Moti­on Moli­na (18.3507): Umset­zung des BÜPF gemäss Abstim­mungs­dis­po­si­tiv

Eingereichter Text

Der Bun­des­rat wird beauf­tragt die Ver­ord­nung über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (VÜPF) dahin­ge­hend anzu­pas­sen, dass durch die Mit­wir­kungs­pflich­ti­gen gemäss Arti­kel 2 Buch­sta­ben b.-f. BÜPF bei der Inter­net-Kom­mu­ni­ka­ti­on aus­schliess­lich die Steu­er­da­ten (Hea­der) gespei­chert wer­den dür­fen.

Begründung

Bei der Revi­si­on des BÜPF wur­de vom Bun­des­rat wie­der­holt ver­si­chert, dass von der Spei­che­rung der Inter­net-Kom­mu­ni­ka­ti­on aus­schliess­lich die Rand­da­ten (Hea­der) betrof­fen und durch die Mit­wir­kungs­pflich­ti­gen gespei­chert wer­den. Gemäss der jet­zi­gen Umset­zung des BÜPF in der ent­spre­chen­den Ver­ord­nung durch den Bun­des­rat kön­nen durch die Pro­vi­der aber die gesam­ten Daten­pa­ke­te, also auch die “Surf­da­ten”, syste­ma­tisch gespei­chert wer­den. Dies ist ein zusätz­li­cher Ein­griff in die Grund­rech­te unbe­schol­te­ner Bür­ge­rin­nen und Bür­ger, die durch den Gesetz­ge­ber so nicht vor­ge­se­hen war und ent­spre­chend kor­ri­giert gehört.

Stellungnahme des Bundesrats vom 29.8.18

Weder das Bun­des­ge­setz vom 18. März 2016 betref­fend die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (BÜPF; SR 780.1) noch des­sen Aus­füh­rungs­ver­ord­nun­gen schrei­ben den Mit­wir­kungs­pflich­ti­gen vor, Inhal­te (Nutz­da­ten) der Inter­net­kom­mu­ni­ka­tio­nen auf­zu­be­wah­ren. Ins­be­son­de­re müs­sen weder die gesam­ten IP-Daten­pa­ke­te inklu­si­ve Nutz­da­ten, noch alle soge­nann­ten IP-Kopf­da­ten (IP-Hea­der) auf­be­wahrt wer­den. Es besteht somit kei­ne gesetz­li­che Grund­la­ge, um rück­wir­kend her­aus­zu­fin­den, wel­che Web­sei­ten eine bestimm­te Per­son besucht hat und erst recht nicht was kom­mu­ni­ziert wur­de. Dies ist nur in Echt­zeit und mit­tels einer von der Staats­an­walt­schaft ange­ord­ne­ten und gericht­lich geneh­mig­ten Über­wa­chung und nur ab Akti­vie­rungs­zeit­punkt mög­lich.

Gefor­dert wird ledig­lich, dass gewis­se Anbie­te­rin­nen in der Lage sein müs­sen, rück­wir­kend die Urhe­ber­schaft oder Her­kunft einer bestimm­ten Inter­net­ver­bin­dung ein­deu­tig zu iden­ti­fi­zie­ren. Und dies auch nur, sofern die berech­tig­te Behör­de die not­wen­di­gen ins­be­son­de­re zeit­li­chen Anga­ben zur gesuch­ten Ver­bin­dung lie­fert. Letzt­lich wird nichts ande­res ver­langt als bei einer Tele­fon­buch­ab­fra­ge. Man möch­te den Kun­den iden­ti­fi­zie­ren kön­nen, der eine bestimm­te Inter­net­ver­bin­dung zu einem bestimm­ten Zeit­punkt auf­ge­baut hat. Es wird jedoch nicht nach einer Tele­fon­num­mer, son­dern nach einer Her­kunfts-IP-Adres­se gesucht.

