BÜPF 2.0: Schlecht ist nicht gut genug

Alex E. Proimos http://flickr.com/photos/34120957@N04/4199675334
cc-by-2.0 Alex E. Proimos // Flickr

Das Überwachungsgesetz «Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs» (BÜPF) wurde letzten Freitag nach zwei Jahren Beratung im Parlament verabschiedet.

Die Digitale Gesellschaft sowie verschiedene andere Organisationen haben sich bei der vorangehenden Vernehmlassung als auch während der parlamentarischen Beratung nach Kräften eingebracht. Seit deutlich wurde, dass das Parlament kaum die dringend nötigen Korrekturen vornehmen wird, hat sich zudem ein überparteiliches Referendumskomitee formiert.

Mit Verabschiedung des finalen Gesetzestextes ist es an der Zeit, eine detaillierte Bewertung des (nicht) Erreichten vorzunehmen.

Trojaner (StPO Art. 269ter Einsatz von besonderen Informatikprogrammen zur Überwachung des Fernmeldeverkehrs)

  • Bisher: Nicht reguliert und somit nicht erlaubt
  • Neu: Explizit erlaubt
  • Antrag: Verzicht auf den Trojaner. Falls kein Verzicht:
    • Einsatz auf Straftaten beschränken, welche mit einer Freiheitsstrafe von nicht unter einem Jahr bewehrt sind.
    • Für die Strafuntersuchung nicht relevante Daten aus der Überwachung, namentlich die Intim- und Privatsphäre betreffend, sind umgehend zu löschen.
    • Es dürfen keine Sicherheitslücken aus dem Grau- oder Schwarzmarkt verwendet werden.
    • Die Sicherheit des betroffenen Datenverarbeitungssystems darf durch die Massnahme in keiner Weise beeinträchtigt werden.
    • Nach Abschluss der Massnahme muss das Datenverarbeitungssystem in seinen Ursprungszustand versetzt werden.
    • Unrechtmässig erlangte Daten und Erkenntnisse dürfen nicht verwendet werden (Zufallsfunde).
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Speicherfrist Vorratsdaten (Art. 26 Pflichten der Anbieterinnen von Fernmeldediensten, Ziffer 5)

  • Bisher: 6 Monate
  • Neu: Noch immer 6 Monate, keine Ausdehnung auf 12 Monate
  • Antrag: Abschaffung der Vorrasdatenspeicherung. Stattdessen der Einsatz von Quick-Freeze.
  • Bewertung: Insofern ein kleiner Erfolg, als dass die vorgesehene Ausdehnung auf 12 Monate durch Referendumsandrohung verhindert wurde. Verbesserungen zum Status quo konnten jedoch nicht erzielt werden. Ob 6 oder 12 Monate Speicherfrist ändert an der zugrundeliegenden Problematik (Verhältnismässigkeitsprinzip) nichts. Status quo wird für Jahre politisch zementiert.

IMSI-Catcher (Strafprozessordnung, Art. 269bis Einsatz von besonderen technischen Geräten zur Überwachung des Fernmeldeverkehrs)

  • Bisher: Nicht reguliert und somit nicht erlaubt
  • Neu: Explizit erlaubt
  • Antrag: Auf den Einsatz von IMSI-Catchern ist zu verzichten. Zumindest jedoch sind alle erfassten Personen nachträglich zu informieren.
  • Bewertung: Unsere Kritik wurde nicht berücksichtigt.

Art. 27 Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste sowie Art. 28 Pflichten der Betreiberinnen von internen Fernmeldenetzen

  • Bisher: Nicht explizit geregelt
  • Neu: Duldung und Mitarbeit bei der Überwachung
  • Antrag: Mitarbeit auf Auskunft über die überwachte Person beschränken. Kein Zugriff der Behörden auf die Anlagen des Anbieters. Nur Anbieter von grosser wirtschaftlicher Bedeutung und mit grosser Benutzerschaft sollen Vorratsdatenspeicherung durchführen müssen.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Speicherort der Vorratsdaten

  • Bisher: Nicht reglementiert
  • Neu: Speicherung im Ausland durch Parlament nicht festgelegt und damit weltweit möglich – auch in Ländern, in denen das Verfassungsgericht die Vorratsdatenspeicherung abgelehnt hat. Provider brechen damit unter Umständen ausländisches Recht.
  • Bewertung: Es wurde die Chance vertan, das Gesetz zumindest punktuell gegenüber dem bestehenden BÜPF zu verbessern.

