Inter­pel­la­ti­on Mathys (02.3599): Über­wa­chung des Post- und Fern­mel­de­ver­kehrs

Eingereichter Text

Ich bit­te den Bun­des­rat um die Beant­wor­tung fol­gen­der Fra­gen:

1. Ist er auch der Mei­nung, dass die Ver­ord­nung vom 31. Okto­ber 2001 über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (VÜPF) der Unter­gra­bung des Daten­schut­zes Vor­schub lei­stet?

2. Ist er auch der Ansicht, dass er die Inter­net-Pro­vi­der dazu ver­pflich­ten muss, die gemäss VÜPF regi­strier­ten Ver­bin­dungs­da­ten auf netz­un­ab­hän­gi­gen Daten­trä­gern abzu­spei­chern?

3. Ist er eben­falls der Mei­nung, dass die­se Ver­bin­dungs­da­ten nicht mas­siert gespei­chert wer­den dür­fen, son­dern pro Inter­net-Zugang je ein­zeln auf einem ande­ren netz­un­ab­hän­gi­gen Daten­trä­ger gespei­chert wer­den müs­sen?

Begründung

Mit der VÜPF defi­niert der Bund auch die ver­schie­de­nen Arten der Über­wa­chung. Aus der unter Arti­kel 2 Buch­sta­be d defi­nier­ten “rück­wir­ken­den Über­wa­chung” folgt zwin­gend der Auf­trag an die Anbie­te­rin­nen von Post- und Fern­mel­de­dien­sten, Daten wäh­rend sechs Mona­ten zu regi­strie­ren und auf­zu­be­wah­ren. Unter Arti­kel 24 wer­den die­se Daten für Inter­net-Pro­vi­der näher bezeich­net. So kann der Dienst für die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs die Pro­vi­der auf­for­dern, sämt­li­che Ver­bin­dungs­da­ten für die ver­gan­ge­nen sechs Mona­te offen zu legen. Es ist davon aus­zu­ge­hen, dass die Inter­net-Pro­vi­der die­se Daten elek­tro­nisch abspei­chern. Es ist eben­falls davon aus­zu­ge­hen, dass die­se Daten nicht auf netz­un­ab­hän­gi­gen Daten­trä­gern abge­spei­chert wer­den. Zumin­dest aber schrei­ben weder Gesetz noch Ver­ord­nung eine Abspei­che­rung auf einem netz­un­ab­hän­gi­gen Daten­trä­ger vor.

Im Zusam­men­hang mit den immer wie­der beklag­ten Sicher­heits­lücken im Inter­net stellt sich in die­sem Zusam­men­hang die Fra­ge, ob der Daten­schutz damit noch gewähr­lei­stet ist. Zwar ist gemäss Arti­kel 9 die Daten­si­cher­heit beim Über­wa­chungs­dienst sel­ber sowie bei der Über­tra­gung der Über­wa­chungs­da­ten an den Dienst gere­gelt, nicht aber bei der Regi­strie­rung und Spei­che­rung durch die Inter­net-Pro­vi­der. So scheint es mög­lich und wahr­schein­lich, dass Unbe­rech­tig­te sich Zugang zu den ent­spre­chen­den Ver­bin­dungs­da­ten “hacken” kön­nen.

Die­se Unbe­rech­tig­ten müs­sen nicht zwin­gend Jugend­li­che sein, die auf der Suche nach Auf­re­gung und Bestä­ti­gung ille­ga­le Hand­lun­gen bege­hen. Sie kön­nen auch Hacker in den Dien­sten von Unter­neh­men, Geheim­dien­sten oder ande­ren Orga­ni­sa­tio­nen sein, die ein natür­li­ches Inter­es­se an sol­chen Ver­bin­dungs­da­ten haben oder ent­wickeln kön­nen und aus den so gewon­ne­nen Daten ein Pro­fil über pri­va­te und geschäft­li­che Vor­gän­ge ablei­ten wol­len. So las­sen sich aus sol­cher Art gewon­ne­nen Daten nicht nur Zie­le für wei­te­re Über­grif­fe vor­se­lek­tio­nie­ren, son­dern auch gan­ze Bezie­hungs­net­ze pri­va­ter oder geschäft­li­cher Natur rekon­stru­ie­ren. Beson­ders attrak­tiv für der­ar­ti­ge Angrif­fe müs­sen die Daten­spei­cher von Pro­vi­dern erschei­nen, weil die Daten dort in kon­zen­trier­ter Form abge­legt sind.

