von Dinu Gautier und Heiner Busch
Das schweizerische Justizministerium und sein Überwachungsdienst wollen den ganzen Internet-Verkehr verdächtiger Personen abzapfen und nicht nur ihre E-Mails.
Anfang Juni 2009 erhielten die rund 650 beim Bundesamt für Kommunikation registrierten Internetprovider Post vom Dienst „Überwachung des Post- und Fernmeldeverkehrs“ (ÜPF). Man lud sie ein, zur neuen „IP-Richtlinie“ sowie den zugehörigen „organisatorischen und administrativen Anforderungen“ Stellung zu nehmen.
Von der „Echtzeit-Überwachung der kompletten Kommunikation des Breitband-Internetanschlusses“ war in den Dokumenten die Rede.[1] Konkret sollten die Provider nun das gesamte Surfverhalten einer NutzerIn an den Dienst umleiten, sofern gegen die Person ein entsprechendes Strafverfahren eröffnet worden ist, die zuständige Staatsanwaltschaft die Überwachung angeordnet und das Zwangsmassnahmengericht eines Kantons oder die Beschwerdekammer des Bundesstrafgerichts das Ganze genehmigt hat. Der Staat sollte also Diskussionen in Chats oder Einträge in Foren mitlesen, bei Gesprächen über Dienste wie Skype mithören oder zusehen können, sobald die Person eine Webcam aktiviert.
Zwar ist es in der Schweiz üblich, dass interessierte Organisationen eingeladen werden, sich im Rahmen einer „Vernehmlassung“ zu neuen Gesetzes- und manchmal auch zu Verordnungsentwürfen zu äussern. Diese Vernehmlassung jedoch war unüblich: Denn erstens sollten die AdressatInnen die Dokumente geheim halten, und zweitens betrug die Frist nur drei Wochen statt wie sonst drei Monate. „Das Ganze war nur ein Fake“, erklärte denn auch Freddy Künzler, Mitbesitzer eines mittelgrossen Zürcher Providers, eine Woche nachdem die WOZ die Papiere im Juli 2009 veröffentlicht hatte. „Ändern konnte man sowieso nichts mehr.“[2]
Seit der Liberalisierung der Telekommunikationsbranche 1998 hat der mittlerweile im Eidgenössischen Justiz- und Polizeidepartement (EJPD), dem schweizerischen Justizministerium, angesiedelte Dienst eine zentrale Rolle: Er leitet die von den Untersuchungsbehörden übermittelten Anordnungen zur Überwachung an die Telekommunikationsfirmen weiter und deren Ergebnisse an die StrafverfolgerInnen zurück. Darüber hinaus hat er eine politische Aufgabe: Er soll die technische Entwicklung im Auge behalten und „durch Richtlinien die technischen und administrativen Einzelheiten der Überwachungstypen“ regeln. So steht es seit 2004 in der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF).[3] Dabei orientiert sich der Dienst an den Vorlagen des European Telecommunications Standards Institute (ETSI), denen auch die EU-Staaten folgen. Die ETSI-Arbeitsgruppe „Lawful Interception“ definiert dabei vor allem die Schnittstellen, die von den Providern zur Umleitung der abgefangenen Daten an die Behörden, im schweizerischen Fall: an den ÜPF; eingesetzt werden müssen.[4]
Erst nur eine Richtlinie
Mit der neuen IP-Richtlinie hatte man es offensichtlich sehr eilig: „Die fortschreitende Nutzung des Internets mittels vielfältiger Technologien verpflichtet den Dienst gemäß seinem gesetzlichen Auftrag zu handeln und seine Richtlinien anzupassen“, hieß es in dem Anschreiben an die Provider. Die „Überwachbarkeit des IP-Datenverkehrs“ sei „so schnell wie möglich … sicherzustellen.“[5] Die erste (interne) Version der Richtlinie stammte vom April 2009, die zweite, die dann in die „vertrauliche Vernehmlassung“ bei den Providern ging, vom Mai. Bis zum 30. Juni sollten die Antworten an den Dienst zurück geschickt sein. Bereits zum 1. August 2009 trat die Richtlinie in Kraft. In der ein Jahr dauernden Übergangsphase sollten die Provider aufrüsten und ihre technischen Einrichtungen zur Überwachung vom Dienst zertifizieren lassen können.
