02.10.2009/Kire

Bundesrat deckt Überwachungsbehörde und billigt komplette Internetüberwachung

Die Wochenzeitung WOZ hat in ihrer Ausgabe vom 16.7.2009 die geheime Einladung zur Vernehmlassung betreffend der neuen IP-Richtlinie des Dienstes Post- und Fernmeldeverkehr und die dazugehörigen Technical Requirements for Telecommunication Surveillance (und Organisational and Administrative Requirements) veröffentlicht. Darin fordert der Dienst von den Schweizer Internet Providern “to take measures for monitoring the whole IP-traffic”, also die Überwachung des kompletten Internetverkehrs. Er stützt sich auf “seinen generellen Auftrag und Artikel 33 Absatz 1bis der Verordnung über die Überwachung betreffend des Post- und Fernmeldeverkehrs (VÜPF)”, der ihn verpflichtet, die “technischen und administratorischen Einzelheiten der einzelnen Überwachungstypen” zu regeln. Die Überwachungstypen sind in Artikel 24 VÜPF abschliessend aufgezählt. Diese betreffen Verkehrs- und Inhaltsdaten von E-Mails und Einwahldaten ins Internet – aber nicht den kompletten Internet-/IP-Verkehr in Echtzeit.

Diesbezüglich stellten sich mir folgende zwei Fragen zuhanden des Bundesrats, die Nationalrat Geri Müller eingereicht hat:

Wie stellt er sich zur “vertraulichen Vernehmlassung”, welche den Adressaten knapp 3 Wochen Zeit für eine Antwort lässt und die Inkraftsetzung einen Monat später anordnet? Und wie stellt sich zur Tatsache, dass sich der Dienst ÜPF über die bundesrätliche Verordnung (VÜPF) hinwegsetzt?

Nun hat der Bundesrat in der Fragestunde des Nationalrates letzte Woche darauf geantwortet. Dabei stellt er sich schützend vor den Dienst:

Die Überwachungstypen sind in der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (Vüpf; SR 780.1.1) nicht abschliessend geregelt. Der Dienst ist gemäss Artikel 33 Absatz 1bis Vüpf dazu verpflichtet, die technischen und administrativen Einzelheiten der einzelnen Überwachungstypen zu regeln.

Aber genau hier liegt der Widerspruch. Die Verordnung besagt, dass der Dienst die Einzelheiten der Überwachungstypen regelt, aber auch, welche überhaupt angeordnet werden können. Die selbe Verordnung sieht im äquivalenten Artikel 16 für die Typen der (Mobil-)Telefon-Überwachung “die Übertragung des Fernmeldeverkehrs (Echtzeit-Überwachung der Nutzinformationen)” vor. Eine entsprechender Passus existiert für die Überwachung der Internetzugänge nicht! Konsequenterweise sind dann auch in der Gebührenverordnung nur Entschädigungen für diese Typen vorgesehen. Zusätzlich gelten für die Provider abschliessend die Pflichten aus Artikel 26 – und auch hier immer nur in Verbindung mit den definierten Typen aus Artikel 24.

Man könnte nun argumentieren, dass sich die technologischen Gegebenheiten geändert hätten. Dass sinngemässe, neue Anwendungen dazugekommen wären. Das mag für Internet-Telefonie z. B. angehen, lässt aber nicht die komplette Überwachung des IP-Verkehrs zu. Das ist ein ganz anderes Kaliber. Zudem hat es Chats, Instant Messaging, Foren, World Wide Web, File Transfer etc. auch schon beim Erlass der Verordnung gegeben.

Ich habe mich dahingehend nochmals mit einem Anwalt unterhalten. Und die Einschätzung deckt sich auch mit der von Dr. Widmer & Partner. Allerdings scheint genauso klar, dass das Bundesgesetz über die Überwachung des Post und Fernmeldeverkehrs in Artikel 15 Abschnitt 1 (und auch die entsprechende Botschaft) eine Überwachung des gesamten Fernmeldeverkehrs vorsehen würde.

Interessant wird nun ein anderer Abschnitt aus der Antwort:

Überwachungsmassnahmen stehen nicht expressis verbis in der Vüpf, werden aber durch die zuständigen Staatsanwaltschaften oder Untersuchungsrichter angeordnet und von den zuständigen Zwangsmassnahmengerichten bewilligt. Da der Dienst und die Fernmeldedienstanbieterinnen diese Überwachungsmassnahmen im Falle der Bewilligung umgehend durchführen müssen, regelt der Dienst in Zusammenarbeit mit Vertretern der Fernmeldedienstanbieterinnen die technischen und administrativen Einzelheiten der einzelnen Überwachungstypen in entsprechenden Richtlinien.

Dies bestätigt und klärt die Aussage des Sprechers des EJPD, dass in einem “einstelligen Prozentanteil” der Anordnungen eine Komplett-Überwachung bereits angewendet wird! Und wirft ein Licht auf die einzelnen Akteure und die Vorgeschichte:

Überspitzt formuliert ordnen einzelne Strafuntersuchungsbehörden in den Kantonen und beim Bund eine komplette Überwachung des IP-Verkehrs (oder beispielsweise auch eine DNS-Umleitung oder die Überwachung von E-Mails von/zu fremden Servern) an. Der DÜPF übergibt die Aufgaben den Providern, bei denen ein grösserer Aufwand entsteht (da hier ganz andere technische Massnahmen nötig sind und/oder massiv mehr Daten anfallen) – und welche die Rechtsmässigkeit gemäss eines Bundesgerichtsurteils nicht bestreiten dürfen. Anschliessend verhandelt der DÜPF auf Basis seiner technischen und administrativen Weisungskompetenz “geheim” mit den Providern – und der Bundesrat deckt die ganze Schose.

Es soll mir ja niemand mehr mit der Mär vom rechtsfreien Internet kommen.