Eigentlich sind es die “low-hanging-fruits” im Techjournalismus. Und trotzdem gehen sie sehr oft unter.
Ich rede von der Lektüre der Transparenzberichte der Big Tech-Unternehmen. Sehr oft erledigen VPN-Anbieter und Cybersecurity-Unternehmen in ihren Content Marketing-Blogs diese Vergleichsarbeit, die eben eigentlich unabhängige Medien machen sollten.
Diese Reports offenbaren nämlich, welches Land (bzw dessen Strafverfolgungsbehörde) wie viele Nutzerdaten von Tech-Konzerne verlangen und wie oft deren Legal Departments diese gutheissen (und Daten an die Strafverfolgung herausgeben).
Eine Anfrage kann dabei mehrere Benutzerkonten (von mutmasslichen Täter:innen) umfassen.
Der Anbieter SurfShark hat die Zahlen auch online gestellt. (Achtung, es handelt sich um ein Google Doc)
Schweiz rangiert auf Platz 15
Die Schlagzeile war heftig: Deutschland fragte nach so vielen Nutzerinformationen von Apple, Google, Microsoft und Meta wie kein anderes Land in Europa: Zwischen 2013-2022 sind es gemäss SurfShark über 700’000 Anfragen gewesen.
Die Schweiz rangiert mit 18’126 Anfragen in diesem globalen Ranking auf Platz 15 (beim pro Kopf-Vergleich/Bevölkerungsgrösse). Davon haben die IT-Konzerne 12’880 positiv beantwortet und damit Nutzerdaten an die Schweizer Behörden rausgegeben. Nur Irland und Belgien — Staaten mit vergleichbarer Bevölkerungsgrösse — liegen dabei noch vor der Schweiz.
Das Unternehmen Surfshark hält auf Anfrage fest, dass die Schweiz 3x mehr als der globale Durchschnitt abfragte. Pro Anfrage ungefähr wollten die Polizisten oder Staatsanwältinnen die Informationen von circa 1.67 Benutzerkonten.
| Company | Total requests (2013-2022) | Total fully or partially disclosed requests (2013-2022) | Disclosure rate, % | Accounts specified in requests (2013-2022) | Accounts per request |
|---|---|---|---|---|---|
| Apple | 529 | 359 | 67.9 | 709 | 1.34 |
| 9574 | 7666 | 80.1 | 16694 | 1.74 | |
| Meta | 3571 | 2188 | 61.3 | 5447 | 1.53 |
| Microsoft | 4452 | 2667 | 59.9 | 7561 | 1.70 |
Dabei war Google offenbar am Auskunftsfreudigsten.
Von insgesamt 9674 Anfragen beantwortete Google 7666 positiv oder gab zumindest Teil-Informationen heraus. Insider beim Bundesamt für Polizei fedpol, dem ISC-EJPD (IT-Dienstleister des Eidgenössischen Justizdepartments) und dem Dienst ÜPF sagten mir während einer früheren Recherche: die Zusammenarbeit zwischen den Schweizer Behörden mit Google sei eine geölte und eingespielte Maschinerie, es gäbe sogenannte “Lawful Interests”-Officers bei Google die solche Anfragen weltweit rund um die Uhr bearbeiten. In einem Quartal des Jahr 2022 beantwortete der Big Tech-Konzern von 1318 Anfragen der Schweizer Behörden 1199 positiv (in einem anderen Quartal sind es sind es 1081 von 1175).
Google früher restriktiv, heute kommunikativ
Interessant dabei: Dies war nicht immer so. Früher harzte die Kooperation offensichtlich und das belegt auch die Statistik. So hatte der Big Tech-Konzern noch bis ins Jahr 2018 nur rund 50% der Gesuche an die Schweiz herausgegeben.
