Efter regeringens præsentation af 12-punkts planen ”Et Stærkt Værn mod Terror” 19. februar, har der været fokus på planens punkt 7 vedrørende Forsvarets Efterretningstjenestes adgang til at overvåge danskere i udlandet uden retskendelse samt finansieringen af de ekstra midler, der skal tilføres politi og efterretningstjenester. Som bekendt ændrede regeringen – efter omfattende pres fra organisationer og politiske partier – holdning til spørgsmålet om retskendelse, mens der synes at være gået valgkamp i spørgsmålet om finansiering af ”Terrorpakke III”.
Men ligeså interessant, som hvad terrorpakke III indeholdt, er det at se på, hvad den IKKE indeholdt.
Den 8. januar kunne Berlingske afsløre, at Rigspolitiet i drøftelser med Telebranchen og Justitsministeriet har ytret ønske om ikke blot at genindføre, men rent faktisk at udvide, såkaldt sessionslogning – registrering af færden på Internettet, som ellers blev ophævet i juni 2014. Officielt med den begrundelse, at sessionslogning ikke havde været et anvendeligt redskab i forhold til at opklare alvorlig kriminalitet. Men det har givetvis også spillet ind, at EU-domstolen i april 2014 erklærede logningsdirektivet, som de danske logningsregler udspringer af, for ugyldigt som stridende mod retten til privatliv og databeskyttelse i EU’s Charter om Grundlæggende Rettigheder.
Som følge af terrorangrebene i Paris og særligt i København kunne man på den baggrund måske have forventet, at regeringen ville have medtaget forslaget om genindførelse af sessionslogning i Terrorpakken, på et tidspunkt, hvor både befolkning og det politiske liv erfaringsmæssigt er mere åben og mindre kritisk over for nye vidtgående tiltag til bekæmpelse af terror. Ifølge flere kilder (her og her) var forslaget om at udvide FEs beføjelser uden krav om retskendelse netop udtryk for, at man i kølvandet på konkrete terrorangreb forsøgte at få vedtaget et vidtgående forslag, der tidligere var blevet forkastet.
Også planens punkt 5 der fastslår, at ”Regeringen vil undersøge, om der kan tilrettelægges en ordning med registrering af brugere af taletidskort, så politiet og PET får umiddelbar adgang til oplysninger om, hvem taletidskortet tilhører”, er en genoplivning af et forslag, der flere gange tidligere er blevet forkastet eller sat i bero.
Når Terrorpakke III ikke indeholder et forslag om at genindføre sessionslogning på trods af, at man kunne argumentere for, at tiderne er gunstige, er et kvalificeret gæt, at regeringen simpelthen har vurderet, at et sådant skridt ikke er juridisk gangbart.
Justitia udgav i september en analyse, der konkluderer, ”at der er stærke holdepunkter for at antage, at de danske logningsregler ikke er forenelige med Charteret og EMRK”. En analyse der vel og mærke forholder sig til de eksisterende logningsregler, som for nuværende ikke inkluderer sessionslogning. Regeringen har dog fastholdt, at de nuværende logningsregler er forenelige med EU’s Charter og EMRK. Men hvis man skulle genindføre en udvidet form for sessionslogning, ville Justitsministeriets jurister ikke blot skulle argumentere for, at den nuværende ordning indeholder så stærke retssikkerhedsgarantier, at den er forenelig med EU’s Charter og EMRK; man ville også skulle argumentere for, at en markant udvidelse af logningsreglerne, der går videre end det direktiv, der blev erklæret for ugyldigt, er proportionelt. Det synes at være en svær opgave.
De juridiske muligheder for at opfylde Rigspolitiets ønske om genindførelse af sessionslogning er heller ikke blevet styrket af indholdet af et nyligt svar fra Justitsministeriet til et spørgsmål fra Folketingets Retsudvalg. Retsudvalget spurgte:
”Vil ministeren oplyse, om der i andre lande er etableret overvågning og registrering af alle borgeres internetbrug svarende til, hvad politiet ønsker etableret i Danmark med genindførelse af sessionslogning?”
hvortil Justitsministeriet svarede:
”Justitsministeriet har til brug for revisionen af de danske logningsregler indhentet oplysninger om logningsreglerne i Storbritannien, Nederlandene, Frankrig, Tyskland, Finland, Sverige og Norge. De pågældende lande ses ikke at have regler svarende til de danske sessionslogningsregler, som blev ophævet ved bekendtgørelse nr. 660 af 19. juni 2014. Justitsministeriet er ikke i øvrigt bekendt med, at der er andre lande, der har sådanne regler.”
