Medien kritisieren gerne die Privacy-Skandale von amerikanischen Big Tech-Unternehmen. Auch ich gehöre zu den Journalistinnen, die sich mit dem Einzug der amerikanischen Clouds in Verwaltungen und Schulen stets kritisch auseinandersetzt. Denn die Schweiz führt im Gegensatz zu EU-Staaten wie Deutschland oder Frankreich kaum eine Debatte über digitale Souveränität (abgesehen von der Westschweiz).
Doch im Zuge meiner Recherchen für die Serie “Surveillance Fédérale” wurde mir klar: Für meine journalistische Arbeit sind die Schweizer Überwachungsgesetze die viel grössere unmittelbare Gefahr als Google, wie ich auch am Winterkongress der Digitalen Gesellschaft ausführte. Also die Gesetze, die “im Namen der inneren und äusseren Sicherheit” teils massive Eingriffe in unsere digitale Privatsphäre legitimieren.
Konkret: Das BÜPF, das Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs. Und auch das NDG, das Nachrichtendienstgesetz. Ob nun durch die Kabelaufklärung, die Vorratsdatenspeicherung oder den Staatstrojaner: staatliche Überwachungsmassnahmen haben Konsequenzen für meine Kommunikation mit Informant:innen.
Also beschloss ich mich etwas vertiefter mit den Schweizer Internetdiensten und ihren potenziellen Risiken für meine Arbeit auseinanderzusetzen.
Was sind FDAs? Was sind AAKDs?
Die Schweizer Überwachungsgesetze verunmöglichen 100%-igen technischen Quellenschutz: Niemand kann mit Sicherheit davon ausgehen dass die digitale Kommunikation nicht in die Netze der Behörden geraten. Ob nun als “Beifang” (Kabelaufklärung) oder gezielt (Echtzeitüberwachung eines Informanten). Das Recht ist nicht auf der Seite der Bürgerinnen und schon gar nicht der Medienschaffenden, weswegen technischer Behelf wie sichere Ende-zu-Ende-Verschlüsselung umso wichtiger ist.
Das revidierte BÜPF, also das Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs, gilt schon seit circa 6 Jahren. Was die meist Medien – inklusive mir – kaum bisher beleuchtet haben, ist die Frage: Welche Schweizer Dienste müssen eigentlich welche Pflichten erfüllen? Und bedeutet das BÜPF nicht einen Standortnachteil für Schweizer Unternehmen generell?
Bevor wir diese Frage klären, müssen wir die verschiedenen Überwachungspflicht-Typen klären. Das Überwachung-Vokabular ist verwirrend.
Ich versuche das Begriffswirrwar etwas zu klären. Es gibt 4 Typen:
- FDA = Fernmeldedienstanbieter (wie zum Beispiel der Telekomkonzern Swisscom, aber auch reine Internet Access Anbieter). Aber auch “wer eine bestehende Infrastruktur nutzt (Netze von anderen Anbieterinnen, z. B. MVNO, Kabelnetzbetreiberinnen). So können auch reine Service Provider ohne eigenes Netz […] als Anbieterinnen von Fernmeldediensten bezeichnet werden“.
- FDA mit reduzierten Pflichten (einige bekannt, aber aus Fairnessgründen keine genannt).
- AAKD = Anbieterinnen abgeleiteter Kommunikationsdienste (wie zum Beispiel die Messenger-App Threema)
Aus dem BÜPF-Merkblatt heisst es dazu:
- AAKD mit erweiterten Pflichten (keine bekannt)
FDA und AAKDs mit erweiterten Überwachungspflichten können miteinander gleichgesetzt werden. Ein FDA muss beispielsweise Echtzeitüberwachungen durchführen, alle technischen Daten zu einem Kundenanschluss nennen sowie Vertragsdetails rausrücken und eine Vorratsdatenspeicherung von 6 Monaten machen. Auch jene hochgestuften AAKDs müssen 6 Monate lang alle Randdaten zu den Kunden aufbewahren.
Ebenso befinden sich FDAs mit reduzierten Pflichten auf einer Stufe mit den AAKDs, was Umsetzungspflichten angeht. Diese Unternehmen müssen gemäss Artikel 25 VÜPF alle verfügbaren Daten zu einer bestimmten gesuchten Person rausrücken.
Beim BÜPF existiert zum Beispiel der Überwachungstyp HD_30_EMAIL. Dieser verlangt also alle vorhandenen Metadaten des Emailverkehrs: die überwachte Person und die Randdaten ihrer Emailkommunikation, die verfügbar sind (und nicht vom Maildienst selber gelöscht wurden).
