Das „Investigatory Powers Bill“ regelt die Befugnisse von britischen Geheimdiensten und anderen Behörden neu und stellt dabei alle bisherigen Eingriffe in Grundrechte in den Schatten. Massenhaftes Abhören und die Speicherung des Browser-Verlaufs sind nur ein Teil der Reform. Unsere Analyse aller Auswirkungen des Gesetzes.

Eine beispiellos ausgeweitete Vorratsdatenspeicherung, massenhaft abgehörte Kommunikation, zum Hacken freigegebene Geräte und neue, riesige Datenbanken: Das letzte Woche vom britischen Parlament abgesegnete „Investigatory Powers Bill“ (IP-Bill) hat es in sich.

Über ein Jahr lang arbeitete die britische Politik am umfangreichen Gesetzeswerk, das die Ermittlungsbefugnisse („Investigative Powers“) britischer Behörden dramatisch erweitert. Das bisherige Gesetz „Regulation of Investigatory Powers Act“ (RIPA) galt lange als veraltet und klammerte viele Aktivitäten aus, die im Geheimen dennoch gang und gäbe waren.

Nach den Snowden-Enthüllungen im Sommer 2013, die eine massenhafte und in Teilen illegale Überwachungspraxis britischer Geheimdienste wie dem GCHQ aufdeckten, sahen viele eine Chance, den gesetzlichen Rahmen neu abzustecken und den Überwachungsapparat auf ein neues rechtliches Fundament zu stellen.

Eine solche Modernisierung, um die „Bürger und ihre Familien zu schützen“, war auch das ausgegebene Ziel der Regierung. Herausgekommen ist ein sehr weitreichendes und gefährliches Überwachungsgesetz, für das sich im Volksmund nicht von ungefähr der Name „Snooper’s Charter“ (Schnüffelgesetz) eingebürgert hat. Bürgerrechtler bezeichnen es als „eines der extremsten Überwachungsgesetze, das je in einer Demokratie verabschiedet wurde“.

(Eine tiefergehende Analyse des Gesetzes findet sich weiter unten.)

Die komplette Überwachung

Prinzipiell gibt die Gesetzesänderung den Geheimdiensten GCHQ, MI6 und MI5 (und in vielen Fällen auch der Polizei) ein weitreichendes Arsenal an Spähmöglichkeiten an die Hand. Die Dienste dürfen jetzt sowohl gezielt, als auch massenhaft hacken, Kommunikationsverkehre abhören sowie auf den für ein Jahr gespeicherten Browser-Verlauf jedes Internetnutzers zugreifen. Außerdem wurde die Vorratsdatenspeicherung stark erweitert. Von nun an können auch Betreiber von Chatprogrammen und andere „Communications Provider“ dazu aufgefordert werden, Metadaten zu speichern.

Zudem können Firmen dazu angehalten werden, bei der Entschlüsselung ihrer Dienste zu helfen und neue Fähigkeiten im Vornherein der Regierung mitzuteilen, damit diese sich darauf einstellen kann. Abgesehen davon ist es den Geheimdiensten erlaubt, auf große Datenbanken wie die des Nationalen Gesundheitsdienstes NHS zuzugreifen.

Die Ermächtigung, die eben genannten Daten zu erheben oder zu nutzen, bedarf größtenteils der Zustimmung eines Ministers und eines „Judicial Commissioners“. Dieses sogenannte Double-Lock-System gilt als Fortschritt. Dennoch muss man beachten: Diese Judicial Commissioner werden vom Premierminister ernannt, derzeit also Theresa May.

Kein nennenswerter Widerstand

Den Anfang nahm der Gesetzesentwurf bereits vor einigen Jahren. Von der damaligen Innenministerin Theresa May wurde das noch extremere „Draft Communications Bill“ vorgeschlagen, das der einstige Koalitionspartner, die Liberal Democrats, jedoch erfolgreich stoppen konnte. Nach dem Wahlsieg der Konservativen kam Ende 2015 dann das überarbeitete IP-Bill auf den Tisch.

