Interpellation Mathys (02.3599): Überwachung des Post- und Fernmeldeverkehrs
Eingereichter Text
Ich bitte den Bundesrat um die Beantwortung folgender Fragen:
1. Ist er auch der Meinung, dass die Verordnung vom 31. Oktober 2001 über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) der Untergrabung des Datenschutzes Vorschub leistet?
2. Ist er auch der Ansicht, dass er die Internet-Provider dazu verpflichten muss, die gemäss VÜPF registrierten Verbindungsdaten auf netzunabhängigen Datenträgern abzuspeichern?
3. Ist er ebenfalls der Meinung, dass diese Verbindungsdaten nicht massiert gespeichert werden dürfen, sondern pro Internet-Zugang je einzeln auf einem anderen netzunabhängigen Datenträger gespeichert werden müssen?
Begründung
Mit der VÜPF definiert der Bund auch die verschiedenen Arten der Überwachung. Aus der unter Artikel 2 Buchstabe d definierten “rückwirkenden Überwachung” folgt zwingend der Auftrag an die Anbieterinnen von Post- und Fernmeldediensten, Daten während sechs Monaten zu registrieren und aufzubewahren. Unter Artikel 24 werden diese Daten für Internet-Provider näher bezeichnet. So kann der Dienst für die Überwachung des Post- und Fernmeldeverkehrs die Provider auffordern, sämtliche Verbindungsdaten für die vergangenen sechs Monate offen zu legen. Es ist davon auszugehen, dass die Internet-Provider diese Daten elektronisch abspeichern. Es ist ebenfalls davon auszugehen, dass diese Daten nicht auf netzunabhängigen Datenträgern abgespeichert werden. Zumindest aber schreiben weder Gesetz noch Verordnung eine Abspeicherung auf einem netzunabhängigen Datenträger vor.
Im Zusammenhang mit den immer wieder beklagten Sicherheitslücken im Internet stellt sich in diesem Zusammenhang die Frage, ob der Datenschutz damit noch gewährleistet ist. Zwar ist gemäss Artikel 9 die Datensicherheit beim Überwachungsdienst selber sowie bei der Übertragung der Überwachungsdaten an den Dienst geregelt, nicht aber bei der Registrierung und Speicherung durch die Internet-Provider. So scheint es möglich und wahrscheinlich, dass Unberechtigte sich Zugang zu den entsprechenden Verbindungsdaten “hacken” können.
Diese Unberechtigten müssen nicht zwingend Jugendliche sein, die auf der Suche nach Aufregung und Bestätigung illegale Handlungen begehen. Sie können auch Hacker in den Diensten von Unternehmen, Geheimdiensten oder anderen Organisationen sein, die ein natürliches Interesse an solchen Verbindungsdaten haben oder entwickeln können und aus den so gewonnenen Daten ein Profil über private und geschäftliche Vorgänge ableiten wollen. So lassen sich aus solcher Art gewonnenen Daten nicht nur Ziele für weitere Übergriffe vorselektionieren, sondern auch ganze Beziehungsnetze privater oder geschäftlicher Natur rekonstruieren. Besonders attraktiv für derartige Angriffe müssen die Datenspeicher von Providern erscheinen, weil die Daten dort in konzentrierter Form abgelegt sind.
Stellungnahme des Bundesrats
Das Fernmeldegesetz (FMG; SR 784.10) erlaubt die Bearbeitung und Speicherung gewisser Daten aus dem Fernmeldeverkehr. Welche Daten unter welchen Voraussetzungen bearbeitet werden dürfen, regelt Artikel 60 der Fernmeldedienstverordnung (FDV; SR 784.101.1). Es sind dies insbesondere Daten, die für den Verbindungsaufbau, für die Erteilung von Auskünften gemäss des Bundesgesetzes über die Überwachung des Post- und Fernmeldeverkehrs (BÜPF; SR 780.1) und für den Erhalt des Entgeltes für die Leistungen der FDA erforderlich sind. Ausserdem sind gewisse Auskunftsrechte der Kunden und Kundinnen gegenüber den FDA vorgesehen und sie können von den FDA verlangen, dass bei missbräuchlich hergestellten Verbindungen Auskunft über Name und Adresse des anrufenden Anschlusses erteilt wird.
Bereits das FMG verpflichtet demnach die FDA, die so genannten Verkehrs- und Rechnungsdaten aller Teilnehmer und Teilnehmerinnen aufzuzeichnen und zu speichern. Das BÜPF bzw. die dazugehörende Verordnung (VÜPF; SR 780.11) bestimmt einzig, dass diese und im genannten Gesetz näher bezeichnete Daten in bestimmten Fällen (Strafverfahren) an bezeichnete Behörden auf Gesuch hin herausgegeben werden müssen.
Diese Daten benötigen die FDA im Übrigen auch für die in Artikel 60 FDV erwähnten Zwecke.
1. Die VÜPF leistet der Untergrabung des Datenschutzes aus den vorstehend genannten Gründen nicht Vorschub. Die FDA sind gestützt auf Artikel 43 FMG zur Geheimhaltung der fraglichen Daten verpflichtet und dürfen einzig dann, wenn die Voraussetzungen des FMG bzw. des BÜPF und der VÜPF gegeben sind, genau bezeichnete Daten herausgeben.
2. Eine Verpflichtung der Internet-Provider, nur die für die Auskunfterteilung an die Behörden im Rahmen von Strafverfahren erforderlichen Verbindungsdaten auf netzunabhängigen Datenträgern zu speichern, macht keinen Sinn. Wie vorstehend ausgeführt, speichern die FDA die fraglichen Daten aller Kunden und Kundinnen grundsätzlich für ihre eigenen Zwecke; ob sie allenfalls noch für die Auskunfterteilung gegenüber den Behörden in einem Strafverfahren verwendet werden müssen, steht zum Zeitpunkt der Speicherung nicht zwingend fest. Eine Verpflichtung, die Verbindungsdaten auf netzunabhängigen Trägern zu speichern, ist von vornherein aus dem einfachen Grund nicht realisierbar, weil ja im Zeitpunkt der Datenabspeicherung noch völlig offen ist, über welchen Teilnehmer oder welche Teilnehmerin in der Zukunft allenfalls einmal Auskunft erteilt werden muss. Dies führt zu einem unverhältnismässigen Aufwand und garantiert ebenfalls keine absolute Sicherheit vor unberechtigten Zugriffen. Im Gegenteil: je mehr Daten aufgezeichnet bzw. gespeichert werden, je eher ist – unabhängig vom Speichermedium – die Datensicherheit gefährdet.
3. Der Gesetzgeber verlangt von den FDA einzig, dass die Datensicherheit gewährleistet ist (Art. 43ff. FMG und Art. 64 FDV). Welche technischen, administrativen und organisatorischen Massnahmen zu treffen sind, überlässt er den FDA. Eine derartige Regelung macht Sinn, weil damit die einzelnen FDA diejenigen Mittel auswählen können, die für ihren Betrieb zweckmässig sind.
Die vom Interpellanten vorgeschlagene Lösung einer Vorschrift, wie die Sicherheit zu gewährleisten ist, birgt die Gefahr einer nicht dem Einzelfall angepassten Lösung in sich.