Die Schweiz gibt ihrem Nachrichtendienst weitgehend freie Hand – trotz Fichenskandal und Edward Snowden. Jeder ist verdächtig und wird überwacht.
Dieser Beitrag von Martin Steiger erschien in leicht veränderter Form ursprünglich in Digma, der schweizerischen Zeitschrift für Datenrecht und Informationssicherheit (Download als PDF). Martin Steiger ist Rechtsanwalt und Mitglied der Digitalen Gesellschaft in der Schweiz.
Whistleblower Edward Snowden enthüllte die globale Überwachung durch amerikanische Geheimdienste. Der technische Fortschritt eröffnet den Sicherheitsbehörden immer mehr Überwachungsmöglichkeiten im digitalen Raum. Der Überwachungshunger kennt keine Grenzen. Geheimdienste wirken angesichts von kleinen, fanatisierten Gruppen hilflos und stellen die gesamte Bevölkerung unter Generalverdacht.
Die Empörung in Europa war nach den Snowden-Enthüllungen groß und hält an. Der Europäische Gerichtshof (EuGH) erklärte gar die Safe-Harbor-Regelung zwischen der EU und den USA für ungültig. In der Schweiz weckten die Enthüllungen Erinnerungen an den «gefräßigen Staat» aus dem Fichenskandal.
Die Empörung hielt europäische Staaten aber nicht davon ab, ihre eigene Überwachung auszubauen. In der Schweiz sollen die Strafverfolgungsbehörden mit dem revidierten Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) neue Kompetenzen erhalten, und mit dem neuen Nachrichtendienstgesetz (NDG) erhält der Nachrichtendienst des Bundes (NDB) weitgehend freie Hand in fast jeder gewünschten Hinsicht. Die Snowden-Enthüllungen dienen geradezu als Wunschzettel für Sicherheitsbehörden, die mit ihren Wünschen auf offene Türen bei Regierungen und Parlamenten stoßen.
Nachrichtendienstlicher Paradigmenwechsel
Mit dem neuen NDG findet ein Paradigmenwechsel statt: Der NDB soll zahlreiche Kompetenzen erhalten, die bislang den Strafverfolgungsbehörden vorbehalten waren oder völlig neu sind. Die neuen Kompetenzen werden mehrheitlich damit begründet, dass sich der NDB nicht mehr auf präventiven Staatsschutz beschränken, sondern auch intervenieren können soll. Der NDB würde mit dem neuen «Maßnahmengesetz» zu einer mächtigen Sicherheitsbehörde ausgebaut. Den «Schutz wichtiger Landesinteressen» (Art. 2 und 3 NDG) soll der NDB auch parallel zu Strafverfolgungsbehörden und nach weitgehend eigenem Ermessen im Geheimen verfolgen dürfen.
Die neuen Kompetenzen umfassen einerseits die «bewilligungspflichtigen Beschaffungsmaßnahmen» (Art. 26 ff. NDG) wie insbesondere die Überwachung des Post- und Fernmeldeverkehrs gemäß dem BÜPF und das Eindringen in Computersysteme und -netzwerke, unter anderem durch den Einsatz von Bundestrojanern und IMSI-Catchern sowie als Cyberwar im Ausland (Art. 37 NDG). Auch die sog. Kabelaufklärung (Art. 39 ff. NDG) in Ergänzung zur bereits praktizierten Funkaufklärung wird legalisiert. Andererseits ergeben sich neue Kompetenzen aus den «genehmigungsfreien» Beschaffungsmaßnahmen (Art. 13 ff. NDG), wozu unter anderem die Überwachung mit Drohnen und der Einsatz von V-Personen («menschlichen Quellen») zählen.
Neue Kompetenzen jenseits von Menschenrechten
Die neuen Kompetenzen führen zu schwerwiegenden Eingriffen in Grund- und Menschenrechte. Im Besonderen betroffen sind das Recht auf Schutz der Privatsphäre (Art. 13 BV und Art. 8 EMRK) und das Recht auf informationelle Selbstbestimmung. Je nach Betroffenen sind weitere Rechte berührt, so das Anwalts- und Arztgeheimnis sowie der Quellenschutz von Journalisten.
