I.
Einleitung ^
Auf die aktuelle Revision des Nachrichtendienstgesetzes (NDG) gehen wir in diesem Beitrag nicht ein. Zur Abgrenzung der beiden Gesetze nur soviel: Beim NDG steht die präventive Überwachung durch den Nachrichtendienst des Bundes in verschiedensten Formen und ohne konkreten Verdacht auf eine Straftat im Zentrum. Das BÜPF hingegen dient dazu, den Strafverfolgungsbehörden im Rahmen konkreter Strafverfahren den Zugriff auf bestimmte Kommunikations- und Randdaten des Post- und Fernmeldeverkehrs zu ermöglichen.
1.
Hintergrund der Revision ^
Das zurzeit (noch) gültige BÜPF (nachfolgend «aBÜPF») trat am 1. Januar 2002 in Kraft,5 basierend auf der Botschaft vom 1. Juli 1998.6 Die technologische Entwicklung, insbesondere im Bereich der Mobilkommunikation, der IP-basierten Kommunikation (VoIP, Messenger, Whatsapp, etc.) sowie der Verschlüsselungstechnik führten zu einer immer grösseren Diskrepanz zwischen dem technisch Möglichen (sowohl auf Seiten der Überwachten wie der Überwacher) und dem rechtlich Geregelten. Um dem Abhilfe zu schaffen, wurde wenige Jahre nach dem Inkrafttreten des aBÜPF bereits dessen Revision ins Auge gefasst.
2.
Vorgeschichte und Beratung in den Räten ^
3.
Vorgezogene VÜPF-Revision ^
Aufgrund der Vernehmlassung zum VE-BÜPF zeichnete sich ab, dass nicht mit einer schnellen Umsetzung der Gesetzesrevision zu rechnen war. Der Bundesrat zog deshalb die Revision der VÜPF9 (und der GebV-ÜPF10) zeitlich vor und sah darin – in rechtsstaatlich nicht unbedenklicher Weise – erweiterte Regelungen zur Überwachung im Internet-Bereich vor.11 Immerhin wurde die bereits im Entwurf zur revidierten VÜPF vorgesehene Ausweitung des persönlichen Geltungsbereichs von Zugangs- auch auf reine Dienste-Anbieter im Internet wieder fallengelassen – zumindest im Rahmen der zeitlich vorgezogenen VÜPF-Revision.12 Ein zweiter Versuch, den Geltungsbereich auszuweiten, erfolgte dann – erfolgreicher – im Rahmen der BÜPF-Revision (vgl. unten Ziff. III.1).
4.
Externe Einflüsse und Referendum ^
Zwischen der Botschaft (Februar 2013) und der Behandlung in den Räten (ab März 2014) sorgten ab Juni 2013 die Snowden-Enthüllungen zum Überwachungseifer der amerikanischen (NSA) und britischen Abhörbehörden (GCHQ) für weltweite Schlagzeilen. Zudem erging, kurz nachdem der Ständerat als Erstrat die Vorlage im März 2014 beraten hatte, ein Urteil des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung. Darin erklärte der EuGH die «Vorratsdatenspeicherungs-Richtlinie»15 als mit der Europäischen Grundrechtecharta16 nicht vereinbar.17 Das EuGH-Urteil erklärte zwar nicht die Vorratsdatenspeicherung per se für unzulässig, sondern stellte nur fest, dass die Richtlinie den Kriterien der Verhältnismässigkeit nicht zu genügen vermöge.18 In der für Datenschutzaspekte mittlerweile (über)sensibilisierten Öffentlichkeit wurde das EuGH-Urteil jedoch schnell mit einem generellen Verbot der Vorratsdatenspeicherung gleichgesetzt.
III.
Die kritischen Punkte ^
1.
