Geheimverfahren in den USA: Half Google, einen Schweizer auszuspionieren?
Ein Einzelfall, der ein riesiges Demokratieproblem offenlegt: Landeten Google-Daten eines wissenschaftlichen Mitarbeiters der Universität Fribourg bei einem US-Geheimdienst, obwohl gegen den Mann kein Strafverfahren läuft? Snowden-Anwalt Marcel Bosonnet erwägt, Strafanzeige und Zivilklage gegen Google einzureichen. «Do not feed the Google», Folge 5.
Von Daniel Ryser, Ramona Sprenger (Text) und Goran Basic (Bild), 24.01.2023
Wir sitzen im Büro von Marcel Bosonnet, dem Schweizer Anwalt von Edward Snowden. Und Bosonnet sagt, beim vorliegenden Fall vom Dezember 2022 schliesse sich der Kreis zu seinem weltberühmten Mandanten im russischen Exil.
«Das ist genau das Feld, das Snowden aufgezeigt hat», sagt Bosonnet.
Es sei die Geschichte vom Unternehmen Google, das alles über uns wisse, und die Geschichte der US-Geheimdienste, die dann auf diese Daten zugreifen würden. Eine Private-Public-Partnership, die aus der Feder von George Orwell stammen könnte.
Serie «Do not feed the Google»
Der diskrete Überwachungsgigant: Wir zeichnen nach, wie der Google-Konzern zur Bedrohung für die Demokratie wurde – und die Schweiz zu seinem wichtigsten Standort ausserhalb des Silicon Valley. Gespräche mit Internet-Expertinnen aus den USA, den Niederlanden, Deutschland und Kanada. Zur Übersicht.
Folge 2
Vom ungehinderten Aufstieg zum Monopol
Folge 3
Die Entzauberung von Google
Folge 4
Wenn ethische Werte nur ein Feigenblatt sind
Sie lesen: Folge 5
Half Google, einen Schweizer auszuspionieren?
Folge 6
Auf dem Roboterpferd in die Schlacht
Folge 7
Gewinne maximieren, bis sie weg sind
Folge 8
Google und die Schweiz – eine Liebesgeschichte
Folge 9
Google im rot-grünen Steuerparadies
Folge 10
Inside Google Schweiz
Bonus-Folge
Podcast: Warum sind alle so verschwiegen?
Manchmal, so sagt es der Kryptograf Bruce Schneier im Gespräch mit der Republik in Folge 6 der Google-Serie, bekämen die US-Geheimdienste die Google-Daten durch Gerichtsbeschlüsse. Manchmal kauften sie die Daten. Manchmal bäten sie freundlich. Und manchmal würden die Dienste die Daten auch einfach stehlen. Das habe er gelernt, sagt Schneier, als er als erster Computerexperte überhaupt die Snowden-Dokumente analysiert habe.
Der vorliegende und aktuelle Fall ging über den Rechtsweg.
Der Republik liegt eine E-Mail vom 23. Dezember 2022 vor, die belegt, dass Google von einer US-Behörde aufgefordert wurde, Daten eines Schweizer Staatsbürgers an sie auszuhändigen. Dabei handelt es sich um das Bureau of Diplomatic Security, die Sicherheitsbehörde des US-amerikanischen Aussenministeriums, die teilweise geheimdienstliche Aufgaben wahrnimmt und auch im Ausland tätig ist. So steht es auch in der E-Mail, die Google einen Tag vor Weihnachten dem Pensionär aus dem Tessin verschickte.
Die E-Mail trug den Betreff: «Notification from Google». Verschickt wurde sie von der allgemein gehaltenen Adresse «usernotice-noreply@google.com».
«Ich hätte die Nachricht beinahe gelöscht, weil ich sie zuerst für Spam hielt», sagt der 65-jährige Schweizer, dessen Daten Google weitergab. Dann sei ihm in den Sinn gekommen, dass er ein paar Wochen zuvor, am 31. Oktober 2022, von Apple eine ähnliche E-Mail erhalten hatte. Also klickte er auf die Nachricht.
Dear Google-user, Google received and responded to the legal process issued by the Departement of State, Bureau of Diplomatic Security compelling the release of information related to your Google account. A court order previously prohibited Google from notifying you of the legal process. We are now permitted to disclose the receipt of the legal process to you.
Lieber Google-Nutzer, Google hat vom US-Aussenministerium, dem Büro für diplomatische Sicherheit, eine rechtliche Verfügung erhalten und darauf reagiert, mit der die Herausgabe von Informationen in Verbindung mit Ihrem Google-Account erzwungen wird. Ein Gerichtsbeschluss untersagte Google, Sie früher über diesen Vorgang zu informieren. Jetzt sind wir befugt, Ihnen mitzuteilen, dass wir diese Verfügung erhalten haben.
