Close
Wonach suchen Sie?
Seite durchsuchen

8. November 2021

Auch E-Mail-Dienst unterliegt nur eingeschränkter Fernmeldeüberwachung

Gemäss Schweizerischem Bundesverwaltungsgericht bietet die Proton AG mit ihrem E-Mail-Dienst keine Fernmeldedienste an. Damit bestätigt das Gericht die kürzlich bereits vom Bundesgericht vorgenommene Beschränkung der Mitwirkungspflichten der Anbieterinnen von OTT-Diensten bei der Überwachung des Fernmeldeverkehrs ihrer Nutzer. Der Dienst ÜPF muss seine Praxis überdenken.

Worum es geht

Die Proton AG ("Proton") ist eine Schweizer Anbieterin von E-Mail-Diensten und offeriert ihren Nutzern ein "Virtual Private Network" ("VPN"). Proton vermarktet ihre Angebote als Teil der Bestrebungen, "ein Internet auf[zubauen], das die Privatsphäre schützt", indem sie z.B. Ende-zu-Ende-Verschlüsselung anbietet und die erfassten und gespeicherten Nutzerdaten stark begrenzt. Zentral für das Marketing von Proton ist die Glaubwürdigkeit im Bereich Vertraulichkeit – auch gegenüber Behörden.

Der Schweizer Dienst Überwachung Post- und Fernmeldeverkehr ("Dienst ÜPF") behandelte Proton bis anhin für E-Mail- und VPN-Angebote als Fernmeldedienstanbieterin ("FDA"), allerdings mit reduzierten Überwachungspflichten (Art. 51 Verordnung über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF]), gestützt auf ein entsprechendes Gesuch der Proton. Später verlangte Proton mittels neuen Gesuchs eine Einstufung als Anbieterin von abgeleiteten Kommunikationsdiensten ("AAKD"). AAKDs unterliegen gegenüber den FDAs deutlich reduzierteren Mitwirkungspflichten im Bereich Fernmeldeüberwachung (vgl. zu dieser Abgrenzung auch unseren Beitrag aus 2018 "BÜPF: Neue Überwachungs- und Auskunftspflichten für Kommunikations-Dienstleister"). Der Dienst ÜPF ging auf dieses  Gesuch nicht ein – im Gegenteil: Er stufte Proton nach einer Neubeurteilung im September 2020 fortan gar als (überwachungsrechtlich) "reguläre" FDA ein (gemäss Art. 2 lit. b des Bundesgesetzes vom 18. März 2016 betreffend die Überwachung des Post- und Fernmeldeverkehrs [BÜPF] i.V.m. Art. 3 lit. b des Fernmeldegesetzes [FMG]). Als (wieder) regulär eingestufte FDA hätte Proton insbesondere die Auskunfts- und Überwachungsbereitschaft gewährleisten (Art. 32 BÜPF) sowie die Speicherung der für die Überwachung erforderlichen Daten innert zwei Monaten und die Überwachungsbereitschaft innert 12 Monaten ab Entscheid des Dienstes ÜPF sicherstellen müssen (Art. 51 Abs. 3 VÜPF). Diese Einstufung wäre für Protons Marketing entsprechend nachteilig.

Auf Beschwerde von Proton hin musste das Bundesverwaltungsgericht beurteilen, ob die Einstufung von Proton als reguläre FDA für E-Mail- und VPN-Angebote durch den Dienst ÜPF rechtmässig war.

Wie das Bundesverwaltungsgericht E-Mail- (und VPN-) Dienste überwachungsrechtlich einordnet

Das Bundesverwaltungsgericht kritisiert in seinem Urteil A-5373/2020 vom 13. Oktober 2021 die nicht erfolgte Auseinandersetzung mit dem Gesuch der Proton, als AAKD qualifiziert zu werden (E. 4.4). Für die Beurteilung, ob eine Einstufung als FDA mit reduzierten Überwachungspflichten oder als reguläre FDA angezeigt ist, hätte der Dienst ÜPF zuerst prüfen müssen, ob Proton überwachungsrechtlich überhaupt als FDA qualifiziert oder eben doch bloss als AAKD (E. 4.4 f.). Deshalb definierte das Gericht den Streitgegenstand breiter als vom Dienst ÜPF gewünscht und ermöglichte erst überhaupt die (wichtige) Auseinandersetzung mit der überwachungsrechtlichen Abgrenzung zwischen FDA und AAKD.

