h1. BÜPF Revision Gedanken


h2. Erläuternder Bericht

"[1]":http://www.admin.ch/ch/d/gg/pc/documents/1719/Bericht.pdf

h3. 1. Grundzüge der Vorlage

h4. 1.1 Ausgangslage


 _"Denn wie die klassischen Kommunikationsmittel können auch die neuen Techniken, die der breiten Öffentlichkeit heute zur Verfügung stehen, insbesondere jene im Bereich des Internets wie zum Beispiel die Internettelefonie, zur Begehung von Straftaten genutzt werden."_ S. 5


Auch die Post bzw. Briefe können dazu verwendet werden. Der Postverkehr geniesst jedoch – absolut zurecht notabene – einen uneingeschränkten Schutz (Postgeheimnis).

&quot;Das Briefgeheimnis wird in Bezug auf elektronische Post relativiert. Würde jemand zustimmen, wenn die Post für Inhalte der Briefe, die sie überliefert, zur Verantwortung gezogen werden könnte? Von ISPs wird solches bei E-Mails verlangt.&quot;

 _"Daher müssen unbedingt Instrumente bereitgestellt werden, um sich vor dieser Art [Kinderpornografie, organisiertes Verbrechen und Betäubungsmittel.] von Kriminalität zu schützen und sie zu bekämpfen,"_ S. 5


Verhältnismässigkeit der totalen Überwachung aller Bürger im Verhältnis zu Sicherheit nicht gerechtfertigt. Freiheiten und Rechte der Bürgerhöher zu werten.

 _"Das vorrangige Ziel der [BÜPF] Revision besteht darin, die Überwachung jener Personen zu ermöglichen, gegen die ein dringender Verdacht auf Begehung einer schweren Straftat besteht,"_ S. 5


Verdachtsunabhängig (!) werden mittels Vorratsdatenspeicherung (Randdaten) de facto alle Personen überwacht.

 _"Freiheit gewahrt. Ein weiteres wichtiges Ziel ist die Möglichkeit, Überwachungen ausserhalb von Strafverfahren durchzuführen, um vermisste Personen aufzufinden,"_ S. 5


Bereits erste Ausnahme. Was folgt noch? Sind die Daten erst einmal erhoben, wecken diese weitere Begehrlichkeiten.

h3. 1.2 Gegenstand des neuen Gesetzes

"!/w/images/thumb/0/0e/StatistikUeberwachungPostFernmeldeverkehr.png/300px-%20StatistikUeberwachungPostFernmeldeverkehr.png!":/wiki/Datei:StatistikUeberwach%20ungPostFernmeldeverkehr.png

"!/w/skins/common/images/magnify-%20clip.png!":/wiki/Datei:StatistikUeberwachungPostFernmeldeverkehr.png

Vielleicht kann man das Bild verwenden?

 _"Das Ziel besteht somit nicht darin, mehr, sondern besser zu überwachen."_ S. 6


Besser und länger! Genau doppelt so lange. Von 6 auf 12 Monate.

 _"Ausserdem soll die StPO neu ausdrücklich die Möglichkeit vorsehen, bestimmte Informatikprogramme in Kommunikationssysteme einzuführen, um die Überwachung zu ermöglichen."_ S. 6


Den sogenannten Bundestrojaner (Computerwanze) – Schnüffelprogramm.

 _"soll im geltenden BÜPF die Entschädigung der Personen, die Überwachungen durchführen, insbesondere der Anbieterinnen von Fernmeldediensten, für ihre Aktivitäten im Rahmen der Überwachung aufgehoben werden."_ S. 7


ISPs müssen selber für horrende Installations- und Instandhaltekosten aufkommen, obwohl staatlich verordnet.

h3. 1.3 Entstehung des Vorentwurfs

...

h3. 1.4 Die wichtigsten beantragten Änderungen

h4. 1.4.1 Geltungsbereich

h4. 1.4.9 Rechtsschutz

 _"Im Übrigen wäre es nutzlos, diese Personen zu informieren, da die Mehrheit der berücksichtigten Informationen für das Verfahren ohne Interesse sind und gemäss Artikel 276 Absatz 1 Strafprozessordnung28 nicht dem Dossier beigelegt werden, so dass nur ein geringer Eingriff in die Privatsphäre dieser Personen besteht."_ S.14


Drittpersonen, welche mitüberwacht werden, werden nicht informiert, dass sie überwacht wurden, und haben kein Anrecht auf Rechtsmittel gegen die Überwachung.

