Jusletter IT

Voraussichtlich Anfang 2018 wird das revidierte schweizerische Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)¹ zusammen mit den diesbezüglichen Ausführungsbestimmungen in Kraft treten. Damit werden die Überwachungsmöglichkeiten, der Kreis der betroffenen Unternehmen und Mitwirkungspflichtigen entscheidend erweitert. Vorausgegangen war eine seit der Vernehmlassung zum BÜPF im Jahre 2010 sehr umstrittene Gesetzesrevision. Bis Ende Juni 2017 lief die Vernehmlassung zu den Ausführungsverordnungen.

 

Das Hauptziel dieser Totalrevision des BÜPF ist gemäss Botschaft des Bundesrates, «die Überwachung von Personen zu ermöglichen, gegen die ein dringender Verdacht auf Begehung einer schweren Straftat besteht. Wie es bereits heute der Fall ist, soll es auch in Zukunft nicht möglich sein, ohne jeglichen Tatverdacht Bürgerinnen und Bürger zu überwachen oder gar präventive Überwachungen durchzuführen; die persönliche Freiheit bleibt gewahrt.»²

Unbestritten ist, dass die Strafverfolgungsbehörden ihr Arsenal an Überwachungsinstrumenten weiter entwickeln müssen, um dem technischen Fortschritt zu folgen und auf neue Formen der Kriminalität reagieren zu können. Ein solcher Ausbau des Instrumentariums muss jedoch immer auch die Prinzipien einer offenen und demokratischen Gesellschaft sowie die individuellen Rechte der Bürgerinnen und Bürger im Auge haben. Nicht alles, was technisch machbar und aus Sicht der Strafverfolgungsbehörden wünschbar wäre, ist gesellschafts- und bürgerverträglich. Zudem darf die weitere Digitalisierung in der Schweiz nicht mit unverhältnismässigen und digitalisierungsfeindlichen Hürden beeinträchtigt werden.

Der Kreis der Mitwirkungspflichtigen wird sehr ausgedehnt. Gemäss revidiertem Art. 2 BÜPF sind mitwirkungspflichtig unter anderem

• Anbieterinnen von Fernmeldediensten nach Art. 3 Bst. b des Fernmeldegesetzes (FMG; SR 784.10),
• Anbieterinnen abgeleiteter Kommunikationsdienste, d.h. Anbieterinnen von Diensten, die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen,
• Betreiberinnen von internen Fernmeldenetzen,
• Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen
• professionelle Wiederverkäuferinnen von Karten und ähnlichen Mitteln, die den Zugang zu einem öffentlichen Fernmeldenetz ermöglichen.

In Bezug auf die Kostentragung ist für die Mitwirkungspflichtigen die Bestimmung in Art. 38 Abs. 1 BÜPF ausschlaggebend, wonach die Kosten der Einrichtungen, die für die Erfüllung der Pflichten nach diesem Gesetz benötigt werden, zulasten der Mitwirkungspflichtigen gehen. Ebenso ist die Strafbestimmung in Art. 39 BÜPF zu beachten. Demgemäss kann u.a. mit Busse bis zu 100‘000 Franken bestraft werden, wer vorsätzlich einer vom Dienst für die Überwachung des Post- und Fernmeldeverkehrs (Dienst ÜPF) unter Hinweis auf die Strafdrohung dieses Artikels an ihn gerichteten Verfügung nicht fristgemäss nachkommt.

Die Identifikation des Nutzers mit geeigneten Mitteln muss sichergestellt sein. Gemäss den vom EJPD publizierten FAQ «Auswertung des Internets zur Klärung von Straftaten: Fragen und Antworten zur Umsetzung des neuen Gesetzes (BÜPF)»³ sollen sich die Nutzer von öffentlichen WLAN jedoch nur identifizieren müssen, wenn dieses von einem professionellen Anbieter betrieben wird. Darin wird diesbezüglich ausgeführt (Stand: 1. September 2017):

• «So müssen etwa nur noch professionelle Anbieter von WLAN, z.B. an Bahnhöfen oder an Flughäfen, Daten speichern, damit bei Bedarf, auf Anordnung der Strafverfolgungsbehörden und nach richterlicher Genehmigung, Nutzerinnen oder Nutzer zur Klärung schwerer Straftaten identifiziert werden können.»
• «Wer sein WLAN selber betreibt, muss nichts machen. Auch nicht, wenn er das z.B. an einem Open-Air-Festival tut. Gleiches gilt für Restaurant- oder Hotelbesitzer, welche ihren Gästen ein WLAN zur Verfügung stellen.»

