Verweigertes Auskunftsrecht zu Vorratsdaten – EDÖB untersucht Praxis der Provider

[Bild: Filmszene aus «Person of Interest» (S01E01)]
Zu den von den Providern aufgezeichneten Vorratsdaten gehören neben Informationen zu den Kommunikationspartnern, den verwendeten IP-Adressen im Internet und den genauen Zeitpunkten der Kommunikation auch der Handystandort. Da moderne Smartphones praktisch permanent mit dem Internet verbunden sind, lassen sich mit den Daten umfangreiche Persönlichkeits- und Bewegungsprofile erstellen. Die Vorratsdatenspeicherung stellt damit einen schwerwiegenden Eingriff in die Grundrechte dar.

Die erhobenen, personenbezogenen Daten unterliegen dem Datenschutzgesetz. Das darin verankerte Auskunftsrecht schafft die notwendige Transparenz bei der Bearbeitung personenbezogener Daten. Der Eidgenössische Datenschutzbeauftragte (EDÖB) hat eigens dazu einen Musterbrief für ein Datenauskunftsbegehren bei den Providern erstellt. Vor einiger Zeit haben wir dazu angehalten, via Datenauskunftsbegehren die eigenen Vorratsdaten anzufordern.

Wurden die ersten Begehren noch pauschal negativ beantwortet, haben die Provider sich zunehmend konkreter zum Sachverhalt geäussert. Zudem konnte ein Teil der Daten aus der Vorratsdatenspeicherung von Nationalrat Balthasar Glättli (Grüne ZH) für eine interaktive Visualisierung verwendet werden.

In der Zwischenzeit haben wir die Argumente der Provider juristisch ausgewertet. Die vorgebrachten Argumente lassen keine umfassende Einschränkung des Auskunftsrechts in Bezug auf die Vorratsdaten zu. Diese Auffassung wurde in der Vergangenheit auch vom EDÖB vertreten. Wir haben ihn daher um Klärung des Sachverhalts mit den Providern gebeten. Die Problematik wurde vom EDÖB aufgenommen. Wir stehen in Kontakt und werden über den Fortgang berichten.

Nachfolgend ist unsere Stellungnahme dokumentiert.


Fehlende Inhaberschaft und Berechtigung zur Auskunfterteilung

Argument mehrerer Fernmeldedienstanbieterinnen:

Die FDA seien im Hinblick auf die gestützt auf das BÜPF gespeicherten Vorratsdaten nicht Inhaber der Datensammlung. Dies ergebe sich aus Art. 3 lit. i DSG, wonach Inhaber einer Datensammlung ist, wer über den Zweck und Inhalt der Datensammlung entscheidet. Faktisch bestimme der Dienst ÜPF, wie die Vorgaben des Gesetzes in der Praxis umgesetzt werden müssten. Alleine dieser sei daher berechtigt, über die Verwendung der Vorratsdaten zu bestimmen und entsprechende Auskünfte zu erteilen.

Der Bund sei sodann berechtigt, Ein Auskunftsgesuch zu verweigern, wenn die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage Stelle (Art. 9 Abs. 2 lit. d DSG). Dieser Argumentation könnten sich auch die FDA bedienen, falls man diese als Hilfspersonen des Dienstes bezeichne.

Argumente des Dienstes ÜPF:

Der Dienst ÜPF dürfe die Fernmeldedaten auf Grund von Art. 14 Abs. 2 BÜPF nur den zuständigen Behörden des Bundes und der Kantone weiterleiten. Er sei daher nicht berechtigt, privaten Personen Auskunft über den Fernmeldeanschluss zu erteilen.

Im Rahmen eines Strafverfahrens sei die jeweils bearbeitende Strafverfolgungsbehörde zuständig. Ausserhalb eines Strafverfahrens werde empfohlen, sich mit dem Begehren an die FDA zu wenden.

