von Gabriel Brönnimann, 20 Minuten
Wenn Schweizer Ermittler Verdächtige durch den Bund überwachen lassen, wissen bisweilen auch Personen im Ausland davon.
Wer unsere Telefon- und Internetverbindungsdaten kennt, der kennt auch uns. Er weiss, mit wem wir wann Kontakt hatten. Wo wir wann waren. Welche Seiten wir im Web besuchten. Aus diesem Grund gelten Datenschutz- und Datensicherheitsgesetze, die von den Providern eingehalten werden müssen. Die Behörden dürfen die Daten nur auf richterlichen Entscheid einsehen - etwa beim Verdacht auf ein Verbrechen. Dann wird der Dienst ÜPF aktiv.
Die Mitarbeiter des Dienstes sind sicherheitsüberprüft - nicht auszudenken, wenn die Informationen, über die sie verfügen, in falsche Hände geraten würden. Doch ein wesentlicher Arbeitsvorgang der Überwachung ist ausgelagert: Der Dienst muss zur Durchführung der Überwachungsaufträge mit Angestellten der Internet- und Telefonprovider Kontakt aufnehmen. Üblicherweise erledigen Personen in der Schweiz diese sensible Aufgabe. Recherchen von 20 Minuten haben ergeben: Bisweilen kommt auch eine externe Firma aus Rumänien zum Einsatz.
«Nicht im Interesse der nationalen Sicherheit»
Bei UPC Cablecom, Sunrise und Swisscom sind Mitarbeiter in der Schweiz mit der Telekommunikationsüberwachung betraut, so die Firmen auf Anfrage. Anders beim Anbieter Salt: «Bei einer angeordneten Überwachung erfolgt die Aktivierung einer Überwachung zuhanden des Dienstes des Bundes teilweise aus der europäischen Hauptsteuerungszentrale von Ericsson in Rumänien und teilweise aus der Schweiz», bestätigt Sprecherin Therese Wenger. Es handle sich um «wenige, speziell geschulte Mitarbeiter», die die Aufträge lediglich «aktivieren» würden, aber «selber keinen Zugriff darauf» hätten, so Wenger. «Die Datenerhebung und Überwachungen erfolgen ausschliesslich und jederzeit in Erfüllung der gesetzlichen Verpflichtungen», fügt sie an.
Der Dienst ÜPF bestätigt, bei Telefon- und Internetüberwachungen auch Kontakt mit Angestellten einer externen Firma in Rumänien zu haben: «Ja, das trifft zu», sagt Michelle Nyfeler, Bereichsleiterin Überwachungsmanagement des Dienstes zu 20 Minuten. Nyfeler hält fest, dass Salt die rechtlichen Grundlagen erfülle - der Gesetzgeber habe beim Datenschutz offengelassen, wo eine Firma Daten aufbewahrt und von wo aus sie eine Überwachung durchführt.
«Wenn Personen im Ausland wissen, wer vom Schweizer Staat überwacht wird», sei das «ein Problem», sagt der auf IT-Themen spezialisierte Rechtsanwalt Martin Steiger. «Klar, man kann alles vertraglich regeln, dann ist regulatorisch vielleicht alles in Ordnung - aber das macht es noch lange nicht akzeptabel.» Steiger, Mitglied beim NGO Digitale Gesellschaft, nennt ein konkretes Beispiel: «Werden Anwälte, Ärzte oder Journalisten überwacht? Es kann nicht im Interesse der nationalen Sicherheit sein, wenn solche Informationen ins Ausland gelangen.» Telekom-Experte Ralf Beyeler von Comparis.ch nennt ein mögliches Szenario: «Wer garantiert die Sicherheit, wer die Loyalität? Womöglich ist es für Kriminelle einfacher, an diese schlecht bezahlten Mitarbeiter heranzukommen. Sie dürften anfälliger sein, gegen Bezahlung Screenshots zu machen oder Bildschirme abzufotografieren. Datensätze von Politikern, Konkurrenten und Behörden sind in gewissen Kreisen ein gefragtes Gut.»
«Absurd, wenn Personen im Ausland involviert sind»
Nationalrat Balthasar Glättli kommentiert den Rumänien-Umweg so: «Die Daten, die der Dienst Dienst ÜPF von uns allen auf Vorrat erhebt, sind hochsensibel und werden nur auf richterlichen Entscheid hin angeschaut. Es ist absurd, wenn da Personen im Ausland involviert sind.» Glättli ist für eine bessere Kontrolle der Personen, die Überwachungen ausführen: «Diese Abläufe müssten streng geregelt sein - meines Erachtens mit Personen in der Schweiz bei den Providern, die eine Sicherheitsprüfung durchlaufen haben. Die Mitarbeiter des Dienstes werden ebenfalls regelmässig überprüft.»
Nicht nur das Angestelltenverhältnis, auch das Outsourcen an die Provider an sich stellen die Kritiker in Frage. Rechtsanwalt Martin Steiger: «Überwachung ist eine klassische Staatsaufgabe. Schon die Tatsache, dass sie an die Provider ausgesourct wird, ist problematisch.» Das NGO Digitale Gesellschaft ist laut Steiger der Meinung, dass nur staatliche Stellen beteiligt sein sollten: «Bei der Überwachungsinfrastruktur handelt es sich eigentlich um staatliche Hintertüren. Auslagerung verringert die Sicherheit.» Auch beim Dienst ÜPF selbst ist man nicht glücklich über den Umweg über Personen im Ausland, wie 20 Minuten erfahren hat. Sprecherin Michelle Nyfeler sagt, es bestehe im Entwurf zum neuen Bundesgesetz (Büpf) weiterhin nicht die Pflicht, Überwachungsdienstleistungen von der Schweiz aus zu vollbringen. «Der Nationalrat hat indes beschlossen, dass die Daten in der Schweiz gespeichert werden müssen.» Allerdings bestehe in diesem Punkt eine Differenz zum Ständerat.
Sind unsere Daten überhaupt sicher?
Die Callcenter-Mitarbeiter aller Schweizer Provider können problemlos jedes Kundenprofil aufrufen und einsehen. Swisscom setzt ausschliesslich auf Callcenter in der Schweiz. Nicht so die anderen grossen Player im Markt, die zusätzlich zu Schweizer Callcentern auch ausländische Firmen beschäftigen. Die Cablecom setzt auf «externe Partner im Ausland», Salt auf Callcenter in «Portugal und Griechenland», und auch Sunrise hat Dienstleistungen «mit Partner-Callcentern in der Schweiz, die ihre Dienstleistungen zum Teil ins Ausland ausgelagert haben», wie 20 Minuten auf Anfrage erfahren hat. Wohin genau? «Keine Angaben». Laut einem Bericht der «Handelszeitung» befanden sich die Sunrise-Callcenter vor zwei Jahren in Deutschland, Österreich und der Türkei.
Die Firmen betonen, dass sämtliche regulatorischen, vertraglichen und technischen Anforderungen zur Gewährleistung von Informationssicherheit und Datenschutz erfüllt würden. Rein rechtlich sei gegen das Outsourcing kaum etwas einzuwenden, sagt Rechtsanwalt Martin Steiger: «Ein Provider, der Daten weitergibt, muss Datenschutz und Datensicherheit gewährleisten. Das ist bei EU-Ländern und Vertragspartnern auf dem Papier gegeben.» Allerdings gibt er zu bedenken: «Die Frage, ob das gefährlich ist, ist schwieriger zu beantworten.» Er schliesse zwar nicht aus, dass die Sicherheit nicht auch im Ausland gewährleistet sein könne, doch «steigen mit weiteren Beteiligten die Unsicherheiten». Balthasar Glättli hält Outsourcing für «problematisch, gerade wenn es um hochsensible Daten geht. Das ist bei Handy- und Internetverbindungsdaten der Fall.»
Immer mehr Kameras im Öffentlichen Verkehr
Antennensuchlauf: Neues Hobby von Staatsanwälten
Nachrichtendienst verletzt Fernmeldegeheimnis
Bundesamt für Zoll und Grenzsicherheit (BAZG)
jetzt spenden!