Bei der Richtlinie geht es im Wesentlichen um die überarbeitete und um einen Annex G erweiterte Fassung der „Technical Requirements for Telecommincation Surveillance“ (TRTS), die in der ersten Version aus dem Jahre 2002 stammen – dem Jahr in dem auch das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft trat.[6] Bis zur IP-Richtlinie betrafen die TRTS nur die Festnetz- und Mobiltelefonie sowie den E-Mail-Verkehr. Auch die auf dem Gesetz aufbauende Verordnung hatte unter der Überschrift „Überwachung der Internet-Zugänge“ nur den E-Mail-Verkehr im Auge. Wie bei der Telefonie wird dabei zwischen rückwirkender und Echtzeit-Überwachung unterschieden. Im ersteren Fall müssen die Provider auf Anordnung die für ein halbes Jahr auf Vorrat zu speichernden Verbindungsdaten liefern: Kommunikationsparameter wie etwa die verwendeten Anmeldedaten (Login), Datum und Zeit des Beginns und des Endes der Verbindung und – soweit dies bekannt ist – auch Namen, Adresse und Beruf der Zielperson. Ber Echtzeit-Überwachung sind neben den „Randdaten“ auch die Inhalte der Nachrichten fortlaufend an den Dienst zu übermitteln.
Schon die Einführung der E-Mail-Überwachung ab 2002 hatte die Provider zu vergleichsweise hohen Investitionen gezwungen und vor allem die kleinen und mittleren in Bedrängnis gebracht.[7] Mit der IP-Richtlinie sollte sich dieser Vorgang wiederholen. Der bereits zitierte Freddy Künzler rechnete mit ein bis drei „Mannjahren“ Arbeit und mit Kosten von Hunderttausenden Franken, um die notwendigen technischen Voraussetzungen zu schaffen. „Für grosse Provider mag das verschmerzbar sein. Kleine Anbieter können sich den Aufwand aber unmöglich leisten.“[8]
In der Tat muss der Provider gemäss Art. 16 Büpf die Technologie für die Überwachung selber bereitstellen. Wenn er dann tatsächlich einmal die Daten einer KundIn abzapfen muss, zahlt ihm der Staat bisher eine Entschädigungspauschale. Für die E-Mail-Überwachung in Echtzeit beträgt diese derzeit 1.330 Franken, für die „rückwirkende Überwachung“, werden zusätzliche 540 Franken gezahlt.[9] Für die mit der IP-Richtlinie intendierte Echtzeit-Überwachung des gesamten Internet-Verkehrs einer Person hat das EJPD in einem Entwurf zur Änderung der Gebührenverordnung vom Juni 2011 ebenfalls eine Pauschale von 1.330 vorgeschlagen.[10] Die Entschädigungen wiegen jedoch die Kosten für den zusätzlichen technischen Aufwand nicht auf. „Du musst also fast hoffen, dass möglichst viele deiner Kunden kriminell werden, wenn du die Investitionen amortisieren willst“, erklärte ein kleiner Anbieter 2009 gegenüber der WOZ.[11]
Dann doch ein Gesetzentwurf
2009 sah das Justizministerium noch keinen Grund für eine Änderung der gesetzlichen Grundlagen oder auch nur der Verordnung. Der Begriff des Fernmeldeverkehrs umfasse nicht nur das Empfangen und Versenden von E-Mails, sondern auch die sonstige Kommunikation über das Internet. Die Provider würden sich „die notwendigen technischen Voraussetzungen leisten müssen. Erbringer von Fernmeldedienstleistungen wissen um die gesetzlichen Vorgaben“, erklärte der Sprecher des EJPD seinerzeit lapidar.[12]