Ausweitung des persönlichen Geltungsbereichs ^
Im aBÜPF finden die Überwachungspflichten nur Anwendung auf die meldepflichtigen Post- und Fernmeldedienste-Anbieter sowie «Internet-Anbieterinnen» (Art. 1 Abs. 2 aBÜPF). Unter diesen Begriff fallen nur Zugangs-Anbieter («Access Provider»), nicht aber reine Dienste-Anbieter («Service Provider»).21 Dies war zuerst umstritten,22 wurde dann aber mit der VÜPF-Revision 2012 geklärt.23
In Art. 2 nBÜPF wird neu unterschieden zwischen 6 Kategorien von Mitwirkungspflichtigen, denen je unterschiedliche Pflichten auferlegt werden (Art. 19–34 nBÜPF). Die genaue Ausgestaltung der Mitwirkungspflichten wird dabei in den heiklen Bereichen mehrheitlich an den Bundesrat delegiert (Art. 22 Abs. 4, Art. 27 Abs. 3 nBÜPF). Als Mitwirkungspflichtige werden definiert:27
- Anbieter von Postdiensten (PDA)
- Anbieter von Fernmeldediensten (FDA)
- Anbieter abgeleiteter Kommunikationsdienste (AAK)
- Betreiber interner Fernmeldenetze (BIF)
- Personen, die ihren Zugang Dritten zur Verfügung stellen (PZD)
- Professionelle Wiederverkäufer von Zugangsmitteln (PWV)
1.1.
Anbieter abgeleiteter Kommunikationsdienste (AAK) ^
1.2.
Personen, die ihren Zugang Dritten zur Verfügung stellen (PZD) ^
Auch hier gilt, wie bei den AAK, dass die PZD nur zur Duldung der Überwachung verpflichtet sind (Art. 29 Abs. 1 nBÜPF), sowie zur Lieferung der Randdaten, sofern und soweit ihnen diese zur Verfügung stehen (Art. 29 Abs. 2 nBÜPF), z.B. in Form der Log-Dateien ihres WLAN-Access-Points. Die Lieferung allfälliger zusätzlicher Identifikationsdaten i.S.v. Art. 22 nBÜPF hingegen ist nicht vorgesehen (soweit solche Daten nicht bereits als Randdaten i.S.v Art. 29 Abs. 2 nBÜPF qualifizieren), da solche (zusätzlichen) Identifikationsdaten den PZD regelmässig nicht vorliegen. Festzuhalten ist, dass die PZD keine aktive Überwachungspflicht oder Pflicht zur Erhebung und Speicherung von Randdaten (oder Identifikationsdaten) trifft. Im Gegensatz zu den AAK ist bei den PZD auch nicht vorgesehen, dass sie der Bundesrat allenfalls doch noch solchen Pflichten unterstellen könnte. Zumindest die Hotels, Restaurant, Cafés und Privaten, die ihren Netzzugang Dritten zur Verfügung stellen, können in dieser Hinsicht aufatmen. Ihre allfällige Mitwirkungspflicht erschöpft sich in der Duldung und der Lieferung der vorhandenen Randdaten – und geht somit nicht weiter als die allgemeine Mitwirkungspflicht gemäss StPO.39
2.
Vorab-Information über neue Dienstleistungen ^
Eine Neuerung stellt die in Art. 25 nBÜPF vorgesehene Pflicht zur Vorab-Information dar. Dort ist vorgesehen, dass FDA den Dienst ÜPF auf dessen Verlangen jederzeit ausführlich über Art und Merkmale nicht nur derjenigen Dienstleistungen informieren, die sie bereits auf den Markt gebracht haben, sondern auch über solche, die sie innerhalb von 6 Monaten auf den Markt bringen wollen. Damit soll dem Dienst ÜPF ermöglicht werden, Schwierigkeiten vorauszusehen, die sich bei künftigen Überwachungen der neuen Dienste ergeben könnten, und proaktiv – statt rein reaktiv – darauf zu reagieren.40 Vereinzelt wurde die Befürchtung geäussert, dass diese Bestimmung es insbesondere Tech-Startups erschweren könnte, neue Produkte mit Kommunikationsfähigkeit auf den Markt zu bringen.41 Bei genauerer Betrachtung erhellt, dass diese Befürchtung wohl noch auf dem viel zu weitgehend formulierten Art. 25 VE-BÜPF basierte, der sämtliche «Überwachungspflichtigen» erfasste, deren Kreis im VE-BÜPF viel weiter gefasst war als im jetzigen nBÜPF.42