Beispiel: Bundestrojaner
Staatliche Spionagesoftware wird als Bundes- bzw. Staatstrojaner bezeichnet, manchmal auch mit dem Neusprech «GovWare». Bundestrojaner stellen einen besonders schwerwiegenden Grundrechtseingriff dar, denn sie betreffen als Kombination von digitaler Hausdurchsuchung und Wanze die gesamte digitale Privat- und Intimsphäre.
Beim Einsatz von Bundestrojanern findet nicht nur eine Überwachung statt, sondern der überwachte Computer muss zwingend manipuliert werden, damit die Spionagesoftware operieren kann. Rechtsstaatlich verwertbare Beweise können daraus eigentlich gar nicht resultieren.
Auch müssen Rechtsgrundlagen für Bundestrojaner in der Schweiz erst noch geschaffen werden. Sie werden dennoch bereits eingesetzt, wie sich im Sommer 2015 zeigte:
In Italien war Hacking Team, ein Anbieter von Spionagesoftware, gehackt worden. Die Hacker veröffentlichten sämtliche Hacking-Team-Daten im Internet. Dadurch wurden nicht nur verschiedene Unrechtsstaaten als Kunden enttarnt, sondern auch der Kanton Zürich – anscheinend mit geheimer Genehmigung durch das zuständige Zwangsmaßnahmengericht. Das Beispiel belegt auch die grundlegenden Gefahren von Bundestrojanern:
Hacking Team musste sich auf dem Schwarzmarkt für neue Sicherheitslücken bewegen, um den Bundestrojaner überhaupt unerkannt einschleusen zu können. Solche Sicherheitslücken – beispielsweise in Microsoft Office – werden nicht behoben, denn die Software-Hersteller wissen nichts davon. Der Kanton Zürich transferierte nicht nur Steuergelder an Kriminelle, sondern gefährdete die Datensicherheit von unzähligen Nutzern in aller Welt.
Beispiel: Vorratsdatenspeicherung
Das neue NDG würde dem NDB den Zugriff auf die Daten aus der Vorratsdatenspeicherung gemäß BÜPF ermöglichen. Die Metadaten der Kommunikation jeder Person in der Schweiz – zum Beispiel, wer wo und wann mit wem telefoniert – werden während mindestens sechs Monaten anlasslos und verdachtsunabhängig gespeichert. Auch ohne die eigentlichen Inhalte ist der Informationsgehalt dieser Vorratsdaten, gerne als «Randdaten» verharmlost, erheblich. Im Big-Data-Zeitalter kann jeder Einzelne umfassend profiliert werden. Die Überwacher profitieren davon, dass unsere Lebenswirklichkeit immer stärker im digitalen Raum verankert ist.
2014 erklärte der EuGH die Vorratsdatenspeicherung in Strafverfahren mit Verweis auf die Charta der Grundrechte der EU für unzulässig. Der EuGH stellte einen «besonders schwerwiegenden Eingriff […] in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten» fest, der außerdem geeignet sei, das Gefühl zu erzeugen, das Privatleben aller Einwohnerinnen und Einwohner der EU sei Gegenstand einer ständigen Überwachung (sog. Chilling Effects). Weiter bemängelte der EuGH, dass sich die Vorratsdatenspeicherung «generell auf sämtliche Personen, elektronische[n] Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten» bezieht, die Speicherung der Vorratsdaten nicht auf die absolute notwendige Dauer beschränkt ist und es keinen wirksamen Schutz vor Missbrauch gibt. Auch die Verfassungsgerichte in mehreren europäischen Ländern beurteilten die Vorratsdatenspeicherung als grundrechtswidrig.
Die EMRK und die BV gewähren einen vergleichbaren Schutz. Die Vorratsdatenspeicherung ist deshalb auch in der Schweiz als grundrechtswidrig anzusehen. Beim NDB ist außerhalb von Strafverfahren – ohne einen notwendigen Tatverdacht sowie rechtliches Gehör – die Rechtswidrigkeit offensichtlich.