Als das EJPD ein Jahr später dennoch einen Vorentwurf zur Änderung des Gesetzes in eine – nunmehr öffentliche und dreimonatige – Vernehmlassung schickte, hatte sich diese Auffassung nicht grundsätzlich geändert. Der Internet-Verkehr stelle nur „eine besondere Art des Fernmeldeverkehrs“ dar, tönt es erneut in dem zum Entwurf gehörenden „erläuternden Bericht“. Wegen seiner „seit mehreren Jahren zunehmenden Bedeutung“ solle er aber nun „ausdrücklich berücksichtigt“ und der persönliche und sachliche Geltungsbereich des Gesetzes „genauer formuliert und ergänzt“ werden.[13]
Letzteres hieß vor allem, dass der Kreis der Provider, die durch das Gesetz gezwungen werden, ihre KundInnen zu überwachen, erweitert werden sollte. Die geltende Fassung betrifft „alle staatlichen, konzessionierten oder meldepflichtigen Anbieterinnen von Post- und Fernmeldedienstleistungen sowie … Internet-Anbieterinnen“ (Art. 1 Abs. 2 BÜPF). Gemeint waren damit die Access-Provider, die auch dem Fernmeldegesetz unterstehen und vom Bundesamt für Kommunikation als solche konzessioniert werden. Neben dieser Gruppe, so der erläuternde Bericht weiter, „können auch weitere Personen zu bestimmten Zeitpunkten Kommunikationsdaten besitzen, die die Strafverfolgungsbehörden bei der Bekämpfung von Kriminalität interessieren könnten. Dies gilt beispielsweise für Webhoster (reine Service-Provider, Hosting-Provider).“[14]
In dem neuen Art. 2 Abs. 1 sollen nun alle Anbieterinnen zur Überwachung verpflichtet werden, „die ihre Tätigkeit berufsmäßig ausüben“, und zuzüglich jene, die – ebenfalls „berufsmäßig“ – „Kommunikationsdaten verwalten, an Dritte Kommunikationsdaten weiterleiten oder die dafür notwendige Infrastruktur zur Verfügung stellen.“ (Art. 2 Abs. 1) „Konkret“, so die Swiss Privacy Foundation in ihrer Stellungnahme, „trifft dies auf alle zu, die professionelle Leistungen für die Nutzung oder den Betrieb des Netzes im Bereich der Datenvermittlung, Domain-, Server-, Web- und Mail-Hosting, Housing oder Anwendungen anbieten – und dürfte selbst für Inhaltsanbieterinnen gelten. Damit wäre ausnahmslos jede Firma in einem kompletten Industriezweig zur aktiven Überwachung, Anschaffung des entsprechenden Equipments und Abstellung von Personalressourcen – auf eigene Kosten – verpflichtet.“[15] Und nicht nur das: all diejenigen, die solche Tätigkeiten nicht „berufsmäßig“, sondern beispielsweise im Rahmen eines Vereins ausüben, wären nun „gehalten, Überwachungen nach diesem Gesetz zu dulden“, dem Dienst Zugang zu technischen Anlagen zu geben und insbesondere die eigenen Mitglieder oder die Beteiligten eines internen Netzes zu identifizieren.
Was das heißt, verdeutlicht die Swiss Privacy Foundation mit einem Bild: Nach der heutigen Rechtslage würden nur die Eingänge zur Datenautobahn kontrolliert, nach dem Änderungsentwurf „wären nun alle Geschäfte und Restaurants entlag der Datenautobahn verpflichtet, Kameras und Mikrofone zu installieren und die daraus gewonnenen Daten der Überwachungsbehörde im konkreten Fall zur Verfügung zu stellen. Und selbst alle AnwohnerInnen müssten die Installation entsprechender Anlagen in ihren Räumlichkeiten dulden und die ÜberwacherInnen wo nötig unterstützen.“
Der Kreis der zur aktiven Überwachung verpflichteten professionellen Betreiber soll aber nicht nur verbreitert werden. Für sie hält der Gesetzentwurf noch eine Reihe zusätzlicher Zumutungen bereit. Die erste besteht darin, dass die bisherige Entschädigung gänzlich wegfallen soll. Sie müssen also nicht nur die Kosten für die technische Ausrüstung selber tragen, sondern auch die für die Überwachung selbst.