In Art. 25 nBÜPF wurde die Informationspflicht auf die FDA beschränkt und auf die bereits im Markt eingeführten sowie in den nächsten 6 Monaten einzuführenden Dienstleistungen limitiert. Gemäss der Botschaft müssen die FDA dem Dienst ÜPF auf Verlangen genau darlegen, um welche Dienstleistungen es sich handelt und worin diese bestehen, d.h. wozu sie dienen – nicht aber welche Merkmale der Technologie der neuen Dienstleistung zugrundeliegen.43 Festzuhalten ist zudem, dass keine aktive Informationspflicht besteht, sondern der Dienst ÜPF nur auf dessen Verlangen zu informieren ist, und dass allfällige Geschäftsgeheimnisse, die dem Dienst ÜPF im Rahmen der Vorab-Information mitgeteilt werden, dem Amtsgeheimnis unterstehen (Art. 320 StGB).44
Auch bleiben die FDA frei, die neuen Dienstleistungen gemäss ihren Plänen im Markt einzuführen bzw. die Pläne zur Markteinführung allenfalls zu ändern (d.h. gegebenenfalls auch vorzuziehen).45 Es wird also nicht etwa eine «Zwangspause» für die Einführung neuer Dienstleistungen verordnet oder die Einführung von einer Freigabe durch den Dienst ÜPF abhängig gemacht. Vor diesem Hintergrund ist nicht nachzuvollziehen, wie Art. 25 nBÜPF zum «Innovationskiller» oder zur «Startup-Bremse» werden soll, wie dies bisweilen in der Branche und der Presse kolportiert wurde.46 Relevant werden könnte in diesem Zusammenhang hingegen die Abgrenzung zwischen FDA (die Art. 25 nBÜPF unterstehen) und AAK, welche Art. 25 nBÜPF nicht unterstehen (vgl. dazu oben Ziff. III.1.1).
3.
Schnittstelle für Echtzeit-Zugriff ^
Dadurch sind im nBÜPF nur noch die FDA (nicht aber die AAK) standardmässig zur Ermöglichung der Echtzeit-Überwachung über die definierten Schnittstellen verpflichtet (Art. 26 Abs. 1 lit. a i.V.m. Abs. 4 und Art. 31 Abs. 3 nBÜPF). Hingegen können AAK mittels Verordnung ebenfalls dieser Pflicht unterstellt werden (Art. 27 Abs. 3 nBÜPF), soweit dies der Bundesrat als «für die Überwachung des Fernmeldeverkehrs notwendig» erachtet. Ob und gegebenenfalls wie dies in den Ausführungsbestimmungen der Fall sein wird, lässt sich zurzeit noch nicht abschätzen. Umgekehrt können gewisse FDA von bestimmten Pflichten befreit werden, «wenn sie Dienstleistungen von geringer wirtschaftlicher Bedeutung oder im Bildungsbereich anbieten» (Art. 26 Abs. 6 nBÜPF). Auch hier wird abzuwarten sein, in welchem Umfang, aufgrund welcher Kriterien und hinsichtlich welcher FDA und Pflichten dies allenfalls der Fall sein wird.
4.
Ort der Datenspeicherung ^
Obwohl das EuGH-Urteil für die Schweiz keine direkte Wirkung hat, wurde dieser Gedanke auch in der Schweiz aufgenommen. So beantragte eine Minderheit im Nationalrat, dass die von den Anbietern erhobenen Randdaten nur in der Schweiz aufbewahrt werden dürfen.52 Während die Bestimmung beim Postverkehr abgelehnt wurde,53 fand sie bezüglich des Fernmeldeverkehrs im Nationalrat eine Mehrheit.54 Im Ständerat wurde dies hingegen abgelehnt,55 unter Hinweis darauf, dass zum einen die in der Schweiz aktiven Anbieter das DSG56 in jedem Fall einzuhalten hätten und zum anderen, dass eine solche Norm im BÜPF verfehlt wäre.57 Wenn schon wäre eine solche Pflicht zur Speicherung bestimmter Daten im DSG oder allenfalls im FMG zu regeln.58 Zudem könnte sich eine derartige Pflicht negativ auf die FDA auswirken, denen es dann z.B. nicht mehr erlaubt wäre, die Aufbereitung der Daten für die Rechnungsstellung im Ausland vorzunehmen, da hierfür auch die Randdaten nötig sind.59
5.
