BÜPF/VÜPF: “Staatstrojaner” künftig in beschränktem Masse erlaubt

Die rev­i­dierte Verord­nung über die Überwachung des Post- und Fer­n­melde­v­erkehrs (VÜPF) und die rev­i­dierte Verord­nung über die Gebühren und Entschädi­gun­gen für die Überwachung des Post- und Fer­n­melde­v­erkehrs (Gebühren­verord­nung ÜPF) wur­den gestern durch den Bun­desrat auf den 1. Jan­u­ar 2012 in Kraft geset­zt. Gle­ichzeit­ig legte der Bun­desrat die Grund­la­gen für die laufende Revi­sion des Bun­des­ge­set­zes betr­e­f­fend die Überwachung des Post- und Fer­n­melde­v­erkehrs (BÜPF).

Mit der Revi­sion der VÜPF soll sichergestellt wer­den, dass auch die neuen Kom­mu­nika­tion­s­mit­tel zur Klärung von schw­eren Straftat­en überwacht wer­den kön­nen. Die angepasste Verord­nung klärt, welche Dat­en der Mobil­tele­fonie und des Inter­nets von welchen Fer­n­melde­di­en­stan­bi­eterin­nen (FDA) an die Strafver­fol­gungs­be­hör­den auf Anord­nung liefern müssen.

So wer­den nicht alle Anbi­eterin­nen, son­dern nur Inter­net­zu­gangsan­bi­eterin­nen verpflichtet (d.h. Anbi­eterin­nen, die ihren Kun­den einen Inter­net­zu­gang respek­tive eine IP-Adresse zur Ver­fü­gung stellen). Reine Anbi­eterin­nen (z.B. von Chat‑, Blog- oder Com­mu­ni­ty­di­en­sten) sowie pri­vate Betreiberin­nen von Haus‑, Fir­men- oder anderen pri­vat­en Net­zen (z.B. WLAN, WIFI in Bahn­höfen, Flughäfen, Restau­rants oder Hotels) müssen keine Überwachun­gen ausführen.

Wer in den Gel­tungs­bere­ich der VÜPF fällt, ist grund­sät­zlich ver­ant­wortlich dafür, dass die Überwachung durchge­führt wer­den kann, muss aber die für die Überwachung nötige Infra­struk­tur nicht zwin­gend sel­ber beschaf­fen und die Überwachung auch nicht sel­ber durch­führen. Er kann einen Drit­ten beauf­tra­gen oder sich mit anderen zusam­men­schliessen. Den Nor­madres­sat­en wird eine Umset­zungs­frist von zwölf Monat­en eingeräumt.

In der eben­falls rev­i­dierten Gebühren­verord­nung ÜPF ist fest­gelegt, welche Gebühren die Strafver­fol­gungs­be­hör­den für die Überwachungsleis­tun­gen zu entricht­en haben und welche Entschädi­gun­gen die FDA für ihre Aufwen­dun­gen erhal­ten. Par­al­lel zu den Verord­nun­gen hat der Dienst „Überwachung Post- und Fer­n­melde­v­erkehr“ (ÜPF) die tech­nis­chen, organ­isatorischen und admin­is­tra­tiv­en Richtlin­ien über­ar­beit­et. Diese sind ab sofort erst­mals öffentlich im Inter­net einsehbar.

Derzeit laufen auch die Vor­bere­itun­gen für die Revi­sion des BÜPF, um die Frage der Überwachung neu zu struk­turi­eren und zu regeln. Der Bun­desrat hat das EJPD nun beauf­tragt, eine Botschaft zuhan­den des Par­la­ments zu erar­beit­en, und ver­schiedene Rich­tungsentschei­de getroffen.

So soll der Ein­satz von Infor­matikpro­gram­men (sog. Gov­ern­ment Soft­ware, kurz: Gov­Ware) gek­lärt wer­den, damit die Strafver­fol­gungs­be­hör­den auch ver­schlüs­selt über­mit­telte Dat­en (z.B. ver­schlüs­selte E‑Mails oder Skype) überwachen kön­nen. Der Bun­desrat will den Ein­satz der sog. „Staat­stro­jan­er“ aber nur für einen eng begren­zten Kat­a­log von Delik­ten erlauben, zu deren Ver­fol­gung auch die verdeck­te Ermit­tlung zuläs­sig ist (Art. 286 Abs. 2 StPO). Zudem sollen mit solchen Infor­matikpro­gram­men lediglich Dat­en aus dem Fer­n­melde­v­erkehr überwacht wer­den dür­fen. Online-Durch­suchun­gen von Com­put­ern und andere mögliche Anwen­dungszwecke sollen aus­geschlossen werden.

Fern­er ist geplant, im BÜPF festzule­gen, wer die Überwachun­gen durchzuführen bzw. zu ermöglichen hat. Schliesslich sollen die erhobe­nen Dat­en langfristig in einem zen­tralen Infor­matiksys­tem beim ÜPF gespe­ichert werden.

Siehe dazu auch die Erläuterun­gen zu den Verord­nungsre­vi­sio­nen sowie den Kom­men­tar von Mar­tin Steiger.