Entwürfe der Ausführungserlasse zum totalrevidierten Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs

29. Juni 2017

Bern, den 29. Juni 2017

EJPD

Frau Bundesrätin S. Sommargua

3003 BERN

aemterkonsultationen-uepf@isc-ejpd.admin.ch

Vernehmlassung zu den Entwürfen der Ausführungserlasse zum totalrevidierten Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs; Vernehmlassungsfrist 29. Juni 2017

Sehr geehrte Frau Bundesrätin

Sehr geehrte Damen und Herren

Gerne nehmen wir hiermit Stellung zu den oben aufgeführten Entwürfen der Ausführungserlasse zum totalrevidierten Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF). Wir gestatten uns aus aktuellem Anlass einen Hinweis auf den Entscheid des Oberverwaltungsgerichts Nordrhein-Westfalen, welches am 22. Juni 2017 die anlasslose Speicherung von Standort- und Verbindungsdaten für unzulässig erklärt hat, da sie nicht mit europäischem Recht vereinbar ist (Standortdaten müssten für vier, andere Informationen für zehn Wochen gespeichert werden). Entsprechend hat die deutsche Bundesnetzagentur am 28. Juni 2017 entschieden, dass sie die Provider bis zu einem rechtskräftigen Abschluss eines Hauptverfahrens nicht zur Vorratsdatenspeicherung zwingen will.

Allgemein kritisieren wir, dass diverse Verordnungsbestimmungen im verabschiedeten Gesetz keine Stütze finden, beispielsweise die Speicherung von Ausweiskopien von Fernmeldekunden oder der Import von Fremddaten in das Informatiksystem zur Bearbeitung der Überwachungsdaten. Andere Verordnungsbestimmungen widersprechen der StPO, beispielsweise die fehlende sofortige Vernichtung aller Daten bei verweigerter Überwachungsgenehmigung (Art. 277 StPO) oder die nicht unverzügliche Beendigung der Überwachung nach Wegfall deren Voraussetzungen (Art. 275 StPO). Diese Bestimmungen sind mangels gesetzlicher Legitimation zu streichen resp. anzupassen.

Weiter geben wir zu bedenken, dass Verordnungen, welche durch den Bundesrat oder ein Departement erlassen wurden, im Rahmen eines Rechtsmittelverfahrens angefochten werden können. Gemäss Art. 42 des Bundesgesetzes über das Bundesgericht (Bundesgerichtsgesetz, BGG) sind Rechtsschriften in einer Amtssprache abzufassen. Auch das Verfahren wird gemäss Art. 54 BGG in einer Amtssprache geführt. Amtssprachen im Sinne des BGG sind Deutsch, Französisch, Italienisch und Rumantsch Grischun, nicht aber Englisch.

Daraus ergibt sich implizit, dass Erlasse, welche einer Beurteilung durch das Bundesgericht unterliegen können, zwingend in einer Amtssprache abgefasst werden müssen. Aus diesem Grund verzichten wir auf Bemerkungen zum Annex 1 to the Ordinance of the FDJP und zum Annex 2 to the Ordinance of the FDJP. Wir verlangen vielmehr, dass diese zwei Regelwerke übersetzt und nochmals zur Vernehmlassung aufgelegt werden, bevor das totalrevidierte BÜPF in Kraft gesetzt wird.

1) Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF)

Art. 9 Abs. 3 VÜPF

Art. 277 StPO schreibt vor, dass Dokumente und Datenträger aus nicht genehmigten Überwachungen sofort zu vernichten sind. Diese Pflicht findet keinen Niederschlag in der VÜPF. Ebenfalls ist sicherzustellen, dass alle Daten aus einer Fernmeldeüberwachung nach einer rechtskräftigen Verfahrenseinstellung oder einem rechtskräftigen Freispruch umgehend vernichtet werden.

