Das Bundesverwaltungsgericht hat mit einem 90-seitigen Urteil (abrufbar auf der Seite der Digitalen Gesellschaft, DG) die Beschwerde der Digitalen Gesellschaft gegen den Dienst Überwachung Post-und Fernmeldeverkehr (ÜPF) im Zusammenhang mit der Vorratsdatenspeicherung von Randdaten der Fernmeldekommunikation abgewiesen. Die Digitale Gesellschaft (DG) hatte vom ÜPF verlangt, Telekommunikationsanbieter zu verpflichten, bestimmte Verkehrs-und Rechnungsdaten zu löschen und in Zukunft keine solchen Daten herauszugeben. Die DG hat dabei argumentiert, die Rechtsgrundlage für die Speicherung der betreffenden Daten, Art. 15 Abs. 3 BÜPF sei nicht ausreichend präzise formuliert, und die anlasslose Speicherung der Randdaten verletze den Verhältnismässigkeitsgrundsatz und Grundsätze des Datenschutzes. Der ÜPF hatte die entsprechenden Gesuche der DG abgewiesen. Das BVGer kommt dagegen zum Schluss, die Randdatenspeicherung stelle zwar einen schweren Grundrechtseingriff dar, beruhe aber auf einer ausreichenden gesetzlichen Grundlage, diene einem öffentlichen Interesse und sei nicht unverhältnismässig.
Zuständigkeitsfragen
Das BVGer bestätigt die Abweisung durch den ÜPF und weist die Beschwerde der DG ab. Es bestätigt zunächst die Zuständigkeit des ÜPF: Die Streitsache sei dem öffentlichen Recht unterstellt, sodass der verwaltungsrechtliche Rechtsmittelweg offen stehe, und die Anbieterinnen seien ihrerseits zum Erlass von Verfügungen nicht befugt. Eine andere Zuständigkeitsordnung ergebe sich weder aus dem DSG noch aus dem FMG.
Rand- und Bestandesdaten
Das BVGer unterscheidet sodann im Zusammenhang mit der Auslegung des Rechtsbegehrens zwischen Randdaten und Bestandesdaten:
- Bestandesdaten sind Daten, die unabhängig von einem bestimmten Fernmeldeverkehr unveränderlich vorhanden sind, beispielsweise der Inhaber eines Fernmeldeanschlusses;
- Randdaten sind demgegenüber äussere Daten des Kommunikationsvorgangs, d.h. Daten, die einen konkreten Kommunikationsvorgang betreffen und aus denen hervorgeht, mit wem, wann, wie lange und von wo aus eine Person Verbindungen hat und gehabt hat, sowie die technischen Merkmale der entsprechenden Verbindung (inkl. Verkehrs- und Rechnungsdaten).
Das BVGer erläutert im Anschluss ausführlich die Rechtsgrundlagen der Überwachung des Post- und Fernmeldeverkehrs, zum Beispiel die Abgrenzung zwischen BÜPF und StPO, und geht auf die Totalrevision des BÜPF ein. Letztere war im vorliegenden Fall zwar nicht anwendbar (keine Vorwirkung), doch schliesst dies nicht aus, die Materialien zum total revidierten BÜPF bei der Auslegung des geltenden Rechts im Sinne einer geltungszeitlichen Auslegung zu berücksichtigen.
Schutzbereich des Fernmeldegeheimnisses
Das Bundesgericht prüft in der Folge ausführlich den Gehalt von Art. 13 Abs. 1 BV und insbesondere der daraus (und aus Art. 8 EMRK) fliessenden Schutzrechte, insb. des Rechts auf Achtung des Fernmeldeverkehrs und auf Schutz vor Missbrauch persönlicher Daten. Es hält dabei fest, dass zumindest alle Daten, die im Zusammenhang mit einer fernmeldetechnischen Kommunikation von den Anbieterinnen bearbeitet werden bzw. bei diesen anfallen, in den Schutzbereich des Fernmeldegeheimnisses fallen (zum Beispiel Zeitpunkt der Kommunikation bzw. der Datenverbindung, deren Dauer, Art der Datenverbindung etc.). Ebenfalls in den Schutz des Fernmeldegeheimnisses fallen weitere mit einem Fernmeldevorgang verbundene Daten wie etwa die Adressierungselemente (Telefonnummern, IP-Adressen, Domainnamen etc.), sofern sie mit einem konkreten Kommunikationsvorgang verbunden sind (ausserhalb eines solchen handelt es sich um Bestandesdaten). Offen lässt das BVGer dagegen, ob weitere technische Daten wie etwa Angaben zum Personal Unblocking Key oder darüber, ob und unter welcher Nummer bzw. mit welcher SIM-Karte ein bestimmtes mobiles Gerät bei einer bestimmten Anbieterin betrieben wird, in den Schutzbereich des Fernmeldegeheimnisses fallen, weil diese Daten nach Art. 15 BÜPF von den Anbieterinnen nicht zu speichern sind.
