Bereits vor einiger Zeit haben wir darüber berichtet, welche Gesetze das Speichern der Vorratsdaten erlauben und, dass diese nach Ablauf der gesetzlich vorgesehenen Speicherfrist von 6 Monaten durch die Provider zu löschen sind.
Der folgende Beitrag aktualisiert einen früheren Artikel und dient als Handreichung für Verantwortliche, die sich mit der aktuellen Fassung des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) befassen. Der Beitrag thematisiert hierbei sowohl die Pflichten im Zusammenhang mit der Telekommunikationsüberwachung und der Vorratsdatenspeicherung, als auch, wann die Speicherung von Daten von BenutzerInnen rechtswidrig ist.
Der rechtliche Rahmen
Grundsätzlich unterliegen Gesprächsinhalte, Briefe, E-Mails und auch die Tatsachen darüber, dass eine Kommunikation stattgefunden hat, dem Schutz der Privatsphäre.
Artikel 13 der Bundesverfassung besagt:
- Jede Person hat Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs.
- Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
Hinsichtlich der Überwachung des Fernmeldeverkehrs, resp. der Vorratsdatenspeicherung gelten (grob gesprochen und aus Sicht der Verantwortlichen) drei konkretisierende Gesetze. Im Grundsatz sind diese persönlichen Daten vor Zugriff resp. Bearbeitung geschützt:
- Das Fernmeldegesetz konkretisiert das Fernmeldegeheimnis (aus Art. 13 BV) und verbietet u.a. die Weitergabe von Daten durch die Provider an Dritte, die diesen in Erfüllung ihrer Aufgaben bekannt wurden (Art. 43 FMG).
- Das Datenschutzgesetz erlaubt die Bearbeitung von Personendaten nur, wenn sie notwendig, verhältnismässig und zweckmässig ist, mit Zustimmung geschieht, oder wenn sie durch ein Gesetz vorgeschrieben ist (Art. 4 DSG).
Die Aufhebung des Fernmeldegeheimnisses (Grundrechtseingriff) erfordert zwingend eine gesetzliche Grundlage. Eine solche kann sich aus dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) ergeben. Dieses regelt für die Anbieterinnen von Fernmeldediensten, dass diese den Inhalt und die Randdaten des Fernmeldeverkehrs einer überwachten Person auf Verlangen an die zuständige Behörde herausgeben und die Vorratsdaten für 6 Monate aufzubewahren (Art. 26 BÜPF).
Persönlicher Geltungsbereich des BÜPF
Fernmeldedienstanbieter müssen eine angeordnete Telekommunikationsüberwachung durchführen und Vorratsdaten speichern. Wer dem Gesetz hingegen nicht untersteht, darf es aufgrund des Fernmeldegeheimnisses nicht.
Art. 2 BÜPF lautet:
Aus diesem Gesetz ergeben sich Mitwirkungspflichten für die folgenden Personen (Mitwirkungspflichtige):
a. Anbieterinnen von Postdiensten nach dem PG;
b. Anbieterinnen von Fernmeldediensten nach Artikel 3 Buchstabe b des Fernmeldegesetzes vom 30. April 1997 (FMG);
c. Anbieterinnen von Diensten, die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen (Anbieterinnen abgeleiteter Kommunikationsdienste);
d. Betreiberinnen von internen Fernmeldenetzen;
e. Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen;
f. professionelle Wiederverkäuferinnen von Karten und ähnlichen Mitteln, die den Zugang zu einem öffentlichen Fernmeldenetz ermöglichen.
Nach der bis 2018 gelten Version des BÜPF waren «nur» die Access Provider (FDA) in der Pflicht, Überwachungsmassnahmen vorzunehmen. Seit der Gesetzesnovelle fallen neu E-Mail-Anbieter, Hostingprovider, Chatanbieter, etc. unter das BÜPF, jedoch nicht in der Kategorie der FDAs, sondern in der neu durch den Gesetzgeber geschaffenen Kategorie von «Anbieterinnen abgeleiteter Kommunikationsdienste» (AAKD).
Relevant ist diese Unterscheidung – und die Klarheit für alle Betroffenen, mit der diese Unterscheidung in der Praxis für Rechtssicherheit sorgt -, weil an die unterschiedliche Einordnung unterschiedliche Pflichten gegenüber dem Dienst ÜPF gekoppelt sind. Grundsätzlich bestehen für AAKD nur Duldungs- und Zusammenarbeitspflichten (Art. 27 BÜPF). FDAs demgegenüber unterliegen grundsätzlich den Überwachungspflichten und sie werden erst auf Antrag von diesen Pflichten befreit (Art. 26 Abs. 6 BÜPF) – jedoch selbst im Fall der Befreiung müssen vorhandene Randdaten zur Verfügung gestellt werden, Informationen zur Durchführung einer Überwachung, dessen Duldung, aber insbesondere auch das Entfernen der Verschlüsselung, mithin umfangreiche Pflichten, entsprochen werden (Art. 26 Abs. 6 Satz iVm Art. 26 Abs. 2 BÜPF). Insbesondere wichtig ist, dass eine Identifikationspflicht (Art. 21 Abs. 1 lit. d BÜPF) für AAKD im Vergleich zu FDA gerade nicht besteht.
