Alle Personen in der Schweiz können durch den Geheimdienst mit der Kabelaufklärung ohne Anlass und Verdacht überwacht werden. Das Schweizerische Bundesgericht hiess eine Beschwerde der Digitalen Gesellschaft gegen diese Form der Massenüberwachung vollumfänglich gut. Nun liegt das Verfahren wieder beim Bundesverwaltungsgericht. Ihm gegenüber nahm der Geheimdienst zum ersten Mal etwas detaillierter zur Funktionsweise des Internets und zur darauf aufbauenden Kabelaufklärung Stellung. Darin versuchte er weiterhin, das Bild zu zeichnen, dass nur bestimmte Regionen und keine schweizerische Kommunikation überwacht werden. In ihrer Antwort widerlegte die Digitale Gesellschaft dessen Behauptungen mit einfachen Beispielen. Das Bundesverwaltungsgericht stellt dem Nachrichtendienst und anderen beteiligten staatlichen Organisationen nun eine ganze Menge Fragen.
«Wer von Basel nach Zürich fahren will, nimmt die direkte Strecke und nicht jene der deutschen Bahn über Schaffhausen.» In seiner Stellungnahme an das Bundesverwaltungsgericht (BVGer) vom 18. August 2022 vergleicht der Nachrichtendienst des Bundes (NDB) die Funktionsweise des Internets mit derjenigen der Bahn und kommt zum Schluss: «Die Kommunikation von Personen in der Schweiz mit anderen Personen in der Schweiz bleibt im Regelfall in der Schweiz ‐ aus Effizienzgründen haben die Internet-Provider kein Interesse daran, den Datenverkehr über das Ausland umzuleiten.» Daraus folge, dass der NDB seine Kabelaufklärung sehr wohl auf bestimmte ausländische Regionen beschränken und inländische Kommunikation ausschliessen könne.
Die Frage, welchen Weg Internetkommunikation in einem Netzwerk aus Netzwerken nimmt, ist freilich weit komplexer als die Frage, wo eine Person mit der Bahn durchreist:
«In der Praxis ist das Internet ein vielschichtiges, hochdynamisches und komplexes System aus technischen Notwendigkeiten, kommerziellen Vereinbarungen und informellen Übereinkünften, in dem Netzbetreiber verschiedenster Größenordnungen, Internet Exchanges, Diensteanbieter aller Art und Endkunden interagieren. Eine einfache Unterscheidung zwischen inländischem und ausländischem Datenverkehr ist durch die Komplexität der Netzstruktur, die Vielfalt der Dienstemodelle – Stichwort Cloud-Services – und die schnellen Veränderungen von Routing-Pfaden, Netzbelegungen, die enormen Bandbreiten und die vielfache Schachtelung der Datenverkehre auf den Glasfaserleitungen nicht mehr möglich.»
Sachverständigen-Gutachten zum NSA-Untersuchungsausschuss, 30.09.2016
In ihrer Antwort an das BVGer vom 19. Oktober 2022 geht die Digitale Gesellschaft dennoch nicht nur auf das vom NDB ausgeführte Beispiel einer Suchabfrage bei Google durch eine sich in der Schweiz befindlichen Person ein und widerlegt dessen Behauptungen. Am Beispiel UPC Sunrise zeigt sie darüber hinaus die beschränkte Relevanz von Landesgrenzen für die Internet-Architektur und den Datenfluss im Internet auf. So nutzte etwa UPC für seine Maildienste (hispeed.ch) lange Server in Österreich, welche inzwischen durch Server in den Niederlanden abgelöst wurden. Bei Datenverkehr zwischen verschiedenen Schweizer Providern sei die Wahrscheinlichkeit zudem hoch, dass die Verbindung über das Ausland geht.
Dies räumt der NDB in seiner Stellungnahme zwar ein, um es gleich zu relativieren: «Dies kommt nicht häufig vor.» Eine solche Kommunikation, so der NDB weiter, werde in einem ersten Schritt selbstverständlich erfasst: «Die Schweiz-Schweiz-Kommunikation mag in diesem Fall zwar erst in einem zweiten Schritt als solche erkannt werden, weil die Teilnehmer einen ausländischen Server benutzt haben, aber sobald das geschieht, wird sie nach Art. 39 Abs. 2 Satz 2 NDG gelöscht.» Und wie will der NDB diese Überprüfung bewerkstelligen? «Auch wenn anhand der über die Grenze versandten Datenpakete zum ausländischen Server natürlich nicht auf Anhieb erkannt werden kann, was das Endziel der darin enthaltenen E-Mail ist, so wird dies typischerweise möglich, sobald die Datenpakete zu einer E-Mail zusammengesetzt sind. Diese muss wiederum den Empfänger enthalten, damit der ausländische Server weiss, an welche IP-Adresse er sie weitersenden muss. Folglich kann selbst bei zwischengeschaltetem Servern der Standort des Empfängers ermittelt werden.»