Beispiel: Kabelaufklärung
Was das neue NDG als Kabelaufklärung bezeichnet, ermöglicht die vollständige Überwachung von grenzüberschreitenden Internet-Verbindungen. Telekommunikationsanbieter müssen auf Aufforderung hin den gesamten Datenverkehr – auch die Inhalte – liefern. Der Datenverkehr wird mit Selektoren gerastert, und der NDB erhält die entsprechenden Treffer.
Das neue NDG erweckt den Eindruck, zumindest die Grundrechte von Personen in der Schweiz zu schützen, denn die Verwendung von inländischem Datenverkehr ist untersagt. Dieser Schutz scheitert allerdings daran, dass es kein schweizerisches Internet gibt. Die Kommunikation von Personen innerhalb der Schweiz erfolgt in vielen Fällen über Glasfaser-Kabel via Ausland. Außerdem können Verbindungen nur ausgefiltert werden, wenn die anlasslose und verdachtsunabhängige Überwachung – und damit der schwerwiegende Grundrechtseingriff – bereits erfolgt ist. Menschenrechte gelten im Übrigen universell für alle Menschen, was das neue NDG negiert.
Die deutsche Aufarbeitung der Snowden-Enthüllungen belegt die Gefahren der Kabelaufklärung: Der Bundesnachrichtendienst (BND) scheiterte nicht nur an der Aufgabe, innerdeutsche Verbindungen auszufiltern, sondern unterstützte gar die amerikanische NSA beim Überwachen sowohl in Deutschland als auch in Europa. Allein dafür wurden über 40.000 (!) Selektoren verwendet, was den unbeschränkten und unkontrollierbaren Charakter der Kabelaufklärung aufzeigt.
Ansonsten hebeln Geheimdienste die Beschränkungen der Überwachung im eigenen Land häufig durch die Zusammenarbeit mit ausländischen Partnerdiensten aus: Man überwacht jeweils die Bevölkerung im Ausland und tauscht die Daten anschließend aus, was auch das neue NDG ermöglichen würde (Art. 12 NDG).
Die Schweiz pflegt eine «Focused Cooperation» mit der NSA und arbeitet mit vielen Staaten geheimdienstlich zusammen. Die Bundesanwaltschaft verheimlicht nicht, via NDB auch Daten aus amerikanischer Überwachung in der Schweiz zu verwerten.
Keine Rechtfertigung durch Aufsicht und Richtervorbehalt
Die schwerwiegenden Grundrechtseingriffe durch das neue NDG werden teilweise damit gerechtfertigt, dass ein Richtervorbehalt eingeführt und die Aufsicht verbessert würden. Diese Rechtfertigungsgründe sind nicht stichhaltig:
Schon in Strafverfahren kann die richterliche Genehmigung von Überwachungsmaßnahmen keinen wirksamen Rechtsschutz gewährleisten. Die Zwangsmaßnahmengerichte müssen ohne Beteiligung der Betroffenen entscheiden. Die meist nur summarisch begründeten Entscheide werden grundsätzlich nicht nachträglich veröffentlicht und ergehen fast immer zugunsten der Strafverfolgungsbehörden. Diese Geheimjustiz verunmöglicht die notwendige politische Diskussion und befreit alle beteiligten Staatsgewalten von der Notwendigkeit, sich öffentlich verantworten zu müssen. Auch die nachträgliche Mitteilung an überwachte Beschuldigte erfolgt in vielen Fällen nicht.
Beim NDB, dessen Überwachungsmaßnahmen teilweise durch einen Einzelrichter am Bundesverwaltungsgericht genehmigt werden müssten (Art. 29 ff. NDG), ist deshalb auch kein wirksamer Rechtsschutz zu erwarten. Mitteilungspflicht und Auskunftsrecht sind, soweit überhaupt vorhanden, lückenhaft ausgestaltet (Art. 63 NDG), und der NDB ist weitgehend vom Öffentlichkeitsprinzip ausgenommen (Art. 67 NDG). Die Prüfung durch den EDÖB wie auch durch das Bundesverwaltungsgericht (Art. 64 ff. NDG) verspottet mit ihrer Einseitigkeit sowie Geheimhaltung den Rechtsstaat und verletzt die Rechtsweggarantie (Art. 29a BV und Art. 13 EMRK).
