Auswertung des Internets zur Klärung von Straftaten: Fragen und Antworten zur Umsetzung des neuen Gesetzes (BÜPF)

Bis zum 29. Juni 2017 lief die Vernehmlassung zu den Verordnungen, die dafür sorgen, dass das totalrevidierte Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) angewendet werden kann. Das Gesetz wurde im März 2016 vom Parlament verabschiedet, ein Referendum dagegen kam nicht zustande. Ziel ist es, dass sich Straftäter nicht durch die Verwendung neuer Kommunikationstechnologien dem Zugriff der Strafverfolgungsbehörden entziehen können. Wir erklären, was sich für Internetnutzer z.B. beim Surfen über ein öffentliches WLAN in einem Café, in der Bahn oder in einem Hotel ändert – und was nicht.

Nein. Solche öffentliche WLAN-Hotspots sind weiterhin erlaubt. Aber Polizei und Staatsanwaltschaften sollen mit Genehmigung des Gerichtes bei der Klärung einer schweren Straftat auch die Kommunikation über solche Hotspots auswerten können. Das ist eines der Ziele des Gesetzes, welches das Parlament im März 2016 verabschiedet hat und gegen das kein Referendum zustande kam. Damit dieses Gesetz angewendet werden kann, müssen auch Internetnutzer identifizierbar sein, wie heute schon Telefon- und Handyabonnenten. Sonst können sich Kriminelle zu einfach in die Anonymität flüchten.

Für die Identifikation in WLAN gibt es heute bereits benutzerfreundliche, kostengünstige Lösungen, und es wird bspw. an Bahnhöfen, in Postautos oder an Flughäfen auch schon gemacht, z.B. per SMS-Bestätigungscode aufs Handy oder über das Ticket. Denkbar sind aber auch andere Identifizierungsmethoden (bspw. mittels Kreditkarte, Boardingpass am Flughafen oder mittels Voucher im Hotel, der mit der Zimmernummer verlinkt ist); eine Ausweiskopie, wie es verschiedentlich hiess, wird aber nicht verlangt. Und: Diese Identifizierungspflicht gilt nur für professionelle Internetanbieter. Wer sein WLAN selber betreibt, muss nichts machen. Auch nicht, wenn er das z.B. an einem Open-Air-Festival tut. Gleiches gilt für Restaurant- oder Hotelbesitzer, welche ihren Gästen ein WLAN zur Verfügung stellen.

Nein. Von einer Verschärfung kann keine Rede sein – im Gegenteil: Die Verordnung wurde nach der Vernehmlassung entschärft. Die Anliegen der Anbieter wurden dabei aufgenommen: Es wurden diverse Bestimmungen angepasst, Fristen verlängert und unklare Regelungen gestrichen. Insbesondere beim Thema der Identifizierung in WLAN. Hier geht es nicht um eine Überwachung, sondern einzig und allein darum, einen bestimmten WLAN-Nutzer anhand bestimmter Informationen (wie z.B. eine Handynummer), also indirekt, identifizieren zu können. In diesem Punkt haben wir die Bestimmungen nach der Vernehmlassung angepasst:

  • Die überarbeitete Verordnung, die den zuständigen Kommissionen zum vereinbarten Termin zur Konsultation zugestellt wurde, kommt gerade in diesem Punkt den Anliegen der Anbieter sehr weit entgegen, es gibt für sie zahlreiche Erleichterungen. 
  • So müssen etwa nur noch professionelle Anbieter von WLAN, z.B. an Bahnhöfen oder an Flughäfen, Daten speichern, damit bei Bedarf, auf Anordnung der Strafverfolgungsbehörden und nach richterlicher Genehmigung, Nutzerinnen oder Nutzer zur Klärung schwerer Straftaten identifiziert werden können. Solche Systeme, z.B. mit Identifikation via SMS oder Ticket, haben die Anbieter heute bereits im Einsatz.
  • Wer sein WLAN selber betreibt, muss nichts machen. Auch nicht, wenn er das z.B. an einem Open-Air-Festival tut. Gleiches gilt für Restaurant- oder Hotelbesitzer, welche ihren Gästen ein WLAN zur Verfügung stellen.

Für die Nutzerinnen und Nutzer selber, ändert sich gar nichts. Sie werden in ihrem Surf-Verhalten in keiner Weise eingeschränkt.

Hier geht es um ein Anliegen der Strafverfolgungsbehörden. Auf ihre Stellungnahmen in der Vernehmlassung geht die Einführung der "intelligenten Suchen" bei Auskünften, z.B. über Inhaber von Telefonnummern oder IP-Adressen, zurück. Damit kann vermieden werden, dass ein Polizist von Hand mehrmals verschiedene Schreibweisen eines Namens, also etwa Nils/Niels Güggi/Gueggi/Guggi etc., eingeben muss, sondern dass dies automatisiert erfolgt und z.B. Schreibfehler oder Umschreibungen aus anderen Alphabeten keine Auswirkungen auf das Resultat der Suche haben.

Nein. Privatpersonen, die ihren Internet-Zugang Drittpersonen zur Verfügung stellen, müssen niemanden überwachen und nicht extra Daten speichern, um diese der Polizei und der Staatsanwaltschaft für ihre Ermittlungen zur Klärung einer Straftat zur Verfügung zu stellen. Allerdings müssen sie vorhandene Informationen herausgeben, wenn die Staatsanwaltschaft sie per Verfügung beim Dienst ÜPF einfordert.

