VÜPF Stellungnahme des CCC

VÜPF - Anhörung zu den vorgeschlagenen Änderungen:

Stellungnahme des Chaos Computer Clubs Zürich (CCCZH)

Einleitung

Dem Namen nach soll die „Verordnung über die Überwachung des Post- und
Fernmeldeverkehrs“ die Überwachung des persönlichen Nachrichtenverkehrs
einer verdächtigen Person nach genehmigter Anordnung durch zuständige
Stellen regeln. Dabei wird gewollt der Eindruck vermittelt, dass es
hierbei nur um direkte und persönliche Kommunikation einer Person geht,
die einer Straftat verdächtigt und deren Kommunikation deshalb auf
Anordnung hin kontrolliert, archiviert und ausgewertet werden darf.

Auch wenn die zur Zeit gültige Fassung der VÜPF diese Massgaben durch
die sogenannte rückwirkende Überwachung mit der Vorgabe einer
verdachts-unabhän­gigen und langfristigen Speicherung von
Kommunikationsdaten in Bezug auf Email-Austausch und (Mobil-)Telefonie
schon erheblich aufweicht, öffnen die vorge­schlagenen Änderungen durch
ihre unklare und unbestimmte Formulierung – vor allem im Abschnitt 6:
Überwachung des Internets – einer Protokollierung sämtlicher
Internetnutzungen aller Anwender in der Schweiz Tür und Tor. Dem
Vorsatz, zu einer transparenteren Überwachungs-Praxis beizutragen und
mehr Rechtssicherheit auch für involvierte Firmen wie
Internet-Service-Provider (ISP) zu bieten, tragen die vorgeschlagenen
Änderungen aus unserer Sicht in keiner Weise Rechnung.

Für den Chaos Computer Clubs Zürich (CCCZH), der sich den Idealen der
informationellen Selbstbestimmung verpflichtet fühlt, ist diese
Entwicklung deshalb bedenklich und konsequent abzulehnen. In den
nachfolgenden Abschnitten werden die einzelnen Kritikpunkte an den
vorgeschlagenen Änderungen der VÜPF näher ausgeführt. Basierend auf der
Kern-Kompetenz des CCCZH, die technischen und politischen Entwicklungen
in der digitalen Welt zu begleiten, liegt der Schwerpunkt der Kritik in
den Regelungen zum Abschnitt 6: Überwachung des Internets. Kritische
Anmerkungen zu anderen Abschnitten der Verordnung sind in einem
abschliessenden Kapitel zusammen gefasst.

Abschnitt 6: Überwachung des Internets

Art. 23 Überwachungsanordnung

  • Internet-Anbieterin

In Art. 23 Bst. f wird in der Überwachungsanordnung auf die
involvierte Internet-Anbieterin verwiesen, die in die Überwachung
eingebunden und für die Übermittlung der Informationen an die
überwachende Stelle zuständig ist. Nach Glossar ist unter einer
Internet-Anbieterin im Sinne des VÜPF eine Firma zu verstehen, die
kommunikations-basierte IP-Dienstleistungen im Sinne des
Fernmeldeverkehrs (fernmeldetechnische Übertragungen) wie zum Beispiel
VoIP (Internet-Telefonie) oder Email anbietet und deshalb unter die
Regelungen und Anordnungen der VÜPF fällt, ohne selbst
Internet-Zugangsanbieterin sein zu müssen.

Diese Definition geht von der Annahme aus, dass für einen Dienst (z.B.
VoIP) auch nur eine Internet-Anbieterin zuständig ist, über die der
Dienst abgewickelt wird und die daher auch in der Lage ist, die
geforderten Informationen an die überwachende Stelle zu übermitteln.

Auf Grund der technischen Abläufe bei einer VoIP-Kommunikation (SIP
für den Verzeichnisdienst und RTP für die Nutzdatenübertragung) ist dies
aber in der Regel nicht der Fall: Die VoIP-Anbieterin verwaltet nur die
Benutzerkonten und stellt einen Verzeichnisdienst (ähnlich einem
Telefonbuch) zur Verfügung; ob ein VoIP-Gespräch nach einem Lookup
(Nachschlagen im Verzeichnis) auch wirklich stattfindet, wann es beginnt
und wie lange es dauert oder gar welchen Inhalt das Gespräch hat, kann
die VoIP-Anbieterin technisch nicht bestimmen und daher auch nicht
übermitteln, da die Daten mittels RTP an ihr vorbei übertragen werden
(ähnlich dem Datentransport in einen P2P-Netzwerk wie z.B. Torrent).

