Update BÜPF-Revision: Neue Pflichten für Anbieter von Internetdienstleistungen geplant

Hintergrund

Der Bundesrat hat Ende Februar den Entwurf sowie die Botschaft zur Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) verabschiedet und an das Parlament überwiesen. Der Entwurf sieht neben der Totalrevision des BÜPF auch einige Änderungen an der Strafprozessordnung (StPO) vor.

Durch die Vorlage sollen die Gesetze an die technischen Entwicklungen angepasst werden. Das heute geltende BÜPF stammt aus dem Jahr 2000. Seither wurden im Bereich der Technik enorme Fortschritte erzielt, namentlich im Bereich des Internets. Die Möglichkeiten, die die modernen Kommunikationsmittel bieten, werden immer häufiger auch für die Begehung und Vorbereitung von schweren Straftaten genutzt. Die Revision soll nun sicherstellen, dass die bisherigen Schwachstellen der Überwachung beseitigt werden und die Wirksamkeit der Kriminalitätsbekämpfung sichergestellt ist.

Der Entwurf erlaubt die Überwachung nur in drei Fällen: Erstens darf sie im Rahmen eines Strafverfahrens oder zum Vollzug eines Rechtshilfeersuchens angeordnet werden. Zweitens darf sie im Rahmen einer Suche nach einer vermissten Person und drittens bei der Fahndung nach Straftätern eingesetzt werden, die zu einer Freiheitsstrafe oder einer freiheitsentziehenden Massnahme verurteilt wurden.

Gesetzliche Grundlage für Überwachung „neuer“ Fernmeldetechnologien

Das revidierte Gesetz stellt den Strafverfolgungsbehörden die nötigen gesetzlichen Grundlagen zur Verfügung, um auch den modernen Fernmeldeverkehr überwachen zu können. Es setzt aber auch klare Grenzen, in welchen Fällen eine solche Überwachung zulässig sein soll.

Das Gesetz sieht vor, dass die Strafverfolgungsbehörden Post, Telefon und Internet auch nach der Revision des Gesetzes erst dann überwachen dürfen, wenn in einem Strafverfahren ein dringender Verdacht besteht, dass eine „schwere Straftat“ begangen wurde. Eine präventive Überwachung des Fernmeldeverkehrs ist damit auch nach neuem Recht ausgeschlossen. Unter den Begriff „schwere Straftaten“ fallen beispielsweise Mord, Raub, Betrug und Geldwäscherei.

Die Strafverfolgungsbehörden können die Überwachung aber nicht nach eigenem Ermessen vornehmen, sondern die Staatsanwaltschaft muss sie anordnen bzw. beim Zwangsmassnahmengericht beantragen. Nur wenn alle gesetzlichen Voraussetzungen erfüllt sind, dürfen die bei der Überwachung erhobenen Beweise vor Gericht verwendet werden.

Erweiterung des Kreises der Mitwirkungspflichtigen

Eine der bedeutendsten Änderungen des Entwurfs ist die Erweiterung des Kreises derjenigen Personen, welche dem Gesetz unterstellt sind und die deshalb eine Mitwirkungspflicht trifft. Der Entwurf sieht vor, dass nicht mehr nur den Anbieterinnen von Post- und Fernmeldediensten gesetzliche Mitwirkungspflichten auferlegt werden. Neu sind auch die folgenden Dienstanbieter zur Mitwirkung verpflichtet:

• Die Anbieter so genannter abgeleiterer Kommunikationsdienste, namentlich auch reine E-Mail-Dienstanbieter, Hosting-Provider, Anbieter von Cloud-Services, Chat-Foren oder Plattformen zum Austausch von Dokumenten;
• Unternehmen oder Organisationen, die interne Netzweke betreiben;
• Unternehmen oder Organisationen, die ihren Interernetzugang Dritten zur Verfügung stellen. Zu dieser Kategorie können beispielsweise Schulen, Internet-Cafés, Spitäler oder Hotels zählen. Unter Umständen fallen gar Private unter die Definition des Gesetzes, wenn sie ihren Netzwerkzugang absichtlich oder unabsichtlich für Dritte offen lassen; sowie
• Gewerbsmässige Anbieter von Karten oder ähnlichen Mitteln, die Zugang zu einem Fernmeldenetz ermöglichen (z.B. Prepaid-Karten).

