Das neue BÜPF: Ab heute gilts ernst

Heute Donnerstag trat das umstrittene, revidierte BÜPF Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs zusammen mit dessen Ausführungsverordnungen (VÜPF) in Kraft. Damit erhalte die Schweiz, wie es der Bund ausdrückt, «zeitgemässe, klare Rechtsgrundlagen» für die Verfolgung von Straftaten im Internet.

Auch wir haben im Vorfeld bereits verschiedentlich über das neue Gesetz berichtet und fragten uns 2015, ob ein Überwachungsstaat drohe und bezeichneten 2016 das BÜPF als Gefahr für den Internetstandort Schweiz. Ein Referendum gegen die Gesetzesrevision kam mangels genügend Unterschriften nicht zustande.

Trotzdem wurde das Gesetz an verschiedenen Ecken nochmal überarbeitet und im Vergleich zu den ersten Entwürfen in Teilen etwas abgeschwächt. Mit den ab 1. März 2018 geltenden, neuen Gesetzesbestimmungen sollen Strafuntersucher nun zum Beispiel bei besonders schweren Straftaten neu sogenannte «Government Software» einsetzen dürfen. Ein solcher «Staatstrojaner» darf bei bestimmten, schweren Straftaten eingesetzt werden und bedarf der Genehmigung des zuständigen Zwangsmassnahmengerichts. Damit soll verhindert werden, dass Überwachungen präventiv stattfinden können.

Ebenfalls neu gibt es eine Pflicht zur Identifizierung der Nutzer von öffentlichen WLANs. Hier hat der Bund entgegen seinen ersten Entwürfen nachgegeben: Hat die Identifizierungspflicht in den ersten Versionen noch für alle Betreiber gegolten, so sieht das jetzt in Kraft tretende Gesetz nur noch vor, dass kommerzielle Anbieter die Nutzer Ihrer WiFi’s identifizieren müssen. Wer also sein WiFi zuhause, im Hotel, in Bars und Restaurants oder gar am Open-Air selbst betreibt und das nicht an einen Anbieter auslagert, muss die verbundenen Nutzer nicht identifizieren.

Und was bedeutet das neue BÜPF für unsere Kunden?

Für die Anbieter sogenannt abgeleiteter Kommunikationsdienste, unter welche auch wir als Webhosting-Provider fallen, ändert sich glücklicherweise nur wenig. Maximalforderungen, wie eine automatische Auskunftserteilung oder die Installation von Anlagen, die es erlaubt hätten, Überwachungsaufträge automatisiert zu starten, sind, zumindest für uns, vom Tisch.

Allerdings haben wir eine allfällige Überwachung zu «dulden». Im Falle eines Falles müssten wir also Randdaten zur Kommunikation einer überwachten Person herausgeben, beispielsweise die E-Mail-Adresse des Empfängers, dem die überwachte Person eine E-Mail schreibt, oder die IP-Adresse des empfangenden oder sendenden E-Mail-Servers aus unseren Logfiles. NICHT herausgeben müssen wir jedoch den Inhalt der E-Mail-Korrespondenz. Dazu wären wir aber sowieso nicht in der Lage, da wir diese Daten – selbstverständlich – auch gar nicht aufzeichnen.

Im Extremfall müssten wir zudem gemäss Art. 27 Abs. 1 BÜPF eine Überwachung betreffend der Daten, welche die überwachte Person unter Verwendung abgeleiteter Kommunikationsdienste übermittelt oder speichert, durch den Dienst ÜPF oder durch dessen Beauftragte dulden. Auf gut Deutsch: Wird eine Überwachung in Echtzeit angeordnet, müssen wir diese zwar nicht selbst durchführen, wären wir in einem solchen Fall aber verpflichtet, der Behörde entsprechend Zugang zu «Gebäuden, Geräten, Leitungen, Systemen, Netzen und Diensten» zu gewähren, wie es in der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) heisst. Wir werden über solche Auskunftsanfragen auch in Zukunft in unserem jährlich erscheinenden Transparenzbericht informieren.