Telekommunikationsanbieter müssen bei der Überwachung mitwirken – aber wer genau? Und welche Daten müssen sie herausgeben? Die neuen Regelungen bringen klare Verpflichtungen.
Was steckt hinter der Revision?
Der Bundesrat hat am 29. Januar 2025 die Vernehmlassung zur Teilrevision der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF) sowie der Verordnung des EJPD über die Überwachung des Post- und Fernmeldeverkehrs (VD-ÜPF) eröffnet. Ziel der Anpassung ist es, die Mitwirkungspflichten von Telekommunikationsanbietern klarer zu definieren und an die technologischen Entwicklungen anzupassen.
Diese Anbieter sind betroffen
Von den neuen Regelungen betroffen sind insbesondere Fernmeldedienstanbieterinnen (FDA) sowie Anbieterinnen abgeleiteter Kommunikationsdienste (AAKD). Als FDA gelten Unternehmen, die klassische Telekommunikationsdienste für die Öffentlichkeit bereitstellen, etwa Betreiber von Mobilfunk- und Festnetzen sowie Internetzugangsdiensten. Die AAKD hingegen sind Dienstleister, die Kommunikationsdienste erbringen, ohne eine eigene Fernmeldeinfrastruktur zu betreiben. Dazu gehören insbesondere Anbieter von Messaging-, VoIP- oder E-Mail-Diensten, wie beispielsweise WhatsApp, Signal oder Skype.
Neue Kategorisierung und Pflichten
Mit der Revision wird eine differenziertere Systematik der Überwachungspflichten eingeführt. Bei den FDA wird weiterhin zwischen solchen mit vollen Pflichten und solchen mit reduzierten Pflichten unterschieden. Anbieter mit vollen Pflichten müssen sämtliche behördlich angeordneten Überwachungsmassnahmen technisch umsetzen, entsprechende Schnittstellen bereithalten und die Kosten hierfür selbst tragen. Anbieter mit reduzierten Pflichten unterliegen geringeren technischen Anforderungen und müssen lediglich bestimmte Überwachungsmassnahmen ermöglichen, allerdings nicht in Echtzeit.
Für die AAKD sieht die Revision eine dreistufige Differenzierung vor. Anbieter mit minimalen Pflichten sind nur verpflichtet, grundlegende Identifikationsauskünfte zu erteilen, während Anbieter mit reduzierten Pflichten zusätzlich dazu verpflichtet sind, bestimmte Kommunikationsdaten auf behördliche Anordnung zur Verfügung zu stellen. Jene AAKD, die über eine Million Nutzerinnen und Nutzer oder einen Jahresumsatz von mehr als 100 Millionen Franken haben, gelten als Anbieter mit vollen Pflichten und müssen – ähnlich wie die FDA mit vollen Pflichten – aktiv an Überwachungsmassnahmen mitwirken und technische Schnittstellen bereithalten.
Verschlüsselung bleibt ein Knackpunkt
Besonders relevant ist die Präzisierung der Entschlüsselung von Daten. Diese Verpflichtung gilt jedoch nicht für Ende-zu-Ende-verschlüsselte Kommunikation – diese bleibt geschützt. Anbieter von Messengerdiensten oder vergleichbaren Plattformen, die keine Möglichkeit haben, auf die Inhalte der Kommunikation zuzugreifen, sind somit nicht verpflichtet, Verschlüsselungen aufzuheben. Hingegen betrifft die Pflicht zur Entschlüsselung insbesondere serverseitig verschlüsselte Inhalte, bei denen die Anbieter selbst Zugriff auf die Daten haben.
Einführung neuer Auskunfts- und Überwachungstypen
Neben der Neudefinition der Mitwirkungspflichten werden auch neue Überwachungs- und Auskunftsarten eingeführt. Unter anderem sollen bestimmte Anfragen zur Benutzeridentifikation standardisiert und rückwirkende Überwachungen erleichtert werden. Darüber hinaus soll bei Echtzeitüberwachungen die Möglichkeit geschaffen werden, nur einen Teil der Inhaltsdaten aufzuzeichnen, anstatt die gesamte Kommunikation zu überwachen.
Was bedeutet das für betroffene Unternehmen?
Die geplante Teilrevision der VÜPF und der VD-ÜPF stellt eine Anpassung an die aktuellen technischen und wirtschaftlichen Gegebenheiten dar. Sie hat unmittelbare Auswirkungen auf Fernmelde- und Kommunikationsanbieter, die ihre Compliance-Prozesse überprüfen und sich mit den neuen Anforderungen auseinandersetzen sollten. Wer sich nicht rechtzeitig darauf vorbereitet, riskiert Probleme bei der Umsetzung. Die Vernehmlassung bietet betroffenen Unternehmen und Interessenverbänden die Möglichkeit, bis zum 6. Mai 2025 zu den vorgeschlagenen Änderungen Stellung zu nehmen und sich aktiv an der Gesetzgebung zu beteiligen.
Quellen
- Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF, SR 780.1)
- Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF, SR 780.11)
- Verordnung des EJPD über die Durchführung der Überwachung des Post- und Fernmeldeverkehrs (VD-ÜPF SR 780.117)
- Medienmitteilung des Bundesrats vom 29. Januar 2025
- Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfahrens vom 8. Januar 2025
- Beitrag des EJPD: Pflichten der Mitwirkungspflichtigen