Geheim­verfahren in den USA: Half Google, einen Schweizer auszuspionieren?

Wir sitzen im Büro von Marcel Bosonnet, dem Schweizer Anwalt von Edward Snowden. Und Bosonnet sagt, beim vorliegenden Fall vom Dezember 2022 schliesse sich der Kreis zu seinem weltberühmten Mandanten im russischen Exil.

«Das ist genau das Feld, das Snowden aufgezeigt hat», sagt Bosonnet.

Es sei die Geschichte vom Unter­nehmen Google, das alles über uns wisse, und die Geschichte der US-Geheim­dienste, die dann auf diese Daten zugreifen würden. Eine Private-Public-Partnership, die aus der Feder von George Orwell stammen könnte.

Manchmal, so sagt es der Kryptograf Bruce Schneier im Gespräch mit der Republik in Folge 6 der Google-Serie, bekämen die US-Geheim­dienste die Google-Daten durch Gerichts­beschlüsse. Manchmal kauften sie die Daten. Manchmal bäten sie freundlich. Und manchmal würden die Dienste die Daten auch einfach stehlen. Das habe er gelernt, sagt Schneier, als er als erster Computer­experte überhaupt die Snowden-Dokumente analysiert habe.

Der vorliegende und aktuelle Fall ging über den Rechtsweg.

Der Republik liegt eine E-Mail vom 23. Dezember 2022 vor, die belegt, dass Google von einer US-Behörde aufgefordert wurde, Daten eines Schweizer Staats­bürgers an sie auszuhändigen. Dabei handelt es sich um das Bureau of Diplomatic Security, die Sicherheits­behörde des US-amerikanischen Aussen­ministeriums, die teilweise geheim­dienstliche Aufgaben wahrnimmt und auch im Ausland tätig ist. So steht es auch in der E-Mail, die Google einen Tag vor Weihnachten dem Pensionär aus dem Tessin verschickte.

Die E-Mail trug den Betreff: «Notification from Google». Verschickt wurde sie von der allgemein gehaltenen Adresse «usernotice-noreply@google.com».

«Ich hätte die Nachricht beinahe gelöscht, weil ich sie zuerst für Spam hielt», sagt der 65-jährige Schweizer, dessen Daten Google weitergab. Dann sei ihm in den Sinn gekommen, dass er ein paar Wochen zuvor, am 31. Oktober 2022, von Apple eine ähnliche E-Mail erhalten hatte. Also klickte er auf die Nachricht.

Google schreibt in der E-Mail also nur, dass das Unternehmen aufgefordert worden sei, die Daten zu liefern, und verpflichtet sei, das zu tun. Aber es schreibt nicht, ob es dieser Aufforderung am Ende wirklich Folge geleistet hat.

In weiteren Sätzen wird auf die Transparenz-Seite von Google verwiesen. Und dass man direkt auf usernotice@google.com antworten solle, wenn man Fragen habe (was die Republik wie auch Marcel Bosonnet getan haben, ohne jedoch eine Antwort zu erhalten).

Diese Geschichte zeigt erneut, was uns die Leaks von Edward Snowden bereits 2013 lehrten: Praktisch alles, was man im Internet tut, ist für Regierungen und Geheim­dienste nachvollziehbar. In jedem Moment kann eine Regierung – in diesem Fall ein US-Geheimdienst – unsere Daten anfordern oder abzapfen. Zum Beispiel also dazu, was man als wissenschaftlicher Mitarbeiter der Universität Fribourg, weit weg von den USA, im Alltag so macht. Welche Bücher man bestellt. Wo man zu Abend isst. Mit wem man schreibt. Was man googelt.

Der Fall steht beispielhaft für ein Demokratie­problem (so wie wir es in den Episoden «Als Google einen Staats­streich versuchte» und «Vom ungehinderten Aufstieg zum Monopol» bereits beschrieben haben und wie wir es in der kommenden Folge «Auf dem Roboter­pferd in die Schlacht» vertiefen werden): Wir oder Websites, die wir besuchen, brauchen die Dienste von Google oder den anderen vier Big-Tech-Konzernen jeden Tag. Aber alles, was wir auf diesen Diensten und Websites tun, kann von Regierungen und Geheim­diensten abgeschöpft werden. Die totale Durch­leuchtung unserer Privatleben.

Information von Apple erst Jahre später

Die zweite E-Mail hatte der Mann von Apple erhalten. Am 31. Oktober schrieb «noreply@apple.com»: Man habe vom US-Aussen­ministerium, der Joint Terrorism Task Force, im April 2019 eine Verfügung erhalten, Daten zu liefern.

Also schon vor über dreieinhalb Jahren.

Das Schreiben ging an zwei E-Mail-Accounts, darunter auch eine offizielle Adresse der Universität Fribourg, wo der Mann bis zu seiner Pensionierung 15 Jahre in der Bibliothek gearbeitet hatte.

Der IT-Anwalt Martin Steiger sagt der Republik, es sei ihm bekannt, dass Google solche E-Mails verschicke. «Google gehört zu den Internet­unternehmen, die im rechtlich zulässigen Rahmen eine Transparenz­politik gegenüber ihren Nutzerinnen betreiben», sagt Steiger. Er verweist auf zwei Fälle; im ersten hatten Dutzende Personen in den USA nach geheimen Ermittlungen des FBI bezüglich des Kaufs von Schad­software identische E-Mails von Google und Apple erhalten wie der Schweizer Universitäts­mitarbeiter.

