tobelinked.me

In der Schweiz ist im Gegensatz zu Deutschland das Speichern von sogenannten Randdaten aus der Kommunikation seit über 10 Jahren erlaubt. Dies nennt sich dann Vorratsdatenspeicherung. Für ein halbes Jahr werden Daten, z.B. Informationen zum Kommunikationspartner, Handystandort, benutzte IP-Adressen im Internet und Zugriffe auf das E-Mail-Postfach aufbewahrt. Den Behörden stehen diese Daten z.B. für die Rasterfahndung zur Verfügung. Aktuell wird gerade darüber diskutiert die Vorratsdatenspeicherung und andere Massnahmen zur Überwachung auszuweiten: http://tobelinked.me/2013/03/12/meine-meinung-zu-der-totalrevision-des-bupf/

Der Verein “Digitale Gesellschaft” hat seit einiger Zeit ein Projekt am Laufen, welches Vorlagen zur Verfügung stellt um die eigenen Vorratsdaten anzufordern: http://www.digitale-gesellschaft.ch/2012/11/08/meine-vorratsdaten-jetzt/

Die Briefvorlage mit Begehren auf die Vorratsdaten habe ich am 18. Dezember 2012 Swisscom eingeschrieben zugestellt. Parallel habe ich den Eidgenössischen Datenschutzbeauftragten (EDÖB) sowie die Digitale Gesellschaft über mein Vorhaben informiert.

Am 16. Januar 2013 habe ich diesen Brief als Antwort erhalten:

Am 14. März 2013 war es soweit, nach dem ich dem Postboten eine digitale Unterschrift, meine ID Nummer und eine Unterschrift auf eine Versiegelung, die am Couvert angebracht war, gegeben hatte, händigte er mir ein Couvert mit einer Fülle von 21 Seiten persönlicher Daten aus. Die Daten stellen sich aus verschiedenen IT-Plattformen zusammen, die bei Swisscom zur internen Verwaltung genutzt werden. Diese Informationen sowie den Gehalt des Begleitbriefs ist nachfolgend in anonymisierter Form zusammengefasst und beinhalten, die meiner Meinung nach relevanten Details ohne den Anspruch auf Vollständigkeit zu haben.

Der Begleitbrief

• Erwähnt wird, dass die vorliegenden Daten anhand meines Telefonanschlusses und des entsprechenden Swisscom-Logins generiert werden.
• “Die Datensammlung beinhaltet diejenigen Daten, welche Swisscom benötigt, um ihren gesetzlichen Auskunftspflichten gegenüber den Strafverfolgungsbehörden (…) nachzukommen.” Diese Strafverfolgungsbehörden sind vornehmlich der Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF) und Informatik Service Center (ISC-EJPD).
• Der nächste Satz gefällt mir besonders: “An der Sammlung beteiligt sind die bei Swisscom mit dieser Spezialaufgaben beauftragen Spezialisten.”
• “Sie verlangen inbesonders auch Auskunft über die gestützt auf Art 15 Abs. 3 des Bundesgesetzes vom 6. Oktober 2000 betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) erhobenen / aufbewahrte Verkehrs-, Rechnungs- und Standortdaten.”
• “Ergänzend für Standortangaben möchten wir darauf hinweisen, dass Swisscom keine konkreten ‘Ortsangaben’ in Verbindungsdaten hat. Bei Verbindungen werden lediglich die Cell ID Nummern aufgrund gesetzlicher Anforderungen für Überwachungsfälle registriert. Diese Cell ID Nummern müssen zuerst mit Hilfe von Cell ID Tabellen entschlüsselt werden um überhaupt eine Ortsangabe zu erhalten”. Entschlüsselt ist hier nicht im Sinne einer Verschlüsselung zu verstehen, sondern lediglich eine Abgleiches der Daten, so wie man zum Beispiel in einem Telefonbuch nachschaut, zu wem die Telefonnummer gehört.
• “Wir haben keine Sprachaufzeichnung von Ihnen gefunden.” Da bin ich ja beruhigt, das ist ja besser als ein Strafregisterauszug.
• “Bezüglich des Surfverhaltens des Kunden speichert Swisscom keine spezifischen Daten.”

In diesem Begleitschreiben sind mir zwei Sachen aufgefallen, zum einen die vielen Gesetzesartikel die benannt wurden, die ich euch in der Zusammenfassung erspart habe und die unzähligen Rechtschreibfehler, die ich soweit möglich in den obigen Abschriften korrigiert habe.

Das ernüchternde Fazit nach der Begutachtung der mitgesandten Daten

Die weiteren Daten beschränkten sich auf 3. Plattformen aus den verschiedenen Vertragssystemen, die bei der Swisscom zum Einsatz kommen. Dabei ist die brisanteste Information, die Zahlungsmoral des Kunden die gespeichert wird. Jedoch fehlen die Randdaten (IP-Adressen der aufgebauten Datenverbindungen, die Zellen in der das Smartphone sich eingewählt hat und durch welches eine Ortung möglich wird sowie die Verbindungsdaten mit Gesprächsteilnehmenden). Das sind eben die Daten, die für die Strafverfolgungsbehörde von Interesse sind.

Um doch noch an die “echten” Vorratsdaten zu gelangen, hat der Verein “Digitale Gesellschaft” einen weiteren Brief als Vorlage veröffentlicht: http://www.digitale-gesellschaft.ch/2012/12/16/nachfassen-meine-vorratsdaten-%E2%80%93-jetzt/

Ich habe noch auf anderem Wege versucht an die Randdaten zu gelangen und habe mit der Kontaktperson telefoniert, welche im Schreiben aufgeführt wurde. Das Resultat war ernüchternd und deckt sich mit den Erfahrungen des Vereins “Digitale Gesellschaft”: http://www.digitale-gesellschaft.ch/2013/02/22/zwischenauswertung-meine-vorratsdaten-%E2%80%93-jetzt/

• Nach Aussage der Swisscom ist die Gesetzeslage klar und die Swisscom ist nicht zur Herausgabe der Randdaten verpflichtet. Dabei berufen sie sich, wie im Begleitbrief erwähnt, dass das Auskunftsrecht nach Art. 9 Abs. 1 lit a. DSG durch Art. 43 FMG eingeschränkt sei.
• Zudem sei der Prozess die Daten aufzubereiten um sie Kundinnen und Kunden zuzustellen zu kostenintensiv.
• Auch sei der EDÖB über diese Sachlage informiert.
• Ein Gerichtsverfahren würde in Kauf genommen.

Daraus ergeben sich folgende weiteren Schritte:

1. Es gelingt Druck auszuüben und die Swisscom und Andere geben nach und stellen die Daten zur Verfügung. Dafür braucht es jedoch die Unterstützung von gut verentzen Organisationen und politischen Akteuren.
2. Sollte dies ebenfalls nicht erfolgsversprechend sein bleibt nur noch ein exemplarischer Gerichtsentscheid.