Eine Überwachung von VoIP-Gesprächen erfordert daher sowohl die
koordinierte Überwachung zwischen der VoIP-Anbieterin (SIP) und dem
Internet-Zugangsan­bieter (RTP) (im Falle einer Echtzeitüberwachung) als
auch weitergehenden technischen Aufwand (D/SPI, Deep/Stateful Packet
Inspection) bei einer Überwachung/Protokollierung/Archivierung des
gesamten Internet-Verkehrs aller Nutzer beim Internet-Zugangsanbieter
(rückwirkende Überwachung). Die sich daraus ergebende Totalüberwachung
beim Internet-Zugang ist aus Sicht des CCC konsequent abzulehnen, da sie
Privatsphäre und informationelle Selbstbestimmung verletzt.

Ähnliche Massnahmen (Totalüberwachung) wären auch notwendig, wenn zu
über­wachende Personen VoIP- und/oder Email-Dienste bei ausländischen
Anbietern nutzen. Da sich die erwünschen Überwachungsdaten auch in
diesem Fall nur durch aufwendige Analyse des gesamten Internetverkehrs
am Internet-Zugang ermitteln lassen, ist auch dies aus Sicht des CCCZH
konsequent abzulehnen.

  • Adressierungselemente

In Art. 23 Bst. g wird festgelegt, das die Überwachungsanordnung
bestimmte technische Adressierungselemente wie zum Beispiel
MAC-Adressen, IMSI- und IMEI-Nummern enthalten sollte. Im Glossar der
Verordnung wird in Bezug auf diese Adressierungselemente der Eindruck
erweckt, als wären diese Elemente unver­änderbare und damit
identifizierende Merkmale der verwendeten Kommunikations-Endgeräte wie
Computer und Handy und somit ihrer Benutzer.

Tatsächlich lassen sich diese Werte aber mit vorhandenem technischen
Know-How und vertretbaren Aufwand auf der heute gängigen Hardware
verändern. Damit ist die Gefahr gegeben, dass verdächtige Kriminelle
diese Adressierungs­elemente absichtlich verändern, um ihre
Kommunikation zu verschleiern und damit gewollt oder ungewollt
unbeteiligte und unschuldige Dritte in den Verdacht einer Straftat
bringen und zum Ziel einer Überwachung werden lassen, da ISPs nach
diesen Angaben Kommunikations- und Inhaltsdaten filtern, sammeln und an
die überwachende Behörde weiterleiten.

Fall-Szenario: MAC-Adressen sind z.B. im Falle einer WiFi-Verbindung
mit einem offenen WLAN-Hotspot (z.B. einem Access Point (AP) in einem
Hotel) das einzig zu Verfügung stehende Adressierungselement, um ein
Endgerät und damit einen Nutzer zu identifizieren. Wird in einem solchen
Fall das Netz zur Begehung von Straftaten verwendet (z.B.
Kinderpornographie), kann aus der IP-Adresse des AP-Betreibers und
dessen Logdateien bestenfalls die MAC-Adresse des Endgeräts ermittelt
werden. Wird daraufhin durch eine Überwachungsanordnung der gesamte
zukünftige WiFi-Verkehr überwacht, der von dieser MAC-Adresse aus
geführt wird, können dabei wie oben beschrieben die
Persönlichkeitsrechte unschuldiger Dritter verletzt werden. Dies ist aus
Sicht des CCCZH konsequent abzulehnen.

Art. 24 Überwachbare Internetzugänge und Anwendungen

  • Überwachbare Internet-Zugänge

In Art. 24 Abs. 1 Bst. f werden explizit Zugänge über OSI Schicht
3 erwähnt. Dies ist technisch redundant, da unter Art. 24 Abs. 1 Bst.
e
bereits Zugänge nach OSI Schicht 2 erwähnt sind und OSI Schicht 3
notwendigerweise OSI Schicht 2 voraussetzt.

