Über Bern braut sich ein perfekter Sturm zusammen. Auslöser sind die Pläne des Bundes, die staatliche Überwachung digitaler Kommunikation auszuweiten.
Am Dienstag endete die Vernehmlassung für das umstrittene Vorhaben. Es läuft unter der harmlos klingenden Bezeichnung VÜPF-Revision und betrifft vorrangig kleine und mittlere Unternehmen (KMU).
Um ganz genau zu sein, geht es um die Teilrevision von zwei Verordnungen zur Überwachung des Post- und Fernmeldeverkehrs (VÜPF und VD-ÜPF).
Tatsächlich drohen dadurch allen Bürgerinnen und Bürgern der Schweiz und dem gesamten Wirtschaftsstandort beträchtliche negative Folgen.
Kleine IT-Dienstleister wie der im Kanton Schwyz angesiedelte Messenger-Dienst Threema oder die Genfer Proton AG sollen in Zukunft denselben Überwachungspflichten unterworfen sein wie die Internet-Anbieter Swisscom, Sunrise und Salt und weitere Netzbetreiber.
Die ÜPF-Verantwortlichen haben gegenüber dem «Republik»-Magazin eingeräumt, dass sie die Ungleichbehandlung von Providern («Fernmeldedienstanbieter» genannt) und Firmen wie Threema («Anbieter abgeleiteter Kommunikationsdienste», AAD) beseitigen wollen.
Tech-Journalistin Adrienne Fichter wählt in ihrer diese Woche publizierten Analyse deutliche Worte. Die Vorlage klinge, als wäre sie vom Kreml verfasst worden. Betroffen wäre fast jede Website mit Chatfunktion.
Proton-Chef Andy Yen rechnet deshalb laut «Blick» mit Kosten in der Höhe von mehreren Millionen Franken. «Damit wären wir gegenüber Konkurrenten aus den USA und der EU sofort weniger wettbewerbsfähig.»
Die vom Bund geplante Teilrevision hätte jedoch nicht nur für die direkt betroffenen kleinen und mittleren Unternehmen (KMU) in der Schweiz massive negative Folgen, kritisiert der IT-Branchenverband SWICO:
Bis am Dienstag dieser Woche hatten alle interessierten Personen und Organisationen in der Schweiz Zeit, sich zu der umstrittenen Gesetzesänderung zu äussern.
Und damit sind wir beim springenden Punkt: Ginge es um ein neues Gesetz, würde zwingend das eidgenössische Parlament darüber befinden. Doch der Bund will die neuen Überwachungsmassnahmen auf dem Verordnungsweg einführen, also quasi durch die Hintertür.
Für die Digitale Gesellschaft Schweiz (DigiGes) stellt sich die grundsätzliche Frage, ob solch tiefgreifende Eingriffe ohne Behandlung im National- und Ständerat überhaupt zulässig sind. Das Legalitätsprinzip erfordere bei der Einschränkung von Grundrechten eine klare gesetzliche Grundlage. Und diese sei hier nicht gegeben.
Massive Bedenken kommen auch von der Internet Society Schweiz (ISOC-CH), sie warnt:
Für die Identifizierung der Nutzerinnen und Nutzer müsste gemäss «Republik» eine Ausweis- oder Führerscheinkopie vorgelegt oder zumindest eine Handynummer bekannt gegeben werden, die mit der SIM-Karten-Registrierung an eine Ausweiskopie gekoppelt sei.
Die Vorlage kommt aus dem EJPD, dem Eidgenössischen Justiz- und Polizeidepartement, das unter der Leitung des SP-Bundesrates Beat Jans steht.
Ihm ist der Dienst ÜPF (Überwachung Post- und Fernmeldeverkehr) unterstellt. Dabei handelt es sich um eine gemäss eigenen Angaben unabhängige Bundesbehörde, die zudem äusserst verschwiegen agiert. Und dies aus gutem Grund: Die am Eichenweg in Zollikofen BE arbeitenden Bundesangestellten nehmen eine äusserst heikle Aufgabe wahr: Sie überwachen die Bürger. Oder genauer: Sie überwachen die Kommunikation von Personen, die einer schweren Straftat verdächtigt werden.