Es gibt keine hochgestuften AAKDs in der Schweiz
Um nun genauer zu wissen, welche AAKDs von diesen Aufbewahrungspflichten bezüglich Emailkommunikation betroffen sind, habe ich beim Dienst ÜPF nachgefragt. Dieser ist der Dienstleister für die Kantone, die Bundesanwaltschaft und fedpol. Er führt im Namen der Schweizer Strafverfolgungsbehörden zentralisiert die angefragten Überwachungen durch (die er vorher natürlich auf Rechtskonformität mit dem BÜPF überprüft).
Die Sprecherin Daniela Siegrist-Baumgartner antwortete:
“Die Pflicht Randdaten 6 Monate aufzubewahren, gilt nicht für AAKD, die keine erweiterten Mitwirkungspflichten haben.
Eine HD_30_EMAIL kann von den Behörden in Auftrag gegeben werden, auch wenn dies eine AAKD ohne erweiterte Pflichten betrifft, was die Behörden im Vorfeld nicht immer wissen. Eine AAKD ohne weitere Pflichten hat dann nur die bei ihr vorhandenen Daten zu liefern.“
Daniela Siegrist-Baumgartner, Dienst ÜPF
Hier eine Übersicht über die beliebtesten Email-Anbieter in der Deutschschweiz (Jahr der Erhebung 2022):
Welche bekannten Schweizer Emaildienste müssen nun als abgeleitete Kommunikationsdienste AAKDs mit erweiterten Pflichten ebenfalls 6 Monate die Daten ihrer Nutzer zwingend aufbewahren (analog wie das bei der Vorratsdatenspeicherung der Schweizer Telekom-Provider der Fall ist)?
Die gute Nachricht: es gibt zurzeit keine dedizierten Mailanbieter, die 6 Monate lang Randdaten speichern müssen. Ausnahmen sind natürlich: Swisscom, Sunrise und Salt. Deren Mailangebote fallen unter diese Pflicht. Ich würde daher davon abraten bluewin.ch oder sunrise.ch-Mailadressen für journalistische Recherche-Zwecke zu verwenden (also dieser Ratschlag ist adressiert an Medienschaffende aber auch Whistleblower:innen).
Der Dienst ÜPF schreibt konkret:
“AAKD mit erweiterten Pflichten gibt es noch keine, d.h. es wurde noch keine AAKD hochgestuft.“
Jean-Louis Biberstein, Dienst ÜPF
Doch das bedeutet nicht dass jene Unternehmen nicht auch so Daten über eine Kundin längerfristig aufbewahren, was offenbar teilweise aus Betriebs- und Sicherheitsgründen nötig ist. Ein Unternehmen antwortete mir zum Beispiel: “Wir speichern Protokolle (IP-Adresse des sendenden Servers, Absenderadresse, Empfängeradresse, E-Mail-ID, Datum und Uhrzeit der E-Mail) aus betrieblichen Gründen auf unseren Servern (Überwachung der Serverlast, Verbesserung der Anti-Spam-Maßnahmen, Zustellbarkeitsregeln usw.).“
Ich erwähne hier keine spezifischen Unternehmensnamen. Aus Fairnessgründen. Einige haben nämlich umfassend geantwortet auf meine Anfrage (inwiefern sie vom BÜPF betroffen sind und welchen Überwachungspflichten sie unterliegen und welche “Streits” sie gerade ausfechten mit den Behörden) und andere gar nicht (was im Umkehrschluss nicht bedeutet, dass sie keine Pflichten haben). Und der Dienst ÜPF möchte aus Rücksicht auf Betriebsgeheimnisse ebenfalls keine Namen nennen.
Deshalb werde ich im Folgenden nur Zahlen transparent machen.
Insgesamt wissen wir: 6 Fernmeldedienstanbieter (darunter sicher die “3 S”, Sunrise, Swisscom und Salt) unterstehen allen Pflichten des BÜPF und müssen viele technischen Kundendaten auf Abruf bereithalten für Kantone, fedpol und die Bundesanwaltschaft. Diese haben auch keine rechtliche Handhabe, um ein Downgrade zu beantragen und müssen die Vorratsdatenspeicherung sicherstellen.
800 Unternehmen haben Anspruch auf Überwachungs-Downgrade
Wird man vom Dienst ÜPF als Fernmeldeanbieterin oder AAKD mit erweiterten Pflichten hochgestuft, so kann das betroffene Unternehmen versuchen – wie das Genfer Unternehmen Proton – reduzierte Pflichten beantragen. Der Schweizer Emaildienst Proton hat sich vor Gericht erfolgreich dagegen gewehrt, als AAKD mit erweiterten Pflichten eingestuft zu werden. Er gilt seither “nur” als simpler AAKD, wie Mediensprecher Edward Shone bestätigt. Der Dienst ÜPF bestätigt auf Anfrage auch, dass nach dem Threema-Urteil des Bundesgerichts auf eine Eingabe beim Bundesgericht betreffend der Qualifizierung von Protonmail verzichtet wurde. Die Schweizer Messenger-App mit Sitz in Pfäffikon SZ hat ebenfalls erfolgreich das Upgrade zum vollwertigen FDA vermeiden können. Die Überwachungs-Einstufungen durch den Dienst ÜPF sind wenig nachvollziehbar, handelt es sich bei Threema meiner Ansicht nach um “klassische” Kommunikationsdienste.