Gestützt auf Art. 15 Abs. 3 BÜPF sind die Anbieterinnen verpflichtet, die Randdaten während 6 Monaten aufzubewahren. Solche Daten werden jedoch nur auf eine gerichtlich genehmigte Anordnung einer Staatsanwaltschaft an letztere weitergeleitet und dies nur im Rahmen eines laufenden Strafverfahrens. Die Randdaten werden im Übrigen direkt von den Anbieterinnen an die Strafverfolgungsbehörden ausgeliefert. Hinsichtlich der Randdaten ist der Dienst ÜPF damit sicherlich nicht Inhaber einer Datensammlung zu betrachten.

Stellungnahme der Digitalen Gesellschaft:

Ein beachtlicher Anteil der von den FDA bearbeiteten Verkehrs- und Rechnungsdaten ist technisch und wirtschaftlich eine notwendige Voraussetzung für die Leistungserbringung durch die FDA. Primärer Zweck der Datenbearbeitung durch die FDA ist daher zunächst die Leistungserbringung gegenüber dem Kunden. Die FDA verwenden die Verkehrs- und Rechnungsdaten im Übrigen auch für weitere kommerzielle Zwecke. Der Zweck der Datensammlung wird somit von vornherein massgeblich durch die FDA bestimmt. Das BÜPF verpflichtet und berechtigt die FDA, die ohnehin bearbeiteten Daten über das technisch und wirtschaftlich notwendige (zeitliche) Mass hinaus zu bearbeiten und zusätzliche, d. h. für die Leistungserbringung nicht erforderliche, Daten zu erheben und aufzubewahren. Die Argumentation, dass Zweck und Inhalt der Datensammlung alleine vom BÜPF bzw. vom Dienst ÜPF definiert würden, kann somit von vornherein nur auf einen Teil der betroffenen Daten zutreffen. Bei denjenigen Daten, welche für die technische und administrative Leistungserbringung durch die FDA notwendig sind, ist zweifellos von der Inhaberschaft der FDA auszugehen. Unseres Erachtens trifft dies aber auch für die darüber hinaus erhobenen Daten zu: Der Zweck von deren Erhebung und Aufbewahrung besteht aus Sicht der FDA in der Erfüllung ihrer gesetzlichen Pflichten. Auch wenn den FDA diesbezüglich kein Spielraum zukommt, so sind doch sie es, welche die Datensammlung initiieren, um sich gesetzeskonform zu verhalten. Daraus folgt, dass die FDA als Inhaber sämtlicher aufbewahrten Verkehrs- und Rechnungsdaten anzusehen sind.Zu beachten ist ferner, dass die ausschliesslich zur Erfüllung gesetzlicher Pflichten erhobenen Daten mit den übrigen von den FDA bearbeiteten Daten eine als Einheit zu betrachtende Datensammlung bilden. Der Übergang von der einen in die andere Kategorie ist für einen Grossteil der Daten ausschliesslich durch den Zeitpunkt bestimmt, ab dem die sie nicht mehr aus geschäftlichen Gründen aufbewahrt werden dürfen. Dieser Zeitpunkt kann naturgemäss nicht trennscharf definiert werden, was zeigt, dass eine rechtliche Aufteilung der Datensammlung auf verschiedene Inhaber kaum praktikabel wäre. Für die Inhaberschaft der FDA spricht zudem, dass, wie nachfolgend dargelegt wird, der Dienst ÜPF nicht Inhaber der Daten sein kann:

Der Dienst ÜPF erlässt zwar weit gehende technische und organisatorische Richtlinien für die FDA, welche den genauen Umfang der zu bearbeitenden Daten und die Spezifikationen für deren Bereitstellung definieren. Damit entscheidet er jedoch nicht über den Inhalt und Zweck der Datensammlung i. S. v. Art. 3 lit. i DSG, sondern verfeinert lediglich die von Gesetz und Verordnung vorgegebenen Grundsätze auf konkreter technischer Ebene. Der Dienst ÜPF ist zudem nur in den gesetzlich vorgesehenen Fällen und unter Vorbehalt entsprechender Anordnung durch die zuständige (Strafverfolgungs-)Behörde befugt, die Verkehrs- und Rechnungsdaten zu bearbeiten (vgl. Art. 1 Abs. 1 i. V. m. Art. 13 Abs. 1 lit. e BÜPF). Daraus folgt, dass dem Dienst ÜPF in Bezug auf die Verkehrs- und Rechnungsdaten nur dann die Inhaber-Eigenschaft zukommen kann, wenn er zur Bearbeitung der der Verkehrs- und Rechnungsdaten des Auskunftstellers befugt ist und diese tatsächlich bearbeitet. Dies ist typischerweise nur im Rahmen eines Strafverfahrens der Fall, in dem sich das Auskunftsrecht ohnehin nicht nach dem allgemeinen Datenschutzrecht richtet (vgl. Art. 2 Abs. 2 lit. c DSG), sondern nach den besonderen Vorschriften in der StPO. In Bezug auf Auskunftsbegehren ausserhalb eines Strafverfahrens kommt dem Dienst ÜPF somit unter keinen Umständen Inhaber-Funktion zu. Die Argumentation des Dienstes ÜPF, wonach er nicht zur Auskunft befugt sei, ist somit in der Sache (wenn auch nicht unbedingt in der Begründung) zutreffend. Ebenfalls beizupflichten ist seiner Auffassung, dass ausserhalb eines Strafverfahrens die FDA für die Behandlung von Auskunftsbegehren zuständig seien.

Die FDA könnten im Übrigen selbst dann nicht gänzlich die Auskunft verweigern, wenn eine staatliche Stelle alleiniger Inhaber der Verkehrs- und Rechnungsdaten wäre: Als mit der Datenbearbeitung beauftragte Dritte wären sie zumindest verpflichtet, das Auskunftsbegehren an den zuständigen Inhaber der Datensammlung weiterzuleiten (vgl. Art. 1 Abs. 5 Satz 2 VDSG). Dieser wäre gemäss Art. 1 Abs. 6 VDSG wiederum verpflichtet, das Begehren an den mit der Datenbearbeitung beauftragten Dritten zur Erledigung weiterzuleiten, wenn er selbst nicht in der Lage ist, Auskunft zu erteilen. Sollte also wider Erwarten von einer jederzeitigen Inhaberschaft des Dienstes ÜPF auszugehen sein, wäre dieser aus den oben aufgeführten Gründen ohne entsprechende Ermächtigung einer Strafverfolgungsbehörde trotzdem nicht in der Lage, auf die Daten zuzugreifen und Auskunft zu erteilen. Er hätte daher die FDA anzuweisen, dem um Auskunft Ersuchenden die angeforderten Auskünfte zu erteilen. Dieser Mechanismus entspricht dem klaren Willen des Gesetzgebers (vgl. Botschaft zum DSG vom 23. März 1988, S. 454; BSK Rn. 13 zu Art. 8) und entspricht dem Grundsatz, dass es immer eine für die Auskunfterteilung zuständige Person gibt (meier RN 1020). Vor diesem Hintergrund ist der vorliegend zu Tage getretene negative Kompetenzkonflikt zwischen den FDA und dem Dienst ÜPF nicht haltbar.