Das Bundesverwaltungsgericht legt in seiner Beurteilung besonderes Gewicht auf das fernmeldetechnische Übertragen (E. 6.3.3) als notwendiges Element für die Qualifikation als Fernmeldedienst (Art. 3 lit. b und c FMG). Fernmeldedienstanbieterinnen bieten ihren Kundinnen das fernmeldetechnische Übertragen von Informationen an, z.B. für klassische Telefonie oder den Zugang zum Internet (E. 6.3.3). Anbieter anderer Internetdienste bieten selbst gerade kein fernmeldetechnisches Übertragen an, z.B. Anbieter für diverse Hosting-Leistungen wie E-Mail-Hosting, Co-Location-Server-Hosting, Hosting ohne Kommunikationsdienste oder Cloud-Dienste, Chat-Plattformen, Plattformen für den Dokumentenaustausch, sowie Peer-to-Peer-Internet-Telefondienste (ibid). Für die Abgrenzung der abgeleiteten Kommunikationsdienste erachtet das Bundesverwaltungsgericht es als zentral, dass solche Dienste, z.B. E-Mail-Dienste, zwar einen Internetzugang bedingen, die jeweiligen Anbieterinnen ihren Kunden gegenüber jedoch diesen Zugang an sich weder anbieten, noch eine Verantwortung für die Informationsübermittlung über das Internet übernehmen (E. 6.3.2 f.).

Die E-Mail-Nutzer benötigen einen Internetzugang über einen Drittanbieter, um den Over-The-Top ("OTT")-Dienst von Proton nutzen zu können. Das macht Proton's E-Mail-Dienst nicht selbst zu einem Internetzugangsdienst – daran ändert nach Ansicht des Bundesverwaltungsgerichts auch der Umstand der Ende-zu-Ende-Verschlüsselung nichts (E. 6.4.1). Das blosse Einspeisen von Informationen in ein Netzwerk reicht nicht aus für eine überwachungsrechtliche Qualifikation des Angebots als Fernmeldedienst (E. 6.3.3 mit Verweis auf das Bundesgerichtsurteil in Sachen Threema 2C_544/2020 vom 29. April 2021, E. 5.1.2, vgl. unseren Beitrag dazu). Damit unterliegen die E-Mail-Dienste von Proton nach Ansicht des Bundesverwaltungsgerichts nicht der Überwachungspflicht für Fernmeldedienste (E. 6.4.1).

Für das VPN-Angebot erachtet das Bundesverwaltungsgericht die Äusserungen des Dienstes ÜPF sowie von Proton als zu lückenhaft, um eine abschliessende inhaltliche Beurteilung vorzunehmen (E. 6.4.2). Das Gericht setzt es als bekannt voraus, dass VPN eine direkte Verbindung zwischen entfernten Geräten herstellt und den Informationsaustausch damit vom restlichen Verkehr in öffentlichen Telekommunikationsnetzen isoliert. Gemäss Bundesverwaltungsgericht setzt die Nutzung eines VPN zwar einen Internetzugang voraus und weist daher einige Merkmale eines abgeleiteten Kommunikationsdienstes auf, doch handelt es sich dabei um die Übertragung der gesamten Informationen zwischen dem Nutzer und dem Empfänger. Das Bundesverwaltungsgericht weist darauf hin, dass die VPN-Kommunikation auch bestimmte Merkmale aufweist, die für Fernmeldedienste spezifisch sind (E. 6.4.2) – ohne jedoch eine finale Beurteilung vorzunehmen.

Das Gericht weist die Sache zur entsprechenden Neubeurteilung an den Dienst ÜPF zurück (E. 7).

Was das für (andere) Anbieterinnen von OTT-Diensten bedeutet

Das Bundesgericht hielt bereits mit Urteil 2C_544/2020 vom 29. April 2021 fest, dass die Threema GmbH mit ihren End-to-End verschlüsselten Instant-Messaging-Diensten als OTT-Dienste keine Fernmeldedienste erbringe, sondern bloss als AAKD qualifiziere (vgl. unseren Beitrag dazu). Das Urteil des Bundesverwaltungsgerichts zu Proton und E-Mail reiht sich nahtlos in diese Praxis ein und ist überzeugend. Beide Urteile machen klar: Wer bloss Informationen in eine bestehende Leitungs- oder Funkinfrastruktur einspeist, dabei aber keine Verantwortung für die Informationsübertragung über das Internet übernimmt (z.B. auch die Haftung in den Nutzungsbedingungen ausschliesst), bietet keine Fernmeldedienste an und ist unter dem BÜPF (höchstens) als AAKD mitwirkungspflichtig.

