Nachdem gegen die im März verabschiedete Totalrevision des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) kein Referendum ergriffen wurde, hat der Bundesrat nun deren Inkrafttreten auf den 1. März 2018 festgelegt. Gleiches gilt auch für die Ausführungsverordnungen zum Gesetz. Diese wurden ferner nach der Kritik in der Vernehmlassung entschärft. Dies betrifft insbesondere die Massnahmen zur Identifikation von Usern in öffentlichen WLANs, welche nun auf professionell betriebene öffentliche WLANs beschränkt wurden.

Überblick zur Gesetzesrevision

Das neue Bundesgesetz wurde vom Schweizer Parlament am 18. März 2016 verabschiedet (vgl. für die Einzelheiten MLL-News vom 18.4.2016, englisch). Ein Referendum kam nicht zustande. Mit dem totalrevidierten BÜPF und den entsprechenden Verordnungen sollen den Strafverfolgungsbehörden die Instrumente zur Verfügung gestellt werden, die sie benötigen, um auch Straftaten aufklären zu können, die unter Verwendung neuer Technologien begangen wurden. Hintergrund der gesetzlichen Anpassungen sind einerseits die modernen Technologien, welche die Durchführung einer effektiven Überwachung teilweise verunmöglichen, und andererseits technische Überwachungsmassnahmen, die zwar vorhanden wären, denen es aber im geltenden Recht an der gesetzlichen Grundlage fehlte.

Die heutigen technischen Möglichkeiten erlauben es, die Kommunikation im Internet ohne grossen technischen Aufwand zu verschlüsseln. Den Strafverfolgungsbehörden soll nun für solche Fälle der Einsatz besonderer Software („Staatstrojaner“) zur Verfügung stehen.

Im Rahmen der Totalrevision wurde zudem der Kreis der Mitwirkungspflichtigen erweitert. Bis anhin war es nicht möglich, den nicht meldepflichtigen Fernmeldedienstanbieterinnen (FDA) und solchen Anbieterinnen, die ihre Kommunikationsdienste über das Internet anbieten, ohne Internetzugangsanbieterin zu sein, die Pflichten der Überwachung zu überbinden. Das revidierte Gesetz wird somit neuerdings auf grössere Anzahl von Anbieter von Telekommunikations- und verwandten Dienstleistungen Anwendung finden.

Keine Identifikationspflicht für selbstbetriebenes WLAN

Aufgrund der Stellungnahmen in der Vernehmlassung wurden in der Zwischenzeit die Ausführungsverordnungen überarbeitet und entschärft. Zentral ist dabei insbesondere die totalrevidierte Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF).

Diese enthalten namentlich die Massnahmen zur Identifikation von Usern in öffentlichen WLANs.. In der definitiven Fassung der Verordnung wurden die Identifikationspflichten nun auf professionell betriebene öffentliche WLANs beschränkt. Mit „professionell betrieben“ meint der Bundesrat, „dass eine FDA [Fernmeldedienstanbieterin] oder eine auf öffentliche WLAN-Zugangspunkte spezialisierte IT-Dienstleisterin den technischen Betrieb des öffentlichen WLAN-Zugangspunktes durchführt, die dies auch noch für andere öffentliche WLAN-Zugangspunkte an anderen Standorten macht.“

Wer also in diesem Sinne sein WLAN selber betreibt, muss keine Vorkehrungen treffen. Das soll neben Privathaushalten insbesondere auch auf öffentliche WLANs an Open-Air-Festivals, in Restaurants oder Hotels zutreffen. Diese müssen die Identifikation der Userinnen oder User nicht sicherstellen können. Allerdings müssen sie auf Anordnung der Strafverfolgungsbehörden und nach richterlicher Genehmigung die vorhandenen Daten herausgeben.

Bei professionell betriebenen öffentlichen WLAN-Zugangspunkten, welche namentlich bei Bahnhöfen und Flughäfen im Einsatz sind, müssen die FDA jedoch die Identifikation der Userinnen und User mit geeigneten Mitteln sicherstellen (sog. indirekte Identifikation). Als Beispiele für geeignete Massnahmen werden namentlich folgende genannt:

  • Zugangscode per SMS an Mobiltelefon und Speicherung der MSISDN;
  • Identifikation mittels Kreditkarte und Speicherung der Autorisierungsdaten;
  • Identifikation mittels gültiger Bordkarte auf Flughäfen und Speicherung der Bordkartendaten;

Für die Strafverfolgungsbehörden bedeutet das dahingehend einen Fortschritt, weil es bisher keine Vorschriften gab, wonach man sich in öffentlichen WLAN identifizieren musste.

Neu wurde ausserdem eine Löschpflicht für Daten zum Zweck der Identifikation eingeführt. Diese Daten müssen von den Mitwirkungspflichten nach Ablauf der Aufbewahrungsfrist vernichtet werden, sofern kein Erlass die weitere Aufbewahrung vorsieht. Die FDA werden ihrerseits entlastet, indem die Zahl derjenigen FDA, die permanente Überwachungsbereitschaft zu erstellen haben, von rund 600 auf voraussichtlich etwa ein Dutzend sinken wird.

Verbesserung der Kostendeckung

Der Bundesrat wird aber dementsprechend auch die Gebühren für die Strafverfolgungsbehörden erhöhen. Damit soll der Grad der Kostendeckung des Dienst ÜPF erhöht werden. Dieser führt auf Anordnung der Strafverfolgungsbehörden Post- und Fernmeldeüberwachungen durch. Das bedeutet, dass er sich bei den FDAs jene Daten einholt, welche die Strafverfolgungsbehörden anfordern, um Verbrechen aufzuklären. Die Rückmeldungen aus der Vernehmlassung werden jedoch berücksichtigt und die entsprechenden Gebühren weniger stark erhöht als ursprünglich vorgesehen.

Auf Empfehlung der Rechtskommission des Ständerates sowie auf Wunsch der Kantone und Strafverfolgungsbehörde wird der Dienst ÜPF zudem eine behördenübergreifende Arbeitsgruppe für eine Revision der Gebührenverordnung einsetzen. Diese soll die Höhe der Gebühren sowie die Vereinfachung von Abrechnung und Abgeltung prüfen. Sie soll sich insbesondere mit der Frage beschäftigen, wie sichergestellt werden kann, dass die Gebührenverordnung nicht die Zielsetzungen des BÜPF in Frage stellt.

Weitere Informationen