Das Ergebnis der Volksabstimmung war klar: 65 Prozent sagten Ja zum Bundesgesetz über den Nachrichtendienst (NDG). Kein einziger Kanton lehnte die Vorlage ab. Doch was sie Ende September 2016 da genau annahmen, war wohl den wenigsten klar. Das Gesetz baute nämlich die Überwachungsmöglichkeiten des Nachrichtendienstes des Bundes massiv aus. Kritiker monierten bereits vor der Abstimmung, die private Kommunikation werde mit der Kabelaufklärung gemäss Artikel 39 NDG breitflächig überwacht werden – ohne Tatverdacht auf eine strafbare Handlung.
Knapp acht Jahre später sind aus den Befürchtungen Tatsachen geworden: Der Geheimdienst scannt und wertet den Internetverkehr massenhaft aus. Dies zeigt eine im Januar erschienene Reportage des Internetmagazins «Republik». Die Recherche basiert auf Dokumenten und Stellungnahmen des Nachrichtendiensts in einem Gerichtsverfahrens vor dem Bundesverwaltungsgericht. Der Verein Digitale Gesellschaft hatte zusammen mit einer Gruppe von Journalisten und Anwälten 2017 in St. Gallen Beschwerde gegen den NDB erhoben, mit dem Ziel, die Kabelaufklärung für illegal zu erklären.
Das Gericht wies die Beschwerde am 4. Juni 2019 ab. Doch das Bundesgericht anerkannte ein Beschwerderecht der nach Artikel 13 EMRK als potenziell von der geheimen Funk- und Kabelaufklärung Betroffenen sowie ihren grundsätzlichen Anspruch auf Auskunft über die bearbeiteten Daten (1C_377/2019). Aus den gerichtlichen Stellungnahmen ergibt sich, wie der Geheimdienst bei der Kabelaufklärung agiert.
Internetprovider müssen Zutritt zu Servern gewähren
Der Internetdatenverkehr läuft weltweit fast ausschliesslich über Glasfaserkabel. Mit der Kabelaufklärung darf der Dienst für Cyber- und elektromagnetische Aktionen der Schweizer Armee, kurz Cyberdienst oder CEA, gemäss der Nachrichtendienstverordnung diese Kabel in der Schweiz anzapfen. Das geschieht bei den Internetprovidern, also zum Beispiel der Swisscom, Salt oder Sunrise. Laut Artikel 29 der Verordnung müssen die «Betreiberinnen von leitungsgebundenen Netzen und die Anbieterinnen von Telekommunikationsdienstleistungen» dem Cyberdienst den «Zutritt zu den für die Kabelaufklärung benötigten Räumen» gewähren, «um die Installation von technischen Komponenten zu ermöglichen, die für die Durchführung von Kabelaufklärungsaufträgen notwendig sind».
Fredy Künzler, Netzwerkingenieur und Geschäftsführer von Init7, einem Internetanbieter aus Winterthur, erzählt, wie der Cyberdienst vorgeht. Künzler erhielt Ende 2023 einen Fragebogen. Darin müssen die Internetanbieter unter anderem beantworten, ob Datenpakete auf ihren Routern in Echtzeit kopiert werden können. Wo die Daten konkret angezapft werden, sagen auf Anfrage von plädoyer weder der Cyberdienst der Armee noch der Nachrichtendienst des Bundes.
Laut Erik Schönenberger, Informatiker und Geschäftsleiter des Vereins Digitale Gesellschaft, installiert der Cyberdienst in den Räumen der Telekomfirmen Apparaturen, die den kompletten Datenverkehr auf den grenzüberschreitenden Leitungen kopieren respektive nach einer ersten Filterung nach Zimmerwald leiten, wo der Geheimdienst seinen Sitz hat.
Gemäss Nachrichtendienstgesetz sind die Telekomfirmen verpflichtet, dem Geheimdienst technische Angaben zu machen, damit dieser Internetdaten auswerten kann. Sie müssen ihm Zugang zu den Räumen bieten und die Installation von Überwachungsgeräten an ihren Anlagen dulden. Das Gesetz verbietet den Telekomfirmen, über die Überwachungsaufträge zu sprechen. Verdachtsunabhängige Massenüberwachung von Daten darf der Cyberdienst gemäss Gesetz nur bei der grenzüberschreitenden Kommunikation vornehmen. Sind sowohl Sender als auch Empfänger in der Schweiz, dürfen die Daten laut Gesetz nicht verwendet werden.
Netzwerkingenieur Künzler sagt dazu: «Das Ziel von Datentransporten kann nicht im Voraus festgestellt werden. Deshalb kopiert der Geheimdienst den ganzen Datenverkehr eins zu eins.» Gemäss Schönenberger untersuchen die Analysten des Cyberdienstes die Datenströme anschliessend detailliert und wandeln die Signale in lesbare Kommunikationsdaten um. Beispielsweise werden Gespräche automatisch transkribiert oder Inhalte auf Deutsch übersetzt. Anschliessend wird die Kommunikation nach Suchbegriffen durchforstet und sortiert.
Nicht nur Metadaten, auch Inhalte werden erfasst
Laut dem Zürcher Rechtsanwalt Viktor Györffy, der die Klage gegen den NDB verfasste, beginnt die Überwachung bereits mit der Auswertung durch den Geheimdienst. «Grundsätzlich kann jede Form von elektronischer Kommunikation Gegenstand der Kabelaufklärung sein.» Der Anwalt meint damit etwa Daten aus der Nutzung von Internetseiten, E-Mails, Kommunikationsplattformen, aber auch Telefonie und Fax. «Erfasst werden können sowohl Inhalte wie auch Metadaten.
Metadaten können Hinweise darauf geben, wo sich die Kommunikationsteilnehmer befinden oder wann und über welche Kanäle sie kommunizieren», so Györffy. Mit dieser Überwachungsmethode werde bewusst in Kauf genommen, «auch vollkommen unbescholtene Personen zu überwachen». Das stelle eine anlasslose Massenüberwachung dar, was das Bundesgericht bestätigte (BGE 147 I 280).
Viktor Györffy kritisiert, damit werde auch der Schutz von Berufsgeheimnissen ausgehöhlt und verletzt. «Die Funk- und Kabelaufklärung analysiert jegliche Kommunikation anlasslos, die in den erfassten Datenströmen enthalten ist, und damit unvermeidlich auch allfällige Kommunikation zwischen einem Träger eines Berufsgeheimnisses und Personen, die diesen konsultieren.» Es mache die Verletzung nicht rückgängig, wenn die Geheimdienste bei einer Verwendung von Daten feststellen würden, dass diese dem Berufsgeheimnis unterliegen und die Daten aussondern und nicht mehr verwenden.
«Einen wirksamen Schutz gegen die weitere Verwendung solcher Daten gibt es nicht», moniert Györffy. Für den Präsidenten des Schweizerischen Anwaltsverbands, Matthias Miescher, ist es «aus rechtsstaatlicher Sicht alarmierend, wenn nicht nur die Privatsphäre rechtschaffener Bürgerinnen und Bürger systematisch verletzt wird, sondern auch Informationen, die gesetzlich vor Überwachung geschützt sind, systematisch ausgehorcht werden».
Bei Prisca Fischer müssten seit dem Bundesgerichtsentscheid eigentlich alle Alarmglocken läuten. Sie ist Chefin der unabhängigen Aufsichtsbehörde über die nachrichtendienstlichen Tätigkeiten, die der Bundesrat 2017 geschaffen hat. Doch die Juristin sagt, es sei technisch gar nicht möglich, Datenströme bei den Providern direkt zu filtern. «Man kann diesen Signalstrom selbst nicht unmittelbar durchsuchen, man muss ihn abfangen mit dem Wissen, dass in diesem Aufkommen alles oder gar nichts enthalten ist.»
Für Prisca Fischer ist entscheidend, dass die Kabelaufklärung durch den Cyberdienst durchgeführt werde und nicht durch den Nachrichtendienst des Bundes (NDB). «Das sind zwei unterschiedliche Ämter», sagt sie. Der Cyberdienst führe keine nachrichtendienstlichen Analysen durch, er habe «kein Interesse, das Gesetz falsch anzuwenden, da er die gewonnenen Angaben nicht für eigene Zwecke benutzen soll». Laut Fischer hält sich der Cyberdienst an die Gesetze. Die Kabelaufklärung werde einzig für die Informationsgewinnung gemäss Artikel 39 Absatz 1 NDG über Vorgänge im Ausland eingesetzt.
Aufsichtsbehörde «unfassbar blauäugig»
Für den emeritierten Rechtsprofessor Rainer J. Schweizer, der rund zehn Jahre als Präsident der damaligen Rekurskommission für den Datenschutz auf Bundesebene unmittelbar Einsicht in die Arbeit des Nachrichtendienstes des Bundes hatte, ist Fischers Sicht «nicht haltbar». «Rechtlich und materiell ist der Cyberdienst Bestandteil der Nachrichtendienstorgane des Bundes. Das ist keine neutrale Stelle, es ist eine Ausführungsstelle für den Nachrichtendienst. Der Auftraggeber ist der Nachrichtendienst.» Zu behaupten, es seien zwei unterschiedliche Einheiten, sei «unfassbar blauäugig». Schweizer kritisiert den Tätigkeitsbericht der Aufsichtsbehörde als «völlig inhaltslos».
«Obwohl wir wissen, dass der Nachrichtendienst des Bundes Anwälte wie auch politische Organisationen in der Schweiz ins Visier nimmt, geht der Tätigkeitsbericht mit keinem Wort darauf ein» (plädoyer 4/2022). Damit sei die Aufsichtsbehörde «letztlich unglaubwürdig».
Gemäss Schweizer verletzt der Cyberdienst bei der Aufarbeitung der Datensätze permanent die Grundrechte aller sich in der Schweiz aufhaltenden Personen. «Die Grundrechtsverletzung aus menschenrechtlicher Sicht fängt bereits beim Anzapfen der Datenströme an.» Das Bundesgericht sage in BGE 147 I 280 unmissverständlich, dass das Beschaffen entscheidend ist.
Im Entscheid heisst es wörtlich: «Jeder Umgang mit Personendaten stellt gemäss Artikel 3 litera e Datenschutzgesetz ein Bearbeiten dar, unabhängig von den angewandten Mitteln und Verfahren. Dazu gehört insbesondere auch das Beschaffen von Daten. Vorliegend ist daher nicht erst das Weiterleiten von Daten an den NDB und die dort erfolgende Analyse und Speicherung von Daten relevant; bereits das elektronische Erfassen, Filtern und Durchsuchen von Daten durch das Zentrum für elektronische Operationen der Armee (CEA) stellt eine grundrechtsrelevante Datenbearbeitung dar.»
Das Nachrichtendienstgesetz setzt zwei Schranken, die laut Schweizer sehr wichtig sind und im Abstimmungskampf 2016 von den Behörden und vom Bundesrat immer wieder hervorgehoben wurden: Artikel 5 Absatz 5 NDG verbietet dem Nachrichtendienst die Beschaffung und Bearbeitung von Informationen über die politische Betätigung und über die Ausübung der Meinungs-, Versammlungs- oder Vereinigungsfreiheit in der Schweiz. «Es heisst ausdrücklich ‹in der Schweiz›, und damit sind selbstverständlich auch alle Ausländerinnen und Ausländer in der Schweiz gemeint.»
Massgebend sei, dass sich die betroffene Person in der Schweiz befindet. Laut Schweizer ist die Garantie von Artikel 5 Absatz 5 NDG mit der Kabelaufklärung «nicht mehr gewährleistet». «Denn diese erfasst alle Personen in der Schweiz. Und diese kommunizieren nun einmal miteinander.»
Sodann darf der Cyberdienst nach Artikel 39 Absatz 3 NDG Daten aus erfassten Signalen nur an den NDB weiterleiten, «wenn deren Inhalt den für die Erfüllung des Auftrags definierten Suchbegriffen entspricht». Die Suchbegriffe sind so zu definieren, «dass ihre Anwendung möglichst geringe Eingriffe in die Privatsphäre von Personen verursacht». Und im dritten Satz heisst es weiter: «Angaben über schweizerische natürliche oder juristische Personen sind als Suchbegriffe nicht zulässig.» Hier wird also konkret auf Schweizer Bürger abgestellt, was laut Schweizer menschenrechtlich problematisch ist.
«Die Privatsphäre von Ausländern in der Schweiz und den Schweizer Bürgern hat dieselbe Schutzwürdigkeit.» Die Unterscheidung in Artikel 5 Absatz 5 NDG und erst recht in Artikel 39 Absatz 3 dritter Satz sei «menschenrechtlich nicht haltbar». «Alle internationalen Menschenrechtsverträge wie der Uno-Pakt oder die EMRK verlangen eine Gleichbehandlung von In- und Ausländern. Die Konstruktion verstösst also gegen die EMRK und widerspricht den Menschenrechtspakten der Uno.»
Kritik an geheimer Gerichtstätigkeit
Erteilt der NDB dem Cyberdienst einen Auftrag zur Kabelaufklärung – etwa zur Überwachung einer bestimmten Gruppierung –, muss er die Genehmigung des Bundesverwaltungsgerichts einholen. Die Genehmigung gilt für höchstens sechs Monate und kann um jeweils höchstens drei Monate verlängert werden. Rainer Schweizer kritisiert, das Bundesverwaltungsgericht mache keinerlei Aussagen über die Kriterien, die der zuständige Richter Jérôme Candrian (FDP) bei seiner Genehmigung anwendet. «Das ist nicht in Ordnung. Erstens ist es die einzige geheime Gerichtstätigkeit in der Schweiz. Das ist an sich schon verfassungsrechtlich grotesk.»
Zweitens müsse eine Kontrollbehörde ihre Kriterien offenlegen, damit diese überprüfbar werden: «Wir haben es beim Nachrichtendienst des Bundes mit einer staatlichen Behörde zu tun, die von einer anderen staatlichen Behörde, dem Bundesverwaltungsgericht, eine Genehmigung braucht. Trotzdem gibt es keine Einsicht und Kontrollen – weder von der Öffentlichkeit noch von den Verfahrensbetroffenen selbst. Das führt doch unvermeidlich auf längere Zeit zu persönlich geprägten Absprachen, wenn nicht zu Kumpanei.» Die Kriterien für die Genehmigung seien nicht mal den andern Richtern des Bundesverwaltungsgerichts bekannt.
Rocco Maglio, Mediensprecher des Bundesverwaltungsgerichts, verweist auf das Gesetz: «Das Gericht prüft im Wesentlichen das Vorliegen einer konkreten Bedrohung sowie die Verhältnismässigkeit der Massnahme.» Es müsse eine konkrete Gefährdung der inneren oder äusseren Sicherheit der Schweiz vorliegen, bei der ein wichtiges Rechtsgut, etwa Leib und Leben, betroffen sei, etwa durch gewalttätig-extremistische Aktivitäten.
Bundesgerichtsentscheid nicht umgesetzt
Damit ist Rainer J. Schweizer nicht einverstanden. Laut Gesetz könne der Nachrichtendienst eine genehmigungspflichtige Beschaffungsmassnahme anordnen, wenn «die Schwere der Bedrohung die Massnahme rechtfertigt und die nachrichtendienstlichen Abklärungen bisher erfolglos waren, sonst aussichtslos wären oder unverhältnismässig erschwert würden». Zur Beurteilung solcher Massnahmen seien spezifische Kriterien unabdingbar. «Das Bundesverwaltungsgericht muss über entsprechende Kriterien verfügen, damit die Genehmigung nicht zu Beliebigkeit und Willfährigkeit entartet.»
Die Umsetzung des Entscheids des Bundesgerichts vom Dezember 2020 ist nach drei Jahren am Bundesverwaltungsgericht noch immer pendent. Das zeigt laut Schweizer, «dass der Nachrichtendienst des Bundes die Verweigerung jeglicher öffentlichen Kontrolle der Funk- und Kabelaufklärung verteidigt und den legitimierenden demokratischen Diskurs über seine Datenbeschaffungspraxis ablehnt».
Gericht segnet 85 Prozent der Überwachungen ab
Eine Delegation der Geschäftsprüfungskommission des Parlaments hat die Oberaufsicht über die Überwachung der Bevölkerung durch die Geheimdienste. Gemäss ihrem Jahresbericht vermeldete das Bundesverwaltungsgericht 2022 total 32 Anträge des NDB auf eine Überwachungsmassnahme. Das Gericht lehnte einen Antrag vollständig und vier teilweise ab. 27 Anträge wurden genehmigt.