Dauer der Datenspeicherung ^
Eine Änderung ergibt sich hingegen bezüglich der Identifikationsdaten, die im aBÜPF zusammen mit den Randdaten in Art. 12 Abs. 2 aBÜPF (Postverkehr) und Art. 15 Abs. 3 aBÜPF (Fernmeldeverkehr) geregelt sind. Im nBÜPF sind sie für den Postverkehr nicht mehr speziell geregelt, für den Fernmeldeverkehr finden sich hingegen ausdrückliche Regelungen in Art. 21 nBÜPF (Auskünfte über Fernmeldedienste) und Art. 22 nBÜPF (Auskünfte zur Identifikation der Täterschaft bei Straftaten über das Internet). Unter beiden Artikeln bestimmt der Bundesrat, welche Daten hierunter fallen (Art. 21 Abs. 1 lit. d und Art. 22 Abs. 2 nBÜPF). Diese sind sowohl während der Dauer der Kundenbeziehung wie auch während 6 Monaten nach deren Beendigung aufzubewahren, wobei der Bundesrat für gewisse Daten vorsehen kann, dass diese nicht während der ganzen Dauer der Kundenbeziehung, sondern nur während 6 Monaten (ab Erfassung/Anfall der Daten z.B. im Rahmen der Zuteilung dynamischer IP-Adressen) aufzubewahren sind (Art. 21 Abs. 2 und Art. 22 Abs. 2 nBÜPF). Unter die Identifikationsdaten nach Art. 21 nBÜPF fallen insbesondere auch Angaben zu Prepaid-SIM-Karten (und neu auch zu Prepaid-Wireless-Karten), unter diejenigen nach Art. 22 nBÜPF insebesondere auch solche Daten, die eine Zuordnung der IP-Adressen zu einzelnen Kunden (bzw. deren Anschlüssen) erlauben.70
Im Zusammenhang mit der Dauer der Datenspeicherung im Bereich des Internets ist zudem Art. 22 Abs. 2 nBÜPF, letzter Satz bemerkenswert, gemäss dem die FDA dem Dienst ÜPF weitergehende Angaben liefern müssen, über die sie verfügen. Eine Löschungspflicht nach Ablauf der 6-monatigen Aufbewahrungspflicht ist nicht vorgesehen. Sofern also ein FDA gewisse Daten – allenfalls mit Zustimmung der betroffenen Kunden – länger als die vorgeschriebenen 6 Monate aufbewahrt, müssen diese ebenfalls geliefert werden. Aufgrund der gesetzlichen Aufbewahrungspflicht müssen die Anbieter die für die Rechnungslegung relevanten Buchungsbelege aufbewahren, womit zumindest gewisse Randdaten während rund 10 Jahren greifbar sind.71 Und angesichts der Tatsache, dass sich die FDA aufgrund des zunehmenden wirtschaftlichen Wertes von nutzerbezogenen Daten von ihren Kunden immer weiter reichende Befugnisse zur Datenerhebung und -speicherung einräumen lassen, scheint die Diskussion, ob gewisse Daten nunmehr 6 oder 12 Monate lang gespeichert werden sollen, in diesem Bereich je länger je hinfälliger zu werden: Daten, die beim FDA vorhanden sind, und die unter Art. 22 nBÜPF die Identifikation der Täterschaft einer über das Internet begangenen Straftat ermöglichen können, sind nämlich dem Dienst ÜPF unabhängig von der Aufbewahrungsfrist nach nBÜPF zu liefern und zwar soweit zurück, wie sie beim FDA vorliegen.72 Da es sich dabei nicht um eine «Überwachung» i.S. des BÜPF handelt, ist die Straftat, deren Aufklärung Anlass zur Auskunftsanfrage gibt, auch nicht an den Katalog von Art. 269 Abs. 2 StPO gebunden.73
6.
Kostentragung und Entschädigung ^
7.
