Das Bun­des­ver­wal­tungs­ge­richt hat mit einem 90-sei­ti­gen Urteil (abruf­bar auf der Sei­te der Digi­ta­len Gesell­schaft, DG) die Beschwer­de der Digi­ta­len Gesell­schaft gegen den Dienst Über­wa­chung Post-und Fern­mel­de­ver­kehr (ÜPF) im Zusam­men­hang mit der Vor­rats­da­ten­spei­che­rung von Rand­da­ten der Fern­mel­de­kom­mu­ni­ka­ti­on abge­wie­sen. Die Digi­ta­le Gesell­schaft (DG) hat­te vom ÜPF ver­langt, Tele­kom­mu­ni­ka­ti­ons­an­bie­ter zu ver­pflich­ten, bestimm­te Ver­kehrs-und Rech­nungs­da­ten zu löschen und in Zukunft kei­ne sol­chen Daten her­aus­zu­ge­ben. Die DG hat dabei argu­men­tiert, die Rechts­grund­la­ge für die Spei­che­rung der betref­fen­den Daten, Art. 15 Abs. 3 BÜPF sei nicht aus­rei­chend prä­zi­se for­mu­liert, und die anlass­lo­se Spei­che­rung der Rand­da­ten ver­let­ze den Ver­hält­nis­mä­ssig­keits­grund­satz und Grund­sät­ze des Daten­schut­zes. Der ÜPF hat­te die ent­spre­chen­den Gesu­che der DG abge­wie­sen. Das BVGer kommt dage­gen zum Schluss, die Rand­da­ten­spei­che­rung stel­le zwar einen schwe­ren Grund­rechts­ein­griff dar, beru­he aber auf einer aus­rei­chen­den gesetz­li­chen Grund­la­ge, die­ne einem öffent­li­chen Inter­es­se und sei nicht unver­hält­nis­mä­ssig.

Zuständigkeitsfragen

Das BVGer bestä­tigt die Abwei­sung durch den ÜPF und weist die Beschwer­de der DG ab. Es bestä­tigt zunächst die Zustän­dig­keit des ÜPF: Die Streit­sa­che sei dem öffent­li­chen Recht unter­stellt, sodass der ver­wal­tungs­recht­li­che Rechts­mit­tel­weg offen ste­he, und die Anbie­te­rin­nen sei­en ihrer­seits zum Erlass von Ver­fü­gun­gen nicht befugt. Eine ande­re Zustän­dig­keits­ord­nung erge­be sich weder aus dem DSG noch aus dem FMG.

Rand- und Bestandesdaten

Das BVGer unter­schei­det sodann im Zusam­men­hang mit der Aus­le­gung des Rechts­be­geh­rens zwi­schen Rand­da­ten und Bestan­des­da­ten:

  • Bestan­des­da­ten sind Daten, die unab­hän­gig von einem bestimm­ten Fern­mel­de­ver­kehr unver­än­der­lich vor­han­den sind, bei­spiels­wei­se der Inha­ber eines Fern­mel­de­an­schlus­ses;
  • Rand­da­ten sind dem­ge­gen­über äusse­re Daten des Kom­mu­ni­ka­ti­ons­vor­gangs, d.h. Daten, die einen kon­kre­ten Kom­mu­ni­ka­ti­ons­vor­gang betref­fen und aus denen her­vor­geht, mit wem, wann, wie lan­ge und von wo aus eine Per­son Ver­bin­dun­gen hat und gehabt hat, sowie die tech­ni­schen Merk­ma­le der ent­spre­chen­den Ver­bin­dung (inkl. Ver­kehrs- und Rech­nungs­da­ten).

Das BVGer erläu­tert im Anschluss aus­führ­lich die Rechts­grund­la­gen der Über­wa­chung des Post- und Fern­mel­de­ver­kehrs, zum Bei­spiel die Abgren­zung zwi­schen BÜPF und StPO, und geht auf die Total­re­vi­si­on des BÜPF ein. Letz­te­re war im vor­lie­gen­den Fall zwar nicht anwend­bar (kei­ne Vor­wir­kung), doch schliesst dies nicht aus, die Mate­ria­li­en zum total revi­dier­ten BÜPF bei der Aus­le­gung des gel­ten­den Rechts im Sin­ne einer gel­tungs­zeit­li­chen Aus­le­gung zu berück­sich­ti­gen.