Google schreibt in der E-Mail also nur, dass das Unternehmen aufgefordert worden sei, die Daten zu liefern, und verpflichtet sei, das zu tun. Aber es schreibt nicht, ob es dieser Aufforderung am Ende wirklich Folge geleistet hat.
In weiteren Sätzen wird auf die Transparenz-Seite von Google verwiesen. Und dass man direkt auf usernotice@google.com antworten solle, wenn man Fragen habe (was die Republik wie auch Marcel Bosonnet getan haben, ohne jedoch eine Antwort zu erhalten).
Diese Geschichte zeigt erneut, was uns die Leaks von Edward Snowden bereits 2013 lehrten: Praktisch alles, was man im Internet tut, ist für Regierungen und Geheimdienste nachvollziehbar. In jedem Moment kann eine Regierung – in diesem Fall ein US-Geheimdienst – unsere Daten anfordern oder abzapfen. Zum Beispiel also dazu, was man als wissenschaftlicher Mitarbeiter der Universität Fribourg, weit weg von den USA, im Alltag so macht. Welche Bücher man bestellt. Wo man zu Abend isst. Mit wem man schreibt. Was man googelt.
Der Fall steht beispielhaft für ein Demokratieproblem (so wie wir es in den Episoden «Als Google einen Staatsstreich versuchte» und «Vom ungehinderten Aufstieg zum Monopol» bereits beschrieben haben und wie wir es in der kommenden Folge «Auf dem Roboterpferd in die Schlacht» vertiefen werden): Wir oder Websites, die wir besuchen, brauchen die Dienste von Google oder den anderen vier Big-Tech-Konzernen jeden Tag. Aber alles, was wir auf diesen Diensten und Websites tun, kann von Regierungen und Geheimdiensten abgeschöpft werden. Die totale Durchleuchtung unserer Privatleben.
Information von Apple erst Jahre später
Die zweite E-Mail hatte der Mann von Apple erhalten. Am 31. Oktober schrieb «noreply@apple.com»: Man habe vom US-Aussenministerium, der Joint Terrorism Task Force, im April 2019 eine Verfügung erhalten, Daten zu liefern.
Also schon vor über dreieinhalb Jahren.
Das Schreiben ging an zwei E-Mail-Accounts, darunter auch eine offizielle Adresse der Universität Fribourg, wo der Mann bis zu seiner Pensionierung 15 Jahre in der Bibliothek gearbeitet hatte.
Der IT-Anwalt Martin Steiger sagt der Republik, es sei ihm bekannt, dass Google solche E-Mails verschicke. «Google gehört zu den Internetunternehmen, die im rechtlich zulässigen Rahmen eine Transparenzpolitik gegenüber ihren Nutzerinnen betreiben», sagt Steiger. Er verweist auf zwei Fälle; im ersten hatten Dutzende Personen in den USA nach geheimen Ermittlungen des FBI bezüglich des Kaufs von Schadsoftware identische E-Mails von Google und Apple erhalten wie der Schweizer Universitätsmitarbeiter.
Der zweite Fall, auf den Steiger verweist, handelt von Alexandra Elbakyan, der Gründerin von Sci-Hub, einer sogenannten Schattenbibliothek, wo wissenschaftliche Aufsätze online verfügbar sind, die man sonst nur gegen Bezahlung erhält (weswegen gegen die Website wegen Copyright-Verstössen vorgegangen wird). Elbakyan hatte Anfang 2022 eine E-Mail von Apple erhalten, dass sich im Februar 2019 das FBI für ihre Apple-Accounts interessierte.
«Bis heute hat mein Schweizer Mandant keine Kenntnis davon, wie Google auf das Ersuchen des Bureau of Diplomatic Security reagierte», sagt Bosonnet. «Wir müssen davon ausgehen, dass Google Daten übermittelte. Aber wir wissen es nicht. Und falls Daten übermittelt wurden, wissen wir nicht, in welcher Form das geschah und welche Daten genau betroffen waren. Wir kennen den Inhalt der Daten nicht, und wir wissen nicht, ob die Übermittlung andauert. Wir wissen nichts über die Rechtsgrundlagen dieser Datenübermittlung oder eine allfällige Weiterleitung der Daten an Dritte, zum Beispiel an die Schweiz, oder über eine allfällige Strafuntersuchung.»
