Überwachungsgesetz BÜPF

Überwachungsbehörde will Geltungsbereich ausweiten

«Beautiful streetart in Malmö» –
Olof Werngren, CC BY-SA 2.0

Kaum ist das neue Überwachungsgesetz BÜPF in Kraft, möchte die zuständige Überwachungsbehörde den Geltungsbereich weiter ausdehnen. So sollen gemäss einem neuen Merkblatt auch E-Mail- und Messaging-Anbieterinnen wie Fernmeldedienste behandelt werden – und das Gesetz selbst für Firmen im Ausland gelten. Dies passt nicht zum Willen des Gesetzgebers und verstösst gegen das Territorialitätsprinzip.

Seit knapp drei Monaten ist das totalrevidierte Überwachungsgesetz BÜPF in Kraft. Ein wesentliches Element der Revision betraf die Ausdehnung des persönlichen Geltungsbereichs. Standen bis anhin «nur» die Access Provider in der Pflicht, Überwachungsmassnahmen vorzunehmen, fallen neu auch reine E-Mail-Anbieterinnen, Hostingprovider, Chatanbieter etc. unter das BÜPF. Dazu wurde eine neue Kategorie von «Anbieterinnen abgeleiteter Kommunikationsdienste» geschaffen.

Vor einem Monat hat die zuständige Überwachungsbehörde «Dienst ÜPF» ein Merkblatt (PDF) veröffentlicht, das deutlich über diesen Rahmen hinausgeht. Die Unterscheidung zwischen den herkömmlichen Fernmeldedienstanbieterinnen (FDA) und den neuen Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) soll neu ausgelegt werden: So müssten auch reine Dienstanbieterinnen (ohne physische Übertragung und auch ausserhalb von Outsourcing oder Miete) als FDA gelten, wenn sie Kommunikationsdienste anbieten.

Diese Definition hätte in der Praxis für die Betroffenen weitreichende Konsequenzen:

  • Fernmeldedienstanbieterinnen (FDA) müssen ihre BenutzerInnen identifizieren, und sie trifft eine aktive Überwachungspflicht (inkl. der Vorratsdatenspeicherung). (Art. 21ff. BÜPF)
  • Eine vorsätzliche Zuwiderhandlung kann mit Busse bis zu 100’000 Franken, bei Fahrlässigkeit mit bis zu 40’000 Franken, bestraft werden. (Art. 39 BÜPF)
  • Erst auf Gesuch kann der Dienst ÜPF eine Fernmeldedienstanbieterin zu einer «FDA mit reduzierten Überwachungspflichten» erklären, wobei jedoch die Identifikationspflicht bleibt. (Art. 26 Abs. 6 BÜPF)
  • Bei den Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) ist es genau umgekehrt: Sie werden vom Dienst ÜPF den Indentifikations- und Überwachungspflichten nur unterstellt, wenn gewisse Bedingungen (Anzahl Überwachungsgesuche, Jahresumsatz) zutreffen.

Das BÜPF soll ferner nicht nur für Schweizer FDA gelten, sondern auch für Anbieterinnen aus dem Ausland, wenn sie Kommunikationsdienste für Personen anbieten, «die sich in der Schweiz befinden oder die sich spezifisch an Personen in der Schweiz richten».

Definition nach dem Fernmeldegesetz

Im Merkblatt verweist der Dienst ÜPF auf das Fernmeldegesetz und die Definition aus dem Leitfaden zum Formular für das Erbringen von Fernmeldediensten (PDF).

Fernmeldetechnische Übertragung bedeutet gemäss Art. 3 Bst. c FMG «elektrisches, magnetisches, optisches oder anderes elektromagnetisches Senden oder Empfangen von Informationen über Leitungen oder Funk». Es wird nicht explizit vorgeschrieben, dass das Senden oder Empfangen von der FDA auch in technischer Hinsicht selbst gemacht werden muss und die für die Übermittlung notwendigen Sende- oder Empfangsanlagen selbst zu betreiben sind. Auch ist die Technologie der Übertragung in diesem Zusammenhang ohne Belang.