Vie­le Anbie­te­rin­nen set­zen nicht-ein­deu­ti­ge Ver­fah­ren, z. B. “Car­ri­er-Gra­de Net­work Address Trans­la­ti­on” (CGNAT), zur Zutei­lung von IP-Adres­sen an ihre Kun­den ein. Das bedeu­tet, dass vie­le Kun­den gleich­zei­tig die glei­che öffent­li­che Her­kunfts-IP-Adres­se benut­zen. In sol­chen Fäl­len führt eine Abfra­ge anhand einer Her­kunfts-IP-Adres­se und eines bestimm­ten Zeit­punkts zu vie­len Tref­fern. Die Zuord­nung der Inter­net­ver­bin­dun­gen zum ein­zel­nen Kun­den kann nur die Anbie­te­rin vor­neh­men, die das CGNAT-System betreibt. Die­se Anbie­te­rin muss des­halb wei­te­re Infor­ma­tio­nen auf­be­wah­ren, als nur die dem Kun­den zuge­teil­te öffent­li­che Her­kunfts-IP-Adres­se und den Zeit­punkt der Zutei­lung. Die Auf­be­wah­rung der Ziel-IP-Adres­sen, gestützt auf wel­che der Domain-Name einer besuch­ten Inter­net­sei­te her­aus­ge­fun­den wer­den könn­te, kann daher erfor­der­lich sein, wenn die Anbie­te­rin sie für die ein­deu­ti­ge Iden­ti­fi­ka­ti­on der Urhe­ber­schaft oder Her­kunft einer bestimm­ten Inter­net­ver­bin­dung benö­tigt.

Gemäss Art. 22 BÜPF sind die Anbie­te­rin­nen ver­pflich­tet, dem Dienst ÜPF alle Anga­ben zu lie­fern, wel­che die Iden­ti­fi­ka­ti­on der Täter­schaft ermög­li­chen. Den Anbie­te­rin­nen steht es jedoch frei, wie sie die­se Iden­ti­fi­ka­ti­on tech­nisch sicher­stel­len. Gestützt auf Art. 22 Abs. 2 BÜPF hat der Bun­des­rat die Rand­da­ten zum Zweck der Iden­ti­fi­ka­ti­on in Art. 21 der Ver­ord­nung vom 15. Novem­ber 2017 über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs (VÜPF; SR 780.11) bestimmt. Rand­da­ten ent­hal­ten kei­ne Anga­ben zum Inhalt des Fern­mel­de­ver­kehrs, son­dern geben nur Aus­kunft dar­über, wie wer wann wo mit wem in Ver­bin­dung steht bzw. stand. Die Rand­da­ten über die Zutei­lung und Über­set­zung von IP-Adres­sen und Port­num­mern sind zum Zwecke der Iden­ti­fi­ka­ti­on wäh­rend sechs Mona­ten auf­zu­be­wah­ren und dann zu ver­nich­ten, um den Ein­griff in die Grund­rech­te mög­lichst klein zu hal­ten.

Wei­ter ist anzu­mer­ken, dass die Auf­be­wah­rungs­pflicht der Rand­da­ten zum Zweck der Iden­ti­fi­ka­ti­on nicht alle Anbie­te­rin­nen betrifft, son­dern nur die Anbie­te­rin­nen von Fern­mel­de­dien­sten, die nicht von bestimm­ten Über­wa­chungs­pflich­ten befreit wur­den (Art. 26 Abs. 6 BÜPF, Art. 51 VÜPF), sowie die Anbie­te­rin­nen abge­lei­te­ter Kom­mu­ni­ka­ti­ons­dien­ste mit wei­ter­ge­hen­den Über­wa­chungs­pflich­ten (Art. 27 Abs. 3 BÜPF, Art. 52 VÜPF). Somit sind nur eini­ge gro­sse Anbie­te­rin­nen betrof­fen.

Schliess­lich wird im Erläu­tern­den Bericht zur VÜPF aus­drück­lich dar­auf hin­ge­wie­sen, dass aus daten­schutz­recht­li­cher Sicht Ver­fah­ren zu imple­men­tie­ren sind, bei denen die Spei­che­rung der Ver­bin­dungs­zie­le (Ziel-IP-Adres­sen) nicht erfor­der­lich und daher zu unter­las­sen ist. Ande­rer­seits möch­te der Bun­des­rat nicht in die Wirt­schafts­frei­heit der Anbie­te­rin­nen ein­grei­fen und schreibt daher nicht das Ver­fah­ren vor, son­dern nur den Zweck, näm­lich die Iden­ti­fi­ka­ti­on der Täter­schaft bei Straf­ta­ten über das Inter­net und die Iden­ti­fi­ka­ti­on von Per­so­nen bei Bedro­hun­gen der inne­ren oder äusse­ren Sicher­heit.

Der Bun­des­rat bean­tragt die Ableh­nung der Moti­on.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.