Die Mitwirkungspflichten werden allerdings je nach Tätigkeit des Anbieters unterteilt und gehen unterschiedlich weit. Das Gesetz sieht für jede der fünf Anbietergruppen unterschiedliche Pflichten vor. So trifft beispielsweise die Anbieter von sog. abgeleiteten Kommunikationsdiensten (z.B. Hosting-Provider oder E-Mail-Dienstanbieter) lediglich eine Minimalpflicht. Sie müssen dem Dienst zur Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF) Zugang zu ihrer Anlage gewähren und ihm die für die Überwachung notwendigen Auskünfte erteilen. Ein aktives Handeln ist hingegen nicht gefordert. Darüber hinaus müssen sie dem Dienst die ihnen vorliegenden vergangenen Randdaten zur Verfügung stellen und dadurch eine rückwirkende Überwachung ermöglichen. Es besteht für sie aber keine Pflicht, diese Daten aufzubewahren. Das Gesetz sieht allerdings einen Spezialfall vor, in dem sich die Pflichten der Anbieter abgeleiteter Dienste erweitern können: Stellt der Bundesrat fest, dass die beschriebene Minimalpflicht für eine angemessene Überwachung nicht ausreicht, kann er allen oder einzelnen Unternehmen zusätzlich einen Teil oder alle Pflichten auferlegen, die für die Anbieter von Fernmeldedienstleistungen gelten.

Die Pflichten, die für die Anbieter abgeleiteter Kommunikationsdienste gelten, sind auch anwendbar für Betreiber von internen Netzwerken und Personen und Unternehmen, die ihren Zugang Dritten zur Verfügung stellen. Bei ihnen ist eine allfällige vom Bundesrat verordnete Unterstellung unter die für Fernmeldedienstanbieter geltenden Regelungen jedoch nicht vorgesehen.

Detaillierter als bisher ist im Entwurf auch die Mitwirkungspflicht der Dienstanbieter geregelt, die sich auf Straftaten bezieht, die im Internet begangen werden. Die Anbieter müssen alles in ihrer Macht stehende unternehmen, um eine Identifikation der strafbaren Personen zu ermöglichen. Es besteht für sie jedoch auch nach neuem Recht keine Pflicht, den Namen der Person anzugeben, die einen Computer tatsächlich benutzt. In der Regel werden sie dazu auch nicht in der Lage sein. Da der relevante Gesetzesartikel auf die Identifikation der Täterschaft bei Straftaten über das Internet ausgerichtet ist, umfasst die Informationspflicht alle Angaben, die eine Identifikation ermöglichen. Sie müssen voraussichtlich insbesondere den Namen der Person angeben, der die betreffende IP-Adresse zugewiesen wurde. Welche weiteren Daten die Anbieter liefern müssen, wird der Bundesrat zu einem späteren Zeitpunkt in einer Verordnung festlegen. Er hat angekündigt, die betroffenen Kreise zu gegebener Zeit zu einem Vernehmlassungs- oder Anhörungsverfahren einzuladen.

Verdoppelung der Aufbewahrungspflicht für Randdaten

Fernmeldedienstanbieter speichern die so genannten Verbindungs- oder Randdaten, um auf deren Basis ihre Rechnungen stellen zu können. Diese Daten (u.a. die IP-Adressen) belegen unter anderem, wer mit wem wann und wie lange in Verbindung stand, nicht aber den Inhalt der Kommunikation. Das geltende Recht verpflichtet die Fernmeldedienstanbieter, diese Daten sechs Monate lang aufzubewahren, damit Strafverfolgungsbehörden zur Aufklärung einer Straftat auf sie zugreifen könnten. Da die Strafverfolgungsbehörden oft länger als sechs Monate benötigen, bis sie genügend Anhaltspunkte haben, um diese Daten überhaupt verlangen zu dürfen, soll diese Frist nun verdoppelt werden. Dies entspricht den Entwicklungen im europäischen Ausland. Die meisten EU-Mitgliedstaaten sehen ebenfalls eine Jahresfrist vor, so beispielsweise die Nachbarstaaten Italien und Frankreich. Durch die Richtlinie über die Vorratsdatenspeicherung vorgegeben ist eine Mindestfrist von sechs Monaten und eine Maximalaufbewahrungsdauer von zwei Jahren. Nach wie vor nicht verpflichtet, die Randdaten zu aufzubewahren, sind wie bereits erwähnt die Anbieter „abgeleiteter Kommunikationsdienste“, die dem Dienst ÜPF bei einer allenfalls angeordneten rückwirkenden Überwachung konsequenterweise auch nur diejenigen Randdaten zur Verfügung stellen müssen, über welche sie verfügen.

Einsatz von spezieller Software („Staatstrojaner“)

Die heutigen technischen Möglichkeiten erlauben es, die Kommunikation im Internet ohne grossen technischen Aufwand zu verschlüsseln. Der Bundesrat sieht in seinem Gesetzesentwurf deshalb vor, den Strafverfolgungsbehörden für solche Fälle den Einsatz von besonderer Software zu erlauben. Diese Programme werden als „Government Software“ (kurz: „GovWare“) oder „Staatstrojaner“ bezeichnet. Nur mit Hilfe solcher Programme lassen sich verschlüsselte E-Mails oder Internet-Telefongespräche (z.B. über Skype) überwachen. Mit dem Einsatz der neuen Software soll verhindert werden, dass die Strafverfolgung durch die Nutzung des Internets und der Datenverschlüsselung ausgehebelt werden kann.

