In der aktuellen Diskussion um die Revision des BÜPF (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs) wird meist über den Trojaner Federal, die Vorratsdatenspeicherung oder die Kosten gesprochen. Die Ausdehnung des persönlichen Geltungsbereichs wurde bis jetzt wenig thematisiert. Doch sollen neu weitaus mehr Personen Pflichten aus dem Gesetz erwachsen.
Der Geltungsbereich
Bezüglich der Internet-Überwachung umfasst der Geltungsbereich aktuell ausschliesslich die Access Provider. So steht es in der französischen Version des Gesetzes. Und so wurde es auch per 1. Januar 2012 in die Verordnung übernommen. Sie gilt ausschliesslich für
- Anbieterinnen von Fernmeldediensten, einschliesslich die Internetzugangsanbieterinnen.
Der Entwurf zum neuen BÜPF sieht andere und weitere Kategorien von Betroffenen vor. Es soll neu gelten für:
- Anbieterinnen von Fernmeldediensten nach Artikel 3 Buchstabe b des Fernmeldegesetzes vom 30. April 1997 5 (FMG),
- Anbieterinnen von Diensten, die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen (Anbieterinnen abgeleiteter Kommunikationsdienste),
- Betreiberinnen von internen Fernmeldenetzen und
- Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen.
In die erste Kategorie fallen alle Anbieterinnen von Diensten zum elektrischen, magnetischen, optischen oder anderen elektromagnetischen Senden oder Empfangen von Informationen über Leitungen oder Funk für Dritte. Die Anbieterin muss also, gemäss Leitfaden zum Meldeformular für das Erbringen von Fernmeldediensten, in einem privatrechtlichen Vertragsverhältnis mit mindestens einer Endkundin resp. Endkunden oder mindestens einer anderen Anbieterin von Fernmeldediensten stehen. Mit dieser Bestimmung sind die Internetzugangsanbieterinnen, im Sinne des physikalischen Anschlusses, gemeint.
Zusätzlich sollen nun Anbieterinnen abgeleiteter Kommunikationsdienste mit betroffen sein. Eigentlich besteht das Internet ausschliesslich aus Einweg- oder Mehrwegkommunikation. Gemäss Botschaft sind damit aber E-Mails, Foren, Chaträume, Onlinespeicher und auch Hosting- und Cloud-Provider gemeint. Gemäss Botschaft wird davon ausgegangen, dass anstatt 50 neu bis 200 Firmen/Organisationen davon betroffen sein werden – vornehmlich KMUs.
Die Kategorie der Betreiberinnen von internen Fernmeldenetzen löst die der Hauszentralen (aus dem geltenden BÜPF) ab. Es sind also nicht mehr nur Telefone gemeint, sondern explizit auch private Computernetzwerke.
Schliesslich sollen auch noch sämtliche Personen, die einen/ihren Internetzugang anderen zur Verfügung stellen, unter das BÜPF fallen. Dies betrifft Bibliotheken, Hotels und Spitäler, aber auch Privatpersonen, die ihren WLAN-Zugang den Nachbarn zur Verfügung stellen.
Die Pflichten
Die Fernmeldedienstanbieterinnen trifft die aktive Überwachungspflicht: Sie müssen entsprechende Technik vorhalten, Personal ausbilden und rund um die Uhr Überwachungsanordnungen ausführen können. Zusätzlich müssen sie die Vorratsdatenspeicherung umsetzen. Dasselbe gilt für vom Bundesrat benannte Anbieterinnen abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten.
Alle anderen müssen eine Überwachung durch den Dienst oder durch die von diesem beauftragten Personen dulden. Zu diesem Zweck müssen sie unverzüglich Zugang zu ihren Anlagen gewähren, die für die Überwachung notwendigen Auskünfte erteilen und die ihnen zur Verfügung stehenden Randdaten des Fernmeldeverkehrs der überwachten Person liefern.
Im gültigen Gesetz ist noch von Zugang zu den Räumlichkeiten die Rede. Es steht zu befürchten, dass mit dem offeneren Begriff Anlagen neu auch Computersysteme gemeint sind. Im Unterschied zu Telefonanlagen sind Computer aber ungemein vielseitigere Geräte. Der betroffene Mailserver kann auch weitere Dienste für andere Personen und Organisationen zur Verfügung stellen. Somit wird auch der Zugriff auf die (Kommunikations-) Daten vieler unbeteiligter Personen möglich. Selbst die zuganggewährende Person kann sich nicht sicher sein, nicht selber von der Massnahme betroffen zu sein.
Zudem wäre es denkbar, dass die entsprechende Anlage auch zur Kommunikation mit Berufsgeheimnisträgern (Arzt, Anwältin, Seelsorger etc.) verwendet wird oder darauf Geschäftsgeheimnisse gespeichert sind. Bei einer Hausdurchsuchung könnte eine Siegelung verlangt werden. Nun müsste aber plötzlich im Rahmen einer Überwachung Zugang gewährt werden. Dieser Widerspruch kann nicht im Sinne des Gesetzgebers sein.
Eine Kontrolle ist nicht vorgesehen. Eine Gewissheit, dass nach Beendigung der Massnahme nicht noch GovWare (Trojaner Federal) zurückbleibt, ebenfalls nicht.
Erschwerend kommt hinzu, dass die zuganggewährende oder auskunfterteilende Person zum Stillschweigen verpflichtet ist. Sie also weiss, dass in der eigenen Firma jemand überwacht wird. Vielleicht sogar im Freundeskreis oder in der eigenen Familie. Sie aber mit niemandem darüber sprechen darf. Dies sät Misstrauen und Angst.
Forderung
Der Oberstaatsanwalt wird nun natürlich sagen, dass dies so nie passieren wird. Die Massnahmen nur subsidiär eingesetzt würden: Ein Straftatenkatalog gilt, ein Richter zugestimmt haben muss und alle anderen Möglichkeiten ausgeschöpft sein müssen.
Der Straftatenkatalog umfasst aber selbst Veruntreuung, Betrug, Drohung, Störung des öffentlichen Verkehrs und Bestechung. Wahrlich keine Kapitalverbrechen. Und wenn es die Zwangsmassnahmengerichte immer genau nehmen würden, wären heute keine Trojaner im Einsatz, hätte es vor der letzten Verschärfung keine Antennensuchläufe und keine Überwachung des kompletten Internetverkehrs gegeben. Der gesetzliche Rahmen wird also mindesten ausgeschöpft, wenn nicht übertreten.
Soll es die oben beschworenen Fälle also nicht geben, dann ist das Gesetz entsprechend zu formulieren.