Investigatory Powers Bill

Neues britisches Überwachungsgesetz verabschiedet

23.11.2016
Von    und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Das neue Überwachungsgesetz "Investigatory Powers Bill" hat beide Kammern des britischen Parlaments passiert. Es stärkt die Befugnisse von britischen Geheimdiensten und anderen Behörden in großem Maße.

Das Gesetz sieht eine ausgeweitete Vorratsdatenspeicherung, anlasslose Massenüberwachung, Erlaubnis zum Hacken und neue, riesige Datensammlungen vor. Das Gesetz gehört damit zu den weitreichendsten Legitimationen für die Geheimdienste weltweit.

Damit endet der Gesetzgebungsprozess, der im November 2015 mit einem Entwurf der damaligen Innenministerin Theresa May begann. Nachdem zuvor der Europäische Gerichtshof die Vorratsdatenspeicherung untersagt hatte, trieb die jetzige Premierministerin in ihrer damaligen Rolle als Innenministerin ein Notstandsüberwachungsgesetz (Data Retention and Investigatory Powers Act, kurz DRIPA) durch das Parlament, welches jedoch zeitlich begrenzt war und bereits mehrfach verlängert wurde. Die "Investigatory Powers Bill" soll hier eine "Lücke" verhindern und gleichzeitig legalisieren, was im Geheimen wohl bereits gängig war.

James Bond lässt grüßen: Die britischen Geheimdienste dürfen bald (fast) alles.
James Bond lässt grüßen: Die britischen Geheimdienste dürfen bald (fast) alles.
Foto: Mindscape studio - shutterstock.com

George Orwell 2.0?

Wer hat wann welche Webseite besucht? Wer nutzt welche Apps? Wer hat wann mit wem kommuniziert? All diese Fragen können in Zukunft wohl die Geheimdienste GCHQ, MI6 und Mi5 und in vielen Fällen wohl auch die Polizei beantworten. Denn das neue britische Überwachungsgesetz erlaubt den Ermittlungsbehörden die gezielte sowie massenhafte Überwachung der Kommunikation, das staatliche Hacken von Telefonen, Computern und anderen elektronische Geräten, sowie den Zugriff auf den zu speichernden Browser-Verlauf eines Internetnutzers. Dazu werden Internetanbieter verpflichtet, für jeden ihrer Kunden alle besuchten Webseiten für zwölf Monate zu speichern.

Grundsätzlich benötigen die Sicherheitsbehörden für jeden Eingriff die Erlaubnis einer höheren Instanz. Um die genannten Daten also erheben oder nutzen zu können, bedarf es der Zustimmung eines Ministers und eines "Judicial Commisioners". Durch dieses "Sicherheitssystem" soll garantiert werden, dass die Befugnisse nicht ausgenutzt werden. Damit gilt das Verfahren bereits jetzt als Fortschritt. Allerdings werden die "Judicial Commisioners" vom Premierminister ernannt, weshalb Kritiker befürchten, dass in der Praxis keine wirkliche Kontrolle stattfinden und im Zweifel der beantragten Maßnahme stattgegeben werden wird. Befürworter des Gesetzes könnten dem jedoch eine weitere Neuregelung entgegenhalten. In Zukunft soll nämlich eine Kommission, die "Investigatory Powers Commission" (IPC), als zweite Instanz für die Erteilung von Ermächtigungen dienen. Zwar werden auch diese Mitglieder von der Premierministerin ernannt, aber zumindest der oder die Vorsitzende muss zuvor ein hohes Richteramt bekleidet haben.

Hacken, abhören, speichern

Ausdrücklich wird der Polizei und den Geheimdiensten erlaubt, zur Informationsgewinnung Computer oder Smartphones zu hacken. Die Behörden können also gezielt Schwachstellen ausnutzen oder sich beispielsweise über einen Trojaner Zugang zu elektronischen Geräten verschaffen. Zwar bedarf eine solche Maßnahme der Ermächtigung einer höheren Instanz, dafür sind allerdings die Anwendungsfälle sehr weit gefasst. Für ein Hacking soll bereits ausreichend sein, dass ein Fall von nationalem Interesse, zur Vermeidung und Feststellung einer schweren Straftat vor-liegt oder ein Fall von nationalem wirtschaftlichen Interesse, falls dieser auch mit der nationalen Sicherheit zusammenhängt. Noch großflächiger dürfen Geheimdienste hacken, wenn es sich um Kommunikationen ins Ausland handelt. Dass sich ein Gesprächspartner im Ausland aufhält, könnte bereits für eine Maßnahme ausreichen.