Nein. Wer seinen Internet-Zugang Drittpersonen zur Verfügung stellt, muss lediglich dulden, dass der Dienst ÜPF allfällig vorhandene Daten und Auskünfte verlangt. Der Dienst ÜPF tut dies nur dann, wenn Polizei und Staatsanwaltschaften Ermittlungen zur Klärung einer Straftat führen. Und wenn es um Überwachungen geht, muss das zuständige Gericht für diese Ermittlungshandlungen eine Genehmigung erteilen.

Wer eine SIM-Karte kauft, muss seinem Anbieter den Ausweis vorlegen, damit dieser davon eine Kopie machen kann. Die Identifizierung anhand eines Ausweises ist eigentlich schon heute Pflicht. Da einzelne Anbieterinnen aber heute diese Pflicht nicht immer korrekt wahrnehmen und Kunden auch auf Fantasienamen (wie z.B. Donald Duck aus Entenhausen) registrieren, wird neu nun verlangt, dass sie eine gut lesbare Ausweiskopie ablegen, damit Polizei und Staatsanwaltschaften diese Informationen bei ihren Ermittlungen zur Klärung einer Straftat verwenden können. Bei der Registrierung für ein WLAN braucht es weiterhin keinen Ausweis.

Nein, diese Angaben sind nur zu liefern, sofern der Anbieter sie sowieso schon hat. Extra speichern muss er sie nicht. Das ist schon heute so: Die Anbieter müssen solche Informationen herausgeben, wenn die Staatsanwaltschaft sie bei ihren Ermittlungen zur Klärung einer Straftat per Verfügung dazu auffordert. Durch die neue Regelung mit einem standardisierten Verfahren sinkt der Aufwand für die Anbieter und die Behörden.

Das neue Recht führt zu einer sehr weitgehenden Entlastung der Anbieterinnen in der Schweiz. Der Bundesrat hat sich bewusst für einen KMU-Schutz entschieden. Das neue Gesetz nimmt deshalb von den rund 650 Unternehmen nur noch rund 50 Anbieterinnen voll in die Pflicht, und zwar die grossen (ab 100 Mio. Umsatz). Die anderen, die kleinen, müssen lediglich dulden, dass der Dienst ÜPF nach Anordnung einer Strafverfolgungsbehörde und richterlicher Genehmigung die bei ihnen vorliegenden Daten beschafft und ihm dafür Zugang gewähren. Sie müssen also keine weiteren Vorkehrungen treffen und keinerlei Investitionen tätigen. Die kleineren FDA werden damit gegenüber dem geltenden Recht entlastet. 

Nein. Die Rechtskommissionen von Ständerat und Nationalrat werden konsultiert. Das EJPD hat ihnen die Verordnungen fristgerecht vorgelegt, damit sie dazu Stellung nehmen können. 

Die Verordnungen, die der Bundesrat in die Vernehmlassung geschickt hat, sorgen dafür, dass das Gesetz (das totalrevidierte BÜPF) angewendet werden kann, welches das Parlament im März 2016 verabschiedet hat und gegen das kein Referendum zustande kam. Bis Ende Juni 2017 lief die Vernehmlassung zu den Verordnungen, zurzeit werden die zuständigen Kommissionen des Parlaments konsultiert. Der Bundesrat wird wie üblich die Rückmeldungen auswerten und die einzelnen Bestimmungen noch einmal anschauen, bevor er die Verordnungen zusammen mit dem Gesetz in Kraft setzt. Genau dafür werden Vernehmlassungen und Konsultationen ja durchgeführt. 

Für diese Art der Identifikation in WLAN gibt es heute bereits benutzerfreundliche Lösungen und es wird bspw. an Bahnhöfen, in Postautos oder an Flughäfen auch schon gemacht, z.B. per SMS-Bestätigungscode aufs Handy oder über das Ticket. Denkbar sind aber auch andere Identifizierungsmethoden (bspw. mittels Kreditkarte, Boardingpass am Flughafen oder mittels Voucher im Hotel, der mit der Zimmernummer verlinkt ist); ein Ausweis wird bei dieser Art der indirekten Identifizierung nicht verlangt. Und: Diese Identifizierungspflicht gilt nur für professionelle WLAN-Anbieter. Wer sein WLAN selber betreibt, muss nichts machen. Auch nicht, wenn er das z.B. an einem Open-Air-Festival tut. Gleiches gilt für Restaurant- oder Hotelbesitzer, welche ihren Gästen ein WLAN zur Verfügung stellen.

Die Strafverfolgungsbehörden erhalten damit in den Fällen, in denen indirekt identifiziert werden muss, bspw. eine Handynummer, eine Kreditkartennummer, einen Boardingpass oder eine Zimmernummer. Mit diesen Angaben haben sie eine realistische Chance, herauszufinden, wer die Person ist, die das WLAN nutzt bzw. genutzt hat.

Für die Strafverfolgungsbehörden bedeutet das ein Fortschritt gegenüber heute, weil es bisher überhaupt keine Vorgabe gab, dass man sich in bestimmten WLAN irgendwie identifizieren muss. Überall dort, wo sich die Nutzer auch weiterhin nicht identifizieren müssen, bleibt aber eine Lücke. Wie erwähnt (siehe Frage 1) gilt diese Identifizierungspflicht nur für professionelle WLAN-Anbieter.

Weitere Infos

nach oben Letzte Änderung 01.09.2017