Das Bundesverwaltungsgericht bekräftigt die frühere Aussage des Bundesgerichts, wonach der Gesetzgeber es bei der Revision des BÜPF mit der erwähnten Unterscheidung FDA vs. AAKD in Kauf genommen habe, dass (trotzdem weiterhin) Lücken in der Überwachung auftreten oder bestehen bleiben können (E. 6.3.5 mit Verweis auf die Aussagen von Bundesrätin Simonetta Sommaruga im Rahmen der parlamentarischen Beratung in AB S 2014 S. 117). Auch weist das Bundesverwaltungsgericht (wie kürzlich bereits das Bundesgericht) auf die Kompetenz des Bundesrates hin, einzelne Kategorien von Anbieterinnen auf Verordnungsstufe eingeschränkten oder erweiterten Überwachungspflichten zu unterwerfen (Art. 26 Abs. 6 BÜPF i.V.m. Art. 51 VÜPF, bzw. Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF) und damit gewisse Lücken zu schliessen (E. 6.3.5). Diese Kompetenz rechtfertigt es aber gemäss klarer Aussage des Bundesverwaltungsgerichts nicht, die Begriffsdefinition von FDA so auszuweiten, wie es der Dienst ÜPF gerne hätte (E. 6.3.5).

Eine Abweichung von der "Threema-Praxis" hätte für OTT-Dienste eine eigenartige Zweiteilung ergeben: Gewisse Anbieterinnen von OTT-Diensten (z.B. von E-Mail-Diensten) wären Mitwirkungspflichten unterworfen worden, wie sie für den klassischen Fernmeldeverkehr gelten (z.B. Telefonie- oder Internetzugangsanbieter), obwohl sie gerade kein begriffsnotwendiges, fernmeldetechnisches Übertragen von Informationen für ihre Kunden übernehmen. Andere OTT-Dienste (z.B. Instant-Messaging-Dienste) würden als abgeleitete Kommunikationsdienste grundsätzlich nur reduzierte Überwachungspflichten begründen. Eine solche Zweiteilung wäre sowohl für Anbieterinnen als auch Kunden noch verwirrender als sie es wegen der seit der BÜPF-Revision existierenden Unsicherheiten zur Abgrenzung "FDA vs. "AAKD" an sich ohnehin schon ist (vgl. unseren Beitrag).

Da die angebotenen Dienste einer Anbieterin in überwachungsrechtlich unterschiedliche Kategorien fallen können (vgl. dazu E. 6.2), schliesst auch das neue Urteil in Sachen E-Mail nicht aus, dass Anbieterinnen von verschiedenen Diensten je nach betroffener Kategorie überwachungsrechtlich unterschiedlichen Pflichten unterliegen. Sofern das Urteil des Bundesverwaltungsgerichts bestätigt wird bzw. der Dienst ÜPF sich in seiner Neubeurteilung – zumindest für das E-Mail-Angebot – am Urteil des Bundesverwaltungsgerichts orientiert, ist damit immerhin ein weiterer wichtiger Baustein für eine Praxis zu OTT-Diensten geliefert. Damit würde die Rechtssicherheit für Anbieterinnen erhöht, was ihre (beschränkten) Mitwirkungspflichten im Rahmen von Fernmeldeüberwachungen betrifft. Nutzerinnen wüssten ebenfalls, welche Überwachungen für die von ihnen in Anspruch genommenen Dienste anwendbar sind.

Die Verschwiegenheit geht aber selbst bei Anbieterinnen wie Proton, die sich Vertraulichkeit auf die Fahne geschrieben haben, nicht etwa soweit, keinerlei Nutzerdaten preiszugeben. Wie selbst Proton zugibt, kann es Fälle geben, in denen eine Herausgabe an Behörden rechtlich zulässig und für Proton verpflichtend ist – so z.B. anscheinend dieses Jahr im Falle von französischen Klimaaktivisten und einem entsprechenden Rechtshilfeersuchen aus Frankreich (vgl. auch die Statistik zu Behördenanfragen im Transparenzbericht von Proton). Auch dessen müssen sich Nutzer von OTT-Diensten bewusst sein.

Das Urteil des Bundesverwaltungsgerichts kann mit Beschwerde ans Bundesgericht weitergezogen werden. Wie der Dienst ÜPF mit dem Urteil umgehen wird, ist derzeit noch offen. Entscheidend für Anbieterinnen von OTT-Diensten wird das Ergebnis der momentan laufenden Revision der Verordnung VÜPF: Darin wird der Bundesrat die Mitwirkungspflichtigen – insbesondere die FDA und AAKD – losgelöst von der Definition im FMG umschreiben (gestützt auf den neuen, noch nicht in Kraft gesetzten Art. 2 Abs. 1 lit. b und Abs. 2 revBÜPF). Ein Inkrafttreten dieser Neuregelungen ist jedoch nicht vor Januar 2023 zu erwarten.

Weitere Informationen:

Kategorien: Data & Privacy, Digital Business Law Bites, Medien und Unterhaltung, Blog

You are currently offline. Some pages or content may fail to load.