Überwachungs- und Auskunftspflichten in der Schweiz treffen neu deutlich mehr Anbieterinnen von Kommunikationsdienstleistungen, so z.B. Anbieterinnen von Hosting, VoIP, E-Mail und Chat-Diensten. Um Anbieterinnen untergeordneter Dienste nicht übermässig zu belasten, sieht das neue Recht im Gegenzug gestufte Pflichten zur Echtzeitüberwachung und Auskunft vor. Nach wie vor unklar ist die Abgrenzung zwischen den einzelnen erfassten Anbieter-Kategorien.

Neues Überwachungsrecht für neue Technologien

Am 1. März 2018 ist das totalrevidierte Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) mitsamt seinen fünf Ausführungsverordnungen in Kraft getreten. Mit der Revision soll das Überwachungsrecht an die technologische Entwicklung in der Kommunikation angepasst werden. Mutmassliche Straftäter sollen sich nicht durch die Verwendung neuer Kommunikationstechnologien der Überwachung durch die Strafverfolgungsbehörden entziehen können. Vor diesem Hintergrund erweitert das revidierte BÜPF namentlich den Kreis der überwachungs- und auskunftspflichtigen Kommunikations-Dienstleister erheblich.

Erfasste Kommunikations-Dienstleister 

Dem totalrevidierten BÜPF und den dazugehörigen Verordnungen1 unterstehen u.a. folgende Dienstleister2 : 

  • Anbieterinnen von Fernmeldediensten (FDA) gemäss Fernmeldegesetz (FMG), unabhängig davon, ob eine fernmelderechtliche Meldepflicht besteht; sowie
  • Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD), d.h. Dienste, die sich auf Fernmeldedienste stützen und ihren Kunden eine Einweg- oder Mehrwegkommunikation ermöglichen, unabhängig davon, ob die AAKD ihren Kunden Zugang zum Internet anbieten ("access provider"). 

Abgestufte Pflichten für FDA und AAKD 

Das BÜPF unterscheidet fünf verschiedene Kategorien von FDA und AAKD:

1. (Gewöhnliche) FDA;

2. FDA mit reduzierten Überwachungs- und Auskunftspflichten;

3. (Gewöhnliche) AAKD; 

4. AAKD mit weitergehenden Überwachungspflichten; 

5. AAKD mit weitergehenden Auskunftspflichten;

FDA mit reduzierten Überwachungs- und Auskunftspflichten sind3 :

  • Anbieterinnen von Diensten ausschliesslich im Bereich Bildung und Forschung sowie
  • FDA, die in den letzten 12 Monaten Überwachungsaufträge zu weniger als 10 verschiedenen Überwachungszielen erhalten und mit Fernmeldediensten in der Schweiz in zwei aufeinanderfolgenden Geschäftsjahren weniger als CHF 100 Mio. Jahresumsatz generiert haben.

Die Einstufung als FDA mit reduzierten Überwachungs- und Auskunftspflichten setzt ein entsprechendes Gesuch des FDA voraus. 

Für AAKD gelten weitergehende Pflichten, wenn sie eine gewisse wirtschaftliche Bedeutung erlangen. AAKD mit weitergehenden Überwachungspflichten sind: 4 

  • AAKD, die in den letzten 12 Monaten Überwachungsaufträge zu mindestens 10 verschiedenen Überwachungszielen erhalten haben sowie 
  • AAKD, die mit Fernmeldediensten in der Schweiz in zwei aufeinanderfolgenden Geschäftsjahren mindestens CHF 100 Mio. Jahresumsatz generiert haben, wobei ein Grossteil ihrer Geschäftstätigkeit auf diese Dienste entfällt und mindestens 5'000 Teilnehmende die Dienste in Anspruch nehmen.

AAKD mit weitergehenden Auskunftspflichten sind5 :

  • Anbieterinnen, die in den letzten 12 Monaten mindestens 100 Auskunftsgesuche erhalten haben sowie
  • Anbieterinnen, die die vorerwähnten Schwellenwerte für AAKD mit weitergehenden Überwachungspflichten erreichen.

Je nach Zuordnung treffen die Kommunikations-Dienstleister unterschiedliche Pflichten:  

Abgrenzung zwischen FDA und AAKD

Um die relevanten Pflichten für Kommunikations-Dienstleister zu identifizieren, müssen diese ihre Dienstleistungen als Fernmeldedienste oder abgeleitete Kommunikationsdienste einordnen können.

