Netzpolitik
in der Schweiz

28. Dezember 2017– Kire, Patrick Stählin & Martin Steiger

digiges.ch/slides/netzpolitik.html

Digitale Gesellschaft

Die gemeinnützige Organisation informiert und berät zu Konsumenten- und Rechtsfragen im digitalen Raum, schätzt Technologiefolgen ab hinsichtlich der möglichen Auswirkungen auf die Grund- und Menschenrechte und bietet Dienste, Software-Projekte und Workshops zur «digitalen Selbstverteidigung» an.

Die Digitale Gesellschaft kämpft für unsere Freiheitsrechte in einer vernetzten Welt.

Themen

  • Revidiertes Überwachungsgesetz BÜPF
  • Beschwerden gegen Massenüberwachung
  • Netzsperren in Gesetzen
  • E-Voting & E-ID
  • Revidiertes Datenschutzrecht

Einschätzung zum revidierten BÜPF

BÜPF-Revision: Aktueller Stand

  • Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
  • Inkrafttreten ursprünglich am 1. Januar 2018, nun am 1. März 2018
  • Verschiedenen Übergangsfristen zur Umsetzung (maximal 24 Monate)

Heutiges BÜPF: Geltungsbereich

  • Gilt für Access Provider und die von ihnen angebotenen Dienste
    • Elektronische Postdienste (z.B. E-Mail und Instant Messaging)
    • Fernmeldedienste (z.B. Internet-Telefonie)

Revidiertes BÜPF: Erweiterter Geltungsbereich

  • Gilt zusätzlich auch für
    • «Anbieter abgeleiteter Kommunikationsdienste», die «eine Einweg- oder Mehrwegkommunikation ermöglichen»
    • Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen

«Anbieter abgeleiteter Kommunikationsdienste»

  • Sind den Access Providern gleichgestellt, wenn entweder
    • 10 Überwachungsgesuche in einem Jahr vorlagen oder
    • ein Jahresumsatz von 100 Millionen Franken mit mindestens 5'000 BenutzerInnen erzielt wurde.
  • Gleichstellung bedeutet aktive Überwachungspflicht und Vorratsdatenspeicherung.

Alle anderen: Duldungspflicht

  • Überwachungsmassnahmen müssen geduldet werden
  • Duldung einschliesslich Zugangsgewährung «zu Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten»

Pflicht zur Teilnehmeridentifikation I

  • Gilt zusätzlich zur aktiven Überwachungspflicht
  • Auch für Collaboration, E-Mail, Instant Messaging etc.
  • Ausweispflicht jedoch «nur» bei Mobilfunkdiensten

Pflicht zur Teilnehmeridentifikation II

  • Auch für Anbieter professionell betriebener öffentlicher WLAN-Zugangspunkte
  • «Mit ‹professionell betrieben› ist gemeint, dass eine FDA oder eine auf öffentliche WLAN-Zugangspunkte spezialisierte IT-Dienstleisterin den technischen Betrieb des öffentlichen WLAN-Zugangspunktes durchführt, die dies auch noch für andere öffentliche WLAN-Zugangspunkte an anderen Standorten macht.»

Public WLAN

  • Public WLAN ohne SMS-Registrierung werden weiter aussterben
    • Immerhin: Freifunk ist nicht betroffen
  • Auch: Antennensuchläufe (Funkzellenabfrage) in WLAN

Staatstrojaner: Offene Frage zum «Einspielen»

  • Infektion durch
    • Sicherheitslücken
      • Auf dem Schwarzmarkt besorgen?
      • Und Sicherheitslücke offen lassen?
    • Eindringen in Räumlichkeiten (wie aufspielen?)
    • Mithilfe von Dritten?
      • Infection Proxy, Update-Server, SBB-Fahrplan-App, Steuererklärungssoftware (mit Remote-Support)

Mithilfe von Dritten in Strafverfahren

  • Können private Dritte zur Mithilfe beim Einschleusen von Staatstrojanern verpflichtet werden?
  • Strafverfahren kennt
    • Auskunftspflicht, Duldungspflicht, Editionspflicht und Zeugnispflicht
    • Aber: Keine aktive Mitwirkungspflicht