Staatstrojaner und IMSI-Catcher ^
Unter dem aBÜPF war bereits während einiger Zeit die Zulässigkeit des Einsatzes neuer Überwachungstechnologien umstritten.85 Um hier Klarheit zu schaffen, sollte im Rahmen der BÜPF-Revision mittels neuer Artikel in der StPO die gesetzliche Grundlage geschaffen werden für den Einsatz von IMSI-Catchern (Art. 269bis nStPO) und Staatstrojanern (Art. 269ter nStPO), in der Botschaft euphemistisch als «GovWare» (für «Government Software») bezeichnet. Beides gab im Vorfeld sowie während der parlamentarischen Beratung stark zu reden. Besonderes Augenmerk lag dabei auf dem Staatstrojaner, aufgrund der Sensibilisierung der Öffentlichkeit durch diverse Enthüllungen der letzten Jahre:
- Bereits im Januar 2009 wurde in Deutschland eine Verfassungsbeschwerde eingereicht gegen (unter anderem) die Bestimmungen des BKAG,86 welche die Grundlage für den deutschen «Bundestrojaner» bilden.87
- Im Oktober 2011 analysierte der deutsche Chaos Computer Club den vom BKA entwickelten deutschen «Bundestrojaner» eingehend und legte dessen Funktionsweise – und insbesondere sicherheitstechnischen Schwachstellen – offen.88 Im Dezember 2012 liess das BKA dann verlauten, dass eine verbesserte Version bis Ende 2014 vorliege.89
- Im April 2016 – d.h. erst nach Abschluss der Beratungen zum BÜPF – erging dann das Urteil des deutschen Bundesverfassungsgerichts,90 welches das BKAG zumindest teilweise für verfassungswidrig erklärte.91 Darin wurden jedoch Staatstrojaner nicht etwa per se als unzulässig qualifiziert, sondern es wurden nur die bei deren Einsatz zu beachtenden rechtlichen Grundlagen und Voraussetzungen präzisiert.92
- Im Juli 2015, also kurz nach Abschluss der ersten Runde des E-BÜPF in den Räten, wurde ein italienischer Hersteller von Überwachungssoftware, namens «Hacking Team», selbst gehackt und es wurde u.a. dessen interne Kommunikation veröffentlicht.93 Dadurch wurde bekannt, dass die Kantonspolizei Zürich bei diesem Anbieter bereits im November 2014 entsprechende Überwachungssoftware bezogen hatte.94 Dies hatte nicht nur politische Folgen,95 sondern führte auch zu verstärkter Aufmerksamkeit für diesen speziellen Aspekt der BÜPF-Revision.
IV.
Fazit und Ausblick ^
Das nBÜPF bringt einige Neuerungen, ohne jedoch in den wirklich kritischen Punkten so weit zu gehen, wie ursprünglich vor allem aus Sicht der Telekom-Industrie und der Überwachungsgegner befürchtet wurde. Zusammenfassend lässt sich festhalten, dass das nBÜPF zwar zu einer Erweiterung des persönlichen Geltungsbereichs führt, deren Auswirkungen jedoch über die Definition unterschiedlicher Kategorien von Mitwirkungspflichtigen mit jeweils differenzierten Mitwirkungspflichten wieder eingeschränkt wird. Die Relevanz dieser Ausweitung und deren Umsetzung in der Praxis wird sich erst mit dem Vorliegen der Ausführungsbestimmungen abschätzen lassen. Weitere Neuerungen stellen die Vorab-Informationspflicht der FDA für neue Dienste und die explizite Regelung des Einsatzes von Staatstrojanern und IMSI-Catchern (in der StPO) dar.
Samuel Klaus, Dr.iur., LL.M. (Berkeley), Rechtsanwalt / Associate, Schellenberg Wittmer AG, Zürich, samuel.klaus@swlegal.ch.
Roland Mathys, lic.iur. et lic.oec.publ., LL.M. (LSE), Rechtsanwalt / Partner, Schellenberg Wittmer AG, Zürich, roland.mathys@swlegal.ch.
- 1 Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs vom 6. Oktober 2000, SR 780.1.
- 2 BBl 2016 1991.
- 3 BBl 2016 6791.
- 4 Vgl. die generelle Verordnungskompetenz des Bundesrates gem. Art. 43 nBÜPF sowie die in einzelnen Artikeln (insb. Art. 21–23 und Art. 26–27 nBÜPF) vorgesehenen spezifischen Regelungsbereiche.
- 5 Vgl. zur Entstehungsgeschichte Thomas Hansjakob, Kommentar zum Bundesgesetz und zur Verordnung über die Überwachung des Post- und Fernmeldeverkehrs, St. Gallen 2006, S. 25 ff.
- 6 BBl 1998 IV 4241.
- 7 Vgl. zum Ganzen die Zusammenstellung in der Botschaft, BBl 2013 2683, 2690–2694.
- 8 Vgl. dazu Simon Schlauri, Fernmeldeüberwachung à discrétion?, in: sic! 4/2012, S. 238 ff.
- 9 Verordnung über die Überwachung des Post- und Fernmeldeverkehrs vom 31. Oktober 2001, SR 780.11.
- 10 Verordnung über die Gebühren und Entschädigungen für die Überwachung des Post- und Fernmeldeverkehrs vom 7. April 2004, SR 780.115.1.
- 11 Zur Beurteilung dieser Vorgehensweise des Bundesrates aus rechtsstaatlicher Sicht vgl. Schlauri (Fn. 8).