Zweitens würde die Pflicht zur Vorratsdatenspeicherung von bisher einem halben auf ein Jahr verdoppelt – eine Regelung, die nicht nur für den Fernmeldeverkehr, sondern auch für Postdienstleistungen gelten soll. Letzteres ist geradezu lachhaft, da schon die bisher auch für die Post geltende sechsmonatige Speicherungsdauer nicht eingehalten wurde. Wie auch: die Erfassung der EmpfängerInnen und AbsenderInnen von Briefen, Postkarten und Paketen wäre zwar theoretisch möglich, würde aber nicht nur zu einer massiven Verteuerung führen, sondern auch voraussetzen, dass sich alle PostkundInnen am Schalter identifzieren.
Drittens sollen die Internet-Provider „dem Dienst die nötige Unterstützung (leisten), um eine Überwachung umzusetzen, für welche Informatik-Programme erforderlich sind, um die Daten abfangen und lesen zu können“ (Art. 21 Abs. 4). Gemeint ist damit nichts anderes, als dass die Provider beim Einschleusen von Schadsoftware oder Trojanern auf den Computer der betreffenden KundIn behilflich sein sollten. Indem es die Provider zur Mithilfe bei dem verknurrt, was in Deutschland unter dem verharmlosenden Titel „Online-Durchsuchung“ firmiert, versucht das EJPD eine der Schwierigkeiten dieser Methode zu umgehen. Will die Polizei nicht heimlich in Wohnungen oder Geschäftsräume eindringen, um den Trojaner gleich selbst auf den Computer der Zielperson zu laden, muss sie dafür sorgen, dass er in einer Nachricht verpackt wird, die der oder die Betroffene auch öffnet. Anders ausgedrückt: Bei technisch versierten und vorsichtigen NutzerInnen braucht es einen glaubwürdigen Absender und eine Verpackung, die den Interessen und Gewohnheiten der betroffenen Person entspricht und sie zum Öffnen des giftigen Pakets animiert. Mit dem BÜPF-Entwurf schlug das EJPD dafür gleichzeitig einen neuen Art. 270bis in der neuen eidgenössischen Strafprozessordnung vor, die erst im Januar 2011, also über ein halbes Jahr nach der Vorlage des BÜPF-Entwurfs, in Kraft treten sollte.
Um viertens zu zeigen, dass sie das ihnen abgeforderte Überwachungshandwerk auch beherrschen und über die notwendige Technik verfügen, sieht der Entwurf vor, dass sich die Provider beim Dienst – auf eigene Kosten, versteht sich – zertifizieren lassen. Diese Zertifizierung soll zwar nach dem vorgeschlagenen Art. 18 zunächst freiwillig bleiben. Art. 24 macht aber klar, dass Anbieter, bei denen der Dienst eine angeordnete Überwachung selbst durchführen muss, weil sie nicht dazu in der Lage sind, zunächst für dessen Leistungen zahlen und anschließend die teure technische Aufrüstung und die Zertifizierung nachholen müssen. Das Risiko einer Verweigerung ist also beträchtlich.
Und schließlich eine Verordnung
Die Vernehmlassungsfrist zu dem Gesetzentwurf endete im August 2010. Bis heute liegt aber weder eine Auswertung der Stellungnahmen noch eine Botschaft (ein Entwurf, der dann in die parlamentarische Beratung geht) vor. Mit der Änderung des BÜPF hat das EJPD keine Eile, behauptet es doch immer noch, dass auch das geltende Gesetz bereits die Überwachung des Internet abdecke.