Die bisherige Geheimdienstaufsicht ist gescheitert, wie unzählige an die Öffentlichkeit gelangte Missstände beim NDB und seinen Vorgängern belegen. Diese Missstände wurden meist nur zufällig entdeckt, was sich auch mit der geplanten und zumindest in der Theorie unabhängigen Behörde als weiteres (!) Aufsichtsgremium (Art. 76 ff. NDG) nicht ändern wird.
Die Aufsicht über Geheimdienste ist von deren Kooperationsbereitschaft abhängig, die aber meist nur zum eigenen Vorteil besteht. Im Geheimen agiert es sich – durchaus menschlich – wesentlich einfacher. In den USA überwachte die CIA ihre eigenen parlamentarischen Aufseher, und in Deutschland ließ sich der unabhängige Sachverständige für die Aufarbeitung der rechtswidrigen BND-NSA-Zusammenarbeit dabei erwischen, für ein Gutachten nicht als solche gekennzeichnete BND-Quellen unverändert verwendet zu haben.
Geheimdienstaufsicht dieser Art, zumal sie erst nach den Grundrechtseingriffen erfolgen kann, beruht auf dem Vertrauensprinzip und ist damit ein rechtsstaatliches Feigenblatt. Geheimdienste verdienen kein Vertrauen, denn der Missbrauch von geheimdienstlichen Kompetenzen ist in großer Zahl im In- und Ausland erstellt. Bisweilen wird mit Recht gefragt, ob die heutigen Geheimdienste überhaupt mit der notwendigen Öffentlichkeit und Transparenz in einem demokratischen Rechtsstaat vereinbar sind.
Sicherheitsesoterik statt Verhältnismäßigkeit
Mit dem neuen NDG würden – wenn auch schwammige – Rechtsgrundlagen für die zahlreichen neuen NDB-Kompetenzen geschaffen. Rechtsgrundlagen sind in einem Rechtsstaat notwendig, aber nicht hinreichend (Art. 36 BV).
Anlasslose und verdachtsunabhängige Massenüberwachung verletzt – so der EuGH in seinem Safe-Harbor-Entscheid – den Wesensgehalt des Grundrechts auf Achtung des Privatlebens, was allein schon das neue NDG in weiten Teilen disqualifiziert. Aber es fehlt bei allen neuen Kompetenzen für den NDB immer auch an der notwendigen Eignung und Erforderlichkeit im Sinn der Verhältnismäßigkeit:
In allen europäischen Ländern, die ihren Überwachungsstaat ausbauen, wird Sicherheitsesoterik gepflegt: Mehr Sicherheit durch (noch) mehr Überwachung wird pauschal oder mit einzelnen Anekdoten behauptet, aber nie substanziiert. Kritische wissenschaftliche Erkenntnisse und die schwerwiegenden Eingriffe in die Menschenrechte werden ausgeblendet. Die höchstrichterliche Rechtsprechung wird nicht in Bezug auf die eigene Überwachungswut wahrgenommen: Wenn der EuGH die Safe-Harbor-Regelung unter anderem wegen der Massenüberwachung und dem fehlenden Rechtsschutz in den USA für ungültig erklärt, ist die Empörung groß. Bei den Überwachungsmaßnahmen in Europa hingegen bleiben warnende Stimmen wie Nils Muižnieks, Menschenrechtskommissar des Europarates, einsame Ausnahmen.
Das NDG stieß auf vergleichsweise wenig Widerstand. Politiker, die sich ansonsten zu den Menschenrechten bekennen, verfielen der Sicherheitsesoterik und vergaßen sowohl Freiheit als auch Rechtsstaatlichkeit. Auf die schwerwiegenden Bedenken von Nils Muižnieks antwortete der Bundesrat lapidar, die Freiheit der Mehrheit (sic!) der Bevölkerung in der Schweiz bleibe gewährleistet. Offen blieb, ob die neuen Kompetenzen für den NDB überhaupt notwendig sind, zumal die Strafverfolgungsbehörden bereits über erhebliche Kompetenzen verfügen.