→ sofortige Löschpflicht bei Nichtgenehmigung und nach Verfahrenseinstellung oder Freispruch vorsehen

Art. 11 Abs. 1 VÜPF

Ausserhalb der Normalarbeitszeiten sind auch Deaktivierungsaufträge auszuführen. Gemäss Art. 275 StPO beendet die Staatsanwaltschaft die Überwachung unverzüglich, wenn die Voraussetzungen nicht mehr erfüllt sind oder die Genehmigung oder die Verlängerung verweigert wird. Es ist nicht nachvollziehbar, weshalb der Dienst ÜPF Echtzeitüberwachungen rund um die Uhr innerhalb einer Stunde ab Eingang übermitteln, Deaktivierungsaufträge hingegen ausschliesslich während der Normalarbeitszeiten bearbeiten soll. Eine Echtzeitüberwachung ist ein empfindlicher Eingriff in den Geheimbereich der betroffenen Person(en) und muss sofort eingestellt werden, wenn die Voraussetzungen nicht mehr erfüllt sind. Ein Deaktivierungsauftrag benötigt auch keine Abklärungen, viel mehr muss lediglich ein bereits erteilter Auftrag storniert werden.

→ Deaktivierungsaufträge in Leistungskatalog aufnehmen

Art. 13 Abs. 3 VÜPF

Die Statistik über Überwachungsmassnahmen mit besonderen technischen Geräten und besonderen Informatikprogrammen muss gleich detailliert geführt und veröffentlicht werden wie die Statistik über Überwachungsmassnahmen und Auskünfte gemäss Art. 12 E-VÜPF. Insbesondere muss ersichtlich sein, welche Kantone welche Massnahmen angeordnet haben.

→ Nebensatz «jedoch ohne die Angaben zum Kanton...» streichen

Art. 19 Abs. 2 VÜPF

Es ist nicht ersichtlich, weshalb Wiederverkäuferinnen von Mobilfunkdiensten und die FDA eine gut lesbare Ausweiskopie aufbewahren sollen. Dies ist im BÜPF nicht vorgesehen. Die Ausweise enthalten die Gesichtsbilder, welche in der Ausweisdatenbank und anderen Systemen des Bundes gespeichert und vor unbefugtem Zugriff geschützt sind. Die Pflicht, die Gesichtsbilder von allen Fernmeldedienstnutzern zu speichern, würde zu einer Paralleldatenbank mit uneingeschränktem Zugriff auf die Portraits der gesamten Bevölkerung führen. Anstelle einer Ausweiskopie ist lediglich die Ausweisart und -nummer zu erfassen und aufzubewahren.

Zudem besteht in der Schweiz keine Ausweispflicht. Es muss auch möglich sein, mit der Anmeldebescheinigung der Wohnsitzgemeinde fernmeldedienstliche Leistungen zu beziehen. Anstelle einer Ausweisnummer ist beispielsweise «Anmeldebescheinigung der Gemeinde W vom XX. YY. ZZZ» zu erfassen und aufzubewahren.

→ Hinterlegung der Ausweisart und -nummer statt ausschliesslich einer Ausweiskopie vorsehen

→ alle amtlichen Ausweise (auch ohne Fotografie) zulassen

Art. 20 Abs. 2 VÜPF

Die FDA und die Anbieterinnen abgeleiteter Kommunikationsdienste mit weitergehenden Auskunfts- und Überwachungspflichten sind zu verpflichten, die Daten gemäss lit. a und b nach 6 Monaten zu vernichten.

→ Löschpflicht nach 6 Monaten vorsehen

Art. 21 Abs. 1 lit. a VÜPF

Die Bestimmung, wonach eine Anbieterin abgeleiteter Kommunikationsdienste als Anbieterin mit weitergehenden Auskunftspflichten gilt, wenn in den letzten 12 Monaten 50 Auskunftsaufträge erteilt worden sind, ist völlig unverhältnismässig. Insbesondere könnte jede Anbieterin abgeleiteter Kommunikationsdienste durch unbegründete Auskunftsgesuche zu einer Anbieterin mit weitergehenden Auskunftspflichten mutiert werden. Wenn schon Auskunftsaufträge als Kriterium gelten sollen, dann nur solche, welche zu einer rechtskräftigen Verurteilung geführt haben.