Das explizite Aufführen von OSI Schicht 3 wäre nur verständlich, wenn
damit auch Internet-Verkehr, dessen physikalischer Zugang nicht in der
Schweiz stattfindet, ebenfalls unter die Regelungen des VÜPF fallen
soll. Dies würde aber bedeuten, dass auch Angehörige fremder Staaten von
den Massnahmen der Vorratsdatenspeicherung (rückwirkende Überwachung)
betroffen sein können und dass die Schweiz damit das
Territorialitätsprinzip verletzt. Dies ist aus Sicht des CCCZH
konsequent abzulehnen.

  • Überwachbare Internet-Anwendungen

In Art. 24 Abs. 2 Bst. b wird aufgeführt, dass zu den
überwachbaren Anwendungen im Internet sogenannte Multimedia-Dienste
gehören.

Entgegen den Erklärungen des erläuternden Berichtes zu den geplanten
Änderungen an der VÜPF, der unter dieser Kategorie nur explizit
Internettelefonie-Systeme wie Skype aufführt, besagt das allgemeine
Verständnis von Multimedia aber etwas viel umfassenderes: „Der Begriff
Multimedia bezeichnet Inhalte und Werke, die aus mehreren, meist
digitalen Medien bestehen: Text, Fotografie, Grafik, Animation, Audio
und Video.“ Nach dieser Definition ist jede Webseite im Internet oder
jeder andere über das Internet angebotene Dienst ein Multimedia-Dienst
und der Zugriff auf diese Inhalte kann nach VÜPF auch überwacht werden.
Da hier rückwirkende Überwachung nicht explizit ausgenommen ist, kann
jeder ISP dazu verpflichtet werden, alle besuchten URLs aller seiner
Internet-Kunden zu protokollieren, zu archivieren und auf Verlangen an
die überwachenden Behörden auszuhändigen. Diese Totalüberwachung ist aus
Sicht des CCCZH konsequent abzulehnen.

Art. 24a Überwachungstypen (Echtzeit)

  • Totalüberwachung

In Art. 24a Bst. a wird die vollständige Weitergabe aller Daten,
die über einen überwachten Anschluss übermittelt werden, zu einem
erlaubten Überwachungstyp erklärt.

Diese Totalüberwachung steht in direktem Widerspruch zu den
Ausführungen in Art. 24 Abs. 2 Bst. b, der die überwachbaren
Anwendungen definiert, einschränkt und keine Ausnahmen festlegt. Es
liegt nur dann kein Widerspruch vor, wenn unsere Einwände gegen die
unklare Formulierung „Multimedia-Dienst“ als generischer
Internet-Traffic hier genauso verstanden werden.

  • Adressierungselement

In Art. 24b Bst. b Zif. 5 wird ebenfalls auf die Protokollierung
und Weitergabe von Adressierungselementen wie MAC-Adresse, IMSI- oder
IMEI-Nummer verwiesen.

Die zum Art. 23 Bst. g vorgetragenen Einwände (leichte
Manipulierbarkeit dieser Informationen und damit einhergehende
Kompromittierung unschuldiger Dritter) sind hier ebenfalls gültig.

  • Inhalt der Kommunikation'

In Art. 24a Bst. c wird die Überwachung und Weitergabe des
Inhaltes in Bezug auf eine überwachte Anwendung nach Art. 24 Abs.
2
festgeschrieben.

Durch die unklare Definition des Begriffes „Multimedia-Dienst“ in
Art. 24 Abs. 2 Bst. b kann dies dazu führen, dass der Inhalt der
gesamten Internet-Nutzung überwacht werden kann und dann eine identische
Situation wie Art. 24a Bst. a (Totalüberwachung) bedeutet. Dies
ist aus Sicht des CCCZH konsequent abzulehnen.

Art. 24b Überwachungstypen (rückwirkend)

Rückwirkende Überwachung basiert auf der verdachtsunabhängigen
Speicherung der Kommunikationsdaten aller Internet-Nutzer durch die
Internet-Service-Provider (ISPs). Die Verordnung verpflichtet ISPs, die
Kommunikationsdaten aller Kunden ohne genehmigte Anordnung oder eines
begründeten Straftatverdachtes über einen Zeitraum von mindestens sechs
Monaten zu archivieren und auf Verlangen den zuständigen Behörden
auszuhändigen.

