In der Schweiz stehen folgende Gesetze und Verordnungen hinsichtlich staatlichem Überwachen im Zentrum:
- Das Bundesgesetz und die Verordnung betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, VÜPF) regelt zusammen mit der Strafprozessordnung (StPO) die Zwangsmassnahmen, welche Strafverfolgungsbehörden zur Verfügung stehen. Darin wird auch die Vorratsdatenspeicherung festgeschrieben.
- Das Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit (BWIS) definiert den Tätigkeitsrahmen des Inlandsgeheimdienstes. Dieser betreibt auch das Informatisierte Staatsschutz-Informations-System (ISIS) – den Nachfolger der Fichen.
- Die Verordnung über die Nachrichtendienste im VBS (VND) bildet die Grundlage für den Auslandsgeheimdienst. Dieser wurde am 1.1.2010 mit dem Inlandsgeheimdienst zum Nachrichtendienst des Bundes (NDB) vereint.
- Zu guter Letzt regelt die Verordnung über die elektronische Kriegsführung (VEKF) die Funkaufklärung und damit den Betrieb der “geheimen” Abhöranlagen. Diese richtet sich primär nicht gegen Personen in der Schweiz.
Sämtliche Gesetze und Verordnungen sind aktuell einer Totalrevision unterworfen. Die geheimdienstliche Tätigkeit soll im neuen Nachrichtendienstgesetz geregelt werden.
Im Folgenden soll es um die Überwachung des Post- und Fernmeldeverkehrs gehen.
Bundesgesetz und Verordnung betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, VÜPF)
Mobiltelefonie
Bei der Mobiltelefonie müssen gemäss geltender Regelung für eine «rückwirkende» Überwachung (also die Vorratsdatenspeicherung) folgende Daten von den Mobilfunkanbieterinnen während 6 Monaten gespeichert und dem Dienst ÜPF zuhanden der Strafverfolgungsbehörden zur Verfügung gestellt werden können:
- Rufnummern der abgehenden und ankommenden Kommunikationen
- Kommunikations- und Identifikationsparameter, wie SIM- (Subscriber Identity Module), IMSI- (International Mobile Subscribers Identity) und IMEI-Nummer (International Mobile Equipment Identity)
- «Den Standort und die Hauptstrahlungsrichtung der Antenne, mit der das Endgerät der überwachten Person zum Zeitpunkt der Kommunikation verbunden ist.»
- Datum, Zeit und Dauer der Verbindung
Wird eine aktive Überwachung durch die Strafverfolgungsbehörden angeordnet und durch ein Zwangsmassnahmengericht bewilligt, können für die Echtzeitüberwachung neben den oben genannten Daten (zusätzlich auch bei nicht zustande gekommener Verbindung) auch die Übertragung des Fernmeldeverkehrs (Nutzinformationen, Gespräche, SMS) und «die Bestimmung und die simultane oder periodische Übertragung des Zell-Identifikators (Cell ID), des Standortes und der Hauptstrahlungsrichtung der Antenne, mit der das Endgerät der überwachten Person momentan verbunden ist» angefordert werden.
Zudem gilt für alle BenützerInnen von Prepaid-Karten, welche nach dem 1. November 2002 in Betrieb genommen worden sind, eine Registrierungspflicht. Die Anbieterinnen müssen anhand eines gültigen Reisedokumentes Name, Vorname, Adresse, Geburtsdatum, Art des Ausweises und dessen Nummer erfassen und für mindestens zwei Jahre speichern. Adressänderungen und die Weitergabe von SIM-Karten sind aber nicht meldepflichtig.
Mit der überarbeiteten Verordnung, gültig ab 1.1.2012, wurde die (schwache) gesetzliche Grundlage für Antennensuchläufe geschaffen. Mit dieser schon früher regelmässig durchgeführten strafprozessualen Zwangsmassnahme können, aufgrund der Daten aus der Vorratsdatenspeicherung, rückwirkend die MobilfunkteilnehmerInnen zu einem bestimmten Zeitpunkt an einem spezifizierten Ort eruiert werden.
Internet
Auch hier gilt eine Vorratsdatenspeicherung für 6 Monate. Für die «rückwirkende» Überwachung müssen Internet Access Provider gemäss geltendem Recht folgende Daten aufbewahren und zur Verfügung stellen können:
- Art der Verbindung oder des Anschlusses (Telefon, xDSL, Cable, Standleitung, WLAN, GPRS etc.), Login-Daten, Adressierungselemente der Kommunikation (IP- und MAC-Adressen, Telefon-Nummern), Name, Adresse und Beruf des/r TeilnehmerIn und Zeitpunkt von Beginn und Ende der Verbindung
- Zeitpunkt von Versand oder Empfang einer Mitteilung durch einen asynchronen elektronischen Postdienst (E-Mail), die Umschlaginformationen gemäss SMTP-Protokoll, die IP-Adressen von sendenden und empfangenden Einrichtungen und alle anderen verfügbaren Adressierungselemente
Bei einer angeordneten Echtzeitüberwachung können zusätzlich von den Strafverfolgungsbehörden via Zwangsmassnahmengericht und Dienst ÜPF auch die Inhalte von ein- und ausgehenden Mitteilungen eines synchronen oder asynchronen elektronischen Postdienstes (z. B. Instant Messaging, E-Mail, Chat) und Gespräche eines auf digitalen Medien basierenden Fernmeldedienstes (wie VoIP), inkl. der Zeitpunkt eines Abrufs auf der Mailbox oder der Kommunikation, der Adressierungselemente, der Anmeldedaten, den Umschlagsinformationen und allen anderen Kommunikationsparameter, angefordert werden.
