Das Wichtigste in Kürze

Per Anfang März trat das revidierte Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) in Kraft. Das Referendum dagegen war zuvor an zu wenig Unterschriften gescheitert.

Gewisse Daten zum Kommunikationsverhalten mussten Provider wie die Swisscom schon mit dem alten Büpf «auf Vorrat» speichern.

Nun zeigt eine SRF-Recherche, dass auch das Surfverhalten selber gespeichert werden muss, sprich: Wer wann auf welcher Website war.

Sie ist das ewige Reizthema beim «Gesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs» (Büpf): die sogenannte Vorratsdatenspeicherung. Sie ermöglicht es den Strafverfolgungsbehörden, auch Monate nach einer Tat noch herauszufinden, wer alles am Tatort war, oder mit welchen Personen ein Drogendealer telefoniert hat.

Damit verbunden ist auch die Speicherung sogenannter Randdaten, die bei der Internet-Kommunikation anfallen – über einen Zeitraum von sechs Monaten. Anders ausgedrückt: Wer zu welcher Zeit an welchem Ort Zugriff auf das Internet hatte.

Nun wird erstmals klar: Es muss unter Umständen auch gespeichert werden, welche Websites eine Person besucht hat. Das heisst: Die Aufzeichnung des gesamten Surfverhaltens in Mobilfunk- und WLAN-Netzen kann nötig werden.

Passend zum Thema Hinweis auf einen verwandten Artikel: Die Infografik zum BÜPF Wie die Überwachung funktioniert 07.03.2017 Mit Audio

Aufzeichnung als Nebeneffekt

Grund dafür ist ein Passus in den Ausführungsbestimmungen zum neuen BÜPF. Dieser fordert Provider explizit dazu auf, ihre Mobilfunk- und WLAN-Nutzer rückwirkend zu identifizieren. Das funktioniert jedoch nur lückenlos, wenn deren Surfbewegungen ebenfalls aufgezeichnet werden, wie die Recherche von SRF zeigt.

Gegenüber SRF bekräftigen verschiedene Provider, dass es ohne eine Speicherung der besuchten Websites gar nicht geht. So sagt Matthias Koch, CEO von Monzoon Networks, einem der grössten Schweizer Anbieter von öffentlichen WLANs: «Nur so ist es möglich, einen Nutzer im Straffall eindeutig zu identifizieren.» Eine andere technische Lösung sei ihm nicht bekannt. Und: Der Zwang zur Identifikation werde mit dem neuen BÜPF grundsätzlich schärfer – die Nichteinhaltung unter Strafe gestellt. «Neu hafte ich persönlich dafür, wenn wir das Gesetz nicht einhalten.»

Koch betont aber auch, dass die Daten auf einem sicheren Server im Inland gespeichert und nur auf richterlichen Beschluss herausgerückt würden – nicht wie in anderen Ländern, wo die Behörden ständig mithören könnten.

Wieso das Surfverhalten auch aufgezeichnet werden muss Textbox aufklappen Textbox zuklappen Ein konkretes Beispiel: Die Staatsanwaltschaft will herausfinden, wer auf einer Website einen Kreditkartenbetrug begangen hat. Zunächst hat sie nur die IP-Adresse des Täters, die sie aus den Server-Logs der betrogenen Website erhält – die Person dahinter ist noch unbekannt. Sie geht damit zum zuständigen Dienst ÜPF beim Bundesamt für Justiz. Dieser beauftragt wiederum den zugehörigen Provider, der IP-Adresse ein Gesicht zu geben – den Täter eindeutig zu identifizieren. Da die mögliche Anzahl IP-Adressen im Internet faktisch noch limitiert ist (IPv4-Protokoll), setzt der Provider in Mobilfunk- und WLAN-Netzen sogenannte NAT-Übersetzungsvorgänge ein: Verschiedene Personen können die gleiche IP-Adresse haben. Aus Sicht der betrogenen Website ist deshalb nicht ersichtlich, wer genau hinter der registrierten IP-Adresse steckt. Deshalb muss der Provider auch aufzeichnen, welche Websites jeder Kunde besucht hat – und das über die Dauer von sechs Monaten. Sonst kann er nicht in allen Fällen nachvollziehen, wer zu diesem Zeitpunkt auf der betrogenen Website war.

