erstaunliche Interpretation des Rechts

Noch eine Überwachungsbesonderheit im Kanton Zürich: Die Server-Überwachung

Die Zürcher Staatsanwaltschaft beschreitet nicht nur bei der Überwachung mit Staatstrojanern und IMSI-Catchern eigene Wege – sie hält auch die Überwachung des Post- und Fernmeldeverkehrs auf der Grundlage des gleichnamigen Bundesgesetzes für «classic» (und damit wohl überholt). Mit der «Server-Überwachung» vermeidet sie auch gleich den aus ihrer Sicht lästigen Umweg über den zuständigen Dienst ÜPF.

Am 23. Januar 2015 hält der Zürcher Staatsanwalt Stephan Walder aus dem Kompetenzzentrum Cybercrime einen Vortrag am Kriminalistischen Institut an der Universität Irchel. Er spricht zusammen mit Kollegen von der Kantons- und Stadtpolizei zu den «Möglichkeiten und Grenzen der digitalen Forensik». Die Präsentation steht online (und gespiegelt) zur Verfügung; der Inhalt ist spannend.

Der Staatsanwalt sieht beispielsweise bei der «klassischen» Überwachung nach dem Überwachungsgesetz BÜPF nur Nachteile (Seite 71): Daten würden verloren gehen, zuständig ist der Dienst ÜPF, verwendet wird das Lawful Interception System LIS (resp. der Nachfolger LIS), und verschlüsselter Traffic könne nicht abgehört werden.

Überwachung «classic»

Ganz anders bei der Überwachung «Server» (Seite 72): Bei dieser Man-in-the-middle-Methode werden direkt beim Provider die Kommunikationsdaten eines Servers ausgeleitet. Dies ist nicht nur «kostenschonend», sondern kommt auch ohne Beteiligung des zuständigen Dienstes aus. Das Zwangsmassnahmengericht vom Kanton Zürich scheint die Massnahme zu genehmigen. Jedoch bedarf die Umsetzung einer intakten Public-Private Partnership (PPP), und auch hier kann verschlüsselter Traffic nicht überwacht werden.

Überwachung «Server»

Dieses Vorgehen als genehmigungsfähige Echtzeitüberwachung im Sinn von Art. 269ff Strafprozessordnung zu sehen, ist eine erstaunliche Interpretation des Rechtsrahmens. Die entsprechenden Bestimmungen waren vor dem Inkrafttreten der Schweizerischen Strafprozessordnung Bestandteil des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF. Das BÜPF und die Art. 269ff StPO gehören zusammen. Das BÜPF regelt die Aufgaben vom Dienst ÜPF und die Pflichten der Fernmeldedienstanbieterinnen zur Fernmeldeüberwachung, während dem die StPO die rechtlichen Möglichkeiten und das Vorgehen der Strafverfolgungsbehörden festlegt.

Weil keine Pflicht zur «Server-Überwachung» durch die Provider besteht, benötigt das Verfahren eine intakte Public-Private Partnership (PPP). Die Ausleitung der Daten dürfte dabei jedoch eine Verletzung des Fernmeldegeheimnisses darstellen. Art. 179octies Strafgesetzbuch nennt als Voraussetzung für die Straflosigkeit bei amtlicher Überwachung dann auch ausdrücklich, dass sich das Verfahren nach dem BÜPF zu richten hat.

Aber auch die Strafprozessordnung selber bestimmt, dass die beschuldigte Person (allenfalls Drittpersonen) aber nicht «Server» überwacht werden dürfen (Art. 270), und dass der Entscheid des Zwangsmassnahmengerichts dem Dienst ÜPF mitzuteilen ist (Art. 274 Abs. 3):

Das Zwangsmassnahmengericht eröffnet den Entscheid unverzüglich der Staatsanwaltschaft sowie dem Dienst für die Überwachung des Post- und Fernmeldeverkehrs nach Artikel 2 des Bundesgesetzes vom 6. Oktober 20001 betreffend die Überwachung des Post- und Fernmeldeverkehrs.

Wie beim Überwachen mit Staatstrojanern und IMSI-Catchern scheinen ungenügende Rechtsgrundlagen die Strafverfolgungsbehörden in Zürich jedoch nicht zu stören: Erst mit dem neuen BÜPF wären Mitwirkungspflichten für z.B. (reine) E-Mail-Provider vorgesehen. Das Referendum könnte man sich so eigentlich auch sparen.

(Wir haben versucht, vom Zwangsmassnahmengericht des Kantons Zürich weitere Informationen zu deren Bewilligungspraxis zu erhalten. Die Begründung für die Ablehnung ist ebenfalls erstaunlich. Sie bestätigt aber, dass es keinerlei Gerichts- und Justizöffentlichkeit in diesem Zusammenhang gibt: «Nach unserer Praxis ist es uns nicht erlaubt, über einzelne Überwachungsmassnahmen oder einzelne Typen von Überwachungsmassnahmen Auskunft zu erteilen. Es ist uns daher nicht gestattet, Ihre Fragen zu beantworten.»)

[Update 17.12.2015: Verlinkung mit Ablehnung des Zwangsmassnahmengerichts und Artikel zur Justizöffentlichkeit]

Die Digitale Gesellschaft setzt sich für unsere Freiheitsrechte in einer vernetzten Welt ein. Durch eine Mitgliedschaft im gemeinnützigen Verein, als Gönner oder Spenderin kann die Arbeit nachhaltig unterstützt werden. Herzlichen Dank!