An dieser Stelle kann nur die schon in Bezug auf Art. 24 Abs. 2 Bst. b
geäusserte Kritik wiederholt werden: durch die unklare Formulierung des
Begriffes „Multimedia-Dienst“ kann nach geplanter VÜPF jeder ISP dazu
verpflichtet werden, alle besuchten URLs aller seiner Internet-Kunden zu
protokollieren, zu archivieren und auf Verlangen an die überwachenden
Behörden auszuhändigen. Diese Form der Vorratsdatenspeicherung halten
wir mit den Grundsätzen der informationellen Selbstbestimmung für
unvereinbar. Zudem sind die ISPs für die Vertraulichkeit der
gespeicherten Daten verantwortlich. Zahllose Fälle von Datendiebstahl
durch interne oder externe Verursacher haben immer wieder deutlich
gezeigt, dass Firmen dieser Verantwortung nicht oder nur ungenügend
nachkommen können. Der kommerzielle Nutzen der Kommunikationsdaten
sollte in diesem Zusammenhang nicht unterschätzt werden – nicht nur für
Firmen im IT/TK-Umfeld.

Art. 25 Durchführung der Überwachung

  • Berufsgeheimnisträger

In Art. 25 Abs. 2 wird die widerrechtliche Speicherung von
Kommunikationsdaten und -inhalten für den Fall erzwungen, dass die
Überwachung einer bestimmten Person auf Grund ihres Berufsstandes ohne
besondere Ausnahmegenehmigung nicht möglich ist und diese
Ausnahmegenehmigung nicht vorliegt.

Die Formulierung, „der Dienst zeichnet die Daten auf und
benachrichtigt die Genehmigungsbehörde“ schreibt einen nicht zumutbaren
Zustand für die betroffene Person und den ISP fest, der die Daten an den
Dienst liefern muss. Es wird an keiner Stelle darauf verwiesen, in
welchem Zeitraum die nachträgliche Genehmigung zu erteilen ist noch was
mit den Daten (und daraus vielleicht schon gewonnener Kenntnisse)
passiert, wenn die Genehmigung nicht erteilt wird. Diese
Rechtsunsicherheit ist aus Sicht des CCCZH konsequent abzulehnen.

  • ausserordentliche Überwachung

In Art. 25 Abs. 5 wird auf „Überwachungsmassnahmen, die nicht
explizit in dieser Verordnung aufgeführt sind“ verwiesen. In diesem Fall
wird der gesamte „Fernmeldeverkehr der überwachten Person in Echtzeit
und permanent zum Verarbeitungszentrum übertragen“. Nähre Modalitäten
dieser Überwachungsform werden in den Änderungen nicht beschrieben,
sondern „vom Dienst geregelt“.

In den Erklärungen des erläuternden Berichtes zu den geplanten
Änderungen an der VÜPF wird hier mit der „in Anlehnung an die jahrelange
durch Gerichte gestützte Praxis“ argumentiert. Wenn tatsächlich Gerichte
heute schon Überwachungsmassnahmen verfügen, die nicht durch die VÜPF
abgedeckt sind, stellt sich uns die Frage, auf welcher gesetzlichen
Grundlage diese Anordnungen erlassen werden und warum es dann überhaupt
eine VÜPF braucht?

Art. 27 Auskünfte über Internet-Teilnehmerinnen und -Teilnehmer

In Art. 27 Abs. 1 werden die ISPs verpflichtet, dem Dienst
verdachtsunabhängig und ohne weitere Anordnungen oder Genehmigungen
Informationen über ihre Internet-Kunden auszuhändigen.

Aus unserer Sicht kann eine solche Anfrage nur nach Genehmigung durch
eine zuständige Behörde zulässig sein. Die Informationen, die der Dienst
von den ISPs im Rahmen dieser Verordnung einfordern darf, können sehr
schnell die Privatsphäre von Personen berühren, die als unbeteiligte
Dritte nicht legitimes Ziel einer Überwachungsmassnahme sind oder werden
dürfen. Diese Regelung ist daher aus Sicht des CCCZH konsequent
abzulehnen.

Kritik zu Artikeln in anderen Abschnitten

Art. 8 Verarbeitungszentrum

  • Datensicherheit

Die VÜPF sieht vor, dass der zuständige Dienst im EJPD ein
Verarbeitungszentrum für die Daten aus der Überwachung des
Fernmeldeverkehrs einrichtet. Die im Zentrum archivierten Daten werden
rund um die Uhr denjenigen Behörden zugänglich gemacht, die als
Empfängerinnen der Überwachungsdaten vorgesehen sind.