Schutzbereich des Fernmeldegeheimnisses

Das Bun­des­ge­richt prüft in der Fol­ge aus­führ­lich den Gehalt von Art. 13 Abs. 1 BV und ins­be­son­de­re der dar­aus (und aus Art. 8 EMRK) flie­ssen­den Schutz­rech­te, insb. des Rechts auf Ach­tung des Fern­mel­de­ver­kehrs und auf Schutz vor Miss­brauch per­sön­li­cher Daten. Es hält dabei fest, dass zumin­dest alle Daten, die im Zusam­men­hang mit einer fern­mel­de­tech­ni­schen Kom­mu­ni­ka­ti­on von den Anbie­te­rin­nen bear­bei­tet wer­den bzw. bei die­sen anfal­len, in den Schutz­be­reich des Fern­mel­de­ge­heim­nis­ses fal­len (zum Bei­spiel Zeit­punkt der Kom­mu­ni­ka­ti­on bzw. der Daten­ver­bin­dung, deren Dau­er, Art der Daten­ver­bin­dung etc.). Eben­falls in den Schutz des Fern­mel­de­ge­heim­nis­ses fal­len wei­te­re mit einem Fern­mel­de­vor­gang ver­bun­de­ne Daten wie etwa die Adres­sie­rungs­ele­men­te (Tele­fon­num­mern, IP-Adres­sen, Domain­na­men etc.), sofern sie mit einem kon­kre­ten Kom­mu­ni­ka­ti­ons­vor­gang ver­bun­den sind (ausser­halb eines sol­chen han­delt es sich um Bestan­des­da­ten). Offen lässt das BVGer dage­gen, ob wei­te­re tech­ni­sche Daten wie etwa Anga­ben zum Per­so­nal Unblocking Key oder dar­über, ob und unter wel­cher Num­mer bzw. mit wel­cher SIM-Kar­te ein bestimm­tes mobi­les Gerät bei einer bestimm­ten Anbie­te­rin betrie­ben wird, in den Schutz­be­reich des Fern­mel­de­ge­heim­nis­ses fal­len, weil die­se Daten nach Art. 15 BÜPF von den Anbie­te­rin­nen nicht zu spei­chern sind.

Eben­falls in den Anwen­dungs­be­reich des Fern­mel­de­ge­heim­nis­ses fal­len Stand­ort­da­ten und Sta­tus­an­ga­ben (Anga­ben, ob das Gerät ein­ge­schal­tet und emp­fangs­be­reit ist), wenn sol­che Daten im Zusam­men­hang mit einem Fern­mel­de­ver­kehr anfal­len. Ob sol­che Daten eben­falls erfasst sind, wenn sie ausser­halb eines Kom­mu­ni­ka­ti­ons­vor­gangs gespei­chert wer­den, konn­te das BVGer eben­falls offen las­sen.

Grundrechtliche Beurteilung

Grundrechtseingriff

Kern des Ver­fah­rens waren grund­recht­li­che Erwä­gun­gen. Die DG hat­te gel­tend gemacht, die Spei­che­rung von Rand­da­ten ver­let­ze in schwer­wie­gen­der Wei­se den Grund- und völ­ker­recht­lich geschütz­ten Anspruch auf Ach­tung des Fern­mel­de­ver­kehrs bzw. das Fern­mel­de­ge­heim­nis und auf Schutz vor Miss­brauch der per­sön­li­chen Daten. Zudem wür­den wei­te­re Grund­rech­te wie bei­spiels­wei­se die Mei­nungs-, Medi­en -und Ver­samm­lungs­frei­heit ein­ge­schränkt, indem die Spei­che­rung von Rand­da­ten ein “sub­jek­ti­ves Gefühl des Über­wacht­wer­dens” bewir­ke.