Im digitalen Bereich geht es vor allem um Messenger-Dienste mit Ende-zu-Ende-Verschlüsselung. Sie gelten gemeinhin als abhörsicher. Auch wenn dies natürlich nicht zwingend stimmen muss. Denn die Strafverfolger und der Nachrichtendienst des Bundes (NDB) dürfen mit technischen Mitteln dagegenhalten. Sie können auf richterliche Genehmigung hin einen sogenannten Staatstrojaner bei verdächtigen Personen installieren und dadurch auch verschlüsselte Chats mitverfolgen.
Bezüglich der Motivation des Dienstes ÜPF ist zu sagen, dass die Ausweitung der staatlichen Überwachung wohl nicht nur auf «dem eigenen Mist» gewachsen ist. Gearbeitet wird im Auftrag der Strafverfolgungsbehörden. Von dort – ob in den Kantonen oder beim Bund – dürften entsprechende Begehrlichkeiten kommen.
Auch wenn bei der breiten Masse der Bevölkerung die abhörsichere digitale Kommunikation nicht angetastet werden soll: Die Metadaten – also zum Beispiel, wer wann mit wem chattet – sind sehr aussagekräftig.
Das hat mit den beunruhigend autokratischen, respektive demokratiefeindlichen Tendenzen der USA unter Präsident Donald Trump und andernorts zu tun.
SWICO-Chef Jon Fanzun:
Tatsächlich profitierte die Schweiz bislang im In- und Ausland von einem hervorragenden Ruf als sicherer Hafen für wertvolle Kundendaten. Allerdings ist diese weitverbreitete Meinung nicht zwingend durch Tatsachen gestützt. So verfügt etwa Deutschland über eine deutlich datenschutzfreundlichere Gesetzgebung.
Die Digitale Gesellschaft Schweiz hält fest:
Sollten sich innovative Firmen wie die Proton AG von der Schweiz abwenden, wäre dies ein herber Verlust. Und es könnte ein stark negatives Signal aussenden. Und dies ausgerechnet zu einer Zeit, in der in Europa eine Abkehr von den marktbeherrschenden US-Tech-Konzernen mit ihren datenhungrigen Diensten stattfindet.
Absolut störend ist in dem Zusammenhang, was die Tech-Journalistin Adrienne Fichter auf den Punkt bringt: Mit den geplanten Änderungen würden nicht nur kleinere Schweizer Unternehmen geschwächt. Insbesondere würden dadurch amerikanische Big-Tech-Konzerne wie Meta noch mächtiger. Denn: Für den Marktführer WhatsApp gelten die Schweizer Gesetze nicht. Dies habe ihr der Sprecher des Dienstes ÜPF bestätigt, so Fichter.
Anzumerken ist, dass verschiedene politische Parteien die vom Bund geplanten Überwachungsänderungen entschieden kritisiert haben. Die SVP etwa lehnt die Vorlage ab, weil sie unverhältnismässig sei und vor allem «ungerechtfertigt stark in die Wirtschaftsfreiheit eingreift». Es sei zudem unklar, welche Bedeutung die neue Regelung im internationalen Wettbewerb habe.
Auch die FDP, die Grünen, Grünliberalen und die SP kritisieren in Stellungnahmen den gefährdeten Datenschutz und die drohende Schwächung des Innovationsstandortes Schweiz und sprechen von unverhältnismässigen Eingriffen des Staats und unklaren Auswirkungen der geplanten Verordnungsänderungen. Die VÜPF-Revision falle in der Vernehmlassung komplett durch, fasst das IT-Newsportal inside-it.ch zusammen.
Dafür gibt es mehrere Gründe. Einerseits versuchte der Dienst ÜPF auch schon bei früheren Gelegenheiten, die staatlichen Überwachungsmassnahmen zu verschärfen. Andererseits wurde und wird unklar kommuniziert, was die Gegner in ihren Bedenken verstärkt.
