Überwachung von Instant Messaging: Bundesgericht schafft Klarheit

 

LAUX LAWYERS Policy Alert, 28. Mai 2021

Der Dienst Überwachung Post und Fernmeldeverkehr (Dienst ÜPF) darf Anbieterinnen von Instant Messaging-Diensten nicht zur aktiven Überwachung der Kommunikation verpflichten. Dasselbe gilt für Internet-Videokonferenz- oder -Telefonie-Dienste und reine E-Mail-Dienste. Ein neues Leiturteil des Bundesgerichts schafft diesbezüglich Klarheit und weist den Dienst ÜPF zurecht.

Worum es geht

Der Dienst ÜPF führt auf Anfrage der Polizei, Staatsanwaltschaften oder des Nachrichtendienstes Überwachungen der Telekommunikation durch oder liefert ihnen Auskünfte. Dazu ist er auf die aktive Mitwirkung von Fernmeldedienstanbietern (FDA) angewiesen.

Threema GmbH ist die Anbieterin des Instant Messaging- und Internet-Videokonferenz- und Telefonie-Diensts Threema. Der Dienst ÜPF qualifizierte Threema als FDA und wollte Threema zur aktiven Mitwirkung bei der Überwachung verpflichten (einschliesslich der Entfernung der Ende-zu-Ende-Verschlüsselung). Gegen die Anordnungen des Diensts ÜPF führte Threema erfolgreich Beschwerde beim Bundesverwaltungsgericht (Urteil A-550/2019 vom 19. Mai 2019) und bekam auch vor Bundesgericht recht (Urteil 2C_544/2020 vom 29. April 2021).

Was das Bundesgericht entschieden hat

Instant Messaging-Dienste und Internet-Videokonferenz- oder -Telefonie-Dienste wie Threema, WhatsApp, iMessage, Zoom, Teams, Chime oder Skype funktionieren nur in Verbindung mit einem Internetzugang zur Übertragung der Kommunikationsinhalte. Die Dienstleistung besteht somit nicht darin, Informationen fernmeldetechnisch (leitungsgebunden oder über Funk) von einem Kunden (Teilnehmer) an andere Teilnehmer zu übertragen. Vielmehr bauen die Kommunikationsdienste auf Internetzugangsdiensten auf. Sie werden deshalb auch als OTT (Over-the-Top-)Dienste bezeichnet.

Die fernmeldetechnische Informationsübertragung ist gemäss Bundesgericht ein Wesensmerkmal eines Fernmeldedienstes im Sinne des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Das Bundesgericht hält daher fest, dass Threema und andere Anbieterinnen von OTT-Diensten unter dem BÜPF keine FDA sind, sondern in die Kategorie der Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD) fallen.

Der Beschwerdeführer (Eidg. Justiz- und Polizeidepartement) argumentierte, dass spätestens mit Inkrafttreten des revidierten Fernmeldegesetzes OTT-Kommunikationsdienste unter dem Fernmeldegesetz als Fernmeldedienste gelten. Der Einheitlichkeit wegen müsse dasselbe für das BÜPF gelten. Diesem Argument ist das Bundesgericht zurecht nicht gefolgt. Das BÜPF verweist zwar derzeit in Art. 2 lit. b noch auf die Definition des Fernmeldedienstanbieters im Fernmeldegesetz. Der Verweis fällt aber künftig weg (das revidierte Fernmeldegesetz ist zwar seit dem 1. Januar 2021 in Kraft, die Änderung von Art. 2 lit. b BÜPF aber noch nicht). Damit wollte der Gesetzgeber gerade verhindern, AAKD und FDA dieselben, weitergehenden Überwachungs- und Auskunftspflichten zu auferlegen.

Was dies für OTT-Diensteanbieter bedeutet

Der Gesetzgeber akzeptiert somit, dass eine Anbieterin von OTT-Kommunikationsdiensten als Fernmeldedienstanbieterin in Sinne des Fernmeldegesetzes gilt, unter dem BÜPF aber eine AAKD ist und somit nur passive Mitwirkungspflichten bei der Überwachung und weniger weitgehende Auskunftspflichten hat.

Konkret gilt für Anbieterinnen von OTT-Kommunikationsdiensten (Chat, Instant Messaging, Internet-Videokonferenz- oder -Telefonie-Dienste, E-Mail-Dienste) als AAKD unter dem BÜPF und der Verordnung zum BÜPF (VÜPF) das Folgende:

  • OTT-Anbieterinnen müssen Überwachungsmassnahmen des Diensts ÜPF zwar grundsätzlich dulden, müssen aber bestehende Ende-zu-Ende-Verschlüsselungen nicht entfernen (was die Überwachung letztlich verunmöglicht).
  • OTT-Anbieterinnen müssen keine Randdaten der Kommunikation speichern, um eine rückwirkende Überwachung zu ermöglichen.
  • OTT-Anbieterinnen müssen dem Dienst ÜPF bei Auskunftsbegehren nur die ihnen zur Verfügung stehenden Informationen und Daten liefern (kein Katalog von Pflichtdaten).
  • OTT-Anbieterinnen müssen für die Entgegennahme von Auskunftsbegehren und die Übermittlung relevanter Informationen und Daten nicht das Verarbeitungssystem (ISS-Plattform) des Diensts ÜPF verwenden.

Zu beachten bleibt das Folgende

  • Der Bundesrat kann gewissen AAKD von grosser wirtschaftlicher Bedeutung oder mit grosser Nutzerbasis alle oder Teile der Pflichten von FDA auferlegen (AAKD mit weitergehenden Auskunftspflichten gemäss Art. 22 VÜPF oder mit weitergehenden Überwachungspflichten gemäss Art. 52 VÜPF).
  • Das Schweizer Recht enthält keine gesetzliche Grundlage für die direkte grenzüberschreitende Datenerhebung. Die Schweizer Strafverfolgungsbehörden und der Dienst ÜPF haben für grenzüberschreitende Editions- bzw. Auskunftsbegehren daher grundsätzlich die Behörden im Staat der Datenhaltung um Rechtshilfe zu ersuchen. Dies gilt auch für Auskunftsbegehren des Diensts ÜPF – und entspricht dem bewussten Entscheid des Gesetzgebers, das völkerrechtliche Territorialitätsprinzip zu respektieren. Die einzige Ausnahme vom Territorialitätsprinzip bildet die freiwillige Mitwirkung von FDA und AAKD im Rahmen ihrer vertraglichen Berechtigungen. Schweizer Strafverfolgungsbehörden und der Dienst ÜPF dürfen in solchen Fällen gestützt auf Art. 32 lit. b des Cybercrime-Übereinkommens auf vom FDA oder AAKD im Ausland bereitgestellte Daten zugreifen.

Weitergehende Informationen und Kontakt

Bei Fragen zu diesem Policy Alert oder für Unterstützung im Umgang mit Anfragen des Diensts ÜPF stehen wir gerne zur Verfügung.
Kontakt: thomas.steiner@lauxlawyers.ch