- 12 Vgl. dazu Schlauri (Fn. 8), S. 241.
- 13 Übereinkommen über die Cyberkriminalität vom 23. November 2001, SR 0.311.43.
- 14 Dienst Überwachung Post- und Fernmeldeverkehr (Art. 3 nBÜPF), im Folgenden «Dienst ÜPF» oder einfach «Dienst».
- 15 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 105, S. 54).
- 16 Charta der Grundrechte der Europäischen Union (GRC), vom 18. Dezember 2000 (ABl. C 364, S. 1).
- 17 Verbundene Rechtssachen des EuGH C-293/12 und C-594/12 vom 8. April 2014.
- 18 Vgl. Rn. 45 ff. des EuGH-Urteils, insb. Rn. 65 und 69.
- 19 Das EuGH-Urteil beanstandete in Rn. 68 ausdrücklich, dass die Richtlinie die Anbieter und Netzbetreiber nicht verpflichte, die fraglichen Daten im Gebiet der EU zu speichern. Dadurch könne die Einhaltung der Erfordernisse des Datenschutzes nicht in dem Umfange garantiert werden, wie dies die EU-Grundrechtecharta ausdrücklich fordere.
- 20 Vgl. die Verfügung der Bundeskanzlei über das Nichtzustandekommen des Referendums, BBl 2016 6791.
- 21 Hansjakob (Fn. 5), S. 122 N 24 und S. 124 N 28.
- 22 Vgl. dazu Marc Wullschleger, Die Durchsetzung des Urheberrechts im Internet, in: SMI – Schriften zum Medien- und Immaterialgüterrecht Nr. 101, Bern 2015, S. 24–26 N 38–41.
- 23 Vgl. Art. 1 Abs. 2 lit. e VÜPF und Ziff. 1 im Anhang zum VÜPF (Begriffe und Abkürzungen).
- 24 Vgl. den Erläuternden Bericht zum VE-BÜPF, S. 16 f.
- 25 Vgl. Botschaft, BBl 2013 2683, 2705–2706.
- 26 Vgl. die Zusammenfassung der Ergebnisse des Vernehmlassungsentwurfs, Mai 2011, S. 14–18.
- 27 Hinweis: Um schwerfällige Wiederholungen zu vermeiden, haben wir jede Kategorie mit einer eingängigen Abkürzung versehen. Diese bildet sich aus den Anfangsbuchstaben der relevanten Begriffe der jeweiligen Kategorie.
- 28 Postgesetz vom 17. Dezember 2010, SR 783.0.
- 29 Fernmeldegesetz vom 30. April 1997, SR 784.10.
- 30 Vgl. dazu Botschaft, BBl 2013 2683, 2706–2707.
- 31 Vgl. dazu Botschaft, BBl 2013 2683, 2708–2709.
- 32 Botschaft, BBl 2013 2683, 2709.
- 33 Botschaft, BBl 2013 2683, 2707.
- 34 Botschaft, BBl 2013 2683, 2707–2708.
- 35 Botschaft, BBl 2013 2683, 2708.
- 36 Worunter sowohl die Botschaft (BBl 2013 2683, 2708) wie auch der Ständerat (Votum Graber, AB 2014 S 115) auch Datacenterbetreiber und Housing-Anbieter («server colocation», «server housing») zu verstehen scheinen, zumindest sofern auf die entsprechenden Server von extern zugegriffen werden kann (vgl. die Formulierung in der Botschaft «mit Zugriff», BBl 2013 2683, 2708).
- 37 Botschaft, BBl 2013 2683, 2709.
- 38 AB 2013 S 109–110.
- 39 Votum Sommaruga, AB 2013 S 110.
- 40 Botschaft, BBl 2013 2683, 2737.
- 41 Vgl. z.B. Stellungnahme der SWICO zum BÜPF-Referendum (18. März 2016), S. 1; http://www.swico.ch/downloads/dokumente/stellungnahme-von-swico-zum-buepf-referendumpdf/3329 (alle Websites zuletzt besucht am 21. August 2016).
- 42 Vgl. VE-BÜPF 2, insb. 2.1.b.
- 43 Botschaft, BBl 2013 2683, 2737.
- 44 Botschaft, BBl 2013 2683, 2738.
- 45 Botschaft, BBl 2013 2683, 2738.
