Anfra­ge Hess (03.1069): E‑Post-Über­wa­chung
Erle­digt

Eingereichter Text

Auf­grund der Ver­ord­nung über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs vom 31. Okto­ber 2001 wer­den alle Fern­mel­de­dienst­an­bie­ter, dar­un­ter zäh­len auch die Inter­net­ser­vice-Pro­vi­der, gezwun­gen, ab 1. Janu­ar 2003 sämt­li­che Ver­bin­dungs­da­ten für min­de­stens sechs Mona­te zu spei­chern.

In die­sem Zusam­men­hang drän­gen sich fol­gen­de Fra­gen auf:

1. Auf­grund wel­cher Rechts­grund­la­ge dür­fen pri­vat­recht­li­che Orga­ni­sa­tio­nen (Inter­net-Pro­vi­der usw.) über­haupt digi­ta­le Daten ihrer Kun­den auf­be­wah­ren?

2. Ermög­licht nicht die Spei­che­rung sämt­li­cher E‑Post- und Inter­net­da­ten eine opti­ma­le Platt­form für moder­ne Wirt­schafts­spio­na­ge, indem gespei­cher­te Daten­ban­ken und Daten­men­gen die­ses Aus­ma­sses gera­de­zu zur Vor­se­lek­ti­on von Zie­len oder zur Aus­wer­tung von wirt­schaft­li­chen Bezie­hungs­net­zen Vor­schub lei­sten?

3. Wie soll sicher­ge­stellt wer­den, dass nur berech­tig­te Per­so­nen Zugriff auf die­se digi­ta­len Daten haben?

4. Ist sich der Bun­des­rat bewusst, dass eine Mehr­heit der pri­va­ten und kom­mer­zi­el­len Inter­net­be­nut­zer kei­ne eige­nen Ver­schlüs­se­lungs­pro­gram­me erstel­len kön­nen, son­dern auf käuf­li­che Pro­gram­me ange­wie­sen sind, bei denen die Sicher­heit gegen pro­fes­sio­nel­le Spio­na­ge nicht vor­han­den ist?

5. Weiss die Lan­des­re­gie­rung, dass bei Ver­schlüs­se­lun­gen in US-Pro­gram­men die mass­geb­li­chen Codes den US-Behör­den bekannt sind, oder gibt es für den Bun­des­rat einen abso­lu­ten Schutz der Daten durch Ver­schlüs­se­lung?

6. Die­se Mass­nah­men rich­ten sich ins­be­son­de­re gegen das orga­ni­sier­te Ver­bre­chen und Ter­ror­ak­ti­vi­tä­ten. Also gegen Pro­fis! Wie will aber der Bun­des­rat ver­hin­dern, dass nicht auch unbe­schol­te­ne Per­so­nen bei Aus­wer­tun­gen der Poli­zei unö­tig in Unter­su­chun­gen ver­wickelt wer­den, ins­be­son­de­re dann, wenn ech­te Adres­sen von unbe­schol­te­nen Bür­gern als Deck­adres­sen ver­wen­det wer­den?

7. Wie hoch sind die Kosten die­ser Mass­nah­me? Wird die Rech­nung die­ser Über­wa­chung von den Pro­vi­dern nicht schliess­lich ein­fach dem Benut­zer prä­sen­tiert?

8. Zeugt die Grund­hal­tung die­ser Über­wa­chungs­mass­nah­me nicht davon, dass jeder kri­mi­nell sein könn­te und des­halb vor­sorg­lich und per­ma­nent über­wacht wer­den muss?

Antwort des Bundesrats

Die Ver­pflich­tung der Pro­vi­der, bestimm­te Daten den Straf­ver­fol­gungs­be­hör­den auf Gesuch hin zur Ver­fü­gung zu stel­len, ergibt sich einer­seits aus dem Bun­des­ge­setz über den Daten­schutz (DSG; SR 235.1; Art. 13 Abs. 1 Bst. A) sowie aus dem Bun­des­ge­setz über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs vom 6. Okto­ber 2000 (BÜPF; SR 780.1; Art. 15 Abs. 3). Die dazu­ge­hö­ren­de Ver­ord­nung über die Über­wa­chung des Post- und Fern­mel­de­ver­kehrs vom 31. Okto­ber 2001 (VÜPF; SR 780.11) ent­hält dem­ge­gen­über nur die ent­spre­chen­den Aus­füh­rungs­be­stim­mun­gen. Die Pflicht, gewis­se Daten zur Ver­fü­gung zu hal­ten gilt für alle Pro­vi­der, d. h. sowohl für die Tele­kom­mu­ni­ka­ti­ons-Pro­vi­der (TSP) wie auch für die Inter­net-Pro­vi­der (ISP).