Das EJPD führt in seinen FAQ aus, dass «nichts machen muss», d.h. von der Identifizierungspflicht nicht betroffen sei, wer sein WLAN selber betreibt. Genau darin liegt eine weitere Unschärfe des Gesetzes resp. der Verordnung. Die Übergänge zwischen eigener und eingekaufter Technik sind fliessend. Genügt es bereits, wenn die Hardware bei einem professionellen Anbieter bezogen wird? Wie ist die Sachlage wenn ein privater Anbieter den Betrieb des WLAN an einen professionellen Anbieter ausgelagert hat? Alleine diese Fragen zeigen schon die Abgrenzungsschwierigkeiten in der Praxis auf. Aufgrund der unpräzisen Formulierung und in Anbetracht der Strafbestimmung werden Anbieterinnen von WLAN-Zugangspunkten ihre Services wohl nur noch mit teuren Identifikationslösungen anbieten.

Der technische Betrieb dieser WLAN-Zugangspunkte wird in den meisten Fällen von einer Fernmeldedienstanbieterin (FDA) durchgeführt oder die FDA stellt dies über ein Partnerunternehmen sicher. Während sich die Situation für kleine Cafés etc. mit dieser Änderung wohl aktuell entschärft hat, sind v.a. WLAN-Angebote der Tourismus-Orte und somit der Gemeinden sowie Angebote an Grossanlässen der Regelung unterworfen. Jene müssten neu eine Identifizierung sicherstellen können oder diesen Service bei einer Anbieterin beziehen. Diese unklaren Bestimmungen werden wohl dazu führen, dass Fernmeldedienstanbieterinnen gegenüber ihren Kunden (z.B. Gemeinden) auf einer Identifikation werden beharren müssen. Insbesondere Angebote für Gratis-WLAN z.B. in Tourismusgebieten oder an Festivals sind in Zukunft stark gefährdet, da die Identifizierungspflicht zu einer bedeutsamen Kostensteigerung führen wird.

Die Abgrenzungsschwierigkeiten aufgrund des offen formulierten Gesetzestextes und mangels genügender Präzisierung im Verordnungsentwurf sind höchst bedenklich und der Rechtssicherheit abträglich. Darüber hinaus können die FAQ auf der Website des EJPD jederzeit geändert werden. Zudem ist es grundsätzlich fragwürdig, wenn ein Bundesamt mit Ausführungen auf seiner Website unklare Verordnungen präzisiert resp. präzisieren muss. Dies schafft noch mehr Rechtsunsicherheit als dass diese dadurch beseitigt würde.

Mit dem Inkrafttreten des BÜPF sowie der Ausführungsverordnungen wird open WLAN aus Sicht der Praxis aufgrund der Umstände sehr erschwert. Die Folgen für gewisse Anbieter können sich dahingehend auswirken, dass diese open WLAN entweder nicht mehr anbieten oder den Mehraufwand auf die Kunden abwälzen müssen, was wiederum deren Wettbewerbsfähigkeit schwächt. Höchst bedenklich ist darüber hinaus, dass weder das Gesetz noch die Verordnung genügend klar sind und durch das EJPD auf seiner Website ausgelegt sowie laufend präzisiert werden müssen.

---

 

Christa Hofmann, lic. iur., EMBA FHNW, leitet den Bereich Legal & Public Affairs beim nationalen Verband der ICT-Anbieter Swico, Christa.Hofmann@swico.ch.

 

Der vorliegende Artikel stellt ein Update des im Juli 2017 in Jusletter publizierten Essays dar: Christa Hofmann, Ende des open WLAN in der Schweiz?, in: Jusletter 3. Juli 2017.