All diese Fragen habe er sowohl dem State Department als auch Google geschickt und bis heute keine Antwort erhalten. Der Republik schreibt ein Sprecher des US-Aussenministeriums, man solle sich an das FBI wenden. Dort bleibt die Anfrage bis Redaktionsschluss unbeantwortet. Google in den USA reagiert gar nicht. Die Medienstelle von Google Schweiz teilt mit, man könne sich zum vorliegenden Fall nicht äussern.
«Wir gehen davon aus, dass die Weitergabe von Daten wie auch die Verwendung dieser Daten rechtswidrig war», sagt Marcel Bosonnet. Es handle sich dabei um personenbezogene Daten, was eine Verletzung des Persönlichkeitsrechts darstelle. «Es ist nicht erkennbar, inwieweit ein Anfangsverdacht gegen meinen Mandanten auf eine strafbare Handlung vorliegt, die dieses Vorgehen rechtfertigen könnte. Wir prüfen deshalb eine Strafanzeige und eine Zivilklage gegen Google.»
Die Datenweitergabe wie auch die völlige Geheimhaltung des Verfahrens gegen seinen Mandanten erfolgten in Verletzung fundamentalster Freiheitsrechte und rechtsstaatlicher Garantien.
Bei Bosonnets Klienten handelt es sich um einen Tessiner, der 1989 in der Schweiz im Zusammenhang mit Straftaten der Roten Brigaden zu einer langjährigen Freiheitsstrafe verurteilt worden war. Diese hat er seit zwanzig Jahren verbüsst. Seither lebt der Mann ein unauffälliges Leben in der Schweiz.
Im März 2019 aber forderte der rechte Lega-Nationalrat Lorenzo Quadri – im Zusammenhang mit der Auslieferung eines Rotbrigadisten von Bolivien an die USA – die Auslieferung des Schweizers an Italien. Der Bundesrat hielt dagegen und argumentierte, man liefere keine Schweizer Bürger aus, weil Straftaten im Ausland der Strafhoheit des Heimatstaates unterliegen würden. In Italien sei zwar 1996 ein Urteil in Abwesenheit gefällt worden, aber es habe nicht vollstreckt werden können. (Italien hatte damals nämlich gar kein Auslieferungsgesuch gestellt.) Die Schweiz verfüge über genügend gesetzliche Grundlagen, um im Ausland straffällig gewordene Bürger hierzulande zur Rechenschaft zu ziehen. Der Mann habe seine Strafe verbüsst, schrieb der Bundesrat.
Gefühl wie nach einem Einbruch
Für den Bundesrat war die Sache damit erledigt. Doch exakt vier Wochen nachdem der Lega-Nationalrat seine Motion eingereicht hatte, ging bei Apple die Aufforderung des US-Aussenministeriums ein, die Daten des Schweizer Bürgers herauszugeben (wann die Aufforderung bei Google kam, ist aus den vorliegenden Unterlagen nicht ersichtlich).
«Jetzt befinden wir uns im Reich der Spekulation», sagt Bosonnet. «Die ganze Sache wirkt wie eine geheimdienstliche Fichenoperation. Als habe jemand einfach mal herausfinden wollen, mit wem mein Klient denn so in Verbindung steht, welche Mails er schreibt, was er im Internet treibt, welche Bücher er bestellt, was er so arbeitet.»
Der betroffene Mann selbst sagt zur Republik, es fühle sich an, als sei jemand bei ihm zu Hause eingedrungen. «Vor ein paar Jahren war in unsere Tessiner Familienwohnung eingebrochen worden», sagt der ehemalige Mitarbeiter der Universität Fribourg. «Die Wohnung war damals komplett verwüstet. Und so fühlte es sich auch jetzt wieder an, nachdem ich die Google-Mail erhalten hatte: ein krasser Übergriff in die eigene Privatsphäre. Als wäre ich nach Hause gekommen und hätte erneut meine Wohnung verwüstet vorgefunden.»
Zur Serie «Do not feed the Google» und zur Co-Autorin
Diese Serie ist eine Zusammenarbeit zwischen der Republik, dem Dezentrum und dem WAV. Das Dezentrum ist ein Think & Do Tank für Digitalisierung und Gesellschaft. Hinter dem Dezentrum steht ein öffentlicher, gemeinnütziger Verein. Das WAV ist ein unabhängiges Recherchekollektiv aus Zürich.
Ramona Sprenger ist Interaction Designerin aus Zürich. Als Partnerin beim Think & Do Tank Dezentrum engagiert sie sich für eine nachhaltige Digitalisierung, bei der die Gesellschaft im Mittelpunkt steht. Aktuell arbeitet sie für TA-Swiss an einer Publikation zu Blockchain und Kultur und baut mit Climate Ticker eine Plattform für offene, lokale Klimadaten und lokalpolitische Massnahmen auf.