Eine Einschränkung des Auskunftsrechts gestützt auf Art. 9 Abs. 2 lit. b DSG ist von vornherein nur möglich, wenn der Zweck einer Strafuntersuchung oder ein anderes Untersuchungsverfahren durch die Auskunfterteilung in Frage gestellt wird. Bereits aus der Botschaft zum DSG ergibt sich, dass der Gesetzgeber dieser Norm keine grosse Bedeutung zugemessen hat (Botschaft zum DSG vom 23. März 1988, S. 455). Eine Vereitelung des Zwecks eines Strafverfahrens ausserhalb eines die Auskunft stellende Person betreffenden Strafverfahrens ist denn auch nur in wenigen Fällen denkbar. Die alleinige abstrakte Möglichkeit, dass die um Auskunft ersuchende Person eines Tages in ein Strafverfahren verwickelt sein könnte, kann angesichts der grossen Bedeutung des Auskunftsrechts für den Datenschutz nicht zur Anwendung von Art. 9 Abs. 2 lit. b DSG führen. Dies ergibt sich aus der bundesgerichtlichen Rechtsprechung, wonach Einschränkungen des Auskunftsrechts auf das zeitlich und sachlich unbedingt Notwendige begrenzt werden müssen (BGE 125 II 473 E. 4c) (BSK 9 RN 9).

Spezialgesetzliche Bestimmung im Fernmeldegesetz

Argumente mehrerer FDA:

Das datenschutzrechtliche Auskunftsrecht stehe unter dem Vorbehalt spezialgesetzlicher Bestimmungen (Art. 9 Abs. 1 lit. a DSG). Es könne nicht ausgeschlossen werden, dass neben dem Inhaber des Anschlusses auch noch andere Personen diesen Anschluss benützen, wie z. B. Familienangehörige oder Besucher. Diese Mitbenützer des Anschlusses hätten einen eigenständigen Grundrechtsschutz (Art. 13 BV, Art. 43 FMG). Bei einer Auskunfterteilung bestünde somit die Gefahr, dass der Anschlussinhaber die Telefon- oder Internetaktivitäten dieser Dritten nachvollziehen könne, ohne dass dies diesen bekannt wäre, sie sich dagegen wehren könnten oder sie dem zugestimmt hätten.

Aus den Materialien zur Fernmelderechtsrevision 98 gehe hervor, dass der Anschlussinhaber aus den erwähnten Gründen nur diejenigen Randdaten erhalten solle, welche ihm die Kontrolle der Rechnung ermöglichen. Somit gehe das verfassungsrechtlich garantierte Fernmeldegeheimnis den datenschutzrechtlichen Ansprüchen einer Person vor, woraus sich wiederum eine abschliessende Regelung der Auskunftspflicht seitens der FDA in Art. 45 und 46 FMG sowie den entsprechenden Bestimmungen in der FDV ergebe.

Stellungnahme der Digitalen Gesellschaft:

Das Fernmeldegeheimnis gemäss Art. 43 FMG gilt per Definition nur gegenüber Dritten. Dem datenschutzrechtlichen Auskunftsanspruch kann das Fernmeldegeheimnis somit von vornherein nur dann entgegen gehalten werden, wenn die vom betroffenen Anschluss aus generierten Verkehrs- und Rechnungsdaten Kommunikationsvorgänge betreffen, an denen der Inhaber des Anschlusses nicht selbst beteiligt war oder wenn es diesem technisch nicht möglich war, seinen Gesprächspartner zu identifizieren. Aus der Botschaft zum FMG vom 10. Juni 1996 geht hervor, dass der Gesetzgeber sich der Spannungsverhältnisses zwischen dem Informationsinteresse des Anschlussinhabers und dem Interesse Dritter am Schutz des Fernmeldegeheimnisses bewusst war und dass er entschieden hat, den Informationsanspruch des Anschlussinhabers grundsätzlich höher zu gewichten (vgl. BBl 1996 III 1442 f.). Art. 45 FMG sieht daher vor, dass der Anschlussinhaber in Bezug auf die für die Rechnungsstellung relevanten Daten ein generelles, d. h. vom Fernmeldegeheimnis unabhängigen Auskunftsanspruch hat. Art. 46 FMG ermächtigt den Bundesrat, weitere Ausnahmen vom Fernmeldegeheimnis vorzusehen, wobei dem Persönlichkeitsschutz der Teilnehmerinnen und Teilnehmer am Fernmeldeverkehr sowie den überwiegend öffentlichen Interessen Rechnung zu tragen hat. Die Art. 80 ff. FDV regeln entsprechend detailliert Art und Umfang der generellen Ausnahmen vom Fernmeldegeheimnis. Daraus ergibt sich, dass nur folgende Verkehrs- und Rechnungsdaten dem Fernmeldegeheimnis unterliegen können:

  • Eingehende Anrufe mit unterdrückter Rufnummer
  • Die letzten vier Ziffern der übrigen eingehenden Rufnummern

Auch in Bezug auf diese Datensätze kann das Recht auf Auskunft jedoch nur eingeschränkt werden, wenn das Fernmeldegeheimnis tatsächlich tangiert ist. Die trifft typischerweise bei Festnetzanschlüssen eines Unternehmens, oder einer Familie zu. Weiter muss davon ausgegangen werden, dass Eltern beispielsweise in eigenem Namen Mobilfunkverträge für unmündige Familienmitglieder abschliessen. Soweit indessen solche Konstellationen ausgeschlossen werden können (insbesondere wenn die um Auskunft ersuchende Personen nur über einen einzigen Mobilfunkanschluss verfügt), ist eine Verletzung des Fernmeldegeheimnisses kaum denkbar, zumal Mobiltelefone kaum je von Drittpersonen verwendet werden. Es ist die Sache der FDA, einen Mechanismus vorzusehen, welcher die Auskunftserteilung unter Wahrung allfälliger Interessen Dritter möglich macht. Wenn im Auskunftsbegehren beispielsweise glaubhaft dargelegt wird, dass eine Verletzung des Fernmeldegeheimnisses ausgeschlossen ist, muss die Auskunft u. E. erteilt werden.Dies dürfte bei privaten Anschlüssen regelmässig der Fall sein. Zu beachten ist ferner, dass sich Dritte bei der Benutzung eines fremden Anschlusses darüber im klaren sein müssen, dass der Inhaber des Anschlusses Einsicht in gewisse Daten gewinnt. Entsprechende Funktionen sind heute in praktisch jedem Endgerät vorhanden. Vor diesem Hintergrund dürfte in den wenigen Fällen, in denen von potentiellen Eingriffen in das Fernmeldegeheimnis auszugehen ist, in der Regel eine stillschweigende Einwilligung der Betroffenen vorliegen.Herauszunehmen wären somit nur die Telefonnummern von Dritten, die mit unterdrückter Rufnummer angerufen haben.

Der Vollständigkeit halber sei an dieser Stelle darauf hingewiesen, dass eine Einschränkung des Auskunftsrechtes aufgrund des Legalitätsprinzips in den Grundzügen auf Gesetzesstufe geregelt sein müsste (Art. 164 Abs. 1 BV). Soweit die FDA sich auf vermeintlich einschränkende Regelungen in der FDV stützen, die im Grundsatz nicht bereits aus Art. 45 ff. FMG hervorgehen, sind diese unbeachtlich.

Für eine Auslegung, wonach Art. 45 FMG das Auskunftsrecht im Bereich Fernmeldedienstleistungen abschliessend als lex specialis regle, bleibt nach den obigen Ausführungen kein Raum. Der Artikel ist vielmehr als Präzisierung des allgemeinen Auskunftsrechts zu verstehen, die dann zur Anwendung gelangt, wenn das Fernmeldegeheimnis tangiert ist. Auch in keinem Kommentar ist der Artikel als Beispiel für einschränkendes Gesetz aufgeführt.