Massenüberwachung:
Beschwerden gegen Kabelaufklärung
& Vorratsdatenspeicherung

Ziel: Strategisch für Freiheitsrechte klagen

  • Grundsatzentscheide und Präzedenzfälle, welche die rote Linie zwischen zielgerichteter Einzelfall- und anlassloser Massenüberwachung aufzeigen
  • Die Schweiz kennt kein Verfassungsgericht, daher ist eine konkrete, persönliche Betroffenheit für Gesuch / Beschwerde nötig

Nachrichtendienstgesetz (NDG)

  • Seit dem 1. September 2017 in Kraft
  • Massnahmengesetz mit zahlreichen neuen Befugnisse, unter anderem:
    • Alle Massnahmen aus dem BÜPF
    • Überwachungsgeräte und Wanzen
    • Angriffe auf Computer und Netzwerke im Ausland
    • Massenüberwachung mit Kabelaufklärung

Gesuch an den Nachrichtendienst per 31.8.2017

  • Die Kabelaufklärung ist nicht einzuführen.
  • Weil wir alle von der Überwachung betroffen sind,
    • weil es nicht zielführend ist, alle Personen unter einen Generalverdacht zu stellen,
    • und weil es praktisch unmöglich ist, nach etwas zu suchen, das man nicht kennt.
  • Zudem ist die bestehende Funkaufklärung zu unterlassen.
  • PDF: 52 lesenswerte Seiten

Kabelaufklärung ist Weiterentwicklung der Funk- / Satellitenaufklärung

Funk- / Statellitenaufklärung

  • Funkaufklärung war ursprünglich eine militärische Überwachung von ausländischen Vorgängen
  • Satellitenüberwachung
    • Im Geheimen im Jahr 2000 eingeführt
    • Zwei Berichte von 2003 und 2007 der Geschäftsprüfungsdelegation (GPDel) beschreiben Verstösse gegen die Menschenrechte
    • Tendentiell ausländische Kommunikation

Kabelaufklärung

Kabelaufklärung setzt bei den grenzüberschreitenden Leitungen an

  • Ausländische Kabel können nicht überwacht werden
  • Bloss ist bei jeder grenzüberschreitenden Kommunikation auch jemand aus dem Inland beteiligt
  • Und: Menschenrechte machen nicht an der Grenze halt

Antwort auf Gesuch ist erstaunlich

«Ihrer Forderung, der Nachrichtendienst des Bundes (NDB) solle jegliche Tätigkeiten im Breich der Kabel- und Funkaufklärung unterlassen, können wir als Verwaltungsbehörde nicht entsprechen. […] Die Umsetzung dieses durch das Parlament verabschiedeten und vom Schweizer Volk im Referendum angenommenen Gesetz verletzt offensichtlich keine durch die Verfassung und die EMRK garantierten Grundrechte

Beschwerde an das Bundesverwaltungsgericht

  • Geheimdienst hat Zeit für Stellungnahme bis 15.1.2018
  • Materieller Entscheid oder zurück an den Nachrichtendienst

Zweite Beschwerde: Vorratsdatenspeicherung

  • 2014: Gesuch an den Dienst ÜPF
  • 2014: Beschwerde an das Bundesverwaltungsgericht
  • 2016: Weiterzug an das Bundesgericht
    • Schriftliche Anhörungen seit Frühling 2017
      • Dienst ÜPF, EDÖB, Swisscom, Digitale Gesellschaft
    • Entscheid 2018
  • Wohl Weiterzug an Europäischen Gerichtshof für Menschenrechte (EGMR) nötig

Laaaaanger Atem!

  • Verfahren dauern Jahre und erfordern anwaltliche Unterstützung
  • Jedes Verfahren kostet 40'000+ Franken (35'000+ Euro)
  • Komplett spendenfinanziert und daher auf Unterstützung angewiesen

Netzsperren in Gesetzen

«Gates without wall» – Foto: Sergei Gutnikov , CC BY-SA 3.0

Netzsperren in Gesetzen

  • Geldspielgesetz (BGS)
  • Urheberrechtsgesetz (URG)
  • Fernmeldegesetz (FMG)

Geldspielgesetz: Was ist vorgesehen?

