Bereits vor einiger Zeit haben wir darüber berichtet, welche Gesetze das Speichern der Vorratsdaten erlauben, resp. wieso diese nach Ablauf der gesetzlich vorgesehenen Speicherfrist von 6 Monaten durch die Provider zu löschen sind. Im Folgenden soll es um den dünnen Grat gehen, welcher entscheidet, wer eine Telekommunikationsüberwachung und die Vorratsdatenspeicherung vornehmen muss. Und wer im Gegensatz dazu diese Daten von den BenutzerInnen seiner Dienste nicht aufzeichnen darf – und wie es in der Praxis aussieht.
Gesetzliche Normen
Grundsätzlich unterliegen Gesprächsinhalte, Briefe, E-Mails und auch die Tatsachen darüber, dass eine Kommunikation stattgefunden hat, dem Schutz der Privatsphäre.
Artikel 13 der Bundesverfassung besagt:
- Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
- Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
Hinsichtlich der Überwachung des Fernmeldeverkehrs, resp. der Vorratsdatenspeicherung gelten (grob gesprochen) vier konkretisierende Gesetze. Im Grundsatz sind diese persönlichen Daten vor Zugriff resp. Bearbeitung geschützt:
- Das Fernmeldegesetz konkretisiert das Fernmeldegeheimnis (aus Art. 13 BV) und verbietet die Bekanntgabe der Daten durch die Provider an Dritte (Art. 43 FMG).
- Das Datenschutzgesetz erlaubt die Bearbeitung von Personendaten nur, wenn sie notwendig, verhältnismässig und zweckmässig ist, mit Zustimmung geschieht, oder wenn sie durch ein Gesetz vorgeschrieben ist (Art. 4 DSG).
Zur Aufhebung des Fernmeldegeheimnisses (Grundrechtseingriff) braucht es zwingend eine gesetzliche Grundlage:
- Das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs regelt für die Provider die Pflicht, den Fernmeldeverkehr einer überwachten Person «auszuleiten» und die Vorratsdaten für 6 Monate aufzubewahren (Art. 15 Abs. 1 und 3 BÜPF).
- Die Strafprozessordnung erlaubt den Behörden unter gewissen Bedingungen (wie Schwere der Straftat, Richtervorbehalt, «rückwirkende» Dauer 6 Monate) den Zugriff (Art. 269 ff und Art. 273 StPO) auf die Daten.
Persönlicher Geltungsbereich des BÜPF
Die entscheidende Frage ist nun, wer dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF untersteht – und wer nicht: Wer es tut, muss eine Telekommunikationsüberwachung für die Behörden ausführen und Vorratsdaten speichern. Wer dem Gesetz nicht untersteht, darf es nicht.
Art. 1 Abs. 2 BÜPF besagt:
Es [das Gesetz] gilt für alle staatlichen, konzessionierten oder meldepflichtigen Anbieterinnen von Post- und Fernmeldedienstleistungen sowie für Internet-Anbieterinnen.
Oder wie es in der französischen Version genauer heisst:
Elle s’applique à tous les organismes étatiques, aux organismes soumis à concession ou à l’obligation d’annoncer qui fournissent des services postaux ou de télécommunication ainsi qu’aux fournisseurs d’accès à Internet.
Mit der Änderung der Verordnung zum BÜPF wollte der Bundesrat 2011 den persönlichen Geltungsbereich entscheidend erweitern. Der Begriff «Internet-Anbieterinnen» aus dem Gesetz sollte nicht mehr «nur» die Access Provider umfassen, sondern müsse neu auch generell für Anbieterinnen von Internetdienstleistungen gelten. Die Digitale Gesellschaft hat sich gemeinsam mit anderen Organisationen erfolgreich dafür eingesetzt, dass seit der Anpassung der Verordnung, diese nun klar und ausschliesslich für Internetzugangsanbieterinnen gilt.
Mit der aktuell im Nationalrat debattierten Totalrevision des BÜPF, soll der Geltungsbereich nun trotzdem von gegenwärtig ca. 50 Access Provider auf sämtliche privaten und geschäftlichen Anbieterinnen von Online-Diensten – in abgestufter Form – ausgeweitet werden. Das letzte Wort ist hier jedoch noch nicht gesprochen.
Überwachungspraxis
Konkret bedeutet dies, dass Internetzugangsanbieterinnen, wie Swisscom und Cablecom – also diejenigen, welche Internetzugänge in einem Vertragsverhältnis Privatpersonen, Firmen und Organisationen anbieten – dem Überwachungsgesetz BÜPF unterstehen. Diese Firmen müssen eine Telekommunikationsüberwachung und die Vorratsdatenspeicherung vornehmen – alle anderen dürfen dies nicht.
Wer also eine E-Mailadresse von bluewin.ch oder hispeed.ch nutzt, dessen/deren Kommunikationsranddaten werden für 6 Monate gespeichert. Wer hingegen eine Mailbox bei einer Anbieterin benutzt, die keine Zugangsanbieterin ist oder aus dem Ausland operiert, ist von der Vorratsdatenspeicherung (der Schweiz) nicht betroffen. Bei einer angeordneten Überwachung kann jedoch der komplette IP-Datenverkehr der betroffenen Person beim Access Provider abgehört werden.