Eine zentrale Speicherung der durch Überwachung gewonnen sensiblen
Daten ist aus Sicht des CCCZH indiskutabel, da jedes System für internen
oder externen Verlust von Daten anfällig ist, der weder durch technische
noch organisatorische Massnahmen vollständig verhindert werden kann
(siehe dazu auch Anmerkungen zum Art. 24b).

  • Einsicht in nicht-öffentliche Verzeichnisse

Der Dienst führt schliesslich für die Strafverfolgungsbehörde ein System
zur Vermittlung von Auskunftgesuchen über Fernmeldeanschlüsse ein.
Dieses System wird besonders die Erteilung von Auskünften über
Anschlüsse ermöglichen, die in den öffentlichen Verzeichnissen der
Fernmeldeanbiter nicht zu finden sind (siehe auch Art. 27).

Dies gilt es aus Sicht des CCCZH konsequent abzulehnen. Es ist nicht
nachvollziehbar zu erkennen, welche vermuteten Straftaten eine
Einsichtnahme in diese Informationen und somit einen massiven Eingriff
in die Privatsphäre rechtfertigen, d.h. ob beispielsweise ein einfacher
Verdacht auf Steuerbetrug dafür ausreicht.

Art. 9 Datensicherheit

Nach Art.9 Abs. 2 sind die Anbieterinnen von
Kommunikationsdienstleistungen bei den Anordnungen zur Überwachung für
die Datensicherheit der Überwachungsdaten bis zur Übergabe an den Dienst
selbst verantwortlich.

Die zu Art. 24b geäusserte Kritik, dass keine technische oder
organisatorische Massnahme den Verlust der Daten vollständig verhindern
kann, gilt hier ohne Einschränkung.

Da zusätzlich nach Art. 2 Abs. 2 Bst. c des Datenschutzgesetzes
der Datenschutz für die Daten aus einer Überwachung nicht anwendbar ist,
wird die nicht-intentionale Nutzung der Daten durch den Anbieter (zum
Beispiel für eigene kommerzielle Interessen) nicht explizit
ausgeschlossen. Dies ist aus Sicht des CCCZH konsequent abzulehnen.

Art. 17 Abs. 2 Berufsgeheimnisträger

Die zum Art. 25 Abs. 2 geäusserte Kritik gilt auch für die
entsprechenden Artikel in Bezug auf (Festnetz- und Mobil-)Telefonie.
Interessanterweise gilt die Regelung, den speziellen Schutz der
Kommunikation von Berufsgeheimnisträger bei einer Überwachung ohne
spezielle Genehmigung zu ignorieren, nicht für den (physikalischen)
Postverkehr.

Abschliessende Bewertung

Abschliessend ist aus Sicht des CCCZH folgendes festzustellen:

  1. Bei der Echtzeitüberwachung kann ohne Einschränkung, d.h. ohne
    an die konkreten Vorgaben dieser Verordnung oder des zugrunde
    liegenden Bundesge­setzes gebunden zu sein, der gesamte Telefonie-
    und Internetverkehr einer ver­dächtigen Person auf Anordnung
    überwacht und gespeichert werden. Dieses Vorgehen unterliegt dabei
    offensichtlich keiner Kontrolle durch unabhängige Stellen, sondern
    obliegt allein der genehmigenden Behörde bzw. dem zuständigen Dienst
    beim EJPD. Auch die Regelungen zur Überwachung von
    Berufsgeheimnisträgern ohne spezielle Genehmigung ist unserer
    Meinung nach eine untragbare Regelung. Dies mit einer „jahrelangen
    Praxis“ zu rechtfertigen, scheint aus Sicht des CCCZH fragwürdig und
    ist deshalb insgesamt konsequent abzulehnen.
  2. Bei der rückwirkenden Überwachung (Vorratsdatenspeicherung) wird
    durch unpräzise Formulierungen einer Totalüberwachung aller
    Internetnutzer durch Protokollierung aller Internet-Aktivitäten bei
    Dienste-Anbieterinnen Tür und Tor geöffnet. Die sich dadurch
    zwangsläufig ergebende Profilerstellung und der unkontrollierbaren
    Nebennutzung dieser Informationen ist aus Sicht des CCCZH mit der
    informationellen Selbstbestimmung nicht zu vereinbaren und deshalb
    konsequent abzulehnen.