürchtungen unbegründet [sind]. Die GovWare bleibe [!] ständig unter der Kontrolle der Strafverfolgungsbehörden (Polizei, die der Staatsanwaltschaft unterstellt ist)».

Und weiter: «Das vorrangige Ziel der Revision des BÜPF besteht nicht darin, vermehrt zu überwachen,  sondern  die  Überwachungsmethoden an die technische Entwicklung im Fernmeldebereich anzupassen. Dieses Ziel lässt sich nach Ansicht des Bundesrates nur erreichen, wenn den Strafverfolgungsbehörden gestattet wird, GovWare  einzusetzen. Andernfalls würde die Wirksamkeit der Kriminalitätsbekämpfung sehr stark beeinträchtigt.»

Die Strafverfolgungsbehörden und die technische Entwicklung treiben den Gesetzgeber also vor sich her. Grundrechte und Privatsphäre der Betroffenen haben da keinen Platz.

Das (Nicht-)Verständnis für die technische Problematik äussert sich in Aussagen wie: «Eine Alternative zum Einsatz von GovWare würde darin bestehen, dass alle Unternehmen, welche die Verschlüsselung des Fernmeldeverkehrs ermöglichen, verpflichtet würden, ihre Verschlüsselungsalgorithmen   herauszugeben, damit der betreffende Fernmeldeverkehr entschlüsselt werden kann.» Vom Kryptographie-Grundsatz, dass ein guter Algorithmus nur ein offener sein kann – und nur die Schlüssel geheim (und hoffentlich ausschliesslich im Besitz der Kommunizierenden) sein sollten, scheinen die AutorInnen noch nicht gehört zu haben.

Ebenfalls neu zugelassen soll der Einsatz von IMSI-Catchern werden. Diese Geräte verhalten sich im Mobilfunknetz gegenüber einer Basis-Station wie ein Handy und gegenüber einem Handy wie eine Basis-Station. Sobald das Signal des IMSI-Catchers gegenüber den Handys im Empfangsbereich stärker ist, wie das der ursprünglichen Basis-Station, buchen sich diese automatisch neu via Catcher in das Mobilfunknetz ein. Dadurch ist es der Polizei auch möglich, herauszufinden, wer sich aktuell (mit eingeschaltetem Handy) im Umkreis befindet. Die Zuordnung von IMSI (SIM-Karte) zu Mobilfunkteilnehmer kann via technisch-/administrative-Anfrage und Dienst ÜPF (ohne Richtervorbehalt und Straftatenkatalog) vorgenommen werden. Der Bundesrat soll zukünftig sogar vorsehen können (Entwurf Art. 23 Abs. 3 BÜPF), «dass die Daten […] im Abrufverfahren zugänglich  sind und dass die Mitteilung der Daten kostenlos und rund um die Uhr zu erfolgen hat.»

Eine weitere Änderung betrifft den persönlichen Geltungsbereich des Gesetzes. Standen seit der letzten Überarbeitung der Verordnung klar und ausdrücklich nur die Access Provider in der Pflicht, die Überwachungsmassnahmen vorzunehmen, sollen neu auch reine E-Mail-Anbieterinnen, Hostingprovider, Hotels, Spitäler, Schulen, Chatanbieter und Private, die ihr WLAN auch den Nachbarn zur Verfügung stellen, etc. unter das BÜPF fallen. Sie müssen «eine  Überwachung […] durch den Dienst oder durch die von diesem beauftragten Personen dulden». Und dazu «unverzüglich Zugang zu ihren Anlagen gewähren» und «die für die Überwachung notwendigen Auskünfte erteilen». Ob mit Zugang auch das Administratoren-Passwort gemeint ist, bleibt offen.

Der Bundesrat behält sich im Entwurf in Art. 27 Abs. 3 vor, «alle oder einen Teil der Anbieterinnen  abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, allen oder einem Teil der» generellen Überwachungspflichten zu unterstellen. Er gibt sich damit das Recht, darüber zu bestimmen, wer auch die Vorratsdatenspeicherung anzuwenden hat.

Gemäss Botschaft wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden.