Stellungnahme des Bundesrats

Das Fern­mel­de­ge­setz (FMG; SR 784.10) erlaubt die Bear­bei­tung und Spei­che­rung gewis­ser Daten aus dem Fern­mel­de­ver­kehr. Wel­che Daten unter wel­chen Vor­aus­set­zun­gen bear­bei­tet wer­den dür­fen, regelt Arti­kel 60 der Fern­mel­de­dienst­ver­ord­nung (FDV; SR 784.101.1). Es sind dies ins­be­son­de­re Daten, die für den Ver­bin­dungs­auf­bau, für die Ertei­lung von Aus­künf­ten gemäss des Bun­des­ge­set­zes über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (BÜPF; SR 780.1) und für den Erhalt des Ent­gel­tes für die Lei­stun­gen der FDA erfor­der­lich sind. Ausser­dem sind gewis­se Aus­kunfts­rech­te der Kun­den und Kun­din­nen gegen­über den FDA vor­ge­se­hen und sie kön­nen von den FDA ver­lan­gen, dass bei miss­bräuch­lich her­ge­stell­ten Ver­bin­dun­gen Aus­kunft über Name und Adres­se des anru­fen­den Anschlus­ses erteilt wird.

Bereits das FMG ver­pflich­tet dem­nach die FDA, die so genann­ten Ver­kehrs- und Rech­nungs­da­ten aller Teil­neh­mer und Teil­neh­me­rin­nen auf­zu­zeich­nen und zu spei­chern. Das BÜPF bzw. die dazu­ge­hö­ren­de Ver­ord­nung (VÜPF; SR 780.11) bestimmt ein­zig, dass die­se und im genann­ten Gesetz näher bezeich­ne­te Daten in bestimm­ten Fäl­len (Straf­ver­fah­ren) an bezeich­ne­te Behör­den auf Gesuch hin her­aus­ge­ge­ben wer­den müs­sen.

Die­se Daten benö­ti­gen die FDA im Übri­gen auch für die in Arti­kel 60 FDV erwähn­ten Zwecke.

1. Die VÜPF lei­stet der Unter­gra­bung des Daten­schut­zes aus den vor­ste­hend genann­ten Grün­den nicht Vor­schub. Die FDA sind gestützt auf Arti­kel 43 FMG zur Geheim­hal­tung der frag­li­chen Daten ver­pflich­tet und dür­fen ein­zig dann, wenn die Vor­aus­set­zun­gen des FMG bzw. des BÜPF und der VÜPF gege­ben sind, genau bezeich­ne­te Daten her­aus­ge­ben.

2. Eine Ver­pflich­tung der Inter­net-Pro­vi­der, nur die für die Aus­kunfter­tei­lung an die Behör­den im Rah­men von Straf­ver­fah­ren erfor­der­li­chen Ver­bin­dungs­da­ten auf netz­un­ab­hän­gi­gen Daten­trä­gern zu spei­chern, macht kei­nen Sinn. Wie vor­ste­hend aus­ge­führt, spei­chern die FDA die frag­li­chen Daten aller Kun­den und Kun­din­nen grund­sätz­lich für ihre eige­nen Zwecke; ob sie allen­falls noch für die Aus­kunfter­tei­lung gegen­über den Behör­den in einem Straf­ver­fah­ren ver­wen­det wer­den müs­sen, steht zum Zeit­punkt der Spei­che­rung nicht zwin­gend fest. Eine Ver­pflich­tung, die Ver­bin­dungs­da­ten auf netz­un­ab­hän­gi­gen Trä­gern zu spei­chern, ist von vorn­her­ein aus dem ein­fa­chen Grund nicht rea­li­sier­bar, weil ja im Zeit­punkt der Daten­ab­spei­che­rung noch völ­lig offen ist, über wel­chen Teil­neh­mer oder wel­che Teil­neh­me­rin in der Zukunft allen­falls ein­mal Aus­kunft erteilt wer­den muss. Dies führt zu einem unver­hält­nis­mä­ssi­gen Auf­wand und garan­tiert eben­falls kei­ne abso­lu­te Sicher­heit vor unbe­rech­tig­ten Zugrif­fen. Im Gegen­teil: je mehr Daten auf­ge­zeich­net bzw. gespei­chert wer­den, je eher ist – unab­hän­gig vom Spei­cher­me­di­um – die Daten­si­cher­heit gefähr­det.

3. Der Gesetz­ge­ber ver­langt von den FDA ein­zig, dass die Daten­si­cher­heit gewähr­lei­stet ist (Art. 43ff. FMG und Art. 64 FDV). Wel­che tech­ni­schen, admi­ni­stra­ti­ven und orga­ni­sa­to­ri­schen Mass­nah­men zu tref­fen sind, über­lässt er den FDA. Eine der­ar­ti­ge Rege­lung macht Sinn, weil damit die ein­zel­nen FDA die­je­ni­gen Mit­tel aus­wäh­len kön­nen, die für ihren Betrieb zweck­mä­ssig sind.

Die vom Inter­pel­lan­ten vor­ge­schla­ge­ne Lösung einer Vor­schrift, wie die Sicher­heit zu gewähr­lei­sten ist, birgt die Gefahr einer nicht dem Ein­zel­fall ange­pass­ten Lösung in sich.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.