Entsprechend sieht sich ProtonMail ausserhalb vom Geltungsbereich des Überwachungsgesetzes. Zwei Anfragen bei Hosting-Provider bestätigen dies in der Praxis:
«Hostpoint untersteht dem derzeit geltenden BÜPF als reiner Hosting-Provider nicht. Unter geltendem BÜPF und VÜPF fallen unter den Begriff «Internet-Anbieterinnen» nur Fernmeldedienstanbieterinnen, die der Öffentlichkeit fernmeldetechnische Übertragungen von Informationen auf der Basis von IP-Technologien unter Verwendung öffentlicher IP-Adressen anbieten (Art. 2 lit.a VÜPF). Anbieter von reinen Webhosting-Dienstleistungen werden damit nicht erfasst. Hostpoint nimmt deshalb auch keine Vorratsdatenspeicherung im Sinne von Art. 15 Abs 3 BüPF vor.»
Und:
«Bis jetzt unterstehen wir [Cyon] dem BÜPF nicht. Nach der aktuell geplanten Gesetzesrevision würden wir allerdings neu dem BÜPF unterstehen.»
Zum Gegenteiligen Schluss kommt hingegen MyKolab.com:
«Wenn BÜPF nicht gälte dann unterstünde man Zwangsmassnahmen, bzw «Search & Seizure» der Polizei. Damit hätten die Nutzer aber weniger Schutz.»
Dabei geht vergessen, dass man sich dem Geltungsbereich nicht unterstellen (oder entziehen) kann. Das Gesetz gilt – oder eben nicht (auch wenn dies im Zweifelsfall ein Gericht feststellen muss).
Natürlich gibt es auch ohne BÜPF bei der Verfolgung von Straftaten gewisse Mitwirkungs- und Editionspflichten. «Search & Seizure» hat MyKolab in der Schweiz jedoch kaum zu befürchten. Entsprechende Beispiele konnten auf Nachfrage auch nicht genannt werden.
Im Prinzip geht es um die Zeugnispflicht, und die Pflicht zur Herausgabe von Beweismitteln, die im Strafrecht alle trifft. Wer nicht dem BÜPF untersteht, muss seine Daten auf Anfrage der Polizei herausgeben (das ist die verhältnismässige Variante einer Beschlagnahme der Rechner zu Beweiszwecken im Rahmen einer Hausdurchsuchung).
Das Argument, wenn man dem BÜPF unterstehe, gelten immerhin eine richterliche Kontrolle und gewisse Voraussetzungen, greift zu kurz. Wird eine Straftat über das Internet begangen, müssen unabhängig von den Einschränkungen gemäss Strafprozessordnung, alle Angaben zur Identifikation der Person gemacht werden. Zudem schreibt das BÜPF über eine allgemeine Herausgabe hinaus, eine aktive Überwachungspflicht (und die Vorratsdatenspeicherung) vor.
Die Herausgabepflicht wurde im Gutachten über die Datenerhebung und Datenherausgabe der UZH an die Staatsanwaltschaft wie folgt umrissen:
«Art. 265 StPO verpflichtet den Inhaber von Gegenständen oder Vermögenswerten, die beschlagnahmt werden solle, diese herauszugeben. […] Eine Herausgabe darf [von den Strafverfolgungsbehörden] nicht dazu verwendet werden, eine Überwachungsmassnahme zu umgehen, insbesondere für den Fall, dass die verfolgte Straftat keine Katalogtat des Art. 269 Abs. 2 StPO ist, bzw. nicht ausreichend schwerwiegend ist, um die Überwachungsmassnahme zu rechtfertigen. Die Erlangung von Kommunikation direkt bei ihrem Inhaber [hier also die UZS] stellt keine Überwachungsmassnahme der Korrespondenz dar, sondern es handelt sich um eine Art Beschlagnahme.»
«Dennoch hätte die UZH die Möglichkeit gehabt, eine formelle schriftliche Entscheidung (Editionsverfügung) zu verlangen, und gegebenenfalls eine Versiegelung der gelieferten Daten zu beantragen, damit eine Justizbehörde eine Entscheidung über die Verhältnismässigkeit der Aufforderung trifft. Das Recht die Versiegelung zu beantragen, liegt beim Besitzer der betroffenen Gegenstände, unabhängig davon, ob es sich um einen Dritten oder um die beschuldigte Person handelt. Daher hatte auch die UZH dieses Recht. Die Ausübung dieses Rechts ist an keine besondere Form gebunden.»
Eine Herausgabepflicht kann nur vorhandene Daten betreffen. Wie oben beschrieben, dürften z.B. Vorratsdaten nicht erhoben werden. Eine Datenspeicherung über das betrieblich Notwendige hinaus widerspricht dem Grundsatz der Datensparsamkeit und ist ein Verstoss gegen das Datenschutzgesetz. Eine Bekanntgabe eine Verletzung des Fernmeldegeheimnisses.
Interessant zu wissen wäre, ob MyKolab schon mal von einem Nutzer ein Datenauskunftsbegehren nach Art. 8 DSG erhalten hat – und sämtliche personenbezogenen Daten (inkl. deren aus der VDS) herausgeben würde.
(Vielen Dank an Martin Steiger und Simon Schlauri für die Durchsicht und kritische Würdigung des Entwurfs.)