In der Schweiz gibt es schon seit zehn Jahren eine Vorratsdatenspeicherung. Viel öfter als die „rückwirkende Überwachung“ von Verdächtigen werden im Nachbarland jedoch massenhaft Daten von Unverdächtigen gesammelt und gerastert – per Funkzellenabfrage. Die Digitale Gesellschaft Schweiz ruft jetzt dazu auf, die eigenen Vorratsdaten von den Mobilfunk- und Internet-Anbietern einzufordern.
Seit 2006 gibt es die EU-Richtlinie zur Vorratsdatenspeicherung. Obwohl erste Vorschläge bereits kurz nach dem 11. September 2001 aufkamen, fand sich erst nach den Terroranschlägen in Madrid 2004 und London 2005 eine Mehrheit für die anlasslose Überwachung aller Menschen in Europa. Noch im Februar 2006 lehnte der Deutsche Bundestag eine Vorratsdatenspeicherung ab.
Vorratsdatenspeicherung: rückwirkende Überwachung
Im Nachbarland Schweiz gibt es eine Vorratsdatenspeicherung schon seit 2002, einen Vorläufer sogar schon seit 1997. Seit 1993 wurden ein Bundesgesetz und eine Verordnung über die Überwachung des Post- und Fernmeldeverkehrs in Kraft verhandelt, die am 1. Januar 2002 in Kraft traten. Im Gesetz heißt es in einem einzigen Satz:
Die Anbieterinnen sind verpflichtet, die für die Teilnehmeridentifikation notwendigen Daten sowie die Verkehrs- und Rechnungsdaten während sechs Monaten aufzubewahren.
Die dazugehörige Verordnung definiert, welche Datentypen für die „rückwirkende Überwachung“ gespeichert werden müssen:
Angaben über den überwachten Zugang:
- das Datum und die Uhrzeit, zu der die Datenverbindung hergestellt und getrennt wurde
- die Art der Datenverbindung oder des Anschlusses
- die verwendeten Anmeldungsdaten (Log-in)
- die verfügbaren Adressierungselemente, insbesondere des Ursprungs der Kommunikation
- die Kommunikationsparameter der Endgeräte und die Parameter zur Teilnehmeridentifikation (z.B. MAC-Adresse, IMEI-Nummer, IMSI-Nummer)
- bei Zugang über ein Mobilfunknetz: den Zell-Identifikator (Cell ID), den Standort und die Hauptstrahlungsrichtung der Antenne, mit der das Endgerät der überwachten Person zum Zeitpunkt der Kommunikation verbunden ist
Angaben bei Versand oder Empfang von Meldungen durch einen asynchronen elektronischen Postdienst:
- das Datum und die Uhrzeit des Versands oder des Empfangs von Mitteilungen bei der Internetzugangsanbieterin
- bei der Überwachung von E-Mail-Verkehr: die Umschlaginformationen gemäss benutztem Protokoll
- die IP-Adressen der sendenden und empfangenden Fernmeldeanlagen der asynchronen elektronischen Postdienste
- die anderen verfügbaren Adressierungselemente
Das sieht der Liste in der EU-Richtlinie schon verdächtig ähnlich. Die Kosten tragen natürlich die Provider.
Die tatsächliche Verwendung der Vorratsdaten wird in offiziellen Statistiken deutlich. Ganze acht mal wurde die „rückwirkende Überwachung“ für das Internet im Jahr 2010 angewendet und 17 mal im Jahr 2011. Fraglich, ob dafür die Speicherung aller Kommunikationsdaten von acht Millionen Einwohnern verhältnismäßig ist.
Von Terrorismus ist in diesen Fällen keine Spur. Knapp ein Drittel bezieht sich auf Drogendelikte, ein weiteres Drittel listet als Grund nur den Paragraf, nach dem Staatsanwaltschaften die Daten anfordern können. Dreimal ging es in den zwei Jahren um Unbefugte Datenbeschaffung, zwei mal um Wirtschaftlicher Nachrichtendienst. Je einmal wurden VDS-Daten wegen Raub, Betrug, Betrügerischer Missbrauch einer Datenverarbeitungsanlage, Nötigung, Begünstigung und Verletzung der Auskunftspflicht der Medien abgefragt.
(Anmerkung: Wir brauchen auch so schöne Statistiken in Deutschland!)