h2. Vorentwurf Bundesgesetz betreffend die Überwachung des Post- und

Fernmeldever-kehrs (BÜPF) "[2]":http://www.admin.ch/ch/d/gg/pc/documents/1719/Vorlage.pdf

h3. 1. Abschnitt: Allgemeine Bestimmungen

h4. Art. 1 Sachlicher Geltungsbereich

Beim Geltungsbereich wird davon gesprochen, dass das neue BÜPF für den Post und Fernmeldeverkehr, &quot;einschliesslich des Internetsverkehrs&quot;, gilt. Dabei wird suggeriert, dass das Internet ein Teil des Post- und Fernmeldeverkehrs ist, weil es ja explizit Eingeschlossen und nicht gleichrangig erwähnt wird. Dass dies Kontrovers ist, kann nicht bestritten werden, denn sonst wäre die explizite Erwähnung ja sinnlos. Den umfassenden Begriff &quot;Internet&quot; als Teil des Post- und Fernmeldeverkehrs ins BÜPF einzuführen, zeugt vom Unverständnis für dieses Medium sui generis. Das Internet ist eben kein erweitertes Telefon und auch kein erweitertes Fax. Es ist neues Medium, das die Funktion und Nutzung in allen angrenzenden Bereichen paradigmatisch verändert. Deshalb herrscht ja ein Anpassungsdruck auf das BÜPF. Es ist zu vermuten, dass Art. 1 implizit nur gewisse Aspekte des Internets als sachlichen Geltungsbereich ansieht, wie die Internettelefonie oder den E-Mail-Verkehr, jedoch nicht hoch sensible Systeme wie die Interbankenkommunikation, Luftraumüberwachung, Energieversorgungssicherung, die technisch gesehen Internetverkehr darstellen. Die Spezifikation &quot;Internetverkehr ist unzureichend

&quot;Den umfassenden Begriff &quot;Internet&quot; als Teil des Post- und Fernmeldeverkehrs ins BÜPF einzuführen, zeugt vom Unverständnis für dieses Medium sui generis. Das Internet ist eben kein erweitertes Telefon und auch kein erweitertes Fax. Es ist neues Medium, das die Funktion und Nutzung in allen angrenzenden Bereichen paradigmatisch verändert.&quot;

siehe "Fernmeldegesetz SR 784.10 Artikel 3c":http://www.admin.ch/ch/d/sr/7/784.10.de.pdf

&quot;fernmeldetechnische Übertragung: elektrisches, magnetisches, optisches oder anderes elektromagnetisches Senden oder Empfangen von Informationen über Leitungen oder Funk&quot;

h4. Art. 2 Persönlicher Geltungsbereich

Erklärtes Ziel des neuen BÜPF ist es, den persönlichen Geltungsbereich genauer zu formulieren und zu ergänzen. Nun scheint zweiteres im Fordergrund zu stehen, denn von einer genaueren Formulierung kann nicht die Rede sein. Art. 2 Abs. 1 hat zur Folge, dass alle Personen, deren berufsmässige Tätigkeit mit dem Internet zu tun hat, Überwachung im Sinne des BÜPF durchführen müssen. Also nicht nur Internet-Anbieterinnen, sondern auch Webhoster und Service- Provider. Überwachung dulden müssen faktisch alle, die Internetzugang haben, weil das Internet gerade daraus besteht Kommunikationsdaten zu verwalten und an dritte Weiterzuleiten. *Es gibt keinen Nutzer und keine Nutzerin des Internets, die die Bedingungen in Art. 2 Abs. 2 BÜPF um Überwachung dulden zu müssen nicht erfüllen.*

Jeder Betreiber eines LANs (inklusive Privatpersonen) muss eine Überwachung nicht durchführen, aber eine Überwachung seitens des ISPs dulden. Der Gesetzestext an sich ist ungenau formuliert. Muss der Inhaber nur eine Überwachung des Datenverkehrs nach aussen, oder auch LAN-intern dulden? *siehe Artikel 26*

h3. 2. Abschnitt: Informatiksystem zur Verarbeitung der durch die Überwachung

des Fernmeldeverkehrs gewonnenen Daten

h4. Art. 6 Grundsatz

Das Informatiksystem des Dienstes wird als Werkzeug zur Verarbeitung der durch die Überwachung gewonnenen Daten definiert. Jedoch hat der Dienst auch die Aufgabe der Infiltrierung von Datensystemen gemäss Art. 270bis (neu) StPO. Sofern die Einschleusung von Informatikprogrammen Teil des Informatiksystems ist, so bedarf Art. 6 als Grundsatz eine Erweiterung um die Bearbeitung von überwachten Datensystemen. Es werden ja nicht nur Daten verarbeitet, die aus der Überwachung des Fernmeldesystems gewonnen wurden, sondern auch deren Quelle.