Als FDA gilt jede "natürliche oder juristische Person, welche Informationen für Dritte fernmeldetechnisch selber überträgt oder übertragen lässt und diesen Dritten gegenüber im Rahmen eines privatrechtlichen Vertragsverhältnisses die Verantwortung für die Erbringung der versprochenen Dienstleistung übernimmt". 14 "Fernmeldetechnisches Übertragen" meint dabei "elektrisches, magnetisches, optisches oder anderes elektromagnetisches Senden oder Empfangen von Informationen über Leitungen oder Funk".15 Irrelevant ist, ob die Anbieterin eigene Übertragungsinfrastruktur hat. Vielmehr ist relevant, ob sie ihren Kunden gegenüber als Dienstleistungserbringerin und Vertragspartnerin auftritt. Ausnahmen bestehen z.B. für die Informationsübertragung innerhalb eines Gebäudes, einer Überbauung oder eines Konzerns. 16 

Als FDA erfasst sind klassische Telefonie-Anbieterinnen, aber auch Anbieterinnen von internetbasierten Over-the-top Diensten (OTT-Diensten) zur Übertragung von Sprache, Text, Bildern, Ton, Video oder einer Kombination davon, z.B. via E-Mail, Instant Messaging, Mitteilungsdienste (Messaging) und Kommunikationsdienste in Sozialen Medien. 17 

Während die Definition von FDA noch einigermassen greifbare Kriterien enthält, ist die Abgrenzung von AAKD in der Praxis deutlich schwieriger: Als AAKD gelten Anbieterinnen von Diensten, die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen.18 Folgende Angebote behandelt der für die Überwachung des Post- und Fernmeldeverkehrs zuständige Dienst ÜPF als abgeleitete Kommunikationsdienste: 19

  • Online-Speicherdienste (Cloud Storage; File Hosting; Share Hoster; Online Storage; File Sharing);
  • Dienste zum Hochladen und Teilen von Inhalten (z.B. von Videos);
  • Cloud Computing;
  • Online-Marktplätze (wobei Kommunikationsdienste innerhalb von OnlineMarktplätzen jedoch als Fernmeldedienste gelten);
  • Soziale Medien (wobei Kommunikationsdienste innerhalb von Sozialen Medien jedoch als Fernmeldedienste gelten);
  • Location Based Services (Lokalisierungsdienste)

Auf eine genauere Definition wollte sich der Dienst ÜPF bislang nicht einlassen. Auch wenn das Bedürfnis nach Flexibilität der Überwachungsbehörden bei sich rasch entwickelnden Technologien nachvollziehbar ist, bleiben gerade innovative KommunikationsDienstleister im Ungewissen, ob ihre neuen Produkte unter das BÜPF fallen und welche Überwachungs- und Auskunftspflichten sie treffen. Dabei ist die Zuordnung äusserst zentral: Aktive Überwachungs- und Aufbewahrungspflichten für bestimmte Daten bringen auch Anforderungen an die technische Infrastruktur (z.B. "handover interfaces" für die Datenlieferung) und betriebliche Organisation (z.B. Angabe einer Kontaktperson als "Lawful Interception Officer"; Verfügbarkeit ausserhalb der Geschäftszeiten etc.) mit sich. Kommunikations-Dienstleister sind daher darauf angewiesen, dass sich der Dienst ÜPF möglichst rasch verbindlicher zu den verschiedenen Anbieterinnen äussert, und so Rechtssicherheit schafft.

Handlungsbedarf für Kommunikations-Dienstleister 

Die Kommunikations-Dienstleister, die sich nicht eindeutig einer der Kategorien von FDA oder AAKD zuordnen lassen, müssen nun entscheiden, ob sie proaktiv Massnahmen ergreifen oder die sich entwickelnde Praxis abwarten möchten. Für die vom BÜPF erfassten FDA und AAKD mit erweiterten Auskunfts- oder Überwachungspflichten kann der Dienst ÜPF sog. Compliance-Verfahren durchführen, um ihre Überwachungsbereitschaft zu testen.20 Spätestens zu diesem Zeitpunkt muss die Anbieterin die notwendigen technischen und organisatorischen Vorkehrungen treffen. 

Verstösse gegen die Aufbewahrungs- und Geheimhaltungspflichten sowie nicht fristgerechte Umsetzung von Überwachungs- oder Editionsverfügungen können mit Busse bis zu CHF 100'000 bei Vorsatz, bzw. CHF 40'000 bei Fahrlässigkeit, geahndet werden.21 

Wer als FDA von reduzierten Pflichten profitieren möchte, muss ein entsprechendes Gesuch an den Dienst ÜPF richten. 22 Weiterer Handlungsbedarf kann auch in der Kundenbeziehung bestehen, wobei eine vertragliche Absicherung für die Herausgabe von (Personen-)Daten sinnvoll sein kann. 

Wir empfehlen Kommunikations-Dienstleistern, deren Geschäftstätigkeit zu einem Grossteil unter die eine oder andere Kategorie von Fernmeldediensten oder abgeleiteten Kommunikationsdiensten fallen könnte, proaktiv Abklärungen zu treffen, um allfälligen Handlungsbedarf frühzeitig zu erkennen.