Funkzellenabfrage: Antennensuchlauf
Viel häufiger als die Abfrage von Vorratsdaten einer verdächtigen Person wird versucht, aus den Datenbergen selbst Verdächtige mittels Rasterfahndung zu generieren. Die Funkzellenabfrage heißt in der Eidgenossenschaft „Antennensuchlauf“ und wurde im Jahr 2010 ganze 77 mal „rückwirkend“ angewendet und 2011 schon 160 mal. In zwei Jahren wurden also 237 mal sämtliche Handys „rückwirkend“ im Tatgebiet abgeschnorchelt, dem stehen 25 Abfragen konkreter Verdächtiger gegenüber.
Ein knappes Drittel der Funkzellenabfragen wurde wegen Raub angeordnet, gefolgt von Freiheitsberaubung und Diebstahl. Obwohl eine klare gesetzliche Grundlage dafür angezweifelt wird, erlaubte das oberste Bundesgericht 2011 die Maßnahme bei Überfällen auf Schmuckgeschäfte.
Gegen die Vorratsdatenspeicherung
Für die Anfang 2011 gegründete Plattform „Digitale Gesellschaft Schweiz“ ist die Sache klar:
Die verdachtsunabhängige Speicherung von Verbindungs-, Verkehrs- und Rechnungsdaten stellt einen schweren Eingriff in die persönliche Freiheit dar. Das verfassungsmässige Fernmeldegeheimnis soll nicht nur garantieren, dass wir alle kommunizieren können, ohne abgehört zu werden, sondern auch, ohne beobachtet zu werden.
Als ersten Teil einer Kampagne fordern die Aktivist/innen ihre eigenen Vorratsdaten von den Providern an. Als Vorbild dürfte Malte Spitz dienen, dessen Vorratsdaten die Sensibilität der Daten eindrucksvoll verdeutlichen und für einige Aufmerksamkeit gesorgt haben. Nachahmen ist übrigens dringend empfohlen, Malte hat auch eine Musteranfrage veröffentlicht.
Doch wie T-Mobile bei Malte geben auch die Provider in der Schweiz die Daten ihrer Kunden nicht einfach freiwillig raus. Die absurdeste Begründung: Man kann Menschen ihre eigenen Kommunikationsdaten nicht geben, weil das den Datenschutz verletzen würde.
Die Aktiven der DigiGes Schweiz lassen das nicht gelten und haben in überarbeiteten Anfrage-Formularen die gängigsten Ausreden der Provider gleich gekontert. Also, liebe Schweizer Leser von netzpolitik.org: Bitte beantragt eure eigenen Vorratsdaten!
Für Betreiber Schweizer Webseiten gibt es auch ein Eselsohr zum Einbinden.
Schon lange planen wir, nach der Auswertung von VDS-Daten einer einzelnen Person noch eine Analyse von Daten einer ganzen Gruppe zu liefern, da diese noch viel aussagekräftiger sein dürften. Leider hat bisher keine von uns angesprochenen Gruppe kooperiert. Vielleicht finden sich ja ein paar Aktivist/innen aus der Eidgenossenschaft, mit denen wir diese Aktion durchführen können.
Es fragt sich, ob man da nicht den Sack schlägt und den Esel meint. Die Provider müssen die Daten aufgrund der Gesetzeslage speichern. Mit der Aktion beübt man nur deren Kundendienst, mehr nicht. Man sollte aber das Parlament beüben, nicht die Provider.
Die Provider selber wehren sich nämlich seit Jahren gegen die stetig steigenden Anforderungen an die Telekom-Überwachung, so zum Beispiel auch gegen die aktuell diskutierte Revision des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs BÜPF. In dieser Revision wird unter anderem die Vorratsdatenspeicherung von 6 auf 12 Monate ausgeweitet. Den Providern macht man in diesem Kontext regelmässig den unterschwelligen Vorwurf, mit ihrer Opposition gehe es ihnen ja nur ums Geld.
Der Vorwurf mit dem Geld ist nicht unterschwellig, sondern eine Tatsache: Die Provider wehren sich nicht gegen mehr Überwachung, sondern sie wehren sich dagegen, dafür bezahlen zu müssen.
Ausserdem setzen sie sich dafür ein, dass keinerlei Informationen zur Überwachung nach draussen dringen. Provider überwachen noch so gerne, sofern sie vom Staat dafür bezahlt werden. Und sie kooperieren auch noch so gerne mit Sicherheitsbehörden in aller Welt, solange sie davon ausgehen, dass nichts davon nach aussen dringt.
Lieber Simon,
das Parlament kann man schon „beüben“… mir ginge es hier aber eher drum, dass es dann auch Mehrheiten gibt zum Kippen der Vorratsdatenspeicherung. Um diese zu kriegen, wäre es wesentlich, den Umfang der gesammelten Info überhaupt auch bewusst machen zu können. Genau diesen aufklärerischen Zweck wollen wir mit den Einsichtsgesuchen verfolgen. Ob die Provider genuin gegen die Vorratsdatenspeicherung sind oder nur ein Problem haben, wenn die Kosten nicht abgedeckt werden, das ist für mich in diesem Zusammenhang zehntrangig. Problematisch dagegen, wenn Provider wie (in meinem Falle per Zufall auch: Sunrise) auf eine präzise Einfrage einen langen Begleitbrief schicken, in dem die Voratsdatenspeicherung erwähnt ist, dann aber nur einen netten Ausdruck aller Vorgäng im CRM (Kundenverwaltungssystem) als Information liefern.
Lieber Simon Schlauri
Ist es nicht so, dass sich Ihr früherer Arbeitgeber alles andere als kooperativ zeigte und zeigt, wenn es um die entsprechenden Auskunftsbegehren geht? Nicht nur, dass die Begehren unvollständig beantwortet werden, es fehlt auch eine notwendige Begründung.
Da gilt es auch die eigenen Hausaufgaben zu machen. Und ich nehme auch an, dass die DigiGes Schweiz kein Problem damit hätte, wenn sich die Provider an einer politischen Kampagne gegen die VDS beteiligen würden.
Lieber F. Fritz
Ich kann nicht mehr für Sunrise sprechen.
Ob der Kundendienst – angesichts der bekannten Probleme, die die Spatzen von den Dächern pfeifen – alle Anfragen korrekt beantwortet hat, entzieht sich meiner Kenntnis. Anfragen sollten zur Sicherheit auf jeden Fall per Einschreiben gestellt werden.
Das ändert aber nichts am Grundsatz, dass nicht die Provider die Bösen sind, die die Aufzeichnungen machen, wie in der Aktion hier suggeriert wird (da muss ich meinen Ex-Arbeitgeber in Schutz nehmen). Das Gegenteil ist der Fall: Die Provider sind selber durchaus politisch aktiv, wie man zum Beispiel an der Stellungnahme zur Revision der VÜPF (Verordnung zum oben Genannten Gesetz) unter http://asut.ch/files/pdf1035.pdf?9436 sehen kann (die zT aus meiner Feder stammt). Man nimmt also den üblichen politischen Weg via Stellungnahmen oder Vernehmlassungen.
Ich kann gerne versuchen, Kontakte zu vermitteln, damit man sich vielleicht koordinieren kann. Alles weitere bitte per pmail (Google kennt meine Mailadresse).
Gruss Simon Schlauri
Etwas mehr „Stoff“ zur VÜPF findet sich übrigens auch noch hier: https://www.sic-online.ch/fileadmin/user_upload/Sic-Online/2012/documents/238.pdf
Simons Einwand ist korrekt. Der richtige Adressat ist das Parlament oder er Europäische Gerichtshof für Menschenrechte. Die – gesetzlich vorgeschrieben gespeicherten – Daten der Provider sind aber die Basis jeglicher politischer Arbeit. Es geht nicht darum, die Provider zu prügeln, sondern der Öffentlichkeit zu demonstrieren, welches Ausmass der Überwachungsstaat schon heute hat. Nur so kann man ein breites Verständnis von Diskussionen um BÜPF und VÜPF erreichen. Wenn die Provider so schlimm unter immer stärkeren Auflagen leiden, die am Ende nur noch von Staatsbetrieben bedient werden können, müssten sie uns eigentlich mit grosszügiger Datenschutzauskunft unterstützen.
Im Prinzip haben Simon und Du Recht. Aber während man das Parlament nur alle paar Jahre prügeln kann (und das dann auch nicht weiß wieso und warum es nicht mehr gewählt wurde), kann man über die Provider indirekt Druck ausüben. Zahlreiche Anfragen kosten die Provider Geld, dagegen wehren sie sich irgendwann vielleicht mit Lobbyarbeit gegen derlei Gesetze.
Naja.
Ich glaube eher dass die Provider diese Kosten auf die Kunden abwälzen werden…
Wenn das Übel nicht an der Wurzel gepackt wird, kann man es nicht ausrotten. Und die Wurzel ist sicher beim Gesetzgeber zu suchen und nicht beim Ausführenden.