In der französischen Nationalversammlung hat letzten Montag die Debatte über ein Gesetz begonnen, das französischen Geheimdiensten weitreichende Überwachungsbefugnisse einräumen soll. Unter anderem sieht der Gesetzestext die Legalisierung von IMSI-Catchern vor und würde Provider dazu verpflichten, sogenannte „Black Boxes“ in ihren Rechenzentren aufzustellen. Damit lassen sich sämtliche Metadaten mitschneiden und auf zuvor festgelegte Muster untersuchen. Im ersten Schritt handelt es sich um anonymisierte Daten; bei Treffern werden Daten einzelner Nutzer deanonymisiert und weiter analysiert, dann auch auf inhaltlicher Ebene. Zudem berechtigt das Gesetz dazu, Keylogger auf Rechnern zu installieren sowie Kameras und Aufnahmegeräte bei Verdächtigten zu platzieren.
Schlagend werden diese Befugnisse dann, wenn die „nationale Sicherheit“ in Gefahr ist oder Terrorismus unterbunden werden soll. Das Gesetz greift aber auch dann, wenn außenpolitische, wirtschaftliche oder wissenschaftliche Interessen auf dem Spiel stehen und nicht näher spezifizierte sowie organisierte Kriminalität oder „kollektive Gewalt“, die den öffentlichen Frieden stören könnte, verhindert werden soll. Zusammengenommen also eine erklecklich lange Liste von schwammig formulierten Punkten, die so ziemlich jeden Fall abdecken dürfte.
Richterliche Aufsicht sieht der Entwurf nicht vor. Als alleinige Kontrollinstanz soll eine neu eingerichtete Kommission, die „Commission nationale de contrôle des techniques de renseignement“ (CNCTR) dienen, die allerdings eine eher beratende Funktion einnimmt. Nur wenn deren neun Mitglieder einstimmig eine bereits vom Premierminister genehmigte Überwachungsaktion ablehnen, wird der Fall an den Staatsrat (Conseil d’Etat) weitergegeben, der anschließend über das weitere Vorgehen entscheidet. Gemeinsam mit der bereits existierenden Vorratsdatenspeicherung stehen französischen Geheimdiensten also wirkungsvolle Instrumente zur Verfügung, während gleichzeitig die Exekutive gestärkt und der Einfluss der Justiz zurückgefahren wird. Damit reiht sich das Gesetz in eine lange Liste französischer Überwachungsmaßnahmen ein, die dem Patriot Act um nichts nachstehen.
Nennenswerter Widerstand gegen den Gesetzesentwurf ist im Parlament bislang kaum aufgekommen. Beobachter erwarten, dass das Gesetz innerhalb weniger Tage oder Wochen durch die Nationalversammlung gepeitscht wird, da sich sowohl die regierenden Sozialisten als auch die konservative UMP-Opposition dafür aussprechen. Einzig von grüner und kommunistischer Seite regt sich Kritik. Die Regierung unter Premierminister Manuel Valls verweist auf den Anschlag auf die Satirezeitschrift Charlie Hebdo im letzten Januar und auf den letzte Woche erfolgten Hackerangriff auf den Sender TV5Monde, der daraufhin für einige Stunden den Betrieb einstellen musste.
Zivilgesellschaftliche Stimmen sprechen sich hingegen scharf gegen das Gesetz aus. Für Jérémie Zimmermann, Mitbegründer der netzaktivistischen Organisation La Quadrature du Net, steht die verdachtsunabhängige Massenüberwachung im Widerspruch mit demokratischen Grundsätzen. In einem Interview mit Radio France Internationale bezeichnet er die CNCTR-Kommission als Nebelkerze (Red Herring) und als Illusion, da nur eine unabhängige Justiz fundamentale Freiheiten schützen könne. Er vermutet außerdem, dass das Gesetz Praktiken legalisieren soll, die vermutlich jetzt schon ausgeübt werden.
Privacy International befürchtet die schleichende Ausweitung von Überwachungsmaßnahmen, weil der Entwurf Geheimdiensten großen Handlungsspielraum einräumen würde und jene auch Personen überwachen könnten, die nur vage mit Verdächtigen in Kontakt stünden. Amnesty International kritisiert vor allem die fehlende richterliche Genehmigung im Vorfeld sowie die Unverhältnismäßigkeit von nicht zielgerichteter Überwachung. Selbst Provider wollen sich nicht widerspruchslos vor den Überwachungskarren spannen lassen und weisen nicht nur darauf hin, dass das Gesetz in einzelnen Punkten den Patriot Act in Bezug auf seine Sammelwut übertreffen, sondern auch das Geschäftsmodell von Anbietern bedrohen würde, da das Anbringen von externen Geräten wie einer Black Box bestimmte Sicherheitszertifikationen aushebelt. Daher sei zu befürchten, dass Kunden einfach ins Ausland abwandern würden – oder schlicht stärkere Ende-zu-Ende-Verschlüsselung einsetzen, die zumindest die Inhalte schützt.