Für den Sonderfall von AAKD mit grosser wirtschaftlicher Bedeutung oder Nutzerschaft hat der Bundesrat nach Art. 22 Abs. 4 BÜPF weitergehende Pflichten in Art. 22 und 52 VÜPF konkretisiert. Soweit die dort genannten Voraussetzungen nicht erfüllt sind, bestehen erweiterte Auskunfts- oder Mitwirkungspflichten für AAKD nicht.
Bei der Revision des BÜPF strich der Gesetzgeber einen Verweis auf Art. 3 lit. b FMG für AAKD und brachte damit zum Ausdruck, dass lediglich die Pflichten der FDA, nicht jedoch der AAKD an das FMG gekoppelt sind.
Entscheidung des Bundesverwaltungsgerichts
Wir monierten in der Vergangenheit bereits mehrfach die eigenmächtige Ausdehnung des Begriffs von FDAs durch den Dienst ÜPF und bewerteten diese als rechtswidrig. In dieser Sichtweise wurden wir zuletzt durch ein Urteil des Bundesverwaltungsgerichts bestätigt. Gegenstand des Verfahren war die Einordnung des Dinsteanbieters Threema als Anbieter von Fernmeldediensten gem. Art.3 lit. b FMG (Art. 2 Bst. b BÜPF) und nicht als Anbieter von Diensten, die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen (Anbieterinnen abgeleiteter Kommunikationsdienste; Art. 2 Bst. c BÜPF).
Diese Frage beantwortete das angerufene Gericht dahingehend, dass der Dienstanbieter Threema nicht unter Art. 3 lit. b FMG fällt, da der Dienst ohne Internetzugang angeboten wird, und ein Internetzugang separat bezogen werden muss. Diensteanbieter wie Threema seien daher nicht als Fernmeldediensteanbieter (FDA), sondern als Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) zu qualifizieren.
«Mit dem «DÜPF» durch die Wand…»
Trotz der Klarheit und kohärenten Argumentation der Entscheidung des Bundesverwaltungsgerichts, in der lehrbuchmässig die Rechtsfrage anhand aller in Betracht kommenden Auslegungsarten gleichlautend beantwortet wurde, zog der Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF, «DÜPF») die Sache zum Bundesgericht weiter. Im Vorfeld der zu erwartenden Bestätigung durch das Bundesgericht setzen wir uns erneut mit der ergangenen Entscheidung auseinander.
Wir teilen die Auffassung des Bundesverwaltungsgerichts, dass Anbieter von sog. Over-The-Top-Diensten (OTT-Diensten), also von Diensten, die über das Internet erbracht werden, aber selbst nicht Internetzugangsdienste sind, als Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) zu qualifizieren sind. Bereits aus der Botschaft zum BÜPF ergibt sich, dass Chat- bzw. Instant-Messaging-Plattformen sowie Anbieterinnen von Internettelefondiensten des Typs Peer-to-Peer unter die Kategorie AAKD fallen. Threema betreibt insbesondere keine eigene Telekom-Infrastruktur wie Leitungen oder Funkstrecken. Eine Unterscheidung zwischen FDA und AAKD im BÜPF findet allein anhand der eingesetzten Technik statt; an diese Vorgabe des Parlaments ist der Dienst ÜPF gebunden und kann seinen Wirkungsbereich nicht eigenständig erweitern. Das Bundesverwaltungsgericht verneinte im Fall Threema deutlich das Vorliegen der Voraussetzungen für eine Kategorisierung eines Dienstanbieters als FDA, da alle nachvollziehbaren Argumentationen zum gleichen Ergebnis führten (u.a. Verweis auf Art. 3 FMG, die Botschaft zum BÜPF, die Auslegung unter Berücksichtigung der Möglichkeiten der Herauf- und Hearbstufung nach Art. 22 und 52 VÜPF im Einzelfall).
Empfehlung für die Praxis
Auch wenn wir nicht damit rechnen, dass das Bundesgericht zu einem anderen Ergebnis gelangen wird, ist die derzeitige Unsicherheit für zahlreiche Anbieter unbefriedigend. Dienstanbieter sehen sich in dem Dilemma, wohlmöglich während der rechtlichen Klärung entweder Anordnungen des Dienst ÜPF zu missachten oder das Fernmeldegeheimnis von Nutzern zu verletzen, sollte erwartungsgemäss das Urteil des Bundesverwaltungsgericht bestätigt werden.
Wir empfehlen bis zur Entscheidung allen Unternehmen, die sich als AAKD und nicht als FDA einordnen, zu prüfen. ob etwaig zwischenzeitlich ergehende Anordnungen des Dienst ÜPF unter Berufung auf das anhängige Verfahren beim Bundesgericht, das Fernmeldegeheimnis sowie der damit einhergehenden Gefahr der Verletzung der Grundrechte von Nutzern und entsprechenden Klagen vorläufig nicht nachzukommen ist. Insbesondere nehmen wir an, dass eine etwaige vorsorgliche Speicherung während der Klärung durch das Bundesgericht das Fernmeldegeheimnis verletzen und rechtswidrig ist. Gegen entsprechende Anordnung empfehlen wir daher Rechtsmittel einzulegen, und in den Fällen, in denen diese keine aufschiebende Wirkung haben, diese gerichtlich bis zur endgültigen Klärung herstellen zu lassen.