Threema, Proton und Co. laufen Sturm gegen revidierte Überwachungsverordnung
Der Bund will mit einer Verordnungsänderung präzisieren, welche Unternehmen ihn bei der Überwachung unterstützen müssen. Kritiker sehen darin den Versuch des Bundes, den Kreis der mitwirkungspflichtigen Unternehmen auszuweiten und warnen vor den Folgen für die Schweiz.
Eine Teilrevision der Verordnungen in Zusammenhang mit dem Dienst zur Überwachung des Post- und Fernmeldeverkehrs (Dienst ÜPF) sorgt für Wirbel in der Schweizer Tech-Branche. Stein des Anstosses ist eine Neuerung bei der Kategorisierung der Unternehmen, die den Dienst ÜPF bei seinen Überwachungen unterstützen müssen.
Bislang unterschied der Bund hier zwischen Fernmeldedienstanbietern (FDA) und Anbietern abgeleiteter Kommunikationsdienste (AAKD), wie einer Mitteilung des Bundes zu entnehmen ist. Die FDA teilte der Bund zudem in zwei Unterkategorien ein, nämlich jene "mit vollen Pflichten" und jene "mit reduzierten Pflichten".
Drei neue Stufen
Bei Anbietern abgeleiteter Kommunikationsdienste machte der Bund keine Abstufung. Für alle als AAKD eingestuften Unternehmen gelten weniger strenge Mitwirkungspflichten – bis jetzt. Nun will der Bundesrat auch bei AAKD eine genauere Kategorisierung einführen. Er plane dazu ein dreistufiges Modell, heisst es in der Mitteilung, nämlich AAKD "mit minimalen Pflichten", "mit reduzierten Pflichten" und "mit vollen Pflichten".
Diese Änderung soll "eine ausgewogenere Abstufung der Pflichten ermöglichen und eine Angleichung zwischen FDA und AAKD vergleichbarer Grösse und wirtschaftlicher Bedeutung bringen", erklärt der Bund. Laut der Mitteilung würde künftig ein Unternehmen als "AAKD mit vollen Pflichten" gelten, wenn es mindestens 100 Millionen Franken Jahresumsatz erzielt und/oder 1 Million Nutzende hat. Derart eingestufte Unternehmen müssten nach einer Übergangsfrist einen Pikettdienst für Abfragen des Dienstes ÜPF betreiben, so genannte Randdaten während 6 Monaten speichern sowie auf Verlangen sowohl Randdaten als auch Inhalt des Datenverkehrs einer überwachten Person liefern, wie dem Entwurf der Verordnung zu entnehmen ist.
Threema und Proton sind empört
Insbesondere bei den auf datenschutzfreundliche Kommunikationsdienste spezialisierten Unternehmen stossen die geplanten Änderungen auf heftige Kritik. Lautstark äusserten sich namentlich das Westschweizer Unternehmen Proton sowie das im Kanton Zürich beheimatete Threema. Ersteres hat 100 Millionen, letzteres 12 Millionen User, wie einem Artikel des "Tages-Anzeiger" zu entnehmen ist. Sie sehen durch die geplanten Änderungen ihr Geschäftsmodell gefährdet. Proton-CEO Andy Yen liess verlauten, sein Unternehmen überlege sich, allenfalls die Schweiz zu verlassen. Zudem sagte er, die geplante Revision käme käme einer "impliziten Erklärung gleich, dass das Land Dutzende von Digitalunternehmen, denen die ganze Welt ihr Vertrauen schenkte, nicht mehr haben will".
Gegenüber dem "Tages-Anzeiger" erinnert Threema-Chef Robin Simon an ein Urteil des Bundesgerichts aus dem Jahr 2021. Demnach durfte der Bund den Messenger nicht als FDA einstufen und ihm also auch nicht die damit verbundenen Mithilfepflichten auferlegen. Nun versuche der Bundesrat, diese Überwachungspflichten "durch die Hintertür wieder einzuführen". Das bedrohe nicht nur sein Unternehmen, sondern würde auch den Wirtschaftsstandort Schweiz schwächen.
Digitale Gesellschaft pflichtet bei
Simon gibt sich kämpferisch und sagt, er werde nicht nur auf dem Rechtsweg gegen die geplante Verordnung vorgehen: "Wir sind bereit, eine Volksinitiative zu lancieren, die den Ausbau des Überwachungsstaats verhindert und die Privatsphäre verteidigt."
Die Vernehmlassung läuft bis zum 6. Mai 2025. Viele Stellungnahmen dürften erst nach diesem Datum veröffentlicht werden. Bereits zu Wort gemeldet hat sich die Organisation Digitale Gesellschaft. Auch sie kritisiert den Bund dafür, die Überwachungspflichten nochmals massiv auszuweiten. In ihrer Mitