Bürgerrechte & Polizei/CILIP 69 (2/2001)

Anpfiff zum Endspiel

Telekommunikationsüberwachung in der EU

von Tony Bunyan

Seit vier Jahren erlebt die EU eine heftige Auseinandersetzung zwischen den Vertretern der Polizeien und Strafverfolgungsbehörden einerseits und den von der Kommission unterstützten Datenschutzbeauftragten andererseits. Erstere fordern, dass Telekommunikationsverbindungsdaten von den Anbietern bis zu sieben Jahre aufbewahrt werden, um den "gesetzlich ermächtigten Behörden" Zugang zu gewähren.[1]

Gemäß den EU-Richtlinien über den Datenschutz in Bezug auf den freien Datenverkehr von 1995 und den Telekommunikationssektor von 1997 können Verbindungsdaten nur zu einem Zweck aufbewahrt werden, nämlich für die Rechnungslegung und deren Überprüfung durch die KundInnen. Sobald das geschehen ist, müssen diese Informationen gelöscht oder anonymisiert werden. Wenn dieser Grundsatz durchbrochen und die Aufbewahrung dieser Daten für polizeiliche Zwecke ermöglicht wird, hat dies fatale Konsequenzen für das Fernmeldegeheimnis und die Privatsphäre in der EU. Die Geschichte dieses Streits begann 1993.

Ihr Hintergrund: Zu Beginn des Kalten Krieges investierten die USA und Großbritannien enorme Summen in ihre technischen Geheimdienste, die National Security Agency und die Government Communications Headquarters. Ziel war der Aufbau eines globalen Überwachungssystems für militärische und geheimdienstliche Zwecke, an dessen Anfang eine britisch-amerikanische Vereinbarung aus dem Jahre 1947 stand. Durch das in den 70er Jahren errichtete Echelon-System dehnten die beiden Dienste ihre Überwachung auf wirtschaftliche und politische Zwecke aus.

Zu den hieraus gewonnenen "Erkenntnissen" hatten die Strafverfolgungsbehörden nur in jenen seltenen Fällen Zugang, in denen man ihre Hilfe benötigte. Ansonsten erlaubten ihnen die nationalen Gesetze nur eine Post- und Telefonkontrolle im Einzelfall gegen Beschuldigte in einem Strafverfahren, wofür jeweils eine Anordnung oder richterliche Verfügung erforderlich war. Dies blieb die Regel, auch wenn es in den meisten Ländern obendrein illegale Überwachungen gab.

Mit der Einführung der Mobiltelefonie Anfang der 90er Jahre war jedoch klar, dass ein neues Telekommunikationszeitalter begonnen hatte. Die technischen Neuerungen stellten die Strafverfolgungs- und Polizeibehörden nicht nur vor eine Herausforderung, sondern eröffneten ihnen auch neue Möglichkeiten. Dies um so mehr, als die 90er Jahre mit den Feindbildern wie "organisierte Kriminalität" und "illegale Einwanderung" erneut zu einem Jahrzehnt von Law and Order wurden.

Im Sommer 1993 brachte das FBI Fachleute aus Polizeien und Geheimdiensten einer Reihe von EU-Staaten zusammen. Diskutiert werden sollte nicht nur, wie die neuen Kommunikationsmittel überwacht werden könnten, sondern auch wie sie zur Erhebung von Daten einschließlich ihrer Verarbeitung in Form von Rasterfahndungen genutzt werden könnten. Zwei Probleme standen auf der Tagesordnung dieses Treffens in Quantico: Zum einen ging es darum, wie man die Telekommunikationsindustrie dazu bringen könnte, Hard- und Software zu entwickeln, die das "Anzapfen" auch bei den neuen Technologien erlauben würde - und zwar in Echtzeit, also möglichst unmittelbar, nachdem der Diensteanbieter oder Netzbetreiber dazu aufgefordert wurde. Schwierigkeiten hatten sich vor allem da aufgetan, wo sich die Kommunikationswege durch mehrere verschiedene Staaten zogen, wo etwa ein Handy-Benutzer sich in dem einen Staat aufhält, aber über ein Netz in einem anderen mit einer Person in einem dritten Staat telefoniert. Zum andern stellte sich die Frage, wie man zu den rechtlichen Befugnissen für eine uneingeschränkte Überwachung jenseits individueller richterlicher Anordnungen kommen könnte.

Aus der 1993er Tagung im FBI-Hauptquartier entwickelte sich in der Folge das "International Law Enforcement Telecommunications Seminar" (ILETS), das sich seitdem jährlich trifft. Im Oktober 1994 verabschiedete der US-Kongress ein Telekommunikationsüberwachungsgesetz, das im Wesentlichen aus der Feder des FBI stammt und die von ihm erstellten "International Users Requirements for Interception" (Internationale Benutzer-Anforderungen für die Überwachung, IUR) wiedergibt. Die IUR sollten international technische Standards für die Überwachbarkeit neuer Telekommunikationstechniken vorgeben. Aus Angst, hinter den USA zurückzubleiben, nahm auch der EU-Ministerrat am 17. Januar 1995 diese "Anforderungen" an. Die Entscheidung wurde im "schriftlichen Verfahren" getroffen, d.h. der Text ging als Rundschreiben an die Ministerien, die Minister gaben ihr Plazet, ohne eine eigentliche Sitzung des Rats und notabene ohne Anhörung weder der nationalen Parlamente noch des Europäischen Parlaments (EP). Öffentlich wurde der Beschluss erst im November 1996, als ein "Memorandum of Understanding" lanciert wurde, mit dem auch Drittstaaten die IUR annehmen konnten. Antworten sollten dem Rat der Europäischen Union in Brüssel oder dem FBI zugestellt werden. Es ist daher nur konsequent, die Initiative als "EU-FBI-Telekommunikationsüberwachungssystem" zu bezeichnen.

Enfopol 98

Im September 1998 debattierte die Arbeitsgruppe "Polizeiliche Zusammenarbeit" des Rates eine erweiterte Fassung der IUR, die auch die Satellitentelefonie und die Benutzung des Internets abdecken sollte. Das Papier mit der offiziellen Nummerierung "Enfopol 98"[2] rutschte durch eine undichte Stelle in die Öffentlichkeit und löste heftige Proteste aus. Die Vorstellung, dass sowohl der kommunizierte Inhalt als auch sämtliche verfügbaren Randdaten von der Wohnanschrift über die E-Mail-Adresse und den genauen Standort des Anrufers bis hin zu Kreditkartendaten der Polizei zugänglich sein sollten, dass Provider verpflichtet würden, verschlüsselte E-Mails sofort zu knacken, schien vielen BenutzerInnen der neuen Techniken nicht akzeptabel.

"Enfopol 98" war ein ausführliches Papier mit vielen Details zu den geplanten neuen Formen der Überwachung. Im März 1999 präsentierte die Arbeitsgruppe einen erheblich kürzeren Bericht - Enfopol 19 - mit der gleichen Stossrichtung, der jedoch nie dem Rat der Innen- und Justizminister vorgelegt wurde. Man fürchtete "schlechte Presse" und ließ die Initiative in der Versenkung verschwinden - bis zum Mai dieses Jahres, als der Innen- und Justiz-Rat einen Bericht - Enfopol 29 - genehmigte, der erneut an den IUR ansetzt.

Mit Überwachungsfragen befasst sich auch das EU-Rechtshilfeübereinkommen vom Mai 1999, das derzeit den nationalen Parlamenten zur Ratifizierung vorliegt. Es erleichtert die grenzüberschreitende Überwachung und den Austausch von dabei gewonnenen Daten, enthält aber keine Vorschriften über die Aufbewahrung von Randdaten außer in Fällen, wo dies ausdrücklich durch die zuständige Instanz, im Normalfall einen Richter, angeordnet wurde.

Die Pläne für die länger dauernde Aufbewahrung von und den Zugang der Polizei zu Verbindungsdaten wurden inzwischen auch im Rahmen der G8-Arbeitsgruppe über High-Tech-Kriminalität vorangetrieben. Beim Europarat diskutiert man eine Cybercrime-Konvention mit ähnlichen Zielen. Der britische National Criminal Intelligence Service schlägt dem Innenministerium sogar die Einrichtung von staatlichen "warehouses" vor, in denen derartige Daten archiviert werden könnten.