Ab 2019 schnellten dann die Zahlen hoch. Die Frage ist: Lag es vorher an der mangelnden Kooperation seitens von Google oder weil die Anfragen etwa gegen die Anforderungen von Google verstiessen?
| Jahr | Halbjahrreport | Details | Requests | Total fully or partially disclosed requests | Accounts specified in requests |
|---|---|---|---|---|---|
| 2016 | 2016-06-30 | Emergency Disclosure Requests | 5 | 5 | 5 |
| 2016 | 2016-06-30 | Other Legal Requests | 68 | 23 | 102 |
| 2016 | 2016-12-31 | Other Legal Requests | 99 | 39 | 135 |
| 2017 | 2017-06-30 | Emergency Disclosure Requests | 2 | 2 | 2 |
| 2017 | 2017-12-31 | Emergency Disclosure Requests | 4 | 2 | 7 |
| 2017 | 2017-06-30 | Other Legal Requests | 148 | 90 | 205 |
| 2017 | 2017-12-31 | Other Legal Requests | 206 | 119 | 370 |
| 2018 | 2018-06-30 | Emergency Disclosure Requests | 5 | 5 | 6 |
| 2018 | 2018-12-31 | Emergency Disclosure Requests | 8 | 4 | 17 |
| 2018 | 2018-12-31 | Other Legal Requests | 321 | 183 | 381 |
| 2018 | 2018-06-30 | Other Legal Requests | 300 | 141 | 396 |
| 2019 | 2019-06-30 | Emergency Disclosure Requests | 14 | 10 | 23 |
| 2019 | 2019-12-31 | Emergency Disclosure Requests | 18 | 12 | 40 |
| 2019 | 2019-06-30 | Other Legal Requests | 491 | 373 | 651 |
| 2019 | 2019-12-31 | Other Legal Requests | 574 | 476 | 1073 |
| 2020 | 2020-06-30 | Emergency Disclosure Requests | 18 | 14 | 29 |
| 2020 | 2020-12-31 | Emergency Disclosure Requests | 21 | 15 | 31 |
| 2020 | 2020-06-30 | Other Legal Requests | 818 | 663 | 1536 |
| 2020 | 2020-12-31 | Other Legal Requests | 904 | 759 | 1885 |
Die Änderung hatte auch die Aargauerzeitung.ch im Jahr 2019 bemerkt. Das Medienportal führt diese Änderung auf den neuen “direkten Draht” zwischen fedpol und Meta, Google und Apple zurück. Doch wie läuft das genau ab? Braucht es einen Gerichtsbeschluss der Schweiz? Und müssen Schweizer Behörden nicht zuerst über die US-Behörden ein Rechtshilfeersuchen stellen?
Das Bundesamts für Justiz erklärt den Ablauf ausführlich:
“Die schweizerische Strafverfolgungsbehörde, die elektronische Daten bei einem Internet Service Provider (ISP) in den USA erheben will, sendet zunächst einen «preservation of records request» (PR) an die USA, damit die Daten einstweilen (bis zum Eintreffen des justiziellen Rechtshilfeersuchens) gesichert werden.
Dieser PR kann entweder direkt an den betreffenden ISP geschickt werden, oder aber an das fedpol, welches den PR dann an das CCIPS (Computer Crime and Intellectual Property Section) als zuständige Abteilung des U.S. Department of Justice sendet. Der CCIPS sendet dann den PR (eigener PR) an den ISP in den USA. Das Bundesamt für Justiz (BJ) steht zu keinem Zeitpunkt in direktem Kontakt mit den ISP in den USA.
Daraufhin wird über das BJ ein formelles Rechtshilfeersuchen der schweizerischen Staatsanwaltschaft an das U.S. Department of Justice geschickt und die Herausgabe der einstweilen gesicherten Daten verlangt. Die schweizerische Behörde muss dabei zwar keinen Beschluss eines schweizerischen Gerichts mitliefern, aber den Sachverhalt der hiesigen Strafuntersuchung so belegen, dass das U.S. Department of Justice in den USA beim zuständigen Gericht einen Beschluss erwirken kann, der dann durch die US-Behörden dem ISP zugestellt wird. Für Datenerhebungen in den USA ist für alle Datenarten ein Beschluss erforderlich, die Beweishürde unterscheidet sich aber je nach Art der Daten, die verlangt werden.
Die vom ISP herausgegebenen Daten gehen zunächst an das U.S. Department of Justice, welche die Daten auf «scope» und «completeness» prüft und dann an das BJ übermittelt, welches die Daten schliesslich an die schweizerische Staatsanwaltschaft liefert.”
Mediensprecher des BJ
Kurz zusammengefasst: Es gibt eine Schnell-Sicherung der Daten in einem Eilverfahren. Die Staatsanwaltschaft von Aargau oder Genf richtet ihre Anfrage direkt an Google oder geht dann via fedpol. Das Bundesamt für Justiz startet parallel dazu ein Rechtshilfeverfahren und ersucht um Hilfe beim US Department of Justice. Der Prozess läuft also mehrspurig.