→ Art. 21 Abs. 1 lit. a VÜPF entsprechend anpassen

Art, 23 lit. c VÜPF

In Ziffer 3 der «sonstigen Auskünfte» ist «das Anfordern von Ausweiskopien» mit «Auskunft über Ausweisart und -nummer» zu ersetzen.

→ Ziffer 3 entsprechend anpassen

Art. 38 VÜPF bis Art. 41 VÜPF

Sofern die Kalenderdaten für «Beginn» und «erstmalige Aktivierung» länger als 6 Monate zurückliegen, ist an Stelle dieser Daten das Datum 6 Monate vor der Anfrage in der Form «vor dem XX. YY. ZZZZ» anzugeben.

→ keine Bekanntgabe von Daten, die älter als 6 Monate sind

Art. 43 Abs. 1 VÜPF

Beim Auskunftstyp IR_11_ID ist an Stelle einer elektronischen Kopie des erfassten Ausweises mit Gesichtsbild des Teilnehmenden die Ausweisart und -nummer zu liefern.

→ Auskunftstyp IR_11_ID entsprechend anpassen

Art. 49 Abs. 1 lit. b VÜPF

«10 Überwachungsaufträge in den letzten 12 Monaten» ist mit «10 Überwachungsaufträge in den letzten 12 Monaten, welche zu einer rechtskräftigen Verurteilung geführt haben» zu ersetzen.

→ Art. 49 Abs. 1 lit. b VÜPF entsprechend anpassen

Art. 50 Abs. 1 lit. a VÜPF

«10 Überwachungsaufträge in den letzten 12 Monaten» ist mit «10 Überwachungsaufträge in den letzten 12 Monaten, welche zu einer rechtskräftigen Verurteilung geführt haben» zu ersetzen.

→ Art. 50 Abs. 1 lit. a VÜPF entsprechend anpassen

2) Verordnung über das Verarbeitungssystem für die Überwachung des Post- und Fernmeldeverkehrs (VVS-ÜPF)

Art. 3 VVS-ÜPF

Gemäss Art 6 BÜPF (Grundsatz) betreibt der Dienst ein Informatiksystem zur Bearbeitung der Daten, die im Rahmen der Überwachung des Fernmeldeverkehrs nach Artikel 1 Absatz 1 anfallen. Aufgrund der abschliessenden Aufzählung von Art. 7 BÜPF (Zweck des Verarbeitungssystems) dient dieses einzig dazu, die durch die Überwachung des Fernmeldeverkehrs gesammelten Daten entgegenzunehmen und den berechtigten Behörden zur Verfügung zu stellen, die Lesbarkeit und Sicherheit der durch die Überwachung des Fernmeldeverkehrs gesammelten Daten über einen längeren Zeitraum zu erhalten, Auskünfte über den Zugang zu Fernmeldediensten zur Verfügung zu stellen, Bearbeitungsfunktionen für die im System gespeicherten Daten anzubieten und die Geschäftsabwicklung und -kontrolle zu unterstützen. Art. 8 BÜPF regelt, welche Daten im Verarbeitungssystem abgelegt werden dürfen. In keiner Weise abgedeckt ist das Importieren von Daten aus Fremdquellen, wie dies an diversen Stellen der VVS-ÜPF vorgesehen ist. Anstatt eines Verarbeitungssystems für Daten, die im Rahmen der Überwachung des Fernmeldeverkehrs anfallen, sieht die VVS-ÜPF eine regelrechte Cloud vor, in welche Strafverfolgungsbehörden Fremddaten wie Sprachaufnahmen oder Geodaten importieren und auch Bemerkungen zum zu untersuchenden Fall anbringen können. Eine derartige Cloud hat der Gesetzgeber nicht vorgesehen, und dass auf dem Verordnungsweg statt eines Bearbeitungssystems von Fernmeldedaten eine regelrechte Arbeitsplattform für Strafverfolgungsbehörden geschaffen wird, kommt überhaupt nicht in Frage.