Falls das Infiltrationssystem ein eigenes System unabhängig des Verarbeitungssystems darstellt, so braucht es eine eigene Definition und gesetzliche Grundlage.

h4. Art. 10 Akteneinsichtsrecht und Auskunftsrecht über die Daten

Abs. 4 gewährt der von Überwachung betroffenen Person ein Auskunftsrecht über die gewonnenen Daten. Dieses Recht muss jedoch bei der mit dem entsprechenden Fall befassten Behörde eingefordert werden. Es kann nicht direkt beim Dienst geltend gemacht werden. Dies ist insbesondere problematisch, wenn die Überwachung verdeckt durchgeführt wird und eine Mitteilung entsprechend Art. 279 Abs.2 StPO unterlassen wird. Es wird zu einem Recht ohne Adressaten.

h4. Art. 12 Sicherheit

Nich nur der Dienst und die Überwachung durchführenden Personen müssen der Vorschriften über technische und organisatorische Schutzmassnahmen unterstellt werden, sondern auch die das Verarbeitungssystem nutzenden Behörden und die von ihnen bestimmten Dienststellen.

h3. 3. Abschnitt: Aufgaben des Dienstes

h4. Art. 14 Auskünfte über Fernmeldeanschlüsse

Abschnitt c. &quot;zur Erledigung von Verwaltungsstrafsachen&quot; Die Behörden dürfen Behandlung einer beliebigen Ordnungswidrigkeit auf die Daten des Dienstes zugreifen?!

h4. Art. 15 Allgemeine Aufgaben der Überwachung

Als allgemeine Aufgabe des Dienstes fehlt die Erstellung und Wartung eines Infiltrationssystems. Gemäss Art. 270bis StPO ist die Staatsanwaltschaft befugt eine Überwachung mittels eines Informatikprogamms anzuordnen, welches ohne Wissen der betroffenen Person in ihr Dateisystem eingeführt wird. Diese geheime Überwachungsmassnahme kann nur in Zusammenarbeit mit den entsprechend diesem Gesetz Überwachung durchführenden Personen geleistet werden. Folglich ist der Dienst verantwortlich und nur er kann die entsprechende Infiltrationssoftware zur Verfügung stellen. Denn dass die gemäss diesem Gesetz Überwachung durchführenden Personen in Eigenregie Informatikprogramme herstellen und in die Datensysteme zu überwachender Personen einführen ist undenkbar. Der Dinest muss für die Herstellung und Wartung des Infiltrationssystems zuständig sein.

h4. Art. 16 Aufgaben bei der Überwachung des Fernmeldeverkehrs

Abschnitt d. gibt dem Dienst die Berechtigung den Fernmeldeverkehr einer überwachten Person direkt an eine von der anordnende Behörde bezeichnete Polizeistelle weiterzuleiten, wenn er aus technischen Gründen nicht in der Lage ist den Fernmeldeverkehr zu bearbeiten. Die Situation, dass die Zuleitung für den Dienst möglich ist, die Aufzeichung aber nicht, ist schon absurd genug. Die Gefährdung der Datensicherheit bei einer Zuleitung zu einer Polizeistelle, die Art. 12 Sicherheit nicht unterstellt ist, darf nicht unterschätz werden. Hier besteht eine Sicherheitslücke.

Abschnitt f. gibt dem Dienst auf Ersuchen der anordnenden Behörde die Kompetenz der überwachenden Person anzuordnen, dass nur bestimmte Daten aus dem Datenstrom zu liefern sind. Technisch ist es für die überwachende Person nicht möglich aus einem Datenstrom bestimmte Daten herauszufiltern ohne den Inhalt der Daten zu kennen. Diese Anordnung macht folglich eine Verarbeitungssystem auf Seiten der diesem Gesetz entsprechend Überwachung durchführenden Personen notwendig. Das ist aber keinesfalls Intention dieses Gesetzes, nur dem Dienst obliegt die inhaltliche Verarbeitung der Überwachungsdaten.

h4. Art. 18 Zertifizierung

Fernmeldedienstanbieter werden gezwungen sich zu zertifizieren und müssen diese Kosten auch noch selbst zahlen

h3. 4. Abschnitt: Pflichten bei der Überwachung des Postverkehrs

h4. Art. 19

Abs 2. Wird auch auf 12 Monate erweitert. Weshalb? Seit wievielen Jahren werden diese Dinge überwacht? Waren 6 Monate so ineffektiv?

h3. 5. Abschnitt: Pflichten bei der Überwachung des Fernmeldeverkehr

h4. Art. 20 Auskünfte über Fernmeldeanschlüsse

Abschnitt a. Welcher Zweck erfüllt die Angabe des Berufes?