Um die „Rechtsunsicherheit“ bei den Strafverfolgungsbehörden, den Providern und natürlich dem Dienst zu beheben, legte das EJPD nun im Juni 2011 einen Entwurf zur Änderung der Verordnung vor. Der Entwurf ging nicht in eine breite Vernehmlassung, sondern nur in eine „Anhörung“. Schriftlich Stellung nehmen sollten nur die Branchenverbände (der Schweizerische Verband der Telekommunikation – asut, Swisscable und die Swiss Network Operators Group) sowie die Konferenzen der kantonalen Justiz- und Polizeidirektoren (vergleichbar der deutschen Innenministerkonferenz), der kantonalen Polizeikommandanten und der Strafverfolgungsbehörden. Offiziell versucht man die Bedeutung der Änderung herunterzuspielen. Es handele sich bloß um eine Präzisierung, die VÜPF solle „dem aktuellen Stand der Technik angepasst werden.“[16]
Der Entwurf, an dem sich durch die Anhörung nicht viel ändern dürfte, hat es jedoch in sich. Er gießt die IP-Richtlinie in einen Rechtstext und nimmt zusätzlich einige Punkte aus dem Gesetzentwurf vorweg. Dazu gehört zunächst die Ausdehnung des Kreises der Provider, die zur Vornahme von Überwachungen gezwungen sind. In der deutschen Version auch bisher schon von „Internet-Anbieterinnen“ die Rede, auch wenn nur die Zugangsvermittler (Access Provider) gemeint waren. In der französischen Fassung wird nun die Formulierung „fornisseurs d’accès à l’Internet“ durch „fournisseurs Internet“ ersetzt. In den Erläuterungen heißt es denn auch, Internet-Dienstleistungen würden durch eine Vielzahl von Providern angeboten, die selbst keinen Zugang zum Netz vermittelten. Zusätzlich wird verwiesen auf die Internettelefonie, Dienste wie Skype oder Chatrooms.
„Überwachbare Anwendungen“ nach dem neuen Art. 24 sind nicht mehr nur „asynchrone Postdienste“ wie E-Mail, sondern auch „synchrone“ wie Chats oder Instant Messaging sowie „Multimediadienste“ wie Skype oder die Internettelefonie (Voice over IP, VoIP). Die Bandbreite der „überwachbaren Zugänge“ reicht von der weitgehend überholten Direkteinwahl per Telefon über Breitbandanschlüsse (DSL, Kabelmodem), den Zugang über Mobilfunknetze, WLAN und virtuelle private Netzwerke bis zu den neuen Glasfaseranschlüssen.
Bei der Echtzeit-Überwachung haben die Provider nicht nur die Inhalte („Nutzinformationen“) zu liefern, sondern auch die Verkehrsdaten des Anschlusses und der Anwendung. Letztere müssen für die „rückwirkende Überwachung“ auf Vorrat gespeichert. Die Speicherungsdauer kann nur per Gesetzesänderung erhöht werden – es bleibt also vorerst bei einem halben Jahr.
Der Dienst und sein Ministerium haben mit dem Entwurf dieser Verordnung klar gemacht, dass sie von ihren schon vor zwei Jahren lancierten Plänen keinen Deut abweichen wollen. Zwar liegt selbst der Anteil des E-Mail-Verkehrs an den Telekommunikationsüberwachungen nach wie vor nur im „niedrigen“ Prozentbereich. Die Parole lautet jedoch auch hier, dass das technisch Mögliche auch umgesetzt werden muss. Eine überwachungsfreie Kommunikation dürfe es nicht geben.
Dumm nur, dass auch die nun rechtlich etwas fester als mit der IP-Richtlinie verankerten Überwachungsformen nur die Unvorsichtigen und technisch Unerfahrenen treffen wird. Wie sagte doch Freddy Künzler schon im Juli 2009: „Jeder kleine Internetgangster kann seine Kommunikation vernünftig verschlüsseln. Die Behörden sind dann trotz Internet-Überwachung so schlau wie zuvor.“[17]