Ausweitung Geltungsbereich (Art. 2 Persönlicher Geltungsbereich)

  • Bisher: Rund 50 Fernmeldedienstanbieter wie Swisscom, Salt/Orange, Sunrise, Cablecom
  • Neu: Über 200 Fernmeldedienstanbieter sowie Anbieter abgeleiteter Dienste (Hosting- und E-Mail-Provider, Chat-Anbieter, etc.) sowie Vereine uns sogar Privatpersonen
  • Antrag: Einschränkung (bzw. mässige Erweiterung) auf Dienstanbieter mit grosser wirtschaftlicher Bedeutung sowie Benutzerzahlen. Privatpersonen sollen sich nur dann an der Überwachung beteiligen oder diese dulden müssen, wenn sie kommerziell Zugänge anbieten.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Benachrichtigung der von einem IMSI-Catcher erfassten Personen

  • Bisher:
  • Neu: Keine Regelung. Kein Auskunfts- und Informationsrecht für Betroffene.
  • Antrag: Alle erfassten Personen, nicht nur die Zielperson, sollten nach Abschluss des Verfahrens informiert werden.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Einsatzbereich des Trojaners

  • Bisher:
  • Neu: Umfangreicher Deliktkatalog gemäss Artikel 286 Absatz 2 Strafprozessordnung.
  • Antrag: Einsatz des Trojaners nicht möglich bei minder schweren Delikten.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Art. 12 Sicherheit

  • Antrag: Bei Sicherheitslücken im Verarbeitungssystems des ÜPF muss die Öffentlichkeit informiert werden. Bei erheblichen Sicherheitslücken darf das System bis zu deren Behebung nicht mehr benutzt werden.
  • Bewertung: Vorschlag wurde nicht berücksichtigt.

Art.16 Allgemeine Aufgaben bei der Überwachung

  • Antrag: Bund und Kantone müssen eine Wirksamkeits- und Kostenanalyse erstellen.
  • Bewertung: Vorschlag wurde nicht berücksichtigt.

Art. 25 Informationen über Dienstleistungen

  • Antrag: Die Anbieterinnen von Fernmeldediensten sollen den Bund nicht zwingend 6 Monate im Voraus über zukünftige Dienstleistungen informieren müssen.
  • Bewertung: Der Antrag wurde nicht berücksichtigt. Der innovationsfeindliche Artikel wurde beibehalten.

Art. 26, 2c Pflichten der Anbieterinnen von Fernmeldediensten

  • Antrag: Die Fernmeldedienste sollen nur die Verschlüsselung entfernen müssen, für welche dies technisch möglich ist. Es gibt Systeme, die so konstruiert sind, dass sogar die Anbieterin den Inhalt der Kommunikation nicht auslesen kann. Bei solchen Systemen kann die angebrachte Verschlüsselung nicht entfernt werden.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Art. 26 Pflichten der Anbieterinnen von Fernmeldediensten, Ziffer 6

  • Antrag: Kleine Zugangsanbieter sollen generell von bestimmten gesetzlichen Pflichten befreit werden. Kleine Firmen und Start-ups sollen nicht mit Überwachungspflichten belastet werden.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Art. 26 Pflichten der Anbieterinnen von Fernmeldediensten, Ergänzung

  • Antrag: Randdaten sollen nicht zur Rasterfahndung herangezogen werden dürfen.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Art. 41 Aufsicht

  • Antrag: Der Bundesrat sorgt dafür, dass die Tätigkeit des Überwachungsdienstes ÜPF auf Zweckmässigkeit und Wirksamkeit überprüft wird und erstattet regelmässig Bericht.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Art. 42 Rechtsschutz

  • Antrag: Es muss möglich sein, gegen eine Anordnung des Dienstes Beschwerde zu führen. Dies geschieht, nach dem die Überwachungsmassnahme abgeschlossen ist und behindert die Strafverfolgung nicht.
  • Bewertung: Der Antrag wurde nicht berücksichtigt.

Abschliessende Bewertung

Das Parlament hat die Chance verpasst, eine längst fällige Grundsatzdebatte zur Überwachung zu führen. Der unverhältnismässig und gefährliche Gesetzesentwurf wurde kaum verbessert.

Der verabschiedete Gesetzestext wird dazu führen, dass…

  • … die Überwachung nahestehender Mitmenschen geduldet oder gar an dieser mitgearbeitet werden muss. Die DDR sollte uns Warnung, nicht Vorbild sein!
  • … ein Mehrfaches an Schweizer Firmen neu dem BÜPF unterworfen sind und entsprechende Mehrkosten tragen müssen. Überwachung kostet unsere Wirtschaft Millionen!
  • … unsere Vorratsdaten weiterhin im Ausland gespeichert werden können und somit dort geltenden Gesetzen unterworfen sind. Die (rumänischen) Geheimdienste freuen sich.
  • … das die Überwachung nicht nur der technischen Entwicklung angepasst, sondern massiv ausgebaut wird. Trojaner sind wesentlich intrusiver als eine passive Telefonüberwachung!
  • … nicht nur Kriminelle die Computersicherheit bedrohen, sondern auch der eigene Staat. Wie soll E-Government und E-Voting funktionieren, wenn der Benutzer damit rechnen muss, dass sein Computer oder Smartphone durch den Staat manipuliert wird?
  • … der Standort Schweiz für Cloud- und sonstige Informatikdienstleistungen geschwächt wird. Internationale Firmen, welche nach den Snowden-Enthüllungen aufgrund der behutsamen Gesetzgebung auf Schweizer Server umgezogen sind, dürften sich dies in Zukunft zweimal überlegen.

Aus netzpolitischer, freiheitlicher wie auch wirtschaftlicher Sicht kann man mit dem Erreichten keinesfalls zufrieden sein. Verbesserungen an dem Gesetz sind nicht mehr möglich. Ein Referendum ist die letzte verbleibende Chance, das Gesetz als Ganzes zu verhindern. Ob dies gelingt, wird sich weisen.