→ Art. 3 Abs. 1 lit. c streichen

→ Art. 3 Abs. 1 lit. f streichen

Wie bereits unter Art. 9 Abs. 3 E-VÜPF dargelegt wurde, schreibt die StPO in gewissen Konstellationen zwingend die sofortige Vernichtung der Überwachungsdaten vor. Dies findet in Art. 3 Abs. 3 E-VVS-ÜPF keinen Niederschlag,

→ Art. 3 Abs. 3: sofortige Löschpflicht bei Nichtgenehmigung und nach Verfahrenseinstellung oder Freispruch vorsehen

Art. 4 VVS-ÜPF

Wie bereits unter Art. 3 E-VVS-ÜPF ausführlich dargelegt wurde, sieht Art. 8 BÜPF keinen Import von Daten aus Fremdquellen vor.

→ Art. 4 Abs. 1 lit. e streichen

→ Art. 4 Abs. 2 streichen

Art. 5 VVS-ÜPF

Auch hier ist zu beachten, dass gemäss BÜPF kein Import von Fremddaten in das Informatiksystem zur Bearbeitung der Daten zulässig ist. Gemäss Bericht, Seite 6, ist sich der Bundesrat bewusst, dass das BÜPF keine gesetzliche Grundlage für gewisse Funktionen bereithält. Dennoch meint er, diese Funktionen seien zulässig, nur «weil die umstrittenen Funktionen zum Standardfunktionsumfang des vom Dienst ÜPF beschafften Fernmeldeüberwachungssystems gehören und gleichzeitig die bei fedpol und beim NDB vorhandenen Systemen über keine vergleichbaren Funktionen verfügen». So geht es nun wirklich nicht. Nach wir vor kann in einer Verordnung nicht legiferiert werden, was im übergeordneten Gesetz nicht vorgesehen ist, auch wenn der Dienst ÜPF eine tolle Software gekauft hat.

Bedenklich ist, dass offenbar ohne gesetzliche Grundlage eine Stimmdatenbank, analog zur DNA- oder Fingerabdruck-Datenbank, im Informatiksystem zur Bearbeitung der Daten angelegt werden soll, wie Art. 5 Abs. 1 lit. g E-VVS-ÜPF (Zuordnen einer Sprachaufnahme zu einer im System vorhandenen Stimme) erahnen lässt. Woher diese Stimmen kommen und wer alles Zugriff darauf hat, steht wohl im Manual der Software, die der Dienst ÜPF beschafft hat.

→ Alle Funktionen ohne ausdrückliche Grundlage im BÜPF sind unbrauchbar zu machen

→ Es ist sicherzustellen, dass absolut keine Fremd-Daten in das Informatiksystem zur Bearbeitung der Daten importiert werden können

→ Alle Kommentarfunktionen sind zu deaktivieren

Art. 7 VVS-ÜPF

Hier ist sicherzustellen, dass der Zweckartikel (Art. 1 Abs. 1 lit. a bis d BÜPF) zwingend eingehalten wird. Nicht zulässig ist beispielsweise die Zuteilung von Zugriffsrechten an Angestellte von Verkehrsbetrieben (Fundbüros), wie dies gegenwärtig der Fall ist.

→ Explizit alle Zugriffe ausschliessen, welche nicht durch Art. 1 BÜPF abgedeckt sind.

Art. 13 VVS-ÜPF

Der Zugriff ist nur ohne Bearbeitungsfunktionen gemäss Artikel 5 E-VVS-ÜPF zu gewähren.

→ Abs. 1 «mit sämtlichen Bearbeitungsfunktionen gemäss Artikel 5» streichen

Art. 14 VVS-ÜPF

Auch hier ist vorzusehen, dass durch die StPO zwingend vorgeschriebene sofortige Vernichtung von Überwachungsdaten gewährleistet ist.

→ sofortige Löschpflicht bei Nichtgenehmigung und nach Verfahrenseinstellung oder Freispruch vorsehen

3) Verordnung des EJPD über die Durchführung der Überwachung des Post- und Fernmeldeverkehrs (VD-ÜPF)

Art. 10 VD-ÜPF

Die Bestimmung von Abs. 3, wonach Anbieter von Fernmeldediensten mit reduzierten Überwachungspflichten, Anbieter abgeleiteter Kommunikationsdienste und Betreiber interner Fernmeldenetze Auskunftsgesuche innerhalb eines Arbeitstags beantworten müssen, ist unverhältnismässig. Es kann dieser Gruppe nicht zugemutet werden, eigens Personal anzustellen, um im unwahrscheinlichen Fall eines Auskunftsbegehrens des Dienstes ÜPF sofort reagieren zu können. Die Frist ist auf mindestens drei Arbeitstage zu verlängern.