Das BVGer hält dazu fest, dass die Rand­da­ten über einen län­ge­ren Zeit­raum zu Per­sön­lich­keits­pro­fi­len ver­dich­tet wer­den kön­nen, obwohl es sich ledig­lich um äusse­re Daten der Kom­mu­ni­ka­ti­on han­delt. Die Spei­che­rung und Auf­be­wah­rung sol­cher Daten stellt einen schwe­ren Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung und den Anspruch auf Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on dar; umso mehr, aus bei­de Garan­ti­en auch für die Mei­nungs- und Ver­samm­lungs­frei­heit von grund­le­gen­der Bedeu­tung sind. Dabei ist uner­heb­lich, ob gespei­cher­te Daten spä­ter etwa in einem Straf­ver­fah­ren ver­wen­det wer­den. Dabei haben bei­de Grund­rech­te einen eigen­stän­di­gen Anwen­dungs­be­reich, so dass der Ein­griff unter Berück­sich­ti­gung bei­der Grund­rech­te auf Ver­fas­sungs­mä­ssig­keit zu prü­fen ist. Dem­ge­gen­über kön­nen den Grund­rechts­in­ter­es­sen der Mei­nungs­frei­heit und der Ver­samm­lungs­frei­heit im Rah­men des Fern­mel­de­ge­heim­nis­ses Rech­nung getra­gen wer­den, was ver­langt, die Bedeu­tung der Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on für die Ver­wirk­li­chung der Ver­samm­lungs­frei­heit als zen­tra­le Vor­aus­set­zung für die demo­kra­ti­sche Wil­lens­bil­dung hin­rei­chend zu beach­ten.

Ausreichend bestimmte gesetzliche Grundlage

Dem­zu­fol­ge hat­te das Bun­des­ge­richt die Anfor­de­run­gen an gerecht­fer­tig­te Grund­rechts­ein­grif­fe zu prü­fen. Nach einer ein­ge­hen­den Ana­ly­se kommt das Bun­des­ge­richt mit Bezug auf das Erfor­der­nis der gesetz­li­chen Grund­la­ge zum Ergeb­nis, dass die Rechts­grund­la­ge, Art. 15 Abs. 3 BÜPF, aus­rei­chend bestimmt ist, weil dar­aus erkenn­bar wird, dass die Anbie­te­rin­nen syste­ma­tisch äusse­re Daten der Kom­mu­ni­ka­ti­on – in Abgren­zung zum Inhalt der Kom­mu­ni­ka­ti­on – spei­chern und auf­be­wah­ren. Infol­ge­des­sen kön­nen die frei­heits­be­schrän­ken­den Fol­gen des Han­delns, näm­lich die Spei­che­rung und Auf­be­wah­rung von Daten als Fol­ge der Nut­zung von Kom­mu­ni­ka­ti­ons­dienst­lei­stun­gen, mit hin­rei­chen­der Gewiss­heit vor­aus­ge­se­hen wer­den.

Eingriffsinteresse

Im näch­sten Schritt bejaht das BVGer, dass an der Vor­rats­da­ten­spei­che­rung ein öffent­li­ches Inter­es­se besteht. Die Spei­che­rung von Rand­da­ten ermög­li­che eine rück­wir­ken­de Über­wa­chung der Tele­kom­mu­ni­ka­ti­on, was ein Mit­tel der Straf­ver­fol­gung dar­stellt und der inter­na­tio­na­len Rechts­hil­fe in Straf­sa­chen und der Suche und Ret­tung ver­miss­ter Per­so­nen dient (Art. 1 BÜPF). Ob das öffent­li­che Inter­es­se von aus­rei­chen­dem Gewicht ist, wird im Rah­men der Ver­hält­nis­mä­ssig­keit geprüft.

Verhältnismässigkeit

Die DG hat­te vor­ge­bracht, die Vor­rats­da­ten­spei­che­rung sei nicht geeig­net, effek­tiv einen Bei­trag zu Straf­ver­fol­gung zu lei­sten. Es bestün­den zudem ande­re Mög­lich­kei­ten, eine rück­wir­ken­de Über­wa­chung zu ermög­li­chen. Zudem sei die Mass­nah­me unzu­mut­bar, weil hin­rei­chend bestimm­te Regeln zur Gewähr­lei­stung der Daten­si­cher­heit, zur Löschung der Rand Daten nach Ablauf der Auf­be­wah­rungs­frist und zu wirk­sa­men Kon­troll- und Beschwer­de­mög­lich­kei­ten feh­len.