  • (Ungenügende) Massnahmen um Spielsucht einzudämmen
  • Erlaubt inländisches Online-Glücksspiel
  • Netzsperren um ausländische Casinos vom lokalen Markt fernzuhalten

Geldspielgesetz: Stand

  • Gesetz wurde beschlossen, Referendum läuft

Geldspielgesetz: Was tun wir dagegen?

  • Referendum wurde u.a. von Jungparteien ergriffen, es könnte klappen
  • Unterschreibt am Stand der Digitalen Gesellschaft Schweiz bei der Rights & Freedoms Assembly (CCL Saal 3), schickt eure Unterschriften ein!
  • Einflussnahme im Bundeshaus

Urheberrechtsgesetz: Was ist vorgesehen? I

  • Privatkopie bleibt, ebenso der straffreie Download
  • Verlängerung aller Schutzrechte auf 70 Jahre
  • Regelung verwaister Werke
  • Lichtbildschutz wie in Deutschland

Urheberrechtsgesetz: Was ist vorgesehen? II

  • Take- & Stay-Down-Regel für Anbieter von Content
  • Gebrauch von Vorratsdaten zur Verfolgung von Filesharer
  • Trotz «Anpassungen ans Internetzeitalter» keine relevanten Anpassungen wie Right2Remix oder ausdrückliche Fair-Use-Klausel

Urheberrechtsgesetz: Stand

  • Rückmeldungen aus Vernehmlassung wurden verarbeitet, mehrheitlich aber ignoriert
  • «Kompromiss» nach Vernehmlassung: Verzicht auf Netzsperren (werden von Unterhaltungsindustrie aber weiterhin gefordert)
  • Kommt jetzt in die parlamentarischen Kommisionen, spannenderweise sind zwei verschiedene Komissionen im Nationalrat / Ständerat zuständig

Urheberrechtsgesetz: Was tun wir dagegen?

  • Einflussnahme in den Kommissionen
  • Bildung der Arbeitsgruppe Interessengemeinschaft Freier Zugang (IGFZ), erstes Treffen in diesem Monat, weitere werden folgen

Fernmeldegesetz: Was ist vorgesehen?

  • Netzsperren, Unterdrückung von pornografischem Inhalt nach Art. 197 Abs. 4 und 5 StGB
  • Regulation der letzten Meile bei Glasfaser
  • Regulation Roaming-Gebühren
  • Keine Netzneutralität, der «Kodex der Provider» wurde übernommen, d.h. Transparenzpflicht

Fernmeldegesetz: Stand

  • Vernehmlassung ist erfolgt
  • Anhörungen durch die Komissionen
  • Kommt voraussichtlich in der Frühlingssession in die Räte

Fernmeldegesetz: Was tun wir?

  • Einflussnahme in den Kommissionen

E-Voting & E-ID: Auf Biegen und Brechen

«Chess on a voting machine» – Foto: Colm MacCárthaigh, CC BY-NC

E-ID: Was ist vorgesehen?

  • Identity-Provider (IdP) mit Zugriff auf persönliche Daten
  • Vorschlag von Post, Swisscom und SBB durchgedrückt im Justizministerium (EJPD)
  • Knüpft an SuisseID an, d.h. Private geben die E-ID heraus
  • Nutzer, d.h. Banken, Onlineshops etc., müssen für Identifikation bezahlen

E-ID: Zahlreiche Probleme

  • Vetrauen kann nur eine staatliche Institution schaffen
  • SuisseID hat nicht funktioniert, weil Enrollment-Prozess und Nutzung zu kompliziert war
  • An Endnutzern («Kunden») vorbeigeplant:
    • Ein Bankkonto wird nicht jeden Tag eröffnet
    • Einreichung der Steuererklärung ist ohne amtlichen Ausweis möglich
  • Schlussendlich zu teuer

E-ID: Stand

  • Vernehmlassung ist erfolgt
  • EJPD erstellt eine weitere Botschaft

E-ID: Was tun wir?

  • Konzept «Digitale Identität in der Schweiz» der Swiss Data Alliance (unter anderem aus OpenData.ch entstanden)

E-Voting: Stand

  • Die Systeme der ersten Generation sind tot. Dies ist ein netzpolitischer Erfolg!
  • Aktuell werden zwei Systeme der zweiten Generation entwickelt.
  • Noch keine Rechtsgrundlagen für eine komplett papierlose Stimmabgabe
  • Motion, dass eine Million Franken ausgeschrieben werden soll, um die E-Voting-Systeme der Schweiz zu «hacken».