Die Reaktion der Datenschutzbeauftragten

"Die routinemäßige Langzeit-Aufbewahrung von Daten durch Internet Service Provider (ISPs) für Strafverfolgungszwecke würde eine unverhältnismäßige generelle Überwachung der Kommunikation darstellen", schreibt die britische Datenschutzbeauftragte Elisabeth France in ihrem Tätigkeitsbericht für das Jahr 2000. Ihre KollegInnen in den anderen EU-Staaten kamen zu ähnlichen Wertungen. Die Auswertung von Verbindungsdaten erlaubt die Erstellung von Persönlichkeitsprofilen, die oft erheblich mehr aussagen als der Inhalt eines Gesprächs oder einer Nachricht. Auf ihrer Stockholmer Konferenz im April 2000 beschlossen die EU-Datenschützer eine Erklärung, in der sie die Aufbewahrung von Nutzerdaten durch ISPs als "unzulässigen Eingriff in die durch Art. 8 der Europäischen Menschenrechtskonvention garantierten grundlegenden Rechte des Individuums" bezeichnen. "Wo Nutzer- und Verbindungsdaten in spezifischen Fällen aufbewahrt werden, muss die Notwendigkeit bewiesen, der Zeitraum so kurz wie möglich bemessen und der Eingriff gesetzlich klar geregelt sein." Auch die Datenschutzarbeitsgruppe der EU sowie die EU-Kommission unterstützten diese Position.

Das Imperium schlägt zurück

Den "gesetzlich ermächtigten Behörden" blieb damit nur der Weg über den Rat, also die Regierungen der 15 Mitgliedstaaten. Der vom Rat Ende Mai angenommene Bericht Enfopol 29 definiert auf der Basis der "Anforderungen" von 1995 die "operativen Bedürfnisse" der Polizeien und benennt die Dienste, auf die sie angewandt werden sollen, nämlich auf prinzipiell alle Formen der Telekommunikation einschließlich E-Mail und Internet-Nutzung sowie Mobil- und Satellitentelefonie.

Wie drei Jahre zuvor Enfopol 98 fordert der neue Bericht z.B. unter Punkt 1, "den Zugriff auf den gesamten Fernmeldeverkehr der von der Rufnummer oder sonstigen Kennung des überwachten Telekommunikationsdienstes ... übertragen wird (oder für die Übertragung generiert wird) bzw. dort ankommt ... Kennungen können sich auf eine physikalische oder logische Einheit (z.B. Nutzeradressen, Gerätekennungen, Benutzernamen/Passwörter, Port-Kennungen, Mail-Adressen usw.) beziehen." Für das Internet seien das "IP-Adressen, Kontonummern, Logon-ID/Passwort, PIN-Nummer und E-Mail-Adresse". Auch unter Punkt 6 schließt das Papier an seinen Vorläufer von 1998 an: Netzbetreiber bzw. Provider sollen verpflichtet werden, den vollen Namen der Person oder der Firma, Anschrift sowie Kreditkartendetails mitzuteilen.

Bereits im Herbst letzten Jahres hatte die Polizeiarbeitsgruppe des Rates in einer Note - Enfopol 71 - deutlich gemacht, dass es ihr nicht nur um den Zugriff auf aktuelle Kommunikationsinhalte und Verbindungsdaten für eine Echtzeit-Überwachung, sondern auch um die Auswertung alter Daten geht. Bezugnehmend auf spektakuläre Fälle heißt es dort: "Die Effizienz der Ermittlungen würde stark beeinträchtigt, wenn solche Daten gelöscht würden." Am 30. März 2001 nahm der Rat eine Entschließung an, mit der er diese Position unterstützt: Die Verpflichtung der Netzbetreiber und Provider, Verbindungsdaten zu löschen oder zu anonymisieren, würde strafrechtliche Ermittlungen "ernstlich behindern". Es sei von "äußerster Wichtigkeit", dass der Zugang für die Ermittler "garantiert" werde. Der Rat fordert die Kommission zum "sofortigen Handeln" auf. Die "Ermittlung von Straftaten, bei denen elektronische Kommunikationssysteme benutzt werden oder wurden", müsse jetzt und "für die Zukunft" gesichert sein. Die Vorschriften, die die Anbieter zur Löschung oder Anonymisierung zwingen, seien zu überprüfen. Dies, so das absurde Argument, sei notwendig, um das Vertrauen der BürgerInnen in die neuen Techniken sicherzustellen. Die im Rat vereinten Regierungen erklären der Kommission und dem Europäischen Parlament damit, dass die Privatsphäre und die Freiheiten der BürgerInnen und der Gesellschaft als ganzer gegenüber den Forderungen der Polizeien und Strafverfolgungsbehörden nachrangig sind.

Bezeichnend an dieser Entschließung ist nicht nur der Inhalt, sondern vor allem der zeitliche und politische Zusammenhang, in dem sie steht. Im Juli letzten Jahres hatte die Kommission nämlich einen Entwurf für eine Richtlinie "über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation" vorgelegt. Deren Ziel ist die Überarbeitung der bestehenden Richtlinien von 1995 und 1997; "größere substanzielle Veränderungen" sind allerdings "nicht beabsichtigt".

Der Entwurf, der dem sogenannten Mitentscheidungsverfahren unterliegt, ging im Sommer letzten Jahres an das EP. Erst im April dieses Jahres erfuhren die Berichterstatter der Parlamentsausschüsse jedoch, dass der Rat nicht nur eine Neuauflage der IUR, sondern auch eine grundsätzliche Veränderung des Richtlinienentwurfs der Kommission und der bereits bestehenden Regelungen anstrebt. Noch vor der ersten Lesung durch das Parlament schafften es die Regierungen auf der Tagung des Telekommunikationsrates am 27. Juni, einen "gemeinsamen Standpunkt" anzunehmen. Die darin vorgeschlagenen Veränderungen des Kommissionsentwurfs sind auf den ersten Blick minimal. Sie würden aber den Mitgliedstaaten die Möglichkeit eröffnen, auf nationaler Ebene Gesetze zu verabschieden, die die Aufbewahrung von "Verbindungs- und Standortdaten für eine begrenzte Zeit" erlauben.

"Systematische und präventive Speicherung der Kommunikation der EU-Bürger und der damit zusammenhängenden Verbindungsdaten würde die fundamentalen Rechte auf Privatsphäre, Datenschutz und Meinungsfreiheit sowie die Unschuldsvermutung untergraben." Mit diesen Worten hatte sich der Vorsitzende der EU-Datenschutz-Arbeitsgruppe am 7. Juni an die Kommission, den Rat und das Parlament gewandt. "Könnte die Informationsgesellschaft unter diesen Umständen noch von sich behaupten, eine demokratische Gesellschaft zu sein?"

Der Ausschuss für Bürgerrechte des EP ist seinen Bedenken am 11. Juli gefolgt. Gegen die meisten seiner sozialdemokratischen Mitglieder - mit 22 zu 12 Stimmen - nahm der Ausschuss einen Bericht an, der eine Aufbewahrung der Daten wie bisher nur im Einzelfall und aufgrund einer Anordnung erlauben würde. Rasterfahndung oder die "generelle elektronische Überwachung auf breiter Basis ist verboten." Der Bericht geht Anfang September in die Plenardebatte. Wenn er dort bestätigt wird, wofür es keine Garantie gibt, befindet sich der Rat nicht nur mit der Kommission, sondern auch mit dem Parlament auf Kollisionskurs.

Endspiel

Der Ausgang dieses Streits wird nicht nur für den Datenschutz und die Befugnisse der Polizeien und Strafverfolgungsbehörden entscheidend sein, sondern auch für die Demokratie in der EU. Über die Frage, ob Telekommunikationsdaten für Zwecke der Überwachung aufbewahrt werden dürfen oder nicht, kann es deshalb keinen der üblichen Brüsseler Kompromisse geben.

Dies um so mehr, als es in diesem Endspiel nicht nur um die Strafverfolgungsbehörden im engeren Sinne geht. Nicht umsonst war in den diversen Fassungen der IUR immer von völlig unbestimmten "gesetzlich ermächtigten Behörden" die Rede. Der britische National Criminal Intelligence Service hat typischerweise nicht im Namen der Polizeibehörden alleine gesprochen, als er beim Innenministerium mit der Idee von Archiv-"warehouses" anklopfte. Der Bericht wurde vielmehr auch von den Geheimdiensten (dem Inlandsgeheimdienst MI5, dem Auslandsgeheimdienst MI6 und dem technischen Geheimdienst GCHQ) getragen. Und es ist durchaus wahrscheinlich, dass auch die Dienste von den neuen Formen der Überwachung und Rasterfahndung in Telekommunikationsdaten profitieren möchten. Wenn die Regierungen der EU-Staaten und der USA mit ihren Plänen Erfolg haben, so wird in informierten Kommentaren behauptet, könnten die neuen Überwachungstechnologien mit der Zeit auch das bestehende geheimdienstliche System Echelon hinfällig werden lassen.

Wenn Bürgerrechte und Privatsphäre gegen die Ansprüche der Law-and-Order-Lobby aufgewogen werden, können sie schnell als zu leicht befunden werden. Nur ein starker demokratischer Widerstand kann dies verhindern. In der EU ist dieses keineswegs sicher.

Tony Bunyan ist Herausgeber von Statewatch in London.