Der Einsatz solcher Programme erfordert, dass die Behörden die Software auf dem Computer oder dem Mobiltelefon der verdächtigen Person installieren. Dies stellt einen besonders schweren Eingriff in die Grundrechte der betroffenen Personen dar. Aus diesem Grund sieht der Entwurf dafür strengere Voraussetzungen vor als bei der „gewöhnlichen“ Überwachung: GovWare darf nur bei „besonders schweren Straftaten“, also bei solchen, bei denen auch eine verdeckte Ermittlung zulässig wäre, eingesetzt werden. Der Katalog der Straftaten, die unter diesen Begriff fallen, ist aber ausserordentlich weit. Darunter fallen beispielsweise Menschenhandel, sexuelle Handlungen mit Kindern, Drogenhandel sowie organisierte Kriminalität, aber auch der einfache Diebstahl.

Zudem gilt ein Subsidiaritätsgrundsatz: GovWare darf nur dann eingesetzt werden, wenn die „gewöhnliche“ Überwachung erfolglos war oder aussichtslos erscheint. Der Bundesrat hat ferner darauf verzichtet, die Software auch für die Online-Durchsuchung von Computern zuzulassen. Ebenfalls verboten bleibt auch nach neuem Recht die Überwachung eines Raums mit der Kamera oder dem Mikrofon des Computers.

Neu: zentrale Datenaufbewahrung beim Dienst ÜPF

Die Daten, welche bei einer Überwachung gesammelt wurden, sollen künftig zentral aufbewahrt werden. Zuständig für die Aufbewahrung wird der Dienst ÜPF sein. Bei der neuen Aufbewahrungsweise kann die zuständige Strafverfolgungsbehörde online auf die Daten zugreifen. Auch die Parteien, namentlich die beschuldigte Person und ihr Verteidiger, haben einen Online-Zugang zu den Daten. Kein Zugriff wird ausländischen Behörden gewährt, welche die Daten beispielsweise im Rahmen eines Rechtshilfeersuchens benötigen. In solchen Fällen – und unter bestimmten Bedingungen auch in anderen – können die Daten wie bisher verschlüsselt auf Datenträgern übermittelt werden.

Die Änderung wurde nötig, da die heutige Lösung – der Postversand der Daten auf einem Datenträger und die anschliessende Vernichtung – weder den modernen Sicherheitsanforderungen noch den datenschutzrechtlichen Anforderungen an eine Datenbearbeitung genüge, so der Bundesrat. Zudem sei sie aufgrund der immer grösseren Volumen der Daten nicht mehr zweckmässig.

Keine Neuregelung der Kostenverteilung

Anders als noch in der Vernehmlassungsvorlage vorgesehen, soll sich hingegen an der Verteilung der Kosten nichts ändern. Ursprünglich war vorgesehen, die Entschädigung der Fernmeldedienstanbieter für die Überwachung aufzuheben. Der Bundesrat reagiert mit dem Verzicht auf diese Aufhebung auf die teilweise heftige Kritik aus dem Vernehmlassungsverfahren.

Es bleibt somit bei der Regelung, dass die Fernmeldedienstanbieter weiterhin die für die Überwachung notwendige Infrastruktur selber finanzieren müssen. Für die Überwachungsmassnahmen aber werden sie entschädigt und die Strafverfolgungsbehörden müssen dafür eine Gebühr entrichten. Die Höhe dieser Gebühren und Entschädigungen legt der Bundesrat in der Gebührenverordnung zum BÜPF (GebV-ÜPF) fest.

Weitere Informationen:

• Pressemitteilung des Bundesrats vom 27. Februar 2013
• Rede von Bundesrätin Simonetta Sommaruga anlässlich der Pressekonferenz vom 27. Februar 2013
• Entwurf: Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
• Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
• aktuelle Bundesgerichtsurteile zum Thema: Urteil 1B_481/2012 vom 22. Januar 2013 / Urteil 1B_128/2013 vom 08. Mai 2013
• BR-News: „BÜPF/VÜPF-Revision: Überwachung des Internets und der Mobiltelefonie ab 2012“
• BR-News: „Künftige Überwachung E-Mail-Verkehr und Internettelefonie geplant“
• BR-News: „BGer: Strafbarkeit des Geschäftsführers einer Internetplattform“
• EU-Richtlinie 2006/24/EG über die Vorratsspeicherung

Ansprechpartner: Lukas Bühlmann