Internetzugangs- und VoIP-Anbieterinnen müssen also die Verkehrs-/Metadaten und Rechnungsdaten der von ihnen für KundInnen betriebenen elektronischen Mitteilungsdiensten und Zugangseinrichtungen und die Inhalte von Nachrichten und Gesprächen und die Zugriffe auf Mailboxen zur Verfügung stellen können. Unter den Mitteilungsdiensten sind SMTP-, POP3-, IMAP4, Webmail- und Remail-Server aber neu auch generell elektronische Postdienste und unter den Zugangseinrichtungen Dialup-, RAS-, DHCP-Dienste etc. zu verstehen. Der reine SMTP- oder POP3-Verkehr muss dabei (siehe nächsten Abschnitt!) nicht aufgezeichnet werden. Wenn also diese Dienste lokal, im Ausland, bei einer Firma oder einer Organisation betrieben und bezogen und vom ISP nur transportiert werden, fallen keine Daten im Sinne des BÜPFs an.
Die Überwachungstypen, die betreffend der Überwachung der Internetzugänge angeordnet werden können, sind in Artikel 24 VÜPF abschliessend aufgezählt. Diese umfassten Verkehrs- und Inhaltsdaten von Postdiensten und Einwahldaten ins Internet. Dennoch hat der Dienst ÜPF von den Providern Massnahmen gefordert, um den kompletten Internetverkehr überwachen zu können. Die Wochenzeitung WOZ hat in ihrer Ausgabe vom 16.7.2009 die entsprechenden Dokumente veröffentlicht. Mit der überarbeiteten Verordnung, gültig ab 1.1.2012, wird die gesetzliche Grundlage für «die Übermittlung sämtlicher Daten [an die Strafverfolgungsbehörden], die über einen überwachten Zugang gesendet oder empfange werden» geschaffen. Die Provider müssen den Datenverkehr in Echtzeit und permanent zur Verfügung stellen können.
Wenn nun also der elektronische Postdienst von einer nicht meldepflichtigen Internetzugangsanbieterin angeboten wird, besteht keine Vorratsdatenspeicherung im Sinne des BÜPFs, jedoch kann durch eine angeordnete Überwachung der gesamte Datenverkehr aufgezeichnet und ausgewertet werden – falls die Verbindung nicht ausreichend verschlüsselt ist. Um diese (Zitat) Überwachungslücke zu stopfen, plant der Bundesrat den legalen Einsatz vom Trojaner Federal (siehe weiter unten).
Weitere Dienste
Zusätzlich regelt das Gesetz auch die Überwachung des klassischen Post- und Telefondienstes. Diese werden hier jedoch nicht weiter ausgeführt.
Voraussetzungen
Damit eine aktive Überwachung angeordnet werden kann, muss ein dringender Tatverdacht zu einer Straftat bestehen, welche im Deliktskatalog des Gesetzes aufgeführt ist. Dieser umfasst beispielsweise Amtsmissbrauch, Betrug, Drohung, Schreckung der Bevölkerung, Störung des öffentlichen Verkehrs und Mord.
Seit der Einführung der Schweizerische Strafprozessordnung zum 1. Januar 2011 reicht für eine rückwirkende Überwachung (also den Zugriff auf die Daten aus der Vorratsdatenspeicherung) bereits der dringende Verdacht, ein Verbrechen oder Vergehen sei begangen worden.
Zusätzlich muss ein Provider (gemäss BÜPF), falls eine Straftat über das Internet begangen wird, sämtliche bekannten Angaben machen, die zur Identifikation des/der UrheberIn führt – unabhängig des Deliktkataloges oder der Schwere einer Straftat.
Trojaner Federal
Im Rahmen der Staatstrojaner-Affäre in Deutschland wurde auch vom EJPD die mehrfache Verwendung einer staatlichen Computerwanze zugegeben. Dies hat die NZZ am 15.10.2011 dokumentiert. Wie beim nördlichen Nachbarn gibt es auch hierzulande keine ausreichende gesetzliche Grundlage. Der oft zitierte Art. 280 StPO kann für eine derart schwerwiegende Beschränkung verschiedener Grundrechte nicht als hinreichende Grundlage gelten. Software ist kein technisches Überwachungsgerät. Der von der Firma Digitask programmierte Staatstrojaner ist zudem geeignet, weit mehr als «nur» das gesprochene Wort abzuhören oder aufzuzeichnen. Folgerichtig war deshalb im Rahmen von BWIS II und BÜPF 2010 die Einführung einer entsprechenden gesetzlichen Regelung vorgesehen. Die Änderungen wurden vom Parlament zurückgewiesen resp. sind noch hängig: Gegenwärtig wird die Totalrevision des BÜPF in den eidgenössischen Räten behandelt. Das neue Nachrichtendienstgesetz soll (als Nachfolgerin von BWIS II) die Verwendung durch die Geheimdienste regeln.