Grund­sätz­lich ist zu unter­schei­den zwi­schen den­je­ni­gen Daten, die die Pro­vi­der spei­chern und den­je­ni­gen, die die Pro­vi­der dem Dienst für Beson­de­re Auf­ga­ben (DBA) über­mit­teln und die dort tem­po­rär gespei­chert wer­den. Je nach Bereich (TSP und ISP bzw. DBA), der betrach­tet wird, sind der Umfang, der Inhalt, der Ver­wen­dungs­zweck und die Dau­er der Spei­che­rung der Daten sowie die Rechts­grund­la­ge unter­schied­lich.

1. Die Berech­ti­gung, Daten zu spei­chern, ergibt sich aus dem Daten­schutz­ge­setz (Art. 4 DSG; SR 235.1), dem Fern­mel­de­ge­setz (Art. 43 FMG; SR 784.10) und dem BÜPF. Art. 4 des Daten­schutz­ge­set­zes besagt, dass Per­so­nen­da­ten nur recht­mä­ssig beschafft wer­den dür­fen. Die Recht­mä­ssig­keit der Spei­che­rung der Daten des Fern­mel­de­ver­kehrs ergibt sich aus Arti­kel 43 FMG. Dar­in ist fest­ge­hal­ten, dass alle Daten, die bei der Fern­mel­de­kom­mu­ni­ka­ti­on (zwangs­läu­fig) aus­ge­tauscht wer­den, dem Fern­mel­de­ge­heim­nis unter­lie­gen. Die Aus­nah­me von die­sem Fern­mel­de­ge­heim­nis ist im BÜPF gesetz­lich ver­an­kert.

2. Jede Spei­che­rung von Daten schafft auch die Mög­lich­keit des unbe­rech­tig­ten Zugriffs auf die­se Daten. Es ist Sache des­je­ni­gen, der eine Daten­bank auf­baut und betreibt, den unbe­rech­tig­ten Zugriff zu ver­hin­dern.

Ohne Auf­bau und Betrieb von Daten­ban­ken ist die Fern­mel­de­kom­mu­ni­ka­ti­on nicht mög­lich. Soweit Daten­ban­ken auf­ge­baut wer­den (müs­sen), unter­lie­gen die Pro­vi­der dem Fern­mel­de­ge­heim­nis und sind damit ver­pflich­tet, ihre Daten gegen unbe­fug­te Zugrif­fe zu schüt­zen. Der DBA hat für die­je­ni­gen Daten, die er im Ein­zel­fall von den Pro­vi­dern über­lie­fert erhält, ein umfas­sen­des tech­ni­sches und orga­ni­sa­to­ri­sches Sicher­heits­kon­zept auf­ge­baut, das den unbe­rech­tig­ten Zugriff auf die Daten ver­hin­dert.

Anzu­mer­ken ist, dass die hier zur Dis­kus­si­on ste­hen­den Daten (ins­be­son­de­re die so genann­ten Rand­da­ten aus dem Kom­mu­ni­ka­ti­ons­ver­kehr, d. h., wer hat wann mit wem wie lan­ge kom­mu­ni­ziert) nur beschränk­ten Wert für die Wirt­schafts­spio­na­ge haben.

3. Wie bereits erwähnt, ist es Sache der Pro­vi­der, den unbe­rech­tig­ten Zugriff auf ihre Daten­ban­ken zu ver­un­mög­li­chen. Für die­je­ni­gen Daten, die der DBA über­mit­telt erhält, besteht ein betrieb­li­ches und orga­ni­sa­to­ri­sches Sicher­heits­kon­zept. Aus nahe lie­gen­den Grün­den kann auf Ein­zel­hei­ten nicht ein­ge­gan­gen wer­den. Eck­punk­te des Kon­zep­tes sind einer­seits die tech­ni­sche Abschir­mung des Systems (z. B. Fire­wall), ande­rer­seits orga­ni­sa­to­ri­sche Mass­nah­men (z. B. Benut­zer­ad­mi­ni­stra­ti­on).