Ebenfalls in den Anwendungsbereich des Fernmeldegeheimnisses fallen Standortdaten und Statusangaben (Angaben, ob das Gerät eingeschaltet und empfangsbereit ist), wenn solche Daten im Zusammenhang mit einem Fernmeldeverkehr anfallen. Ob solche Daten ebenfalls erfasst sind, wenn sie ausserhalb eines Kommunikationsvorgangs gespeichert werden, konnte das BVGer ebenfalls offen lassen.
Grundrechtliche Beurteilung
Grundrechtseingriff
Kern des Verfahrens waren grundrechtliche Erwägungen. Die DG hatte geltend gemacht, die Speicherung von Randdaten verletze in schwerwiegender Weise den Grund- und völkerrechtlich geschützten Anspruch auf Achtung des Fernmeldeverkehrs bzw. das Fernmeldegeheimnis und auf Schutz vor Missbrauch der persönlichen Daten. Zudem würden weitere Grundrechte wie beispielsweise die Meinungs‑, Medien ‑und Versammlungsfreiheit eingeschränkt, indem die Speicherung von Randdaten ein “subjektives Gefühl des Überwachtwerdens” bewirke.
Das BVGer hält dazu fest, dass die Randdaten über einen längeren Zeitraum zu Persönlichkeitsprofilen verdichtet werden können, obwohl es sich lediglich um äussere Daten der Kommunikation handelt. Die Speicherung und Aufbewahrung solcher Daten stellt einen schweren Eingriff in das Recht auf informationelle Selbstbestimmung und den Anspruch auf Vertraulichkeit der Kommunikation dar; umso mehr, aus beide Garantien auch für die Meinungs- und Versammlungsfreiheit von grundlegender Bedeutung sind. Dabei ist unerheblich, ob gespeicherte Daten später etwa in einem Strafverfahren verwendet werden. Dabei haben beide Grundrechte einen eigenständigen Anwendungsbereich, so dass der Eingriff unter Berücksichtigung beider Grundrechte auf Verfassungsmässigkeit zu prüfen ist. Demgegenüber können den Grundrechtsinteressen der Meinungsfreiheit und der Versammlungsfreiheit im Rahmen des Fernmeldegeheimnisses Rechnung getragen werden, was verlangt, die Bedeutung der Vertraulichkeit der Kommunikation für die Verwirklichung der Versammlungsfreiheit als zentrale Voraussetzung für die demokratische Willensbildung hinreichend zu beachten.
Ausreichend bestimmte gesetzliche Grundlage
Demzufolge hatte das Bundesgericht die Anforderungen an gerechtfertigte Grundrechtseingriffe zu prüfen. Nach einer eingehenden Analyse kommt das Bundesgericht mit Bezug auf das Erfordernis der gesetzlichen Grundlage zum Ergebnis, dass die Rechtsgrundlage, Art. 15 Abs. 3 BÜPF, ausreichend bestimmt ist, weil daraus erkennbar wird, dass die Anbieterinnen systematisch äussere Daten der Kommunikation – in Abgrenzung zum Inhalt der Kommunikation – speichern und aufbewahren. Infolgedessen können die freiheitsbeschränkenden Folgen des Handelns, nämlich die Speicherung und Aufbewahrung von Daten als Folge der Nutzung von Kommunikationsdienstleistungen, mit hinreichender Gewissheit vorausgesehen werden.