Die Swisscom sagt, dass sie abhängig ist von den Informationen, welche die Behörden über eine gesuchte Person liefern. Seien diese unvollständig, könne sie die Identifizierung nur vornehmen, wenn sie die besuchten Websites aller Nutzer mitspeichere. Ob eine entsprechende Speicherpflicht auch wirklich bestehe, sei für die Swisscom zur Zeit aber noch offen.

Auch die SBB, die an zahlreichen Bahnhöfen kostenlose WLAN-Hotspots unterhalten, bestätigen auf Anfrage: Sie seien gesetzlich dazu verpflichtet, die Verbindungsziele ihrer WLAN-Kunden zu speichern. Der Konzern verfolgt damit aber keinerlei Eigeninteressen, betont Mediensprecherin Franziska Frey.

Widerspruch zwischen Wunsch und Realität

Mediensprecher Nils Güggi vom zuständigen Dienst ÜPF, der beim Eidgenössischen Justiz- und Polizeidepartement (EJPD) angegliedert ist, bestätigt gegenüber SRF: «Es kann tatsächlich notwendig sein, dass die Provider die Verbindungsziele speichern müssen». Letztendlich seien sie gesetzlich dazu verpflichtet, der Identifikation nachzukommen.

Brisant: Eigentlich werden im erläuternden Bericht zu den Ausführungs-Bestimmungen des BÜPF, Link öffnet in einem neuen Fenster die Provider explizit dazu angehalten, die Speicherung der Verbindungsziele zu unterlassen. Die Formulierung sei jedoch lediglich ein «Wunsch» des Bundesrats und des Dienstes ÜPF, gibt Güggi zu bedenken. Man wolle nicht zu fest in die Wirtschaftsfreiheit eingreifen. Wie die SRF-Recherche aber zeigt, können bedeutende Provider diesem Wunsch in der Praxis offenbar nur schlecht nachkommen. Ein Widerspruch?

Datenschützer überlegt sich Gang vors Gericht

Der Eidgenössische Datenschutzbeauftragte (EDÖB) hatte sich im Konsultationsverfahren zum Gesetz stets gegen die Speicherung des Surfverhaltens ausgesprochen. Sprecher Francis Meier sagt dazu, der EDÖB sei nicht damit durchgedrungen, diese zu verbieten. Es bleibe bei einer Empfehlung. Er werde die Situation aber beobachten und gehe davon aus, dass einige Provider künftig darauf verzichten würden. «Der EDÖB hält sich offen, dies im Rahmen einer Kontrolle bei bestimmten Providern zu überprüfen und letztlich durch ein Gericht klären zu lassen.»

Schliesslich handle es sich um einen starken Eingriff in die Privatsphäre: Die Speicherung der Daten könne auf eine «Inhaltsüberwachung» hinauslaufen, die das Gesetz so nicht vorsehe. Und: «Aus unserer Sicht ist es nicht erforderlich, dass ein Provider diese Daten sammelt. Das bringt die Möglichkeit mit sich, dass er Bescheid weiss, welche Websites jemand konkret angesurft hat.» Was man nicht unbedingt sammeln müsse, solle man nicht sammeln.

«Eine Rasterfahndung wird möglich»

Für Erik Schönenberger, Geschäftsleiter der Digitalen Gesellschaft, die sich für Grundrechte im Internet einsetzt, bedeutet die faktische Speicherpflicht die Ausdehnung der Internetüberwachung auf Umwegen. «Neu können die Behörden nicht nur im echten Leben nachvollziehen, wer wann wo war, sondern uns auch im Internet auf Schritt und Tritt verfolgen.» Damit seien auch neue Auswertungen denkbar, zum Beispiel eine «Rasterfahndung» darüber, welche Personen eine einschlägige Website besucht hätten.

ÜPF-Mediensprecher Güggi relativiert: Direkten Zugriff auf die Daten hätten nur die Sicherheitsteams der Provider. Zumindest im Rahmen der geltenden gesetzlichen Bestimmung könnten die Behörden diese Daten nicht einsehen.