→ Frist verlängern

Art. 12 VD-ÜPF

Es ist nicht nachvollziehbar, weshalb der Dienst ÜPF Echtzeitüberwachung rund um die Uhr innerhalb einer Stunde ab Eingang übermitteln, aber Deaktivierungsaufträge ausschliesslich während der Normalarbeitszeiten bearbeiten soll. Eine Echtzeitüberwachung ist ein starker Eingriff in die Persönlichkeitsrechte und muss sofort eingestellt werden, wenn die Voraussetzungen nicht mehr erfüllt sind. Ein Deaktivierungsauftrag benötigt auch keine Abklärungen, viel mehr muss lediglich ein bereits erteilter Auftrag storniert werden.

→ in Art. 12 Abs. 5 VD-ÜPF Erteilung des Deaktivierungsauftrags und Deaktivierung der Überwachung innert einer Stunde vorsehen

4) Verordnung des EJPD über das beratende Organ im Bereich der Überwachung des Post- und Fernmeldeverkehrs (VBO-ÜPF)

Gemäss Art. 5 Abs. 1 BÜPF kann das EJPD ein beratendes Organ einsetzen, dem Vertreterinnen und Vertreter des EJPD, des Dienstes, der Kantone, der Strafverfolgungsbehörden und der Anbieterinnen von Post- und Fernmeldediensten, eventuell auch des Nachrichtendienstes angehören. Aufgrund dieser Formulierung wären jeder dieser 5 Gruppen 20 % resp. den 6 Gruppen 16.7% der Sitze zuzuweisen. Diesem Erfordernis entspricht die VBO-ÜPF aber in keiner Weise. Die Vertreter des EJPD (inkl. Delegierte des Programms FMÜ) sind über- und die Anbieter von Post- und Fernmeldediensten untervertreten. Zudem sind die Vertreter der Kantone entweder aus dem Bereich Polizei oder Strafverfolgung.

Obwohl die Polizei in Art. 5 Abs. 1 BÜPF nicht als Gruppe aufgeführt ist, sind unter den 27 oder 28 Mitgliedern des beratenden Organs die Direktorin oder der Direktor sowie 2 bis 3 weitere Mitglieder des Bundesamtes für Polizei (fedpol), die Generalsekretärin oder der Generalsekretär der Konferenz der kantonalen Justiz- und Polizeidirektorinnen und -direktoren und die Präsidentin oder der Präsidenten sowie ein weiteres Mitglied der Konferenz der kantonalen Polizeikommandanten der Schweiz (KKPKS). Zusammen sind dies entweder 7 von 28 oder 6 von 27 Sitzen für die Polizei. Darüber hinaus hat gemäss Art 4 Abs. 2 E-VBO-ÜPF die Präsidentin oder der Präsident der KKPKS immer den Vorsitz des Lenkungsgremiums, gemäss Art 5 Abs. 2 E-VBO-ÜPF lädt die KKPKS zu den Sitzungen des Lenkungsgremiums ein und legt die Traktanden fest, und gemäss Art 12 Abs. 3 E-VBO-ÜPF entscheidet die Präsidentin oder der Präsident der KKPKS über die Klassifizierung sämtlicher Protokolle des Lenkungsgremiums und des Ausschusses. Demgegenüber totalisieren die Anbieter von Post- und Fernmeldediensten lediglich 4 Sitze ohne Funktion. Konsumenten- oder Bürgerrechtsvertreter, welche die Interessen der zu überwachenden Bevölkerung wahrnehmen könnten, fehlen ganz.

Die Zusammensetzung des beratenden Organs und die einseitige Konzentrierung der Macht bei der KKPKS entspricht nicht den Vorgaben von Art. 5 Abs. 1 BÜPF. grundrechte.ch lehnt die VBO-ÜPF daher vollumfänglich ab.

