Nach der Zusammenstellung der allgemeinen und universellen Betroffenheit sämtlicher Einwohnerinnen und Einwohner der Schweiz durch die Überwachung der Geheimdienste werden im folgenden sieben Forderungen an die Politik – und somit mögliche Auswege – aufgezeigt:
1. Aufnahme der Tätigkeit der «Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit»
Bereits anfangs Juni 2014 hat das Parlament einer Motion von Ständerat Paul Rechsteiner zugestimmt, welche den Bundesrat beauftragt, eine «Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit in der Schweiz» einzusetzen:
«Die Enthüllungen von Edward Snowden zeigen, dass die Grundannahmen, von denen auch in der Schweiz auf dem Gebiet der Datenbearbeitung und Datensicherheit ausgegangen wurde, nicht mehr zutreffen.» [1]
Es müssen daher folgende Fragen beantwortet werden:
- Wie sind die technologischen und politischen Entwicklungen auf dem Gebiet der Datenbearbeitung zu beurteilen?
- Was bedeuten diese Entwicklungen für die schweizerische Wirtschaft, die Gesellschaft und den Staat?
- Wie ist der gegenwärtige Rechtsrahmen mit Blick auf diese Entwicklung zu beurteilen?
- Welche Empfehlungen ergeben sich daraus für die Schweiz: Auf nationaler Ebene und mit Blick auf mögliche Initiativen auf internationaler Ebene?
Der Bundesrat hatte die Ablehnung des Begehrens empfohlen und scheint es nun mit der Einberufung nicht allzu eilig zu haben. Die Defizite sind jedoch offensichtlich. Der vorliegende Bericht der Digitalen Gesellschaft versucht einige davon aufzuzeigen. Der Bundesrat ist aufgefordert, die Expertenkommission schnellstmöglich einzusetzen und den Schlussfolgerungen Beachtung zu schenken.
2. Strafermittlung durch einen ausserordentlichen Bundesanwalt
Die Schweizerische Bundesanwaltschaft hat es im Herbst 2014 abgelehnt, ein Strafverfahren gegen die NSA & Co. zu eröffnen [2]. Eine entsprechende Strafanzeige gegen Unbekannt – insbesondere wegen verbotenem Nachrichtendienst – hatte die Digitale Gesellschaft kurz nach den ersten Enthüllungen von Edward Snwoden eingereicht. In der Zwischenzeit sind neben den Überwachungsprogrammen Prism und Tempora dutzende weitere Anhaltspunkte hinzugekommen, und der vorliegende Bericht versucht einige davon für ein Strafverfahren zusammenzutragen.
Die Bundesanwaltschaft ist nochmals aufgefordert, entsprechende Ermittlungen aufzunehmen und die Verantwortlichen zur Rechenschaft zu ziehen. Der Bundesrat hat das hierzu erforderliche Gesuch der Bundesanwaltschaft zur Aufnahme der Strafverfolgung gutzuheissen.
Nicht nur der Nachrichtendienst des Bundes scheint auf Informationen von Partnerdiensten angewiesen zu sein, sondern auch die Bundesanwaltschaft [3]. Um den rechtsstaatlichen Interessenkonflikt aufzulösen, muss die Strafermittlung vom Parlament einem ausserordentlichen Bundesanwalt übertragen werden.
Für die Strafverfolgung, aber auch für die Arbeit der Expertenkommission, scheint eine Aufarbeitung der Snowden-Dokumente entscheidend. Um weitere und konkretere Bezüge zur Schweiz zu erhalten, bietet sich eine Befragung von Edward Snowden oder Glenn Greenwald an. Einem Schweizer Rechercheteam dürfte aber auch der geplante Datenraum in New York offenstehen [4].
3. Evaluation des Safe Harbor-Abkommens
Das Safe Harbor-Abkommen ermöglicht, dass personenbezogene Daten aus der Schweiz in den USA, resp. durch US-amerikanische Firmen, bearbeitet werden dürfen. Es bescheinigt den Unternehmen ein Datenschutzniveau, wie es dem Schweizer Datenschutzgesetz entspricht. Der beinahe uneingeschränkte Zugriff auf sämtliche Meta- und Inhaltsdaten durch verschiedene US-Behörden widerspricht jedoch unseren Grundsätzen des Datenschutzes. Dies betrifft insbesondere die Prinzipen der Verhältnismässigkeit und der Transparenz.
Daher ist durch den Eidgenössischen Datenschutzbeauftragten zu prüfen, ob durch das Safe Harbor-Abkommen das notwendige Datenschutzniveau erreicht werden kann. Falls die anlasslose Massenüberwachung nicht verhindert werden kann, ist das Abkommen auszusetzen.
