Manche Gesetze haben einen so treffenden Spitznamen, dass man ihren Originaltitel schnell vergisst. In Großbritannien ist die Investigatory Powers Bill ein solches Gesetz. Es ist nämlich unter Kritikern und in der Öffentlichkeit als Snooper's Charter, als Schnüfflergesetz, bekannt. Und das trifft es ziemlich gut, denn mit ihm macht Großbritannien in diesen Tagen einen großen Schritt hin zur anlasslosen Massenüberwachung seiner Bürger.

Vergangene Woche gaben beide Kammern des britischen Parlaments der Investigatory Powers Bill grünes Licht. Damit endet eine fast zweijährige Diskussion, die von der jetzigen Premierministerin Theresa May angestoßen wurde. May hatte nämlich bereits im Sommer 2014 in ihrer Rolle als Innenministerin ein Notstandsüberwachungsgesetz durch das Parlament gepeitscht. Weil dies zeitlich begrenzt war, stellte May wenig später ein Nachfolgegesetz vor, das von Kritikern Snooper's Charter getauft wurde. Dessen Inhalt ging den Liberaldemokraten in der Regierung zu weit, weshalb sie es zunächst blockierten.

Nun hat man sich auf einen Entwurf geeinigt und das, obwohl die Investigatory Powers Bill ähnlich einschneidend ist wie zuvor. Kritiker sprechen von einer "Supervorratsdatenspeicherung", Bürgerrechtler nennen es das "extremste Überwachungsgesetz, das bislang in einer Demokratie verabschiedet wurde". Vertreter der Vereinten Nationen und Unternehmen aus dem Silicon Valley sprachen sich in den vergangenen Monaten besorgt dagegen aus. Aus guten Gründen.

Hacking, Massenüberwachung, Vorratsdaten

Erstens erlaubt die Snooper's Charter den britischen Sicherheitsbehörden und Geheimdiensten ausdrücklich, sich in Netzwerke, Computer oder Smartphones hacken zu können. Dieses Hacking kann auf unterschiedliche Art und Weise geschehen. Die Behörden könnten beispielsweise Trojaner nutzen, um Computer auszuspähen. Sie könnten den Datenverkehr von Mobiltelefonen anzapfen oder gezielte Schwachstellen ausnutzen, etwa um auf ein gesperrtes iPhone zugreifen zu können. Diese Nutzung sogenannter Zero-Day-Lücken wurde in einem Entwurf explizit erwähnt. Gleichzeitig gibt es die Befürchtung, das Gesetz könne Unternehmen dazu verpflichten, bei der Umgehung von Sicherheitsmaßnahmen zu helfen oder gar Hintertüren einzubauen. In den USA hatte sich Apple im Frühjahr erfolgreich geweigert, ein iPhone für das FBI zu entsperren.

Zweitens sind Hacking und Überwachung nicht nur im Einzelfall, sondern auch in der Masse möglich, jedenfalls im Ausland. Daten könnten demnach "von vielen Geräten an einem bestimmten Ort" gesammelt werden, wie es heißt. Vermuten also die Geheimdienste eine terroristische Aktivität in einem anderen Land, können sie die ihnen zur Verfügung stehenden Techniken zur Umgehung von Sicherheitsmaßnahmen oder zur Überwachung einsetzen. Das Gesetz könnte somit auch Menschen betreffen, die gar nicht in Großbritannien leben. Und wie bei praktisch allen Massenüberwachungen, ist es wahrscheinlich, dass auch unbeteiligte und nicht verdächtige Bürger davon erfasst werden.

Drittens legitimiert das Gesetz eine Vorratsdatenspeicherung, die weit über die bisherige hinausgeht. Die Anbieter von Internet- und Telekommunikationsdiensten sind verpflichtet, zwölf Monate lang sogenannte Internet Connection Records (ICR) aufzubewahren. Eine genaue Definition dieser Daten enthält das Gesetz nicht und das macht es problematisch, sowohl für die Unternehmen als auch die Bürger. Prinzipiell sollen die Anbieter nämlich alles speichern, was "eine bestimmte Aktion im Internet mit einer bestimmten Person verbindet". Das bedeutet, sie müssten speichern, wer wann welche Website aufruft, wer welche Suchbegriffe verwendet, wer welche Apps nutzt und wer mit wem E-Mails schreibt oder chattet – und das ein ganzes Jahr lang von jedem, der in Großbritannien das Internet nutzt.

Wer auf die Daten Zugriff hat, wer Geräte hacken und Überwachung durchführen darf, übersieht der mit dem Gesetz eingeführte Investigatory Powers Commissioner (IPC). Prinzipiell benötigen Polizei und Sicherheitsbehörden für jeden Eingriff die Erlaubnis einer höheren Instanz, sei es richterlich oder durch das Außenministerium, etwa bei Auslandseinsätzen. Mit diesen "Sicherheitsmaßnahmen" soll garantiert werden, dass die Befugnisse nicht ausgenutzt werden, heißt es. Kritiker befürchten, dass wie jetzt auch schon in vielen Fällen keine genaue Kontrolle stattfinden wird und im Zweifelsfall eher einem Antrag mehr als weniger stattgegeben wird.