5) Verordnung über die Gebühren und Entschädigungen für die Überwachung des Post- und Fernmeldeverkehrs (GebV-ÜPF)

Neben der Überwachung der gesamten Bevölkerung an sich sind auch die Kosten, welche diese Überwachung verursacht, ein grosses Ärgernis. Die Entschädigungen für alle Mitwirkungspflichtigen müssen auf jeden Fall kostendeckend sein, weil sonst die zwangsüberwachten Kunden mit erhöhten Tarifen ihre Überwachung noch finanzieren müssen. grundrechte.ch begrüsst immerhin, dass mit der vorgesehenen moderaten Anpassung der Gebühren ein höherer Kostendeckungsgrad des Dienstes ÜPF erreicht werden soll. Die leichte Erhöhung der Tarife trägt hoffentlich dazu bei, dass weniger oft leichtfertig unverhältnismässige Überwachungsmassnahmen angeordnet werden. Wir schlagen zudem vor, als Lenkungsmassnahme in Artikel 3 Abs. 2 «Die Gebühren und Entschädigungen fallen auch dann an, wenn eine Überwachungsmassnahme angeordnet und durchgeführt, aber nicht genehmigt wurde.» mit «Wenn eine Überwachungsmassnahme angeordnet und durchgeführt, aber nicht genehmigt wurde, fallen die doppelten Gebühren und Entschädigungen an.» zu ersetzten. Auch halten wir einen Zuschlag für sinnvoll, falls eine Überwachungsmassnahme nicht zu einer Verurteilung, sondern zu einer Verfahrenseinstellung oder einem Freispruch führt.

Im Jahr 2016 haben Aargauer Behörden für einen einzigen Fall mit 48 Antennensuchläufen 30,000 Mobiltelefonnummern überprüft. Die Rechnung von 800,000 Franken wurde in der Folge beim Bundesverwaltungsgericht angefochten. Um derartige Leerläufe in Zukunft zu vermeiden, regen wir an, dass Überwachungsmassnahmen, welche voraussichtlich mehr als 100,000 Franken kosten, zusätzlich von der kantonalen Stelle mit der entsprechenden Finanzkompetenz genehmigt werden müssen. Ebenfalls regen wir an, dass alle Behörden, welche dem Dienst ÜPF Aufträge erteilen, ein Konto bei der Nationalbank führen müssen. Aufträge werden nur ausgeführt, wenn genügend Deckung vorhanden ist und sofort abgebucht .

Zusammenfassend lehnt grundrechte.ch die Verordnung des EJPD über das beratende Organ im Bereich der Überwachung des Post- und Fernmeldeverkehrs (VBO-ÜPF) in der geplanten Zusammensetzung vollumfänglich ab.

Zudem fordern wir

• dass der Annex 1 to the Ordinance of the FDJP und der Annex 2 to the Ordinance of the FDJP übersetzt und nochmals zur Vernehmlassung vorgelegt werden

• dass alle Überwachungsdaten bei Nichtgenehmigung und nach Verfahrenseinstellung oder Freispruch sofort gelöscht werden

• dass Deaktivierungsaufträge jederzeit innert einer Stunde ausgeführt werden

• dass die Statistik über Überwachungsmassnahmen mit besonderen technischen Geräten und besonderen Informatikprogrammen vollständig publiziert wird

• dass anstelle von Ausweiskopien nur Ausweisart und -nummer hinterlegt werden und alle amtlichen Ausweise zuzulassen sind

• dass Verbindungsdaten nach 6 Monaten gelöscht werden müssen

• dass keine Fremddaten in das Informatiksystem zur Bearbeitung importiert werden dürfen

• dass alle Funktionen des Informatiksystems zur Bearbeitung ohne ausdrückliche Grundlage im BÜPF unbrauchbar zu machen seien und

• dass die Entschädigungen für alle Mitwirkungspflichtigen kostendeckend sind.

Mit freundlichen Grüssen

Viktor Györffy, Präsident grundrechte.ch