Zusätzlich sollen einige neue Vorschriften für die Provider gelten:

  • Der Dienst ÜPF kann Qualitätskontrollen anordnen.
  • Die Missachtung einer Verfügungen kann mit bis zu 100’000.- bestraft werden.
  • Der DÜPF kann eine Konzession entziehen.
  • Die Fernmeldedienstanbieterin kann eine Überwachungsanordnung anfechten.
  • Sie hat aber kein Beschwerderecht bezüglich den Voraussetzungen einer Überwachungsanordnung.
  • Einer Beschwerde fällt keine aufschiebende Wirkung zu.
  • Die Provider müssen dem Dienst Informationen über ihre aktuellen und geplanten Dienstleistungen auf Anfrage mitteilen.

Die Fernmeldedienstanbieterinnen sollen weiterhin für die Beschaffung, den Unterhalt und den Betrieb der Überwachungseinrichtungen aufkommen müssen. Sie werden vom Dienst pro Überwachungsmassnahme bezahlt. Dies führt zur etwas absurden Situation, dass ein Provider fast schon hoffen muss, dass sich möglichst viele Kriminelle unter seinen KundInnen befinden, damit er die Investitionen amortisieren kann.

Die Botschaft meint dazu lapidar: «Bei  diesen  Unternehmen  entsprechen  die  Überwachungskosten  nämlich nur einem geringen Betrag im Vergleich zu ihrem Umsatz». Dass die Überwachungskosten aber am Unternehmenserfolg und nicht am Umsatz abgehen, scheint nicht zu interessieren. Und unverfroren geht es weiter: «Der Kostenanstieg ist auch angesichts des Effizienzgewinns zu relativieren, der dank dem neuen BÜPF bei der Verfolgung von Straftaten erzielt wird.» Da fehlen einem dann die Worte.

Von einer generellen Registrierungspflicht für BenutzerInnen von Fernmeldediensten wurde (grosszügiger weise) abgesehen. Die Beschränkung der Vorhaltedauer der Daten aus der Registrierungspflicht bei Prepaid-SIM-Karten auf zwei Jahre wurde jedoch aus dem Entwurf entfernt. Und die AnbieterInnen sollen verpflichtet werden können, den Zugang zu Telefonie und Internet zu sperren, wenn die Registrierung nicht (ordnungsgemäss) vorliegt.

Im letzten Abschnitt behauptet die Botschaft auch noch, dass die Europäische Menschenrechtskonvention (Art. 8 EMRK) gewahrt sei. Wie bereits beschrieben, ist die Verhältnismässigkeit aber mehrfach nicht gegeben. Und damit ein Grundrechtseingriff nicht zulässig.

Werden Straftaten über das Internet begangen, gelten die Pflicht zur Identifikation (und damit Zugriff auf die Vorratsdatenspeicherung) auch ohne einschränkenden Straftatenkatalog. Es ist kein Richtervorbehalt nötig. Und es können – «wenn es besondere Gründe rechtfertigen» – auch beliebig weit in die Vergangenheit zurück Daten angefragt werden. Dasselbe gilt für die technisch-/administrativen Auskünfte. Auf diese können neben den Polizeistellen auch die Nachrichtendienste zurückgreifen.

Auch sind gemäss Botschaft «z.B. Personen, die mit der überwachten Person kommunizieren oder Personen, die im Rahmen eines Antennensuchlaufes oder beim Einsatz eines IMSI-Catchers vor der Filterung der Ergebnisse zwangsläufig ebenso erfasst werden, […] nicht von der Mitteilungspflicht […] betroffen und haben kein Beschwerderecht […]. Dies ist auch sachgerecht, da diese Personen nicht im Sinne des Gesetzes überwacht werden.»

Mehrfach wurde auch an der Pressekonferenz von «schweren Straftaten», von «organisierter Kriminalität» und «Terrorismus» gesprochen. An das reisserische Vokabular hat mensch sich ja schon fast gewöhnt. Von Simonetta Sommaruga hätte ich es jedoch nicht zu hören erwartet. Entweder hat sie sich in kurzer Zeit von der engagierten Konsumentenschützerin zur strengen Strafverfolgerin verwandelt. Oder sie wurde im Bundesrat durch Mehrheitsentscheid zur aktuellen Vorlage gezwungen. Im ersten Fall würde ich einen Rücktritt fordern, im zweiten ihr einen nahelegen.