- 46 Vgl. z.B. NZZ am Sonntag vom 12. Juni 2016, S. 30.
- 47 Vgl. die Erläuterungen des ISC-EJP ÜPF zur Änderung der VÜPF vom 26. Oktober 2011, http://www.ejpd.admin.ch/dam/data/ejpd/aktuell/news/2011/2011-11-23/vn-ber-d.pdf.
- 48 Vgl. VE-BÜPF 2.1.b und den Erläuternden Bericht zum VE-BÜPF, S. 17.
- 49 Vgl. die Zusammenfassung der Ergebnisse des Vernehmlassungsentwurfs, Mai 2011, S. 14–18.
- 50 Urteil des EuGH (Fn. 17).
- 51 Rn. 68 des Urteils des EuGH (Fn. 17).
- 52 AB 2015 N 1163 (Postverkehr, Art. 19 Abs. 4bis E-BÜPF), 1164 (Fernmeldeverkehr, Art. 26 Abs. 5bis E-BÜPF).
- 53 AB 2015 N 1164.
- 54 AB 2015 N 1165.
- 55 AB 2015 S 1198.
- 56 Bundesgesetz über den Datenschutz vom 19. Juni 1992, SR 235.1.
- 57 Votum Engler, AB 2015 S 1197, vgl. dazu auch Votum Vogler, AB 2016 N 136 und Votum Sommaruga, AB 2016 N 138.
- 58 Votum Engler, AB 2015 S 1197.
- 59 Votum Sommaruga, AB 2015 S 1197.
- 60 AB 2016 N 139 (3. März 2016), AB 2016 S 120 (8. März 2016), AB 2016 S 356 (14. März 2016).
- 61 AB 2016 S 209 (16. März 2016) und AB 2016 N 452 (16. März 2016).
- 62 Vgl. dazu https://www.edoeb.admin.ch/datenschutz/00628/00784/index.html?lang=de. Der per Ende August 2016 erwartete Vorentwurf zum revidierten DSG war im Zeitpunkt der Verfassung dieses Artikels noch nicht verfügbar.
- 63 Art. 12 Abs. 2 aBÜPF für Postverkehr, Art. 15 Abs. 3 aBÜPF für Fernmeldeverkehr.
- 64 Art. 19 Abs. 2 VE-BÜPF für Postverkehr, Art. 23 VE-BÜPF für Fernmeldeverkehr.
- 65 Art. 19 Abs. 4 E-BÜPF für Postverkehr, Art. 26 Abs. 5 E-BÜPF für Fernmeldeverkehr.
- 66 AB 2014 S 115–116, AB 2014 S 111–113, AB 2015 N 1163–1164 (Postverkehr), AB 2015 N 1164–1165 (Fernmeldeverkehr).
- 67 AB 2015 S 1193–1195 (Postverkehr), AB 2015 S 1196–1198 (Fernmeldeverkehr).
- 68 AB 2016 N 131–136 (Post- und Fernmeldeverkehr).
- 69 Vgl. dazu das Votum Sommaruga, AB 2016 N 134–135.
- 70 Botschaft, BBl 2013 2683, 2732–2733, 2736.
- 71 Art. 957a Abs. 3 i.V.m. Art. 958f OR.
- 72 Vgl. dazu BGE 139 IV 98, gemäss dem Art. 14 Abs. 4 aBÜPF (alle vorhandenen Angaben sind zu liefern) als lex specialis Art. 273 Abs. 3 StPO (nur bis 6 Monate rückwirkend) vorgeht. Dasselbe wird für Art. 22 nBÜPF gelten.
- 73 Botschaft, BBl 2013 2683, 2733; Hansjakob (Fn. 5), Art. 14 N 23.
- 74 Diese sieht z.B. für Identifikationsinformationen eine Entschädigung von CHF 4. – vor, für eine Randdaten-Auskunft CHF 540.– sowie für eine Echtzeit-Überwachung CHF 1’330. –.
- 75 Vgl. den Erläuternden Bericht zum VE-BÜPF, S. 37 f. sowie die Botschaft, BBl 2013 2683, 2758.
- 76 Botschaft, BBl 2013 2683, 2758.
- 77 Bericht «Erhebung und Analyse der Kosten der Post- und Fernmeldeüberwachung» der KPMG im Auftrag des Informatik Service Center ISC-EJPD, Leiter Dienst ÜPF, vom 12. Juni 2012: https://www.bj.admin.ch/dam/data/bj/sicherheit/gesetzgebung/fernmeldeueberwachung/ber-isc-ejpd-fda-pda-d.pdf.