Der zweite Fall, auf den Steiger verweist, handelt von Alexandra Elbakyan, der Gründerin von Sci-Hub, einer sogenannten Schatten­bibliothek, wo wissenschaftliche Aufsätze online verfügbar sind, die man sonst nur gegen Bezahlung erhält (weswegen gegen die Website wegen Copyright-Verstössen vorgegangen wird). Elbakyan hatte Anfang 2022 eine E-Mail von Apple erhalten, dass sich im Februar 2019 das FBI für ihre Apple-Accounts interessierte.

«Bis heute hat mein Schweizer Mandant keine Kenntnis davon, wie Google auf das Ersuchen des Bureau of Diplomatic Security reagierte», sagt Bosonnet. «Wir müssen davon ausgehen, dass Google Daten übermittelte. Aber wir wissen es nicht. Und falls Daten übermittelt wurden, wissen wir nicht, in welcher Form das geschah und welche Daten genau betroffen waren. Wir kennen den Inhalt der Daten nicht, und wir wissen nicht, ob die Übermittlung andauert. Wir wissen nichts über die Rechts­grundlagen dieser Daten­übermittlung oder eine allfällige Weiter­leitung der Daten an Dritte, zum Beispiel an die Schweiz, oder über eine allfällige Straf­untersuchung.»

All diese Fragen habe er sowohl dem State Department als auch Google geschickt und bis heute keine Antwort erhalten. Der Republik schreibt ein Sprecher des US-Aussen­ministeriums, man solle sich an das FBI wenden. Dort bleibt die Anfrage bis Redaktions­schluss unbeantwortet. Google in den USA reagiert gar nicht. Die Medien­stelle von Google Schweiz teilt mit, man könne sich zum vorliegenden Fall nicht äussern.

«Wir gehen davon aus, dass die Weitergabe von Daten wie auch die Verwendung dieser Daten rechtswidrig war», sagt Marcel Bosonnet. Es handle sich dabei um personenbezogene Daten, was eine Verletzung des Persönlichkeits­rechts darstelle. «Es ist nicht erkennbar, inwieweit ein Anfangs­verdacht gegen meinen Mandanten auf eine strafbare Handlung vorliegt, die dieses Vorgehen rechtfertigen könnte. Wir prüfen deshalb eine Straf­anzeige und eine Zivil­klage gegen Google.»

Die Daten­weitergabe wie auch die völlige Geheim­haltung des Verfahrens gegen seinen Mandanten erfolgten in Verletzung fundamentalster Freiheits­rechte und rechts­staatlicher Garantien.

Bei Bosonnets Klienten handelt es sich um einen Tessiner, der 1989 in der Schweiz im Zusammen­hang mit Straftaten der Roten Brigaden zu einer langjährigen Freiheits­strafe verurteilt worden war. Diese hat er seit zwanzig Jahren verbüsst. Seither lebt der Mann ein unauffälliges Leben in der Schweiz.

Im März 2019 aber forderte der rechte Lega-Nationalrat Lorenzo Quadri – im Zusammenhang mit der Auslieferung eines Rotbrigadisten von Bolivien an die USA – die Auslieferung des Schweizers an Italien. Der Bundesrat hielt dagegen und argumentierte, man liefere keine Schweizer Bürger aus, weil Straftaten im Ausland der Strafhoheit des Heimat­staates unterliegen würden. In Italien sei zwar 1996 ein Urteil in Abwesenheit gefällt worden, aber es habe nicht vollstreckt werden können. (Italien hatte damals nämlich gar kein Auslieferungs­gesuch gestellt.) Die Schweiz verfüge über genügend gesetzliche Grund­lagen, um im Ausland straffällig gewordene Bürger hierzulande zur Rechenschaft zu ziehen. Der Mann habe seine Strafe verbüsst, schrieb der Bundesrat.

Gefühl wie nach einem Einbruch

Für den Bundesrat war die Sache damit erledigt. Doch exakt vier Wochen nachdem der Lega-Nationalrat seine Motion eingereicht hatte, ging bei Apple die Aufforderung des US-Aussen­ministeriums ein, die Daten des Schweizer Bürgers herauszugeben (wann die Aufforderung bei Google kam, ist aus den vorliegenden Unter­lagen nicht ersichtlich).

«Jetzt befinden wir uns im Reich der Spekulation», sagt Bosonnet. «Die ganze Sache wirkt wie eine geheim­dienstliche Fichen­operation. Als habe jemand einfach mal heraus­finden wollen, mit wem mein Klient denn so in Verbindung steht, welche Mails er schreibt, was er im Internet treibt, welche Bücher er bestellt, was er so arbeitet.»

Der betroffene Mann selbst sagt zur Republik, es fühle sich an, als sei jemand bei ihm zu Hause eingedrungen. «Vor ein paar Jahren war in unsere Tessiner Familien­wohnung eingebrochen worden», sagt der ehemalige Mitarbeiter der Universität Fribourg. «Die Wohnung war damals komplett verwüstet. Und so fühlte es sich auch jetzt wieder an, nachdem ich die Google-Mail erhalten hatte: ein krasser Übergriff in die eigene Privat­sphäre. Als wäre ich nach Hause gekommen und hätte erneut meine Wohnung verwüstet vorgefunden.»