Offenbar war die heftige Kritik diverser Akteure an der geplanten Teilrevision auch den Verantwortlichen beim Dienst ÜPF nicht mehr ganz geheuer. Jedenfalls organisierten sie Ende April eine Medienkonferenz und versuchten, die Änderungen als harmlos darzustellen.
Der stellvertretende Leiter des Dienstes ÜPF, Jean-Louis Biberstein, versuchte in der SRF-Sendung «Tagesschau» zu beschwichtigen. Er sagte: «Die Pflichten, die eine Anbieterin wie Threema heute hat, sind dieselben, die sie morgen [nach der Revision] haben wird.»
Bibersteins Aussage sei schlicht und ergreifend falsch, konterten die Verantwortlichen bei Threema. In einer am Folgetag verschickten Mitteilung erklärten sie:
Threema sei von Grund auf darauf ausgelegt, so wenige User-Daten wie technisch erforderlich zu erheben und diese nicht länger als unbedingt nötig zu speichern. Die Verantwortlichen warnen, die VÜPF-Revision würde sie zwingen, ihren «Privacy by Design»-Grundsatz aufzugeben, was für sie nicht infrage komme. Im Gegensatz zu Proton droht Threema nicht mit dem Wegzug ins Ausland, sollte die Verschärfung so kommen.
Das Verhalten des Dienstes ÜPF war auch schon in den Vorjahren nicht vertrauensfördernd, ruft die Tech-Journalistin Adrienne Fichter in Erinnerung. Den ersten Anlauf für eine Revision der Verordnung habe man bereits während der Corona-Pandemie gestartet. Und schon damals schossen die Verantwortlichen über das Ziel hinaus: In einem 2022 veröffentlichten Entwurf forderten sie die Abschaffung der Verschlüsselungen für viele Kommunikationsdienste. In Medienberichten war von einer Schweizer Version der EU-Chatkontrolle die Rede.
Anzumerken ist ausserdem, dass sich Proton und Threema in der Vergangenheit erfolgreich bis vor das Bundesgericht gegen die Verschärfung von Überwachungsmassnahmen gewehrt hatten. Darum liegt die Vermutung nah, dass die Verantwortlichen beim Bund nun mit der geänderten Taktik auf dem Verordnungsweg versuchen, kostspieligen juristischen Widerstand zu umgehen.
Es sei unklar, wie weit der Überwachungsdienst gehen werde, sollte die VÜPF-Revision durchkommen. Das beunruhigende vorläufige Fazit von Adrienne Fichter:
Beim Bund wird man die während der Vernehmlassungsfrist eingegangenen Rückmeldungen prüfen und bei Bedarf inhaltliche Anpassungen vornehmen.
Falls der zuständige Magistrat, Justizminister Beat Jans, nicht die Notbremse zieht, soll der Text schliesslich dem Gesamtbundesrat zur Genehmigung vorgelegt werden. Falls die Regierung die Revision tatsächlich verabschiedet, könnte sie schon im nächsten oder übernächsten Jahr in Kraft treten. Allerdings gibt es da noch einen gewaltigen Haken: Threema hat bereits angekündigt, in dem Fall eine Volksinitiative zu starten.
Ironie der Geschichte: Der Bund selbst hatte 2019 entschieden, von WhatsApp und Co. auf die sichere Schweizer Messenger-Alternative umzusteigen. Der Messenger wird unter anderem von der Armee genutzt. Aber auch von den Mitgliedern der Landesregierung.
Ketzerische Frage zum Schluss: Warum nimmt sich der Bund nicht mit vollem Elan den dringlichen Problemen an, bei denen es um den Schutz der Bevölkerung geht, wie etwa der Regulierung von Social Media?
Dabei wären wir nicht schlecht dabei. Aber wie immer - sorry für den Ausdruck - vög*ln wir uns selbst. Dieses Mal sogar mit Anlauf und Ansage.