Am 1. März trat das umstrittene Bundesgesetz zur Überwachung des Post- und Fernmeldeverkehrs (BÜPF) in Kraft. Im Vorfeld besonders umstritten war die flächendeckende Überwachung von Bürgern und Firmen auf Vorrat, also ohne dass ein Verdacht vorliegen muss. Die Vorratsdatenspeicherung betrifft alle Bürger und Firmen, die Kommunikation über das Internet oder die Post nutzen – sprich die gesamte Bevölkerung.
Der Bundesrat und die Mehrheit des Parlaments argumentierten, das Sammeln von Kommunikationsdaten auf Vorrat sei verhältnismässig, da nur so genannte Metadaten gespeichert würden. Also nicht die Inhalte der Kommunikation, sondern beispielsweise mit wem man telefoniert oder E-Mails austauscht.
Nun zeigen Recherchen des SRF, dass die Internet- und Mobilfunkprovider weit mehr Daten von Bürgern und Firmen sammeln müssen, als der Bundesrat sagte. Konkret müssen Provider offenbar auch das Surfverhalten selbst speichern, sprich: wer wann auf welcher Website war.
«Die Aufzeichnung des gesamten Surfverhaltens in Mobilfunk- und WLAN-Netzen kann nötig werden», schreibt SRF. Das BÜPF verpflichtet Provider, ihre Mobilfunk- und WLAN-Nutzer rückwirkend zu identifizieren. Das funktioniere jedoch nur lückenlos, «wenn die Surfbewegungen ebenfalls aufgezeichnet werden», sagen betroffene Provider gegenüber SRF.
Die Swisscom sagt, sie sei abhängig von den Informationen, welche die Behörden über eine gesuchte Person liefern. Fehlen Angaben, könne man die Identifizierung einer verdächtigen Person nur vornehmen, wenn sie die besuchten Websites aller Nutzer mitspeichere. Mediensprecher Nils Güggi vom zuständigen Dienst ÜPF beim Bund bestätigt dies gegenüber SRF: «Es kann tatsächlich notwendig sein, dass die Provider die Verbindungsziele speichern müssen».
Ich finde das als Staatsbürger höchst bedenklich. Würden sämtliche Briefe im Briefkasten ungefragt geöffnet und gelesen, gäbe dies einen riesen Aufschrei. #BÜPF #Schweiz https://t.co/gTLg7D5JA6
— Christian Ginsig (@ginsig) March 2, 2018
Die SRF-Recherchen sind brisant: Denn eigentlich werden die Provider im Bericht zu den Ausführungsbestimmungen des BÜPF angehalten, die Speicherung der Verbindungsziele zu unterlassen. Nun zeigt sich, dass dies in der Praxis nicht (immer) funktioniert, wenn die Provider das Gesetz einhalten wollen.
Offenbar sammeln die Provider mehr Daten als im BÜPF vorgesehen ist, um auf der sicheren Seite zu sein. Die Provider könnten darauf verzichten, wenn sie das neue Internet Protokoll IPv6 nutzen würden. So könnten sie ihre Kunden anhand der IP-Adresse genau identifizieren und das Speichern von besuchten Webseiten wäre hinfällig.
Laut SRF überlegt sich der Eidgenössische Datenschutzbeauftragte den Gang vors Gericht, schliesslich handle es sich um einen starken Eingriff in die Privatsphäre.
Gewisse Daten zum Kommunikationsverhalten mussten Provider wie die Swisscom schon mit dem alten BÜPF aus dem Jahr 2002 für sechs Monate «auf Vorrat» speichern. Beispielsweise wer, wann mit wem kommunizierte. Wer sich wann und für welche Dauer ins Internet eingeloggt hat. Wer wann wem ein E-Mail oder SMS geschickt hat und wo sich der Handynutzer gerade befindet.
Die Direktüberwachung einer verdächtigen Person, sprich das Mithören von Telefongesprächen, abfangen von E-Mails etc., wird hingegen weiter nur durchgeführt, wenn dies von den Strafverfolgungsbehörden explizit beantragt wird.
Mit dem revidierten BÜPF wurde die Vorratsdatenspeicherung auf kleinere Provider und Anbieter öffentlicher WLANs wie etwa die SBB ausgeweitet. Wer das SBB-WLAN nutzt, muss damit rechnen, dass nicht nur Metadaten, sondern auch die besuchten Webseiten gespeichert werden.
Jungparteien von links bis rechts sowie netzpolitische Aktivisten wie der Chaos Computer Club oder die Digitale Gesellschaft wehrten sich gegen den Ausbau der staatlichen Überwachung. Das Referendum gegen das revidierte BÜPF scheiterte bereits bei der Unterschriftensammlung – mindestens 30'000 fehlten am Schluss.