Fehlendes Auskunftsinteresse

Argument einer FDA:

Randdaten würden automatisch aufgezeichnet und daher aus der Sphäre des Teilnehmers selbst, der den Inhalt der Daten durch entsprechende Nutzung selbst steuern könne. Insofern kenne der Teilnehmer den Inhalt seiner Daten zum Zeitpunkt der Erzeugung. Sinn und Zweck des Auskunftsrechts sei die Überprüfung der Rechtmässigkeit der Datenbearbeitung und das Recht zur Berichtigung der Daten, wenn diese falsch erfasst sein sollten. Die Legitimation zur Datenerfassung ergebe sich aus dem BÜPF und die Wahrscheinlichkeit von Fehlern in der Datenerfassung sei aufgrund der automatisierten Aufzeichnung so gut wie ausgeschlossen. Der Anschlussinhaber habe zudem ein Einsichtsrecht im Strafverfahren. Aufgrund des fehlenden Auskunftsinteresses müssten bei der Interessenabwägung zwischen Auskunftsersuchendem und anderen potentiellen Teilnehmern die Interessen der letzteren Vorrang haben.

Stellungnahme der Digitalen Gesellschaft:

Für die Ausübung des datenschutzrechtlichen Auskunftsrechts braucht grundsätzlich kein besonderes Interesse dargelegt zu werden. Dies gilt auch dann, wenn die Daten nachweislich legal bearbeitet werden und sogar dann, wenn diese vom Auskunftstellenden wissentlich dem Dateninhaber geliefert worden sind (meier, rn 968). Das Interesse des Auskunftstellenden wird erst dort relevant, wo es gegen Interessen Dritter abzuwägen ist, die dem Auskunftsrecht entgegen stehen (vgl. BSK 8 rn 42).

Wie oben in Bezug auf das Fernmeldegeheimnis dargelegt, sind in Bezug auf den Grossteil der betroffenen Daten gar keine Interessen Dritter beachtlich bzw. es liegt allenfalls eine Einwilligung der oder des Dritten vor. Soweit eine Interessenabwägung vorzunehmen ist, darf daraus nur mit äusserster Zurückhaltung eine Einschränkung des Auskunftsrechts abgeleitet werden, selbst wenn die Interessen des Auskunftstellenden nur gering sind (vgl. oben, Ausführungen zum Verhältnis zwischen Auskunftsanspruch und Fernmeldegeheimnis).

Keine personenbezogenen Daten

Argument einer FDA:

Die Randdaten würden automatisch aggregiert und in einem Datenpool erfasst. In diesem Datenpool würden die Daten weder systematisch noch nach bestimmten Personen zugeordnet aufbewahrt. Die Zuordnung nach Personen erfolge systemtechnisch erst aufgrund einer konkreten Anordnung durch den Überwachungsdienst des Bundes. Vor diesem Zeitpunkt würden die aufgezeichneten Raddaten keine Personendaten darstellen und daher konsequenterweise auch nicht unter das Auskunftsrecht fallen.

Stellungnahme der Digitalen Gesellschaft:

Gemäss Art. 3 lit. a DSG sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, Personendaten im Sinne der Datenschutzgesetzgebung. Entscheidend für die Qualifikation als Personendaten ist, dass sich die Angaben einer Person zuordnen lassen (BSK, RN 5 zu Art. 3). Auch pseudonymisierte Daten, d. h. solche, die mit der Absicht anonymisiert wurden, die Anonymisierung zu einem späteren Zeitpunkt wieder rückgängig machen zu können (oder die sich mit Hilfe des Dateninhalts, wie Positionsdaten, deanonymisieren lassen), sind daher solange eine Identifizierung noch möglich ist, Personendaten im Sinne des Datenschutzgesetzes (BSK, RN 6 zu Art. 3).

Die von den Fernmeldedienstanbietern aufbewahrten Verkehrs- und Rechnungsdaten stellen ohne Zweifel Personendaten im Sinne des Datenschutzgesetzes dar, besteht der Zweck ihrer Aufbewahrung doch gerade darin, dass das Kommunikationsverhalten bestimmter Personen rückwirkend nachvollzogen werden kann.