Ein “FDA light” muss ebenfalls “nur” die vorhandenen Metadaten zu einer Person herausgeben.
“Eine FDA kann für ihren Dienst reduzierte Pflichten beantragen wenn sie a) ihre Fernmeldedienste nur im Bereich Bildung und Forschung anbietet; oder b) wenn sie weniger als 10 Überwachungen pro Jahr hat und weniger als CHF 100 Mio Jahresumsatz im spezifischen Bereich erreicht. Zirka 200 Mitwirkungspflichtige (MWP) haben von dieser Möglichkeit Gebrauch gemacht.“
Jean-Louis Biberstein, Dienst ÜPF
Gemäss des Diensts ÜPF gibt es derzeit 200 Schweizer “FDA lights” mit reduzierten Pflichten die damit einem normalen “AAKD” gleichgestellt sind. Im Klartext heisst das: Sie rücken bei Anfragen des Diensts ÜPF einfach das raus, was vorhanden ist und irgendwo “rumliegt”. Sie sind nicht verpflichtet, irgendwelche Daten darüber hinaus und auch auf Zeit aufzubewahren.
Das bedeutet: 200 Schweizer Fernmeldeanbieter bemühen sich erfreulicherweise darum, die Privatsphäre ihrer Kundinnen zu schützen und das Mass an Überwachungspflichten auf ein Minimum zu reduzieren (was ja auch aus wirtschaftlichen Gründen ein Wettbewerbsvorteil ist).
Doch was bisher unbekannt war, ist eine weitere interessante Aussage durch den Dienst ÜPF:
“Zusätzlich zu den genannten 200 sind uns zirka 800 weitere FDAs bekannt. Wir gehen davon aus, dass davon die meisten die Bedingungen, um reduzierte Pflichten zu erhalten, erfüllen. Jedoch haben sie bis jetzt keinen entsprechenden Antrag eingereicht. Es ist anzunehmen, dass sie den «Downgrade» nicht beantragt haben, weil sie schlichtweg vom Thema Fernmeldeüberwachung bisher nicht betroffen sind.“
Jean-Louis Biberstein, Dienst ÜPF
Somit könnten potenziell 800 Unternehmen mit Sitz in der Schweiz ein Downgrade auf “FDA light” beantragen ohne dass diese davon wissen! Die meisten davon dürfen das deswegen noch nicht gemacht haben, weil sie bisher noch keine Anfrage für Echtzeitüberwachung oder rückwirkende Überwachung erhalten haben (oder vielleicht nicht mal wissen, dass sie als FDA eingestuft sind).
Wachsam bleiben
Somit ein Appell an Schweizer Hosting-, Cloud-, Messenger-Provider & Internet Access-Anbieter:
Geht über eure Bücher und versucht euer Glück auf ein “Downgrade” beim Dienst ÜPF! Denn datenschutzbewusste Schweizer Einwohner:innen sowie Journalist:innen, Anwält:innen und auch Ärzt:innen müssen sonst auf ausländische Alternativen aussteigen.
Der Witz ist ja: Dienstleister wie Posteo.de oder eben auch Gmail unterliegen nicht den umfassenden BÜPF-Pflichten. (Wobei bei Zweiterem gibt es durchaus unternehmensinterne “Lawful Interception”-Officers, die die Anfragen der Schweizer Strafverfolgung bearbeiten. Allerdings nicht in dem Masse, wie es Schweizer Unternehmen tun müssen.)
Und es gilt weiterhin wachsam zu bleiben. Denn die laufende Revision der Verordnung zum BÜPF (VÜPF) ist noch nicht abgeschlossen. Der Dienst ÜPF bestätigt, dass hier die Kriterien zur Heraufstufung zum FDA und AAKD mit erweiterten Pflichten gerade überarbeitet werden.
Gut möglich dass sich Proton & Co erneut wehren müssen.
3 Antworten
Es ist absurd zu lesen, dass im Prinzip GMail sicherer ist als Bluewin, zumindest, wenn die Benutzer TLS und kein infiltriertes Gerät nutzen.
Je nach Definition von “Sicherheit”. Was die Staatssicherheit/schnüffelei betrifft, würde ich sagen: Leider ja.
Werden Schweizer Hochschulen als FDA eingestuft?