Telefon-Überwachung läuft über Rumänien

28. September 2015

von Ga­bri­el Brön­ni­mann, 20 Mi­nu­ten

Wenn Schwei­zer Er­mitt­ler Ver­däch­ti­ge durch den Bund über­wa­chen las­sen, wis­sen bis­wei­len auch Per­so­nen im Aus­land da­von.

Wer un­se­re Te­le­fon- und In­ter­net­ver­bin­dungs­da­ten kennt, der kennt auch uns. Er weiss, mit wem wir wann Kon­takt hat­ten. Wo wir wann wa­ren. Wel­che Sei­ten wir im Web be­such­ten. Aus die­sem Grund gel­ten Da­ten­schutz- und Da­ten­si­cher­heits­ge­set­ze, die von den Pro­vi­dern ein­ge­hal­ten wer­den müs­sen. Die Be­hör­den dür­fen die Da­ten nur auf rich­ter­li­chen Ent­scheid ein­se­hen - et­wa beim Ver­dacht auf ein Ver­bre­chen. Dann wird der Dienst ÜPF ak­tiv.

Die Mit­ar­bei­ter des Diens­tes sind si­cher­heits­über­prüft - nicht aus­zu­den­ken, wenn die In­for­ma­tio­nen, über die sie ver­fü­gen, in fal­sche Hän­de ge­ra­ten wür­den. Doch ein we­sent­li­cher Ar­beits­vor­gang der Über­wa­chung ist aus­ge­la­gert: Der Dienst muss zur Durch­füh­rung der Über­wa­chungs­auf­trä­ge mit An­ge­stell­ten der In­ter­net- und Te­le­fon­pro­vi­der Kon­takt auf­neh­men. Üb­li­cher­wei­se er­le­di­gen Per­so­nen in der Schweiz die­se sen­si­ble Auf­ga­be. Re­cher­chen von 20 Mi­nu­ten ha­ben er­ge­ben: Bis­wei­len kommt auch ei­ne ex­ter­ne Fir­ma aus Ru­mä­ni­en zum Ein­satz.

«Nicht im In­ter­es­se der na­tio­na­len Si­cher­heit»

Bei UPC Ca­ble­com, Sun­ri­se und Swiss­com sind Mit­ar­bei­ter in der Schweiz mit der Te­le­kom­mu­ni­ka­ti­ons­über­wa­chung be­traut, so die Fir­men auf An­fra­ge. An­ders beim An­bie­ter Salt: «Bei ei­ner an­ge­ord­ne­ten Über­wa­chung er­folgt die Ak­ti­vie­rung ei­ner Über­wa­chung zu­han­den des Diens­tes des Bun­des teil­wei­se aus der eu­ro­päi­schen Haupt­steue­rungs­zen­tra­le von Erics­son in Ru­mä­ni­en und teil­wei­se aus der Schweiz», be­stä­tigt Spre­che­rin The­re­se Wen­ger. Es hand­le sich um «we­ni­ge, spe­zi­ell ge­schul­te Mit­ar­bei­ter», die die Auf­trä­ge le­dig­lich «ak­ti­vie­ren» wür­den, aber «sel­ber kei­nen Zu­griff dar­auf» hät­ten, so Wen­ger. «Die Da­ten­er­he­bung und Über­wa­chun­gen er­fol­gen aus­schliess­lich und je­der­zeit in Er­fül­lung der ge­setz­li­chen Ver­pflich­tun­gen», fügt sie an.

Der Dienst ÜPF be­stä­tigt, bei Te­le­fon- und In­ter­net­über­wa­chun­gen auch Kon­takt mit An­ge­stell­ten ei­ner ex­ter­nen Fir­ma in Ru­mä­ni­en zu ha­ben: «Ja, das trifft zu», sagt Mi­chel­le Ny­feler, Be­reichs­lei­te­rin Über­wa­chungs­ma­nage­ment des Diens­tes zu 20 Mi­nu­ten. Ny­feler hält fest, dass Salt die recht­li­chen Grund­la­gen er­fül­le - der Ge­setz­ge­ber ha­be beim Da­ten­schutz of­fen­ge­las­sen, wo ei­ne Fir­ma Da­ten auf­be­wahrt und von wo aus sie ei­ne Über­wa­chung durch­führt.

«Wenn Per­so­nen im Aus­land wis­sen, wer vom Schwei­zer Staat über­wacht wird», sei das «ein Pro­blem», sagt der auf IT-The­men spe­zia­li­sier­te Rechts­an­walt Mar­tin Stei­ger. «Klar, man kann al­les ver­trag­lich re­geln, dann ist re­gu­la­to­risch viel­leicht al­les in Ord­nung - aber das macht es noch lan­ge nicht ak­zep­ta­bel.» Stei­ger, Mit­glied beim NGO Di­gi­ta­le Ge­sell­schaft, nennt ein kon­kre­tes Bei­spiel: «Wer­den An­wäl­te, Ärz­te oder Jour­na­lis­ten über­wacht? Es kann nicht im In­ter­es­se der na­tio­na­len Si­cher­heit sein, wenn sol­che In­for­ma­tio­nen ins Aus­land ge­lan­gen.» Te­le­kom-Ex­per­te Ralf Bey­e­ler von Com­pa­ris.ch nennt ein mög­li­ches Sze­na­rio: «Wer ga­ran­tiert die Si­cher­heit, wer die Loya­li­tät? Wo­mög­lich ist es für Kri­mi­nel­le ein­fa­cher, an die­se schlecht be­zahl­ten Mit­ar­bei­ter her­an­zu­kom­men. Sie dürf­ten an­fäl­li­ger sein, ge­gen Be­zah­lung Screen­shots zu ma­chen oder Bild­schir­me ab­zu­fo­to­gra­fie­ren. Da­ten­sät­ze von Po­li­ti­kern, Kon­kur­ren­ten und Be­hör­den sind in ge­wis­sen Krei­sen ein ge­frag­tes Gut.»

«Ab­surd, wenn Per­so­nen im Aus­land in­vol­viert sind»

Na­tio­nal­rat Bal­tha­sar Glätt­li kom­men­tiert den Ru­mä­ni­en-Um­weg so: «Die Da­ten, die der Dienst Dienst ÜPF von uns al­len auf Vor­rat er­hebt, sind hoch­sen­si­bel und wer­den nur auf rich­ter­li­chen Ent­scheid hin an­ge­schaut. Es ist ab­surd, wenn da Per­so­nen im Aus­land in­vol­viert sind.» Glätt­li ist für ei­ne bes­se­re Kon­trol­le der Per­so­nen, die Über­wa­chun­gen aus­füh­ren: «Die­se Ab­läu­fe müss­ten streng ge­re­gelt sein - mei­nes Er­ach­tens mit Per­so­nen in der Schweiz bei den Pro­vi­dern, die ei­ne Si­cher­heits­prü­fung durch­lau­fen ha­ben. Die Mit­ar­bei­ter des Diens­tes wer­den eben­falls re­gel­mäs­sig über­prüft.»

Nicht nur das An­ge­stell­ten­ver­hält­nis, auch das Out­sour­cen an die Pro­vi­der an sich stel­len die Kri­ti­ker in Fra­ge. Rechts­an­walt Mar­tin Stei­ger: «Über­wa­chung ist ei­ne klas­si­sche Staats­auf­ga­be. Schon die Tat­sa­che, dass sie an die Pro­vi­der aus­ge­sourct wird, ist pro­ble­ma­tisch.» Das NGO Di­gi­ta­le Ge­sell­schaft ist laut Stei­ger der Mei­nung, dass nur staat­li­che Stel­len be­tei­ligt sein soll­ten: «Bei der Über­wa­chungs­in­fra­struk­tur han­delt es sich ei­gent­lich um staat­li­che Hin­ter­tü­ren. Aus­la­ge­rung ver­rin­gert die Si­cher­heit.» Auch beim Dienst ÜPF selbst ist man nicht glück­lich über den Um­weg über Per­so­nen im Aus­land, wie 20 Mi­nu­ten er­fah­ren hat. Spre­che­rin Mi­chel­le Ny­feler sagt, es be­ste­he im Ent­wurf zum neu­en Bun­des­ge­setz (Büpf) wei­ter­hin nicht die Pflicht, Über­wa­chungs­dienst­leis­tun­gen von der Schweiz aus zu voll­brin­gen. «Der Na­tio­nal­rat hat in­des be­schlos­sen, dass die Da­ten in der Schweiz ge­spei­chert wer­den müs­sen.» Al­ler­dings be­ste­he in die­sem Punkt ei­ne Dif­fe­renz zum Stän­de­rat.

Sind un­se­re Da­ten über­haupt si­cher?

Die Call­cen­ter-Mit­ar­bei­ter al­ler Schwei­zer Pro­vi­der kön­nen pro­blem­los je­des Kun­den­pro­fil auf­ru­fen und ein­se­hen. Swiss­com setzt aus­schliess­lich auf Call­cen­ter in der Schweiz. Nicht so die an­de­ren gros­sen Play­er im Markt, die zu­sätz­lich zu Schwei­zer Call­cen­tern auch aus­län­di­sche Fir­men be­schäf­ti­gen. Die Ca­ble­com setzt auf «ex­ter­ne Part­ner im Aus­land», Salt auf Call­cen­ter in «Por­tu­gal und Grie­chen­land», und auch Sun­ri­se hat Dienst­leis­tun­gen «mit Part­ner-Call­cen­tern in der Schweiz, die ih­re Dienst­leis­tun­gen zum Teil ins Aus­land aus­ge­la­gert ha­ben», wie 20 Mi­nu­ten auf An­fra­ge er­fah­ren hat. Wo­hin ge­nau? «Kei­ne An­ga­ben». Laut ei­nem Be­richt der «Han­dels­zei­tung» be­fan­den sich die Sun­ri­se-Call­cen­ter vor zwei Jah­ren in Deutsch­land, Ös­ter­reich und der Tür­kei.

Die Fir­men be­to­nen, dass sämt­li­che re­gu­la­to­ri­schen, ver­trag­li­chen und tech­ni­schen An­for­de­run­gen zur Ge­währ­leis­tung von In­for­ma­ti­ons­si­cher­heit und Da­ten­schutz er­füllt wür­den. Rein recht­lich sei ge­gen das Out­sour­cing kaum et­was ein­zu­wen­den, sagt Rechts­an­walt Mar­tin Stei­ger: «Ein Pro­vi­der, der Da­ten wei­ter­gibt, muss Da­ten­schutz und Da­ten­si­cher­heit ge­währ­leis­ten. Das ist bei EU-Län­dern und Ver­trags­part­nern auf dem Pa­pier ge­ge­ben.» Al­ler­dings gibt er zu be­den­ken: «Die Fra­ge, ob das ge­fähr­lich ist, ist schwie­ri­ger zu be­ant­wor­ten.» Er schlies­se zwar nicht aus, dass die Si­cher­heit nicht auch im Aus­land ge­währ­leis­tet sein kön­ne, doch «stei­gen mit wei­te­ren Be­tei­lig­ten die Un­si­cher­hei­ten». Bal­tha­sar Glätt­li hält Out­sour­cing für «pro­ble­ma­tisch, ge­ra­de wenn es um hoch­sen­si­ble Da­ten geht. Das ist bei Han­dy- und In­ter­net­ver­bin­dungs­da­ten der Fall.»