Und weiter:

Die Anbieterin muss nicht über eigene Infrastruktur verfügen, sondern Miete, Outsourcing, Mitbenutzung etc. sind ebenfalls möglich. «Es wird aber gerade nicht explizit vorgeschrieben, dass das Senden oder Empfangen von der Anbieterin von Fernmeldediensten auch in technischer Hinsicht selber gemacht werden muss und die für die Übermittlung notwendigen Sende- oder Empfangsanlagen selber zu betreiben sind. […] Der teilweise oder vollständig unabhängige Aufbau oder Betrieb einer Übertragungsinfrastruktur ist für die Qualifikation Anbieterin von Fernmeldediensten also nicht Voraussetzung. Anbieterin von Fernmeldediensten ist auch, wer eine bestehende Infrastruktur nutzt (Netze von anderen Anbieterinnen, z. B. MVNO, Kabelnetzbetreiberinnen). So können auch reine Service Provider ohne eigenes Netz […] als Anbieterinnen von Fernmeldediensten bezeichnet werden.» (Leitfaden Abschn. 1.2.2)

Interessant die sind weggelassenen Passagen (hervorgehoben) aus dem Leitfaden:

Es wird aber gerade nicht explizit vorgeschrieben, dass das Senden oder Empfangen von der Anbieterin von Fernmeldediensten auch in technischer Hinsicht selbst gemacht werden muss und die für die Übermittlung notwendigen Sende- oder Empfangsanlagen selbst zu betreiben sind. Es entspricht damit dem Willen des Gesetzgebers, das Outsourcing von gewissen Tätigkeiten zu ermöglichen. So wird denn auch der Wiederverkauf von Diensten in der Botschaft des Bundesrates explizit erwähnt.

Dieser Ansatz entspricht auch den gesellschaftlichen und wirtschaftlichen Realitäten. Eine Kundin oder ein Kunde wünscht in erster Linie einen Ansprechpartner (Prinzip des One Stop Shopping), welcher ihr resp. ihm gegenüber die Verantwortung für die angebotene Dienstleistung übernimmt, ihr resp. ihm den gewünschten Service bietet und für allfällige Mängel haftet. Sie oder er interessiert sich aber kaum für die ihr oder ihm nicht zugänglichen und nicht beeinflussbaren, im Hintergrund liegenden Verhältnisse. Wie sich die der Kundin oder dem Kunden gegenüber als Anbieterin von Fernmeldediensten auftretende Gesellschaft intern in technischer (Outsourcing von übertragungstechnischen Aufgaben) oder betrieblicher (Zusammenarbeit im Vertrieb von Produkten) Hinsicht organisiert, muss sie oder ihn nicht kümmern.

Der teilweise oder vollständig unabhängige Aufbau oder Betrieb einer Übertragungsinfrastruktur ist für die Qualifikation «Anbieterin von Fernmeldediensten» also nicht Voraussetzung. Anbieterin von Fernmeldediensten ist auch, wer eine bestehende Infrastruktur nutzt (Netze von anderen Anbieterinnen, Kabelnetzbetreiberinnen etc.). So können auch reine Service Provider ohne eigenes Netz (z. B. Wiederverkäuferin von Verbindungskapazität) als Anbieterinnen von Fernmeldediensten bezeichnet werden.

Fernmeldedienstanbieterinnen übermitteln Informationen für ihre KundInnen. Sie operieren auf den unteren Schichten der Datenübertragung und ermöglichen die IP-Kommunikation. Anbieterinnen abgeleiteter Kommunikationsdienste setzen darauf auf, indem sie Dienste bereitstellen, die nur in Verbindung mit der Tätigkeit einer Fernmeldedienstanbieterin, insbesondere einer Internetzugangsanbieterin, angeboten werden können.

Gesetzgeberischer Wille

Die Definition aus dem Leitfaden zum Fernmeldegesetz passt zum Willen des Gesetzgebers. So ist in der Botschaft des Bundesrates vom 27. Februar 2013 zum BÜPF (PDF) folgendes festgehalten (Seite 7):

Der Anwendung des schweizerischen Rechts sind jedoch durch den Grundsatz der Territorialität der Gesetze Grenzen gesetzt. Eine rasche und effiziente Strafverfolgung ist somit in Fällen mit transnationalem Bezug (z.B. bei der Verwendung von E-Mail-Konten bei Anbietern im Ausland) erschwert, weil nur der Rechtshilfeweg offen steht. Die gewünschten Daten können in solchen Fällen oft nicht innert nützlicher Frist (oder gar nicht) beschafft werden. Der Entwurf ändert an dieser Tatsache nichts.

Und weiter (Seite 12 f.)

Der persönliche Geltungsbereich des BÜPF wird erheblich erweitert; er umschreibt, wer dem Gesetz unterstellt ist, d.h. wem daraus Pflichten erwachsen. Nach geltendem Recht umfasst der persönliche Geltungsbereich des BÜPF nur die Anbieterinnen von Post- oder Fernmeldediensten, zu denen auch die Internetzugangsanbieterinnen gehören, sowie die Betreiberinnen von internen Fernmeldenetzen und Hauszentralen. Daneben können jedoch auch weitere Personen oder Unternehmen Daten im Zusammenhang mit dem Post- oder Fernmeldeverkehr besitzen, welche die Strafverfolgungsbehörden allenfalls benötigen. Angesichts der oben dargestellten aktuellen Probleme wurde der persönliche Geltungsbereich im Entwurf genauer formuliert; dieser umfasst nun sechs verschiedene Kategorien von Personen («Mitwirkungspflichtige»), die durch spezifische Tätigkeiten gekennzeichnet sind. Erfasst werden sollen:

  • die Anbieterinnen von Postdiensten (Die Schweizerische Post, Kuriere etc.);
  • die Anbieterinnen von Fernmeldediensten (z.B. klassische Telefonanbieterinnen);
  • die Anbieterinnen von Diensten, die sich auf Fernmeldedienste stützen («Anbieterinnen abgeleiteter Kommunikationsdienste», z.B. reine Email-Provider);
  • die Betreiberinnen von internen Fernmeldenetzen (z.B. unternehmensinterne Netzwerke, «Intranet»);
  • die Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen (z.B. Hotels oder Internet-Cafés);
  • die professionellen Wiederverkäufer von Karten und ähnlichen Mitteln (Prepaid-Karten etc.), die den Zugang zu einem öffentlichen Fernmeldenetz ermöglichen.

Diese sechs Kategorien von Mitwirkungspflichtigen werden in Art. 2 lit. a bis f BÜPF (Persönlicher Geltungsbereich) einzeln festgehalten (Seite 25 f.):

Buchstabe c erfasst Personen, die weder Internetzugangsanbieterinnen noch Fernmeldedienstanbieterinnen im Sinne des Gesetzes sind, jedoch insbesondere im Bereich des Internetverkehrs ebenfalls eine Rolle spielen, indem sie Dienste bereitstellen, die nur in Verbindung mit der Tätigkeit einer Fernmeldedienstanbieterin, insbesondere einer Internetzugangsanbieterin, angeboten werden können. Diese Personen sind keine Fernmeldedienstanbieterinnen, da sie keine Daten übertragen oder befördern, schon gar nicht selbst. Ohne Inanspruchnahme einer Fernmeldedienstanbieterin, die Daten überträgt, können diese Personen, die Internetdienstanbieterinnen sind, ihre Dienste nicht anbieten. Sie werden deshalb im Folgenden als «Anbieterinnen abgeleiteter Kommunikationsdienste» bezeichnet.

Buchstabe c erfasst die Anbieterinnen von zwei Arten von Internetdiensten: Die einen ermöglichen eine Einwegkommunikation, die das Hochladen von Dokumenten gestattet (zum Beispiel Google docs oder Microsofts office.live.com), die anderen eine Mehrwegkommunikation, welche die Kommunikation zwischen Nutzerinnen und Nutzern erlaubt (zum Beispiel Facebook). Dabei ist nicht von Belang, ob die Kommunikation synchron oder asynchron erfolgt. Unter diesen Buchstaben fallen zum Beispiel Anbieterinnen von Speicherplatz für E-Mails, die verschiedenen Arten von Webhostern (Hosting-Provider), die z.B. das Hosting von Anwendungen oder E-Mail-Diensten (z.B. .gmx), Hosting in Form von «server colocation» oder «server housing» mit Zugriff (z.B. Green.ch und Colt), «facility management»-Hosting ohne Kommunikationsdienste (reine Colocation) oder Cloud-Services anbieten; ebenfalls unter diesen Buchstaben fallen Chat-Plattformen, Plattformen für den Dokumentenaustausch sowie Anbieterinnen von Internettelefoniediensten des Typs Peer-to-Peer (z.B. Skype Peer-to-Peer). Diesbezüglich ist klarzustellen, dass zum Beispiel ein Unternehmen, das ein Verschlüsselungsprodukt anbietet, nicht die Kommunikation im Sinne von Buchstabe c «ermöglicht», sondern sie höchstens erleichtert. Daher wird es von dieser Bestimmung und somit vom persönlichen Geltungsbereich des BÜPF nicht erfasst. Es ist weiter zu beachten, dass ein Unternehmen, zum Beispiel Swisscom, aufgrund seiner Tätigkeiten zugleich als Fernmeldedienstanbieterin (Buchstabe b) gilt und unter Buchstabe c fallen kann, weil es neben seiner Tätigkeit als Internetzugangsvermittler auch als E-Mail-Provider oder Webhoster (Hosting-Provider) in Erscheinung tritt. Gegebenenfalls können ihm aufgrund dieser verschiedenen Tätigkeiten unterschiedliche Überwachungspflichten zukommen.