Links zum geltenden Recht
Die wichtigsten Verweise zum geltenden Recht sind:
- Bundesgesetz und Verordnung
- Fernmeldegesetz und Leitfaden zum Meldeformular für das Erbringen von Fernmeldediensten
- Schweizerische Strafprozessordnung
Vernehmlassungsverfahren 2010 zum BÜPF
Im Mai 2010 hatte das Eidgenössische Justiz- und Polizeidepartement eine Vernehmlassung zur Änderung des BÜPF eröffnet. Gemäss Entwurf waren folgende Erweiterungen vorgesehen:
- Aktive Überwachungspflicht für sämtliche professionellen Anbieterinnen von Dienstleistungen und Inhalten im und zum Internet
- Mitwirkungspflicht für alle nicht professionellen Anbieterinnen und Privatpersonen
- Überwachung des kompletten Internet-Datenverkehrs
- Streichung der Rekursmöglichkeit und der Entschädigungen
- (Zwangs-)Zertifizierung für die Anbieterinnen
- Möglichkeit für verdeckte Online-Durchsuchungen (Trojaner Federal, Staatstrojaner)
- Verdoppelung der Vorratsdatenspeicherung auf 12 Monate
Der Entwurf ist von Konsumentenschützerinnen, Grundrechtsorganisationen, Verbänden und Datenschützern sehr kritisch aufgenommen worden. Aus der Digitalen Gesellschaft haben sich ausführlich geäussert:
- Swiss Privacy Foundation
- Grundrechte.ch (zusammen mit den Demokratischen JuristInnen Schweiz)
- Piratenpartei Schweiz
Anhörungsverfahren 2011 zur VÜPF
Obwohl die Totalrevision des Bundesgesetzes seit 2010 hängig gewesen ist, sollte die Internetüberwachung bereits auf dem Verordnungsweg (also in Umgehung von Parlament und Volk) ausgeweitet werden:
- Ohne die Begriffsdefinition der «Internet-Anbieterin» in der Verordnung selber anzupassen, müsste die Überwachungspflicht neu für sämtliche Anbieterinnen von Internetdienstleistungen gelten.
- Die wohl bereits praktizierte Überwachung des gesamten Internetverkehrs sollte durch die Aufnahme in die Verordnung rechtlich halbwegs legitimiert werden.
- Die Aufzählung der Überwachungstypen, die angeordnet werden können, sollten stark erweitert werden – und nicht mehr als abschliessend gelten.
- Von der Ausweitung des persönlichen und sachlichen Geltungsbereichs war die Vorratsdatenspeicherung nicht ausgenommen.
Die Vorlage versprach Rechtssicherheit und «Investitionsschutz». Durch das Fehlen von genauen Definitionen und einer klaren Gesetzesgrundlage drohte sie, diese jedoch weiter zu untergraben.
Die Digitale Gesellschaft hat eine Stellungnahme veröffentlicht und die Anhörungsantwort zwei Wochen später versandt.
Eine abgeschwächte Version des Entwurfes ist vom Bundesrat per 1.1.2012 (mit einer Übergangsfrist von 12 Monaten) in Kraft gesetzt worden. Im Gegensatz zum Entwurf wurde eine entscheidende Änderung vorgenommen: Die Verordnung gilt nun klar und ausschliesslich für Internetzugangsanbieterinnen.
Entwurf und Botschaft 2013 zum BÜPF und Parlamentsdebatte 2014
Am 27. Februar 2013 hat der Bundesrat einen neuen Entwurf und eine Botschaft zuhanden des Parlaments vorgestellt. Trotz breiter Kritik in der Vernehmlassung von 2010 will der Bundesrat in wesentlichen Punkten am Entwurf festhalten:
- Ausdehnung des Geltungsbereichs von 50 Access Provider auf sämtliche privaten und geschäftlichen Anbieterinnen von Online-Diensten
- Verdoppelung der Speicherdauer der verfassungsrechtlich problematischen Vorratsdatenspeicherung
- Rechtliche Verankerung des Einsatzes von Bundestrojanern
- Zulassung von IMSI-Catchern
- Streichung der Rekursmöglichkeit
Die Digitale Gesellschaft – und andere Organisationen – haben sich umfassend zur Totalrevision BÜPF geäussert. Verschiedene kleine Änderungen sind während der Debatte in den Kommissionen und Räten vorgenommen worden. Verbessert wurde die Vorlage aber damit nicht. Als Zweitrat hat der Nationalrat in der Sommersession 2015 der Vorlage zugestimmt. Es ist damit zur rechnen, dass das Differenzbereinigungsverfahren im Dezember 2015 abgeschlossen werden kann. Das Gesetz wäre damit beschlossen.