Auch diese Behauptung widerlegt die Digitale Gesellschaft in ihrer Antwort an das BVGer mit einem einfachen Beispiel: «Denkbar ist beispielsweise, dass der Empfänger in Beirut wohnt, sich aber vorübergehend in Genf aufhält und dort das betreffende Email abruft (oder umgekehrt in Genf wohnt und das Email abruft, währenddem er sich in Beirut aufhält).» Abgesehen davon bedeute bereits die initiale Erfassung einen Eingriff in die Grundrechte der an der Kommunikation beteiligten Personen. Zudem bleibe die Verwendung der erfassten Signale zulässig, sobald sich die IP des Senders und/oder des Empfängers im Ausland befinden: «Enthalten die Daten [nun nach der Rasterung] Informationen über Vorgänge im In- oder Ausland, die auf eine konkrete Bedrohung der inneren Sicherheit […] hinweisen, so leitet der durchführende Dienst sie unverändert an den Nachrichtendienst weiter» (Art. 42 Abs. 3 NDG). Unverändert bedeutet, dass die vorgesehene Anonymisierung von Informationen über Personen im Inland in diesem Fall nicht stattfindet.
Die Ausführungen des NDG scheinen im Übrigen selbst das BVGer nicht wirklich überzeugt zu haben. In seiner Verfügung vom 9. September 2022 erinnert es daran, dass das Bundesgericht bereits erwogen habe, dass «nicht von vornherein ausgeschlossen werden [kann], dass die Einstellung der Funk- und Kabelaufklärung das einzige Mittel sein könnte, um einen wirksamen Grundrechtsschutz für die Beschwerdeführenden sicherzustellen.» Dem NDG, aber auch vielen weiteren beteiligten staatlichen Organisationen stellt er nun deshalb eine ganze Menge Fragen, insbesondere zur tatsächlichen Funktionsweise der Kabelaufklärung.
«Wir begrüssen die vertieften Abklärungen des Bundesverwaltungsgerichts. Es muss nun konsequent untersuchen, ob das ‹System› der Funk- und Kabelaufklärung die Grundrechte der Betroffenen verletzt und – um einen wirksamen Grundrechtsschutz sicherzustellen – in letzter Konsequenz einzustellen ist», betont Erik Schönenberger, Beschwerdeführer und Geschäftsleiter der Digitalen Gesellschaft.
Das Verfahren ist Teil der strategischen Klagen der Digitalen Gesellschaft für Freiheitsrechte in einer digitalen Welt. Am Europäischen Gerichtshof für Menschenrechte (EGMR) in Strassburg ist bereits die Beschwerde gegen die Massenüberwachung mittels Vorratsdatenspeicherung hängig.
Beschwerdeführerinnen und Beschwerdeführer der Digitalen Gesellschaft sind Serena Tinari (Recherche-Journalistin), Noëmi Landolt (Journalistin und Buchautorin «Mission Mittelmeer»), Marcel Bosonnet (Rechtsanwalt von Edward Snowden), Andre Meister (netzpolitik.org), sowie Norbert Bollow und Erik Schönenberger (Digitale Gesellschaft).
Weiterführende Informationen:
- Stellungnahme der Digitalen Gesellschaft vom 19. Oktober 2022
- Verfügung des Bundesverwaltungsgerichts vom 9. September 2022
- Stellungnahme des Nachrichtendienstes vom 18. August 2022
- Stellungnahme der Digitalen Gesellschaft vom 7. Januar 2022
- Stellungnahme des Nachrichtendienstes vom 14. September 2021
- Beweisanträge an das Bundesverwaltungsgericht vom 10. Mai 2021
- Bundesgerichtsurteil vom 1. Dezember 2020
- Allgemeine Informationen zur Kabelaufklärung
- Dossier Kabelaufklärung der Digitalen Gesellschaft