Wann lehnt Google eine internationale Anfrage ab? Gemäss eigenen Angaben können Formfehler, aber auch inhaltliche Gründe können gegen die Anfrage sprechen: Etwa, wenn eine Polizeibehörden Informationen verlangt, die den Prinzipien der Global Network Initiative zu Meinungsfreiheit und Privatsphäre widersprechen (weil etwa ein Oppositioneller wegen seiner Meinungsäusserung verfolgt wird). Google prüft gemäss eigenen Angaben, ob eine Anfrage mit der Weitergabe mit US-Recht, dem Recht des anfragenden Landes und internationalen Normen vereinbar ist.
Ich fragte beim Bundesamt für Justiz nach, weshalb seit 2018/2019 Google so viel kooperativer gewesen sei und heute ein grösseres Volumen von Anfragen offenbar positiv beantwortete.
Die Antwort des Bundesamts für Justiz: “No comment”.
Microsoft gibt weniger Nutzerdaten heraus
Im Gegensatz zu Google hat Microsoft weniger, nämlich nur knapp 60 %, der Begehren stattgegeben. Viele davon betrafen Notfälle oder Verfahren der Strafverfolgung.
Ist der IT-Konzern, der sonst so eng kooperiert mit mit der Schweizer Bundesverwaltung und den Kantonen (siehe Projekt CEBA, der virtuelle IT-Arbeitsplatz der Bundesverwaltung powered by Microsoft und die 5 Public Cloud-Projekte) wirklich so restriktiv im Umgang mit Anfragen von Strafverfolgungsbehörden weltweit und weshalb?
Das Bundesamt für Justiz will auch diese Beobachtung nicht kommentieren. Warum Microsoft hier zurückhaltender ist gegenüber der Schweiz, bleibt ein Rätsel. Die mögliche Zurückhaltung allgemein kann auf den Gerichtsstreit von Microsoft 2013 mit der US-Regierung zurückgehen, als sich der Konzern gegen die Herausgabe von Emails auf einem von Microsoft gehosteten Account wehrte (da die Emails auf einem Server in Irland lagen). Vermutlich befürchteten die Redmonder einen zu grossen Reputationsschaden, da sie als IT-Hauptlieferant für zahlreiche Regierungen und Verwaltungen fungieren. Der obige Rechtsstreit mündete dann in die Verabschiedung des Cloud Act 2018 durch den Kongress.
| Jahr | Zeitpunkt Report | Details | Requests | Total fully or partially disclosed requests | Accounts specified in requests |
|---|---|---|---|---|---|
| 2019 | 2019 H1 | Criminal | 185 | 92 | 244 |
| 2019 | 2019 H2 | Criminal | 240 | 103 | 319 |
| 2019 | 2019 H1 | Emergencies | 1 | 0 | 1 |
| 2020 | 2020 H1 | Criminal | 255 | 100 | 344 |
| 2020 | 2020 H2 | Criminal | 263 | 123 | 411 |
| 2020 | 2020 H1 | Emergencies | 1 | 1 | 1 |
| 2020 | 2020 H2 | Emergencies | 1 | 1 | 1 |
| 2021 | 2021 H1 | Criminal | 444 | 184 | 581 |
| 2021 | 2021 H2 | Criminal | 522 | 345 | 1188 |
| 2021 | 2021 H1 | Emergencies | 2 | 1 | 1 |
| 2021 | 2021 H2 | Emergencies | 3 | 2 | 3 |
| 2022 | 2022 H1 | Criminal | 776 | 481 | 1266 |
Warum sind diese Zahlen interessant und relevant?
Erstens: Nur mit jenen Zahlen erhalten wir ein vollständigeres Bild über die digitale Überwachungsarbeit der Schweizer Strafverfolgung.
Es ist zwar rühmlich, dass der Dienst ÜPF (Überwachung des Post- und Fernmeldevekehrs) seine Zahlen zur “Lawul Interception” (rechtskonformen Überwachung) jährlich veröffentlicht. Doch wie viele Anfragen der Dienst ÜPF bei Schweizer Fernmeldeanbietern (FDA) wie Swisscom oder Anbieter abgeleiteter Kommunikationsdienste (AAKDs) wie etwa Proton Mail erfasst, ist eben begrenzt aussagekräftig. Die Statistiken betreffen eben NUR die Schweizer Digitaldienste.