Eingriffsinteresse
Im nächsten Schritt bejaht das BVGer, dass an der Vorratsdatenspeicherung ein öffentliches Interesse besteht. Die Speicherung von Randdaten ermögliche eine rückwirkende Überwachung der Telekommunikation, was ein Mittel der Strafverfolgung darstellt und der internationalen Rechtshilfe in Strafsachen und der Suche und Rettung vermisster Personen dient (Art. 1 BÜPF). Ob das öffentliche Interesse von ausreichendem Gewicht ist, wird im Rahmen der Verhältnismässigkeit geprüft.
Verhältnismässigkeit
Die DG hatte vorgebracht, die Vorratsdatenspeicherung sei nicht geeignet, effektiv einen Beitrag zu Strafverfolgung zu leisten. Es bestünden zudem andere Möglichkeiten, eine rückwirkende Überwachung zu ermöglichen. Zudem sei die Massnahme unzumutbar, weil hinreichend bestimmte Regeln zur Gewährleistung der Datensicherheit, zur Löschung der Rand Daten nach Ablauf der Aufbewahrungsfrist und zu wirksamen Kontroll- und Beschwerdemöglichkeiten fehlen.
Das BVGer hält zunächst fest, dass die Vorratsdatenspeicherung geeignet ist, das genannte öffentliche Interesse zu verwirklichen. Wie das Bundesgericht wiederholt festgehalten habe, könne das Resultat einer rückwirkenden Rand Datenerhebung für die Aufklärung und rechtliche Qualifikation eines Delikts von wesentlicher Bedeutung sein. Es könne deshalb nicht in Abrede gestellt werden, dass die Speicherung und Aufbewahrung von Randdaten geeignet sei, zur Aufklärung von Straftaten beizutragen.
Die DG hatte zudem eingewandt, es genüge, Randdaten erst bei konkretem Tatverdacht zu speichern. Es liege daher ein milderes Mittel vor. Das BVGer verwirft diesen Einwand, weil diese Massnahme des sogenannten “quick freeze” nicht gleich effektiv sei wie die anlasslose Speicherung von Randdaten. Sie käme eher einer Echtzeitüberwachung nahe.
Sodann sei die Vorratsdatenspeicherung nicht unzumutbar. Mit diesem Punkt setzt sich das BVGer unter Bezugnahme auf die Rechtsprechung des EGMR und des Bundesgerichts detailliert auseinander. Nach dieser Rechtsprechung sind Eingriffe in Grundrechte zur Überwachung nur zulässig, wenn ausreichende Garantien zum Schutz vor Missbrauch bestehen, insbesondere Garantien zur Aufbewahrungsdauer, zum Schutz vor unbefugter Kenntnisnahme, Bearbeitung und Entwendung, zur Regelung des Kreises der zugangsberechtigten, zur Löschung der gespeicherten Daten und zur Sicherstellung des Rechts auf Auskunft und Einsicht. Nach Auffassung des BVGers sind diese Anforderungen hier durch die Datenschutzgesetzgebung, insbesondere die Bestimmungen zur Datensicherheit, erfüllt. Das Bundesgericht erläutert in diesem Zusammenhang die Datensicherheitsmassnahmen des DSG und der VDSG insbesondere für öffentliche Organe bei der Übertragung der Datenbearbeitung auf Dritte. Zusammenfassend kommt das BVGer zum Ergebnis, dass das Fernmelderecht und insbesondere das Datenschutzrecht hinreichende Garantien zum Schutz vor Missbrauch bei der Bearbeitung der Randdaten vorsehen.
Schliesslich beurteilt das BVGer den vom Gesetzgeber getroffenen abstrakten Ausgleich zwischen den betroffenen Rechtsgütern als korrekt. Den geschützten Rechtspositionen der betroffenen Privaten komme vor dem Hintergrund der genannten Garantien und mit Blick auf ein “offenkundig teilweise gewandeltes gesellschaftliches Bewusstsein im Umgang mit moderner Informationstechnologie […] nicht dasselbe Gewicht zu wie dem Interesse an einer wirksamen Strafverfolgung von Verbrechen und Vergehen.
Unschuldsvermutung
Die DG hatte ferner vorgebracht, die anlasslose Vorratsdatenspeicherung verletze die Unschuldsvermutung (Art. 32 BV). Das BVGer weist dies zurück. Die blosse Speicherung und Aufbewahrung der Randdaten führe zu keiner Anschuldigung im strafprozessualen Sinn. Auch ein unzulässiger Zwang, sich selbst zu belasten (nemo tenetur) sei nicht ersichtlich.