Das BVGer hält zunächst fest, dass die Vor­rats­da­ten­spei­che­rung geeig­net ist, das genann­te öffent­li­che Inter­es­se zu ver­wirk­li­chen. Wie das Bun­des­ge­richt wie­der­holt fest­ge­hal­ten habe, kön­ne das Resul­tat einer rück­wir­ken­den Rand Daten­er­he­bung für die Auf­klä­rung und recht­li­che Qua­li­fi­ka­ti­on eines Delikts von wesent­li­cher Bedeu­tung sein. Es kön­ne des­halb nicht in Abre­de gestellt wer­den, dass die Spei­che­rung und Auf­be­wah­rung von Rand­da­ten geeig­net sei, zur Auf­klä­rung von Straf­ta­ten bei­zu­tra­gen.

Die DG hat­te zudem ein­ge­wandt, es genü­ge, Rand­da­ten erst bei kon­kre­tem Tat­ver­dacht zu spei­chern. Es lie­ge daher ein mil­de­res Mit­tel vor. Das BVGer ver­wirft die­sen Ein­wand, weil die­se Mass­nah­me des soge­nann­ten “quick fre­e­ze” nicht gleich effek­tiv sei wie die anlass­lo­se Spei­che­rung von Rand­da­ten. Sie käme eher einer Echt­zeit­über­wa­chung nahe.

Sodann sei die Vor­rats­da­ten­spei­che­rung nicht unzu­mut­bar. Mit die­sem Punkt setzt sich das BVGer unter Bezug­nah­me auf die Recht­spre­chung des EGMR und des Bun­des­ge­richts detail­liert aus­ein­an­der. Nach die­ser Recht­spre­chung sind Ein­grif­fe in Grund­rech­te zur Über­wa­chung nur zuläs­sig, wenn aus­rei­chen­de Garan­ti­en zum Schutz vor Miss­brauch bestehen, ins­be­son­de­re Garan­ti­en zur Auf­be­wah­rungs­dau­er, zum Schutz vor unbe­fug­ter Kennt­nis­nah­me, Bear­bei­tung und Ent­wen­dung, zur Rege­lung des Krei­ses der zugangs­be­rech­tig­ten, zur Löschung der gespei­cher­ten Daten und zur Sicher­stel­lung des Rechts auf Aus­kunft und Ein­sicht. Nach Auf­fas­sung des BVGers sind die­se Anfor­de­run­gen hier durch die Daten­schutz­ge­setz­ge­bung, ins­be­son­de­re die Bestim­mun­gen zur Daten­si­cher­heit, erfüllt. Das Bun­des­ge­richt erläu­tert in die­sem Zusam­men­hang die Daten­si­cher­heits­mass­nah­men des DSG und der VDSG ins­be­son­de­re für öffent­li­che Orga­ne bei der Über­tra­gung der Daten­be­ar­bei­tung auf Drit­te. Zusam­men­fas­send kommt das BVGer zum Ergeb­nis, dass das Fern­mel­de­recht und ins­be­son­de­re das Daten­schutz­recht hin­rei­chen­de Garan­ti­en zum Schutz vor Miss­brauch bei der Bear­bei­tung der Rand­da­ten vor­se­hen.

Schliess­lich beur­teilt das BVGer den vom Gesetz­ge­ber getrof­fe­nen abstrak­ten Aus­gleich zwi­schen den betrof­fe­nen Rechts­gü­tern als kor­rekt. Den geschütz­ten Rechts­po­si­tio­nen der betrof­fe­nen Pri­va­ten kom­me vor dem Hin­ter­grund der genann­ten Garan­ti­en und mit Blick auf ein “offen­kun­dig teil­wei­se gewan­del­tes gesell­schaft­li­ches Bewusst­sein im Umgang mit moder­ner Infor­ma­ti­ons­tech­no­lo­gie […] nicht das­sel­be Gewicht zu wie dem Inter­es­se an einer wirk­sa­men Straf­ver­fol­gung von Ver­bre­chen und Ver­ge­hen.

Unschuldsvermutung

Die DG hat­te fer­ner vor­ge­bracht, die anlass­lo­se Vor­rats­da­ten­spei­che­rung ver­let­ze die Unschulds­ver­mu­tung (Art. 32 BV). Das BVGer weist dies zurück. Die blo­sse Spei­che­rung und Auf­be­wah­rung der Rand­da­ten füh­re zu kei­ner Anschul­di­gung im straf­pro­zes­sua­len Sinn. Auch ein unzu­läs­si­ger Zwang, sich selbst zu bela­sten (nemo ten­e­tur) sei nicht ersicht­lich.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.