h4. Art. 21 Pflichten bei der Durchführung von Überwachungen

Abs. 2 Echtzeitüberwachung Abs. 3 Der _gesamte_ Datenfluss wird weitergeleitet. Wie wird nicht relevantes, privates automatisiert ausgefiltert? Abs. 4 Die Fernmeldeanbieter müssen selbst die Infrastruktur selbst entwickeln -&gt; Investitionenkosten

h4. Art. 22 Identifizierung von Internet-Benutzern

Ein Fernmeldeanbieter muss alle Personen, denen sie Zugang zum Internet vermitteln, identifizieren können. Nicht nur Anschlussinhaber? Wie soll das möglich sein? Suisse ID?

h4. Art. 23 Datenaufbewahrung

12 Monate

h4. Art. 24 Zertifizierung

Weigert sich ein Anbieter sich nicht zertifizieren zu lassen muss er die Kosten tragen, welche ggf bei einer Überwachung des Dienstes oder Dritter entstehen Anbieter müssen Infrastruktur selbst entwickeln und bezahlen, müssen Zertifizierung zahlen, falls sie das nicht tun, Folgekosten und Strafen zahlen

h4. Art. 26 Betreiber von internen Fernmeldenetzen und Hauszentralen

internes Fernmeldenetz=einfaches LAN?

h3. 7.Abschnitt: Kosten und Gebühren

h4. Art. 30

Die Begründung hierfür im &quot;Erläuternder Bericht zur Änderung des BÜPFs&quot; Abschnitt 1.4.6 &#95; Es erscheint zudem nicht angebracht, den dem BÜPF unterstellten Personen im Bereich der ¨berwachung eine Entschädigung auszurichten, *da diese ein Interesse daran haben, dass über sie keine Straftaten begangen werden* &#95;

h3. 8. Abschnitt:Strafbestimmungen

h4. Art. 31

Bussandrohung von 100000 CHF aber es gibt zumindest ein paar, die aufgrund der enormen Investitionskosten, dies riskieren wollen

h3. Aufhebung und Änderung bisherigen Rechts

h4. Strafprozessordnung: Art. 270bis Abfangen und Entschlüsselung von Daten

(neu)

Die Bezeichnung &quot;Abfangen und Entschlüsselung von Daten&quot; ist irreführend, da es faktisch um das Einschleusen eines Trojaners in das zu überwachende System geht. Methoden der Geheimdienste halten damit Einzug in die Strafverfolgung. Drei Punkte sind dabei besonders zu Bemängeln:

* Das Einschleusen eines Informatikprogrammes in das Datensystem ohne Wissen der überwachten Person kommt einer geheimen Hausdurchsuchung gleich. Es ist eine aktive Massnahme, im Gegensatz zu einer passiven Telefon oder Postüberwachung, denn das Einschleusen des Informatikprogramms ist eine Manipulation des Datensystems. Das Informatikprogramm, genauer der Trojaner, soll das Datensystem dermassen verändern, dass Daten an den überwachenden Dienst weitergeleitet werden. Aktive Massnahmen müssen der betroffenen Person Rechtmittel zugestehen.
* Das Einschleusen eines Informatikprogrammes soll erst angewendet werden, wenn bisherige Massnahmen erfolglos blieben, andere Massnahmen aussichtslos oder die Überwachung unverhältnismässig erschweren würden. Damit wird suggeriert, dass das Einschleusen eines Trojaners erst letztes Mittel ist, wenn alle anderen versagt haben oder untauglich sind. Wenn bisherige Ermittlungsmethoden versagt haben, liegt es natürlich nahe weitergehende Mittel einzusetzten, nur die Überlegung, dass der Verdächtige vielleicht unschuldig ist, geht dabei unter. Diesem Umstand soll die Notwendikeit einer Genehmigung durch das Zwangsmassnahmengericht entgegenwirken. Jedoch ist fraglich, ob das Zwangsmassnahmengericht die technische Kompetenz hat, das Ausmass des Eingriffs in die Privatsphäre durch das Informatikprogramm einzuschätzen. Die Überwachungstojaner müssen spezifisch für das zu infiltrierende Datensystem hergestellt oder angepasst werden. Das Zwangsmassnahmengericht benötigt die technische Kompetenz um die Risiken für das Datensystem einschätzen zu können. Ansonsten muss es sich auf die Fachkompetenz des Überwachungsdienstes verlassen, was die Idee der instituionellen Kontrolle ab absurdum führt.
* Das Einschleusen eines Informatikprogrammes in ein fremdes Datensystem nimmt die Beschädigung dieses Systems in kauf. Der genaue Zustand des zu infiltrierenden Datensystems ist nicht bekannt, sonst wäre die Überwachung ja sinnlos. Die Interaktion des Überwachungstrojaners mit anderen Elementen des Datensystems kann vorgängig nicht exakt bestimmt werden. Daraus ergeben sich Riskiken für das betroffene Datensystem wie auch für dritte. Die Frage nach der Haftung für beschädigte oder kompromitierte Datensysteme bleibt offen.