E-Voting: Probleme

  • Die Forderungen sind immer noch die gleichen:
    • Verifizierbarkeit:
      • cast-as-intended, recorded-as-cast, counted-as-recorded
      • Papertrail als Backup unverzichtbar, sowohl als Quittung wie auch auf der Serverseite
    • Nachvollziehbarkeit für alle, nicht umsetzbar, die Lösungen sind zu komplex
    • Clients sind Verwund- und somit Angreifbar

Datenschutzrecht: Revision in der Schweiz

Revision Datenschutzgesetz I

  • Geltendes Datenschutzgesetz trat vor über 25 Jahren in Kraft
  • Neue EU-Datenschutz-Grundverordnung (EU-DSGVO) gilt ab dem 25. Mai 2018
  • Entwurf des Bundesrats lehnt sich an EU-DSGVO an, damit Angemessenheitsbeschluss der EU-Kommission bestehen bleibt
  • Stossrichtung stimmt, Grundsatz «Erlaubnis mit Verbotsvorbehalt» bleibt

Revision Datenschutzgesetz II

  • Im Vergleich zur EU-DSGVO soll unter anderem verzichtet werden auf:
    • Marktortprinzip
    • Ausdrückliches Recht auf Vergessen(werden)
    • Datenübertragbarkeit
    • Nachweis über die Einhaltung der Datenbearbeitungsgrundsätze
    • Verwaltungssanktionen (Geldbussen bis zu 20 Millionen Euro / 4 % des weltweiten Jahresumsatzes)

Totalrevision Datenschutzgesetz III

  • Vorgesehen sind immerhin:
    • Verhaltenskodizes von Branchen (Selbstregulierung)
    • Datenschutzfolgeabschätzungen (bei hohem Risiko)
    • Ausbau der strafrechtlichen Sanktionen bei Verletzung von datenschutzrechtlichen Pflichten für private Personen mit Bussgeldern bis zu 250’000 Franken (215'000 Euro)
    • Privatklägerschaft durch den Datenschutzbeauftragten

Datenschutzgesetz: Durchsetzbarkeit?

  • Datenschutzfolgeabschätzungen, Verhaltenskodizes und Zertifizierungen sind wichtig – und sie können in der Ausgestaltung weitgehend der Wirtschaft überlassen werden
  • Voraussetzung ist aber, dass das revidierte Datenschutzgesetz bei Verstössen wirksam durchgesetzt werden kann – auch von den direkt betroffenen Personen

Durchsetzbarkeit: Was fordern wir?

  • Verwaltungssanktionen gegen Unternehmen anstatt strafrechtliche Verfolgung von privaten Personen
  • Bussgelder müssen sich an der EU-DSGVO orientieren
  • Kollektive Rechtsdurchsetzung (Verbandsklage)
  • Beweislastumkehr in schweren Fällen
  • Marktortprinzip

Revidiertes Datenschutzrecht im Parlament

  • Anhörungen in Staatspolitischer Kommission (SPK-N)
  • Eintreten und Detailberatung ab 12. Januar 2018
    • Kantonale Datenschützer sehen Vorlage sehr kritisch (Rückweisung)
    • Heftige Kritik von Datenschützern bei Konzernen und Wirtschaftskanzleien
    • Aber: Vermutlich möglichst rasche Umsetzung mit Blick auf die EU-DSGVO

Netzpolitik in der Schweiz: Wie geht es weiter?

Netzpolitik in der Schweiz (am 34C3)

  • Gleich anschliessend weiterführende Diskussion im Rights & Freedom Assembly (CCL Saal 3)
  • Stand während dem Kongress (CCL Saal 3)
  • Winterkongress am 24. Februar 2018 in Zürich
  • Netzpolitik-Newsletter: digiges.ch/newsletter

Vielen Dank für das Interesse

Slides: digiges.ch/slides/netzpolitik.html

Website: www.digitale-gesellschaft.ch

Facebook: DigitaleGesellschaftSchweiz

Twitter: @digiges_ch

Digitale Gesellschaft
4000 Basel
Schweiz


Konto CH15 0900 0000 6117 7451 1

CC by SA 4.0