Wie bereits aus den oben angeführten Beispielen von Unternehmen hervorgeht, sollte jedoch in Bezug auf die Fernmeldeüberwachung keine allzu grosse Hoffnung in die Tatsache gesetzt werden, dass die von Buchstabe c erfassten Personen in den persönlichen Geltungsbereich aufgenommen werden, da viele bedeutende Anbieterinnen der entsprechenden Internetdienste ihren Sitz und ihre Infrastruktur im Ausland haben. Ein gutes Beispiel dafür sind gewisse im Ausland eröffneten E-Mail-Konten – also Dienste, die an sich technisch kontrollierbar sind – die von Personen mit Wohnsitz in der Schweiz eröffnet werden. Es wäre somit unrealistisch und problematisch, generell vorzusehen, dass die schweizerischen Behörden ohne Weiteres auf die betreffenden Daten zugreifen können, da dies gegen den Grundsatz der Territorialität der Gesetze verstossen würde.

Diese Definition wird auch in den Debatten im Ständerat und im Nationalrat durchgängig verwendet.

Revision des Fernmeldegesetzes

Im Rahmen der laufenden Revision des Fernmeldegesetzes soll die Definition der Fernmeldedienstanbieterinnen um sogenannte Over-the-Top-Dienste erweitert werden. Gemeint sind Dienste, wie Skype, WhatsApp, Hangouts, Viber, Wilmaa und Zattoo. Diese sollen gemäss Botschaft (PDF) des Bundesrats – soweit möglich – «den für sie relevanten fernmelderechtlichen Rechten und Pflichten unterstellt werden. Zu denken ist dabei insbesondere an die Unterstellung unter das Fernmeldegeheimnis oder an eine den Erfordernissen des Internetzeitalters angepasste Interoperabilitätspflicht.»

Da sich daraus eine Verschiebung der Definition im BÜPF ergibt, ist mit der Revision des FMG auch eine Änderung des BÜPF vorgesehen:

Der unverändert gebliebene Begriff der Fernmeldedienste erweist sich in der vorliegenden Revision des FMG als weiter als bei der Ausarbeitung des BÜPF (vgl. Ausführung zu Art. 2 in der Botschaft des Bundesrates vom 27. Februar 2013 zum BÜPF). Er umfasst insbesondere OTT-Dienste, die in der Botschaft zum BÜPF als abgeleitete Kommunikationsdienste betrachtet werden (Art. 2 Bst. c BÜPF). Gemäss BÜPF haben die FDA nach Artikel 2 Buchstabe b jedoch weitreichendere Mitwirkungspflichten als die Personen nach Absatz 2 Buchstaben c–f. Um zu verhindern, dass Letzteren, insbesondere den Anbieterinnen abgeleiteter Kommunikationsdienste, aktive Auskunfts- und Aufsichtspflichten auferlegt werden, nur weil ihre Tätigkeiten ebenfalls Fernmeldediensten im Sinne des FMG entsprechen, soll die Referenz zu Artikel 3 Buchstabe b FMG in Artikel 2 Buchstabe b E-BÜPF entfernt werden.

Im neuen Absatz 2 E-BÜPF soll festgelegt werden, dass der Bundesrat, der ohnehin alle in Absatz 1 verwendeten Begriffe präzisieren kann, die Kategorien wenn nötig näher umschreibt. Namentlich gemeint sind die Anbieterinnen, die als FDA betrachtet werden müssen, diejenigen, die zu den Anbieterinnen abgeleiteter Kommunikationsdienste gehören, und die Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen.

Damit werden die Definitionen in den beiden Gesetzen voneinander getrennt; die Unterscheidung von FDA und AAKD im BÜPF würde wie bis anhin bestehen bleiben.

Fazit

Mit dem neuen BÜPF ging das Versprechen einher, für klare Regeln zu sorgen. Mit der eigenmächtigen Interpretation des Geltungsbereichs macht der Dienst ÜPF nun genau das Gegenteil. Dabei ist weder eine technische Notwendigkeit ersichtlich, noch ist sie rechtlich nachvollziehbar.

Die vom Gesetzgeber gewollte Unterscheidung ist hingegen sinnvoll und nachvollziehbar: Fernmeldedienstanbieterinnen übermitteln Informationen für ihre KundInnen. Sie operieren auf den unteren Schichten der Datenübertragung und ermöglichen die IP-Kommunikation. Anbieterinnen abgeleiteter Kommunikationsdienste setzen darauf auf, indem sie Dienste bereitstellen, die nur in Verbindung mit der Tätigkeit einer Fernmeldedienstanbieterin, insbesondere einer Internetzugangsanbieterin, angeboten werden können.

Eine Unterstellung ausländischer Anbieterinnen verstösst zudem gegen das Territorialitätsprinzip. So sind beispielsweise in Deutschland E-Mail-Anbieterinnen explizit von der Vorratsdatenspeicherung ausgenommen; in anderen Ländern ist sie komplett verboten. Dies sollte auch der Dienst ÜPF respektieren. Andernfalls droht ein Rückzug dieser Firmen aus dem Schweizer Markt, um nicht zweierlei sich allenfalls widersprechenden Gesetzgebungen zu unterliegen.