Det forhold, at en dansk indførelse af sessionslogning reelt vil betyde dansk enegang, vil givetvis blive tillagt væsentlig betydning ved en juridisk vurdering af ordningens proportionalitet, ikke mindst fordi domstolene i en række andre EU-lande som Østrig, Holland, Rumænien og senest Bulgarien, har erklæret disse landes logningsregler (som ikke indebærer sessionslogning) for ugyldige bl.a. som følge af EU-domstolens afgørelse. For nuværende har regeringen derfor valgt at følge en velkendt strategi – nemlig udskydelse. For 4. gang har regeringen således udskudt en revision af logningsreglerne til næste folketingsår mhp. at afvente et eventuelt udspil til et nyt logningsdirektiv fra EU-kommissionen. Problemet er blot, at EU-Kommissionen tidligere på måneden meldte ud, at man ingen planer har om at vedtage et nyt logningsdirektiv. Derfor er det et åbent spørgsmål, hvad der skal ske med de danske logningsregler, men for nærværende er problemet sparket til hjørne.
Jeg er meget enig i dette indlæg, men jeg vil alligevel tillade mig at tænke højt og påpege, at der kan være en anden grund til at regeringen ikke fremsætter forslag om ny sessionslogning: de nye beføjelser til FE kan gøre sessionslogning overflødig.
Erfaringerne med sessionslogningen har vist at der er store begrænsninger for politiet i anvendelsen. Der skal være en konkret mistanke mod en borger, og hvis man skal have et indtryk af borgerens trafik på internettet og hvem der kommunikeres med via internettet, vil det generelt være mere effektivt at beslaglægge den mistænktes computer og checke browser historik og adressebøger i kommunikationsprogrammer. Der er ingen data-mining mulighed for sessionslogning ala udvidet teleoplysning i RPL, således at politiet kan søge efter mønstre i sessionslogningen på tværs af unavngivne personers trafik (hvem har besøgt hjemmeside XYZ? og lignende spørgsmål).
De følgende argumenter bliver i sagens natur noget spekulative fordi vi ikke ved ret meget om hvad FE går og laver. Men Snowden afsløringerne giver os et vist indtryk af hvad NSA og GCHQ har gang i.
Hvis vi antager at
1) FE har adgang til en stor del af verdens internettrafik, dels via egen tapning af fiberkabler, dels (nok især) via dataudveksling med partnere. Det kunne være en aftale med NSA om adgang til XKeyscore systemet. FRA/Sverige skulle have en sådan adgang, så det er ikke utænkeligt at FE kan få det eller har det.
2) I dag må FE lave søgninger i sådanne systemer rettet mod forhold i udlandet, og hvis de støder på danskere som tilfældighedsfund, må FE gemme disse oplysninger (FE-lov § 3, stk. 2) og videregive dem til PET. Men FE må ikke lave målrettede søgninger mod danskere.
3) Vi kender ikke lovforslaget om ændring af FE-loven endnu, men det lyder ikke usandsynligt at “aflytning af danskere, når de er i udlandet” vil kunne omfatte målrettede søgninger mod danske borgere i den masseindsamling (“indhentning”, rådata) som FE har adgang til. Hvis FE skal aflytte danskere i Syrien, kan man ikke bare bede det lokale teleselskab sætte en aflytning op, og man forestiller sig næppe at en FE-agent skal ligge bag en busk i ørkenen med en IMSI-catcher og lave målrettet aflytning af den mistænkte danskers mobilsamtaler med lokalt SIM kort (roaming fra Syrien koster en bondegård, så mon ikke det danske SIM kort bliver udskiftet med et lokalt?).
4) En adgang til at kunne lave målrettede søgninger mod danskere i de “indhentede” rådata vil i vidt omfang kunne opfylde de ønsker, som Justitsministeriet har haft med sessionslogningen siden de fik idéen for mere end 10 år siden: analyse og profilering af hvem en mistænkt kommunikerer ved via internettet.
Vi har set i andre lande, at udenrigs-efterretningstjenestens beføjelser bliver rettet mod egne borgere, og i stigende grad brugt til at indsamle efterretninger, som erstatter eller forbereder en traditionel politimæssig efterforskning, hvor sidstnævnte er begrænset af landets retsgarantier (RPL i Danmark).
For eksempel, “parallel reconstruction” diskussionen i USA (som har meget strengere regler om ulovlige beviser og tilfældighedsfund end dansk RPL). New Zealand har brugt “efterretninger” i sagen mod Kim Dotcom.
Som sagt: ovenstående er meget spekulativt, al den stund at vi endnu ikke har set et lovudkast om de nye beføjelser til FE. Jeg håber at jeg tager fejl..
Krav om dommerkendelse for at FE aflytter danskere i udlandet er et vigtigt skridt for retssikkerheden (tak for det, Justitia!), men det ændrer ikke rigtigt ved at FE vil kunne udføre deres efterforskning (som de vil kalde efterretning) med nogle informationer, som almindeligt politi (herunder PET) ikke har adgang til efter RPL, heller ikke med hverken gammel eller ny sessionslogning.
Jeg vil anse det for relativt usandsynligt, at den kommende ændring af FE-loven præcist vil specificere hvordan FE skal gennemføre en aflytning af en dansker i udlandet.