4. Es ist dem Bun­des­rat bekannt, dass die Inter­net­be­nut­zer in der Regel kei­ne eige­nen Ver­schlüs­se­lungs­pro­gram­me erstel­len und benut­zen, son­dern die­se käuf­lich erwer­ben. Es liegt jedoch in der Ver­ant­wor­tung der Inter­net­be­nut­zer bzw. der Teil­neh­mer am E‑Mail-Ver­kehr, hoch­sen­si­ble Daten ent­we­der mit eige­nen Schlüs­seln zu ver­se­hen oder für die Über­mitt­lung der Daten ande­re Kom­mu­ni­ka­ti­ons­we­ge zu benut­zen.

5. Es gibt kei­nen abso­lu­ten Schutz durch Ver­schlüs­se­lun­gen, jede Ver­schlüs­se­lung kann ent­schlüs­selt wer­den. Ent­schei­dend für die Qua­li­tät der Sicher­heit eines bestimm­ten Ver­schlüs­se­lungs­pro­gram­mes ist der Rech­ner- bzw. Zeit­auf­wand, der für des­sen Ent­schlüs­se­lung auf­ge­wen­det wer­den muss. Unter­su­chun­gen haben jedoch gezeigt, dass häu­fig die Ursa­che einer unge­nü­gen­den Ver­schlüs­se­lung nicht deren Qua­li­tät ist, son­dern der fal­sche Umgang der Benut­zer mit der Tech­no­lo­gie. Sehr oft sind Daten zudem nur wäh­rend eines gewis­sen Zeit­rau­mes sen­si­bel, d. h., ab einem gewis­sen Zeit­punkt wer­den sie vom Daten­herrn selbst bewusst öffent­lich gemacht oder sie haben ihre Bedeu­tung ver­lo­ren. In der Regel ist des­halb kein abso­lu­ter Schutz vor Ent­schlüs­se­lun­gen nötig, son­dern ein rela­ti­ver Schutz genügt.

6. Die Über­wa­chung des Fern­mel­de­ver­kehrs bezieht sich immer auf eine kon­kre­te Per­son, die bereits drin­gend tat­ver­däch­tig ist, oder auf einen bestimm­ten Anschluss, der einer tat­ver­däch­ti­gen Per­son zuge­ord­net wer­den kann. Die Fern­mel­de­da­ten eines unbe­schol­te­nen Bür­gers wer­den im Rah­men der Über­wa­chung des Fern­mel­de­ver­kehrs nur dann erfasst, wenn er mit einem Tat­ver­däch­ti­gen kom­mu­ni­ziert oder des­sen Anschluss benutzt.

Das Instru­ment der Fern­mel­de­über­wa­chung ist aber nur ein Instru­ment, das die Straf­ver­fol­gungs­be­hör­den im Rah­men ihrer Ermitt­lun­gen ein­set­zen kön­nen. Wäh­rend eines Ermitt­lungs­ver­fah­rens ergibt sich ohne wei­te­res, wes­sen Daten aus dem Fern­mel­de­ver­kehr nur zufäl­lig – weil er als unbe­schol­te­ner Bür­ger in Kon­takt mit einem Tat­ver­däch­ti­gen steht – erho­ben wur­den und für das Straf­ver­fah­ren nicht rele­vant sind. Die Bear­bei­tung sol­cher Daten ist im BÜPF genau gere­gelt. Gleich ver­hält es sich mit Deck­adres­sen, deren Funk­ti­on im Rah­men einer Straf­ver­fol­gung frü­her oder spä­ter erkannt wird. Bei die­sen Adres­sen liegt es im Übri­gen auch im Inter­es­se des­je­ni­gen, des­sen Adres­se miss­braucht wird, dass die­ser Miss­brauch im Rah­men von Straf­ver­fah­ren auf­ge­deckt wird.

7. Die Kosten der Mass­nah­men set­zen sich aus den Inve­sti­ti­ons- und Betriebs­ko­sten des DBA und der Pro­vi­der zusam­men. Gemäss den gesetz­li­chen Bestim­mun­gen wen­det der DBA – wie jede ande­re Ver­wal­tungs­ein­heit – einen Gebüh­ren­ta­rif an, der einen kosten­decken­den Betrieb des DBA gewähr­lei­sten muss. Die Pro­vi­der haben die Inve­sti­ti­ons­ko­sten sel­ber zu tra­gen und sind für ihre Dienst­lei­stung im Ein­zel­fall ange­mes­sen zu ent­schä­di­gen.

Bei den Inve­sti­ti­ons­ko­sten beim DBA kann zwi­schen den Inve­sti­ti­ons­ko­sten für die E‑Mail-Über­wa­chung und den Inve­sti­ti­ons­ko­sten für die übri­gen Mass­nah­men der Über­wa­chung des Fern­mel­de­ver­kehrs nicht unter­schie­den wer­den. Für alle Mass­nah­men wird die glei­che Hard- und Soft­ware ein­ge­setzt. Zur­zeit wird der DBA tech­nisch und betrieb­lich neu orga­ni­siert. Die Inve­sti­ti­ons­ko­sten in die neue Tech­no­lo­gie belau­fen sich dabei auf etwa 7 bis 10 Mil­lio­nen Fran­ken, ver­teilt auf 5 Jah­re.

Für die Deckung der Betriebs­ko­sten ver­langt der DBA gestützt auf den Gebüh­ren­ta­rif je nach Mass­nah­me im Bereich der E‑Mail-Über­wa­chung zwi­schen 20 und 200 Fran­ken (vgl. Gebüh­ren- und Ent­schä­di­gungs­ta­rif, Anhang zur VÜPF).

Die Inve­sti­ti­ons­ko­sten der Pro­vi­der sind von der Grö­sse bzw. dem Kun­den­stamm des Unter­neh­mens abhän­gig und belau­fen sich nach Schät­zun­gen auf etwa 80 000 bis 100 000 Fran­ken pro Pro­vi­der. Die Ent­schä­di­gung für die ein­zel­ne Dienst­lei­stung rich­tet sich eben­falls nach dem oben erwähn­ten Tarif und beträgt zwi­schen 20 und 750 Fran­ken.

Ob ein Pro­vi­der die Kosten, die nicht durch die erwähn­te Ent­schä­di­gung bereits abge­deckt sind, über­wälzt bzw. über­wäl­zen kann, dürf­te vor allem von der Markt­si­tua­ti­on abhän­gen.

8. Die Ver­pflich­tung zur Spei­che­rung von Rand­da­ten zum E‑Mail-Ver­kehr ergibt sich aus Arti­kel 15 Absatz 3 BÜPF und ist eine ana­lo­ge Rege­lung, wie sie für die Anbie­te­rin­nen ande­rer Fern­mel­de­dien­ste (z. B. Tele­fo­nie) auch gilt. Die Daten aus dem Kom­mu­ni­ka­ti­ons­ver­kehr wer­den von den Pro­vi­dern nur dann an den DBA wei­ter­ge­lei­tet, wenn ein vom Rich­ter geneh­mig­tes Gesuch einer Straf­ver­fol­gungs­be­hör­de vor­liegt. Die­se Gesu­che bezie­hen sich auf kon­kre­te Teil­neh­mer und Teil­neh­me­rin­nen am Fern­mel­de­ver­kehr bzw. auf kon­kre­te Anschlüs­se und bestimm­te, vom Gesetz­ge­ber genau umschrie­be­ne Daten aus dem Fern­mel­de­ver­kehr.

Wür­den die­se Daten – bei denen es sich zu einem Gross­teil um Daten han­delt, die für die Rech­nung­stel­lung benö­tigt wer­den – von den Pro­vi­dern erst dann gespei­chert, wenn ein kon­kre­tes Gesuch vor­liegt, wäre das Instru­ment der Fern­mel­de­über­wa­chung für die Straf­ver­fol­gungs­be­hör­den in vie­len Fäl­len wert­los. Dem Anlie­gen des Daten­schut­zes wird dadurch Rech­nung getra­gen, dass nur dann Daten zu den Straf­ver­fol­gungs­be­hör­den aus­ge­lei­tet wer­den, wenn das vor­er­wähn­te Bewil­li­gungs­pro­ze­de­re durch­ge­führt wor­den ist und die Aus­lei­tung zudem auf rück­wir­kend sechs Mona­te beschränkt ist. Die rück­wir­ken­de Aus­lei­tung bezieht sich ausser­dem nur auf die so genann­ten Rand­da­ten (Zeit­punkt, Dau­er und Teil­neh­men­de an der Kom­mu­ni­ka­ti­on), nicht aber auf E‑Mail-Inhal­te.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.