Perspektiven
Mit dem neuen NDG würde unter Missachtung von Grund- und Menschenrechten ein Geheimdienst nach amerikanischem Vorbild geschaffen. Die Schweiz hätte es damit verpasst, sich als Rechtsstaat zu positionieren, der auf rechtsstaatlichen Grundlagen seine Bevölkerung gegen Terrorismus und andere Bedrohungen schützt, ohne die Menschenrechte im In- und Ausland auszuhöhlen oder die Datensicherheit und den Datenschutz der eigenen Bevölkerung zu gefährden.
Gegen das neue NDG werden Unterschriften für ein Referendum gesammelt. Bei einem erfolgreichen Referendum hätte die Schweiz nochmals eine Chance, den Fokus auf den tatsächlichen Schutz der Privatsphäre zu legen. Ein neues NDG müsste die geheimdienstlichen Kompetenzen verhältnismäßig ausgestalten sowie die Rechte aller Betroffenen als auch der Öffentlichkeit erheblich stärken. Ein solcher Geheimdienst könnte möglicherweise auch wirksam beaufsichtigt werden.
Die Notwendigkeit eines Geheimdienstes ist weitgehend unbestritten, doch geheimdienstliche Kompetenzen müssen immer grundrechtskonform sowie rechtsstaatlich ausgestaltet sein – auch aufgrund der Erkenntnisse aus Fichenskandal und Snowden-Enthüllungen. Der Kerngehalt von Grundrechten muss unangetastet bleiben, und der Grundsatz der Verhältnismäßigkeit darf nicht durch Sicherheitsesoterik ersetzt werden.
Lizenz: CC BY-SA 4.0 (international)-Lizenz.
Was bedeutet das für Threema?
Aus den Bestimmungen zur Kabelaufklärung:
«Liegt die Freigabe für einen Auftrag vor, so sind die Betreiberinnen von leitungsgebundenen
Netzen und die Anbieterinnen von Telekommunikationsdienstleistungen verpflichtet, die Signale an den durchführenden Dienst zu liefern. Von ihnen angebrachte Verschlüsselungen müssen sie entfernen.» (Art. 43 Abs. 2 E-NDG)
Es sind also auch Diensteanbieter von der Kabelaufklärung betroffen.
Ende zu Ende verschlüsselte Kommunikation wie in Threema oder PGP oder S/Mime kann der Diensteanbieter allerdings nicht aufmachen und hat sie nicht selbst angebracht.
Was übrig bleibt sind Metadaten wenn man die Transportverschlüsselung wegnimmt :)
@Tom:
Metadaten scheinen sowieso zu genügen:
http://www.dailydot.com/politics/michael-hayden-encryption-debate-clinton-bush/
Unabhängig davon sollte man Anbietern wie Threema nicht vertrauen müssen. Ob sich Threema wirkungsvoll zur Wehr setzen könnte und würde, wenn der Nachrichtendienst des Bundes (NDB) oder eine Staatsanwaltschaft anklopft? Vielleicht sieht sich Threema heute schon gezwungen, die Kommunikation von bestimmten Nutzern oder Nutzergruppen auszuleiten, man weiss es letztlich nicht …
Alles d’accord, aber „[d]ie Notwendigkeit eines Geheimdienstes ist weitgehend unbestritten“?
Es gibt durchaus begründete Zweifel an der Notwendigkeit solcher Organisationen.
@Tini:
Richtig, aber in der Schweiz zumindest steht realpolitisch vorläufig leider nicht ernsthaft zur Diskussion, ob ein Geheimdienst notwendig ist oder nicht. In der Sache allerdings sind Zweifel sicherlich berechtigt. Ich verweise diesbezüglich gerne auf einen lesenswerten Beitrag von Anwaltskollege Stadler (mit weiteren Weblinks):
Ich denke die Schweiz macht im allgemeinen eine bessere Politik als wir in Deutschland. Das wird auch der Grund sein das ich bald ausreise aus diesem Land ;) Arbeitsplatznachweis liegt bereits vor und sogar das mit der neuen Wohnung hat geklappt. Warum kann das Leben bei uns in Deutschland nicht auch so einfach sein?