Der öffentliche Aufschrei blieb allerdings aus. Überschattet vom Brexit-Referendum und der US-Wahl, wurde der Gesetzesinhalt in der öffentlichen Diskussion von den meisten ignoriert. Eine Umfrage im April ergab freilich, dass eine Mehrheit der Briten dem Gesetz grundsätzlich nicht entgegensteht.

Im ersten Interview eines MI5-Präsidenten überhaupt verteidigte der langjährige Geheimdienstmitarbeiter Andrew Parker das IP-Bill. Man habe die richtige Balance zwischen Privatsphäre und Sicherheit gefunden, so Parker. Befürworter feiern das Gesetz als Fortschritt, da es transparenter sei als die Vorgängerregelung und man eine rechtliche Grundlage sowie bessere Kontrollmechanismen eingeführt hätte. Das wirkt allerdings sehr zynisch, da viele der nun legalisierten Aktivitäten zuvor alltägliche Praxis waren, nur eben ohne Wissen des Parlaments oder der Bevölkerung.

Die Opposition hat versagt

Erst vor wenigen Wochen stellte ein Gericht fest, dass die Geheimdienste jahrelang Daten im großen Stil illegal erhoben und verwertet haben. Die Warnrufe der Zivilgesellschaft konnten jedoch nicht genug Aufmerksamkeit und Gegenwehr erzeugen.

The UK has just legalized the most extreme surveillance in the history of western democracy. It goes farther than many autocracies. https://t.co/yvmv8CoHrj — Edward Snowden (@Snowden) November 17, 2016

Das Gesetz konnte auch in dieser Form verabschiedet werden, weil die Labour-Partei, geschwächt von internen Machtkämpfen, nicht ihre Rolle als größte Oppositionpartei wahrnahm. „Sie hat versagt, die Regierung zur Rechenschaft zu ziehen“, kritisierte etwa Jim Killock, der Direktor der Open Rights Group.

Im Juni stimmte die Labour-Partei schließlich zusammen mit der Regierung für das Gesetz, nachdem „bedeutende Forderungen“ übernommen worden seien. Die Gegenstimmen der Scottish National Party, der Grünen und der Liberal Democrats hatten keinen Einfluss mehr.

Das Oberhaus des britischen Parlaments, das House of Lords, konnte in der zweiten Jahreshälfte noch kleine Verbesserungen einbringen, die meisten davon haben aber eher Symbolcharakter. So wurde zum Beispiel am Anfang des Gesetzes noch ein Satz hinzugefügt, der betont, dass die Befugnisse des Gesetzes das Recht auf Privatsphäre beeinträchtigen.

Solange die Unterschrift der Königin fehlt, kann das Gesetz noch nicht in Kraft treten. Dieser Schritt gilt jedoch als reine Formsache und wird für die nächsten Wochen erwartet.

Eine düstere Zukunft

Der individuelle Bürger kann natürlich versuchen, mit Anonymisierungswerkzeugen wie TOR und der Vermeidung von unverschlüsselter Kommunikation, den Schutz der eigenen Privatsphäre zu erhöhen. Erfahrungsgemäß verzichten jedoch viele Nutzer aus Bequemlichkeit auf solche Mittel, die zudem nicht gegen alle neuen Befugnisse wirken.

Unabhängig ist davon auszugehen, dass Bürgerrechtsorganisationen rechtliche Wege einschlagen werden, um das Gesetz anzufechten. Für die Zukunft besteht allerdings die Sorge, dass das Vereinigte Königreich aus der europäischen Menschenrechtskonvention austreten könnte. Dies wurde beispielsweise von Theresa May ins Gespräch gebracht, sie hat diesen Vorschlag allerdings auch wieder zurückgezogen.

Großbritannien hat sich mit dem IP-Bill ein extrem weitreichendes und repressives Überwachungsgesetz übergezogen. Diktatoren weltweit können nun jede Kritik des Westens an der Überwachung ihrer Bürger mit einem einfachen Fingerzeig auf dieses Gesetz als scheinheilig darstellen. Am Ende bleibt eine Zivilgesellschaft übrig, die nun mehr denn je für ihre Freiheits- und Grundrechte kämpfen muss.

Theresa May verspricht: I’ll be watching you.

Die neuen Regelungen im Detail

Der gesamte Gesetzestext des IP-Bill lässt sich hier abrufen. Einen guten Hintergrund bietet unser Bericht aus dem Sommer, der den operativen Nutzen der jeweiligen Befugnisse untersucht hat.

Hacken

Regionale und nationale Polizeibehörden sowie Geheimdienste (GCHQ, MI5, MI6) können zur Informationsgewinnung Computer aller Art hacken und modifizieren (engl. „Equipment Interference“). Parlamentsmitglieder, Journalisten und Ärzte genießen einen minimal höheren Schutzgrad, bei ersteren muss beispielsweise noch der Premierminister zustimmen und es gelten strengere Regeln, wie mit den gewonnenen Informationen umgegangen werden muss; ausgenommen sind sie aber nicht.

Zur Anwendung kommen die Befugnisse in Fällen von nationalem Interesse, zur Vermeidung und Feststellung einer schweren Straftat und selbst in Fällen von nationalem wirtschaftlichen Interesse, falls diese mit der nationalen Sicherheit zusammenhängen. Es bedarf der Zustimmung des zuständigen Ministers und üblicherweise der eines „Judicial Commissioners“.

Die Polizei darf die neuen Instrumente zur Vermeidung und Feststellung einer schweren Straftat einsetzen. Ein „Law Enforcement Chief“ und ein „Judicial Commissioner“ müssen dafür zustimmen. Die Geheimdienste dürfen sogar großflächig Technik manipulieren, sprich hacken (engl. „Bulk Equipment Interference“), solange es sich um „overseas-related communication“ oder um Informationen zu sich im Ausland befindenden Personen handelt.

Dies trifft zum Beispiel zu, wenn sich einer der Gesprächspartner im Ausland aufhält oder wenn es um eine Region im Ausland geht, in der Terroristen vermutet werden. Die Befugnis wird auf gleichem Wege erteilt wie bei der gezielten „Equipment Interference“. Grenzen, die genau abstecken, was erlaubt ist und was nicht, bestehen praktisch nicht:

Teil 6 Kapitel 3, 177 (5):

„Die Vollmacht zum großflächigen Hacken autorisiert auch folgendes Vorgehen (zusätzlich zu dem in der Vollmacht beschriebenen Vorgehen) — (a) jedes Vorgehen, das notwendig ist, um auszuführen, was durch die Vollmacht autorisiert oder benötigt wird, einschließlich dem Vorgehen zur Sicherung der Beschaffung von Kommunikationen, Geräteinformation oder andere Informationen;“ [eigene Übersetzung, Original folgt]

Part 6 Chapter 3, 177 (5):

A bulk equipment interference warrant also authorises the following conduct (in addition to the conduct described in the warrant) — (a) any conduct which it is necessary to undertake in order to do what is expressly authorised or required by the warrant, including conduct for securing the obtaining of communications, equipment data or other information;

Extreme Vorratsdatenspeicherung

Mit der Einführung des neuen Gesetzes müssen sogenannte „internet connection records“ für ein Jahr gespeichert werden. Der weit gefasste Begriff bezieht sich unter anderem auf alle bei Internet-Providern anfallenden Daten, etwa die von einem Nutzer angesteuerte Domain (inklusive der Metadaten) oder die Metadaten bei Messenger-Diensten. Neben weiteren Merkmalen würde zum Beispiel gespeichert, wann und von wo der Benutzer die Seite „www.netzpolitik.org“ angesteuert hat. Designierte „senior officers“ können ihrer jeweiligen Behörde die Zugriffsbefugnis auf solche Daten erteilen. Dies kann ein Geheimdienst sein, genauso gut allerdings auch eine Polizei-, Steuer- oder Zollbehörde. Es gibt nahezu keine Beschränkung, in welchen Fällen die Erlaubnis erteilt werden darf. Die uferlose Liste im Detail:

Teil 3, 62 (7): (a) im Interesse der nationalen Sicherheit,

(b) mit dem Ziel der Verhinderung oder Aufklärung von Kriminalität oder der Verhinderung von Unordnung,

(c) im Interesse des wirtschaftlichen Wohls des Vereinigten Königreichs, so lange diese Interessen auch relevant für die äußere Sicherheit sind,

(d) im Interesse der öffentlichen Sicherheit,

(e) mit dem Ziel, die öffentliche Gesundheit zu schützen,

(f) mit dem Ziel, eine beliebige Steuer, Zollgebühr, Abgabe oder eine andere auferlegte Zahlung, Beitrag oder Gebühr, die an ein Ministerium zu zahlen ist, zu bewerten oder zu erheben,

(g) mit dem Ziel, den Tod, die Verletzung oder jeden anderen Schaden an der physischen oder mentalen Gesundheit einer Person zu verhindern oder zu mildern,

(h) um Untersuchungen zu Justizirrtümern zu unterstützen,

(i) wenn eine Person („P“) gestorben ist oder unfähig ist, sich selbst wegen einer physischen oder mentalen Beeinträchtigung zu identifizieren—

(i) um die Identifizierung von P zu unterstützen

(ii) um Informationen über den nächsten Angehörigen von P oder einer anderem, mit P verbundenen Person zu erlangen oder um Informationen über den Tod oder die Beeinträchtigung von P zu erlangen oder

(j) mit dem Ziel, Aufgaben wahrzunehmen, die

(i) die Regulierung von Finanzdienstleistungen oder Finanzmärkten betreffen oder

(ii) finanzielle Stabilität betreffen. [eigene Übersetzung, Original folgt]

Part 3 62 (7):

(a) in the interests of national security,

(b) for the purpose of preventing or detecting crime or of preventing disorder,

(c) in the interests of the economic well-being of the United Kingdom so far as those interests are also relevant to the interests of national security,

(d) in the interests of public safety,

(e) for the purpose of protecting public health,

(f) for the purpose of assessing or collecting any tax, duty, levy or other imposition, contribution or charge payable to a government department,

(g) for the purpose of preventing death or injury or any damage to a person’s physical or mental health, or of mitigating any injury or damage to a person’s physical or mental health,

(h) to assist investigations into alleged miscarriages of justice,

(i) where a person (“P”) has died or is unable to identify themselves because of a physical or mental condition—

(i) to assist in identifying P, or

(ii) to obtain information about P’s next of kin or other persons connected with P or about the reason for P’s death or condition, or

(j) for the purpose of exercising functions relating to—

(i) the regulation of financial services and markets, or

(ii) financial stability.

Eine interessante Randnotiz ist, dass die Geheimdienste die Regelung zur Speicherung der Web-Chronik gar nicht für nötig hielten – allerdings nicht aus Bescheidenheit, denn man war bereits in Besitz dieser Fähigkeit. Es war vor allem die Polizei, die hierfür gekämpft hat. Ebenfalls neu eingeführt wurde der Straftatbestand, wenn man als Mitarbeiter einer Firma öffentlich macht, dass Daten angefragt wurden. Ein Maulkorb, der die Kontrolle des Gesetzes noch schwieriger macht.

Privacy International weist darauf hin, dass insgesamt eine extreme Macht erschaffen wurde, insbesondere in Kombination mit der Erlaubnis zum Hacken.

Erstellung und Zugriff auf Datenbanken

Mit einer speziell erteilten Befugnis wird den Geheimdiensten gestattet, öffentliche und private Datenbanken zu analysieren (engl.: „Bulk Data Sets“). Damit können gänzlich neue Datenbanken entstehen, die sowohl aus öffentlichen als auch nichtöffentlichen Daten bestehen – etwa aus Krankendaten des Nationalen Gesundheitsdienstes NHS. Im Code of Practice werden noch zusätzliche Rahmenbedingungen definiert, allerdings sagt der Gesetzestext sogar explizit, dass hierbei auch zu großen Teilen Menschen betroffen sind, die sich nichts zu Schulden haben kommen lassen.

Abhören

Polizeien und Geheimdiensten wird die Möglichkeit gegeben, gezielt Kommunikation abzuhören (engl. „Interception“). Es gelten vergleichbare rechtliche Vorschriften zu den Gründen und dem Prozedere wie beim Hacken.

Passenderweise hat im September das „Interception of Communications Commissioner’s Office“ seinen jährlichen Bericht vorgelegt. Darin wird nicht nur die unbefugte Sammlung von Kommunikation bemängelt, sondern es wurde auch aufgeführt, dass es wegen Fehlern zu 17 fälschlichen Verhaftungen gekommen ist.

Zusätzlich erhalten die Geheimdienste die Möglichkeit zum massenhaften Abhören (engl. „Bulk Interception“). Wie bei „bulk equipment interference“ muss sich allerdings mindestens einer der Gesprächspartner im Ausland befinden oder sich der Inhalt aufs Ausland beziehen. Dazu gibt es die Einschränkung, dass Befugnisse nur zum Auffinden von schwerwiegenden Straftaten oder in bestimmten Fällen von nationalem Interesse erteilt werden dürfen (beispielswiese nicht, wenn es um die Beweisfindung für einen internationalen Gerichtsprozess geht).

Verschlüsselung

Firmen können dazu aufgefordert werden, bei der Umgehung von Verschlüsslung zu helfen. Erwartungsgemäß war dies auf Gegenwehr vieler Internetfirmen gestoßen – und wirft Fragen über die Zukunft von Verschlüsselung im Vereinigten Königreich auf. Allerdings können ausländische Firmen nur dann dazu aufgefordert werden, wenn es um gezielte und nicht um massenhaften Anfragen geht.

Im „Draft Code of Practice wird auch spezifiziert, dass die Regierung Firmen dazu bringen kann, sie über zukünftige Neuerungen zu informieren, damit erstere rechtzeitig reagieren und, wenn nötig, Anforderungen an den neuen Dienst stellen kann (Kapitel 7.30).

Investigatory Powers Commissioner

Eine weitere Neuerung des Gesetzes ist die Einführung einer „Investigatory Powers Commission“ (IPC), welche die bestehenden Stellen des „Interception of Communications Commissioner”, “Intelligence Services Commissioner” und “Chief Surveillance Commissioner” ersetzt. Die Kommission und ihre Mitglieder sollen als zweite Instanz für die Erteilung von Ermächtigungen dienen.

Der oder die Vorsitzende muss zuvor ein hohes Richteramt belegt haben und wird als Teil seiner Aufgaben öffentlich berichten, Reformvorschläge machen und Leitlinien für die Benutzung der Überwachungsfähigkeiten erstellen. Alle Mitglieder werden vom Premierminister ernannt.

“Sicherheitsvorkehrungen“

Generell wird im Gesetz durchgängig die Pflicht zur Prüfung der Verhältnismäßigkeit und weitere Bestimmungen zu den Befugnissen, beispielsweise deren Dauer oder welche Informationen an wen weitergegeben werden dürfen, festgeschrieben. Auch ob ein weniger in die Privatsphäre eingreifendes Mittel zum Ziel führen könnte, muss künftig geprüft werden. Für die Erteilung einer Erlaubnis zur Identifizierung von journalistischen Quellen gilt zudem eine etwas höhere rechtliche Schwelle und Mitglieder von „sensiblen“ Berufen wie Ärzte, Anwälte oder Mitglieder des Parlamentes genießen einen etwas höheren Schutz.

Wenn ein Beamter unrechtmäßig Daten erhebt, kann dies nun strafrechtlich verfolgt werden. Ein „Anfragefilter“ soll außerdem dafür sorgen, dass nur Daten weitergegeben werden, die auch tatsächlich angefragt wurden.