4. Überarbeitung des Datenschutzgesetzes
Damit das Datenschutzgesetz angemessen wirkt, muss es durchgesetzt werden können. Hier zeigen sich einige Schwächen, die in der anstehenden Revision verbessert werden müssen. Stichworte dazu sind:
- Bei schwerwiegender und/oder vorsätzlicher Verletzung der Sorgfaltspflicht müssen griffige Strafbestimmungen mit empfindlichen finanziellen Drohungen vorgesehen sein. Bussen sollen sich dabei am Geschäftsumsatz der Unternehmungen orientieren. Die Verfolgung muss von Amtes wegen geschehen.
- Da ein Gang durch die Instanzen langwierig und die Gegnerschaft (internationale) Konzerne mit eigenen juristischen Abteilung sein können, soll ein Verbandsbeschwerderecht eingeführt werden.
- Der räumliche Anwendungsbereich des Gesetzes soll ausdrücklich auch ausländische Firmen mit Geschäftstätigkeit (resp. Kundschaft) in der Schweiz umfassen.
5. Einsatz für internationale Abkommen zur Achtung der Privatsphäre und deren Durchsetzung (UNO, EMRK, …)
Um die anlasslose Massenüberwachung eindämmen zu können, sind internationale Abkommen zur Achtung der Privatsphäre und deren Durchsetzung nötig. Die Schweiz setzt sich dazu in den geeigneten Gremien – wie der UNO, dem Europarat oder einer neu zu gründenden Organisation – für entsprechende Verträge ein.
In einem solchen Abkommen sind insbesondere folgende Punkte festzuschreiben:
- Keine (anlasslose) Massenüberwachung
- Keine Unterscheidung in in- und ausländische Kommunikationsvorgänge
- Keine Pauschalentscheide und keine Geheimgerichte
Darüberhinaus setzt sich die Schweiz für ein Abkommen gegen Cyber-Angriffe und für eine «Genfer Konvention gegen den Cyberwar» ein [5].
6. Förderung von technischen Mitteln zum Schutz der Privatsphäre
Neben Abkommen auf politischer Ebene sind auch technische Massnahmen ein wichtiges Instrument, um das Recht auf digitale Privatsphäre, die Meinungs- und Versammlungsfreiheit und den ungehinderten Informationszugang wieder vermehrt zu gewährleisten.
Die Schweiz muss daher entsprechende Entwicklungen von Hardware, Software und Standards fördern. Diese müssten/sollten mindestens folgendes umfassen:
- Einsatz für Forschung und transparente Standardisierung von Verschlüsselungsalgorithmen, verwandten Techniken und darauf aufbauenden Applikationen
- Einsatz für die Erarbeitung, Verabschiedung und Umsetzung von sicheren Internet-Standards (RFCs)
- Entwicklung von Datenschutz- und Datensicherheitsstandards für Unternehmen
- Förderung von Open Source Software – nicht nur für Verschlüsselung und Signatur
- Realisierung von Programmen zum Aufspüren noch unbekannter Sicherheitslücken und konsequente Behebung von bekannten Fehlern / Verpflichtung zur Offenlegung der Informationen, d.h. keine Verwendung für den «eigenen (Geheimdienst-)Gebrauch»
7. Trennung von zivilem und militärischem Nachrichtendienst & Verzicht auf Überwachung ohne begründeten Verdacht
Damit die Schweiz die offensichtlichsten Interessenkonflikte ausräumen und sich Spielraum für internationale Verhandlungen schaffen kann, sind folgende Hausaufgaben zu erledigen:
- Trennung von zivilem und militärischem Nachrichtendienst
- Beschränkung des militärischen Nachrichtendienstes auf militärische Ziele
- Beschränkung des zivilen Staatsschutzes auf Spionageabwehr
- Dafür eine Stärkung der Bundesanwaltschaft zur Verfolgung von terroristischen Aktivitäten, organisierter Kriminalität, Proliferation, verbotenem Nachrichtendienst und deren Vorbereitungshandlungen
- Keine Überwachung ohne begründeten Verdacht
- Abschaffung der Vorratsdatenspeicherung («rückwirkende Überwachung»)
- Verzicht auf die «Kabelaufklärung»
Diese Anstrengungen stärken als wesentlichen Nebeneffekt auch den Standort Schweiz: Rechtssicherheit, glaubwürdiger und in sich konsistenter Datenschutz, verlässliche und starke Datensicherheit verschaffen der lokalen IT-Industrie das nötige Umfeld, um für Wohlstand im 21. Jahrhundert sorgen zu können.
(Dieser Text ist das fünfte Kapitel aus dem Bericht der Digitalen Gesellschaft zur Massenüberwachung durch die Geheimdienste.)