Und wir alle — Normalbürger:innen, Unternehmen, Vereine, Politiker:innen, aber eben auch Schwerkriminelle — nutzen mehr als nur Schweizer Dienste. Sondern bewegen uns in unserem digitalen Alltag mehrheitlich auf den amerikanischen (und chinesischen) Plattformen.
Ob nun Gmail, Amazon-Konto, Microsoft Teams, Suchmaschinenverlauf bei Bing oder Apple-iCloud-Konto: Wie Tech-Firmen mit Rechtshilfeersuchen von Schweizer Behörden umgehen, wenn diese nach mutmasslichen Terroristinnen, Mördern oder Vergewaltigern fahnden, ist dabei von öffentlichem und auch von zivilgesellschaftlichem Interesse.
Zweitens: Die Statistik des VPN/Adblocker-Anbieter Surfshark ist umso interessanter, als dass es öffentlich nichts Vergleichbares von Schweizer Behörden gibt. Das Bundesamt für Justiz sagt auf Anfrage dazu:
“Das Bundesamt für Justiz führt keine Statistik über Provider, welche von schweizerischen Rechtshilfeersuchen betroffen sind.”
Mediensprecher des BJ
Zusammengefasst: Der internationale Rechtshilfeweg scheint ein paar zeitintensive Schlaufen drin zu haben, aber er funktioniert offenbar für die Schweizer Behörden. Auch wenn die Bearbeitung eines Rechtshilfegesuchs ein bis 11 Monate in Anspruch nehmen kann, wie das BJ auf Anfrage von DNIP.ch antwortete. Denn das Bundesamt für Justiz und auch das Bundesamt für Polizei fedpol äusserten sich kritisch zu aktuellen Neuerungen auf supranationaler Ebene. Da ihre Kompetenzen durch die strafrechtlichen “EU-Innovationen” unterwandert oder zumindest beschnitten werden.
Einerseits durch das e-Evidence-Paket der EU.
Hierbei können Behörden der EU-Staaten direkt die Provider aus anderen Ländern angehen. In der Schweiz wären das zum Beispiel Threema oder Proton (um beispielsweise die verfügbare IP-Adresse zu erhalten zu einer Emailadresse), weil sie beide auf dem europäischen Markt tätig sind. Die Behörden werden zwar informiert und können je nachdem Gründe der Ablehnung geltend machen. Betroffene Threema- und Proton-User können sich auch rechtlich wehren (was ein Vorteil ist gegenüber dem US Cloud-Act). Doch alles in allem fällt die Beurteilung des e-Evidence-Rahmens durch das BJ eher kritisch aus.
Andererseits wird das Vorhaben rund um die Chatkontrolle auch negativ beurteilt. Das fedpol publizierte letzte Woche einen Bericht mit kritischem Ton: Die Bundespolizei befürchtet einen enormen Souveränitätsverlust. Aus zwei Gründen: Aufgrund der direkten Anordnung bei der Schweizer Firma Threema (als hypothetisches Beispiel), aber auch wegen den politisch-technischen Implikationen von Schweizer User*innen (bei Signal beispielsweise).
Fazit: Auch wenn das von Seiten der Schweiz nicht als ein negatives (und sicherlich nicht abschliessendes) Votum gegenüber Chatkontrolle per se zu bewerten ist, sind solche kritischen Töne gegenüber dem Überwachungswahn der EU ja eher als erfreulich zu werten.
Und dazu noch einen Teaser: Mein Kollege Patrick Seemann wird die neuesten Berichte zur Chatkontrolle und e-Evidence nächste Woche noch genauer besprechen.
Wer das nicht verpassen will: Runterscrollen und sich auf die Mailing-Liste setzen!
2 Antworten
Das fand ich schon immer bemerkenswert, was in der Schweiz Staatsanwaltschaften ohne Gerichte tun dürfen. Dürfte die Schweiz so überhaupt in die EU?
Das fand ich auch schon immer seltsam. Die ganzen “Wir hosten in der Schweiz, hier herschen strenge Datenschutzvorgaben!” Argumente von Proton etc. sind in dieser Hinsicht einfach nur Marketing.