- 78 Antrag Graber, AB 2014 S 118 (kostendeckende Entschädigung für die Überwachungen), vgl. Votum Graber, AB 2014 S 120.
- 79 Bundesrat in Art. 38 E-BÜPF und in der Botschaft, BBl 2013 2683, 2757–2760 (angemessene Entschädigung für Überwachungen).
- 80 Kommissionsantrag, AB 2014 S 118 (keine Entschädigung für die Überwachungen).
- 81 Votum Savary, AB 2014 S 104, 119.
- 82 Votum Schmid, AB 2014 S 119.
- 83 Vgl. dazu insb. Schlauri (Fn. 8), 238.
- 84 Botschaft, BBl 2013 2683, 2742.
- 85 Vgl. z.B. Ciril Riss/Nicole Beranek Zanon, Art. 280 StPO genügt nicht als gesetzliche Grundlage für den Einsatz von Staatstrojanern, in: Jusletter 9. Juli 2012.
- 86 Deutsches Gesetz über das Bundeskriminalamt und die Zusammenarbeit des Bundes und der Länder in kriminalpolizeilichen Angelegenheiten (Bundeskriminalamtgesetz / BKAG).
- 87 http://www.heise.de/newsticker/meldung/Verfassungsbeschwerde-gegen-BKA-Gesetz-laeuft-202626.html und http://www.heise.de/newsticker/meldung/Bundesverfassungsgericht-entscheidet-ueber-die-Online-Durchsuchung-und-Bundestrojaner-2737283.html.
- 88 Vgl. http://www.heise.de/newsticker/meldung/CCC-knackt-Staatstrojaner-1357670.html sowie insb. http://www.ccc.de/de/updates/2011/staatstrojaner.
- 89 Vgl. http://www.heise.de/newsticker/meldung/Bundesregierung-Eigener-Trojaner-erst-Ende-2014-1765644.html.
- 90 Urteil des Deutschen Bundesverfassungsgerichts 1 BvR 966/09 und 1 BvR 1140/09 vom 20. April 2016.
- 91 Vgl. dazu http://www.heise.de/newsticker/meldung/Bundesverfassungsgericht-BKA-Gesetz-im-Grundsatz-rechtens-aber-teilweise-verfassungswidrig-3178248.html.
- 92 Vgl. http://www.heise.de/newsticker/meldung/Analyse-des-Urteils-zum-BKA-Gesetz-Karlsruhe-am-Limit-3192480.html.
- 93 Vgl. dazu z.B. den Halbjahresbericht der Melde- und Analysestelle Informationssicherung MELANI für 2015/II vom 28. April 2016, S. 29 f.
- 94 http://www.kapo.zh.ch/internet/sicherheitsdirektion/kapo/de/aktuell/medienmitteilungen/2015_07/1507071c.html.
- 95 Vgl. dazu die Chronologie in der NZZ online unter www.nzz.ch/zuerich/aktuell/ld.84486 bzw. http://ia.nzz.at/timeline/index.php/1wQLizMF8sSZbS0LehNlvFpCxudEJcTGUMFIutjy4sF4 sowie den Bericht der Geschäftsprüfungskommission über die Beschaffung und den Einsatz von Government Software im Kanton Zürich vom 19. Mai 2016, online unter http://www.kantonsrat.zh.ch/Dokumente/D62a80606-fa25-4563-9c11-66f248f43363/Bericht_166_2016.pdf.
- 96 AB 2014 S 299–301; Votum Leutenegger Oberholzer, AB 2015 N 1168.
- 97 Vgl. dazu etwas ungenau die Botschaft, BBl 2013 2683, 2772.
- 98 Votum Engler, AB 2014 S 300; Votum Schwaab, AB 2015 N 1151.
- 99 Vgl. dazu auch Votum Engler, AB 2014 S 300; Votum Schneider Schüttel, AB 2015 N 1170; Votum Sommaruga, AB 2015 N 1174.
- 100 Votum Schwaab, AB 2015 N 1151–1152; Votum Schneider Schüttel, AB 2015 N 1170; Votum Huber, AB 2015 N 1171.
- 101 AB 2015 N 1178–1179.
- 102 AB 2015 S 1198.
- 103 Votum Engler, AB 2015 S 1198.