Firmen können durch das Gesetz verpflichtet werden, den Geheimdiensten und der Polizei zu helfen, technische Sicherheitsmaßnahmen in ihren Produkten, wie etwa eine Verschlüsselung, zu umgehen bzw. "Hintertüren" in die technischen Schutzmaßnahmen einzubauen. Großes Aufsehen erregte der Versuch des FBI, Apple in den USA zu verpflichten, das iPhone eines Terroristen zu entsperren. Hier wird nun im britischen Gesetz eine rechtliche Grundlage für diese Verpflichtung geschaffen. Technische Schutzmaßnahmen werden in Großbritannien also zukünftig mit Vorsicht zu genießen sein.

Des Weiteren legalisiert das Gesetz eine Vorratsdatenspeicherung, die weit über das bisher Erlaubte hinausgeht. Telekommunikationsanbieter müssen zukünftig sogenannte "internet connection records" für zwölf Monate speichern. Der sehr weit gefasste Begriff umfasst beispielsweise alle bei einem Internet-Provider anfallenden Daten. Mithin wird gespeichert, wer wann welche Webseite aufruft, wer mit wem E-Mails schreibt oder chattet, wer welche App nutzt etc.

"Snooper’s Charter"

Deshalb wird das Gesetz von Kritikern und in der Öffentlichkeit auch als "Snoopers’s Charter" (zu Deutsch "Schnüffelgesetz") bezeichnet. Mit der "Investigatory Powers Bill" hat sich Großbritannien ein extrem weitreichendes und repressives Überwachungsgesetz gegeben. Kritiker, wie Edward Snowden, sprechen sogar vom größten Überwachungsgesetz der westlichen Demokratie, das sogar weitreichender sei als in vielen autokratischen Staaten. Tatsächlich geht Großbritannien weit über das hinaus, was der Europäische Gerichtshof in Sachen Vorratsdatenspeicherung für zulässig hielt. Und dabei ging es vornehmlich um die Speicherung und den Zugriff auf Verbindungs- und Standortdaten. Ob es trotz des geplanten Brexit zu einem Verfahren kommt, bleibt abzuwarten. Jedenfalls ist davon auszugehen, dass Bürgerrechtsorganisationen rechtliche Wege einschlagen werden, um das Gesetz doch noch zu kippen.

Vergleich zu Deutschland

Dass es bereits in der Vergangenheit zu einer massenhaften Internetüberwachung durch den amerikanischen Geheimdienst NSA und den britischen GCHQ gekommen ist, hatte bereits im Juni 2013 der ehemalige NSA-Mitarbeiter Edward Snowden enthüllt. Weil auch Deutschland davon betroffen gewesen sein soll, hat der Deutsche Bundestag einen Untersuchungsausschuss dazu eingerichtet. Wie erst vor kurzem bekannt wurde, muss nach einem Beschluss des Bundes-gerichtshofes der Untersuchungsausschuss erneut darüber abstimmen, ob Snowden als Zeuge in Deutschland befragt werden soll. Unter Umständen müsste die Bundesregierung dann die Voraussetzungen für eine Vernehmung in Deutschland schaffen. Auch der Streit um die sog. NSA-Selektorenlisten und der Widerstand gegen die Vorratsdatenspeicherung belegen, dass ein Gesetz wie in Großbritannien in Deutschland wohl schon politisch unmöglich, jedenfalls aber rechtlich nicht mit dem Grundgesetz vereinbar wäre. Eine endgültige Entscheidung des Bundesverfassungsgerichts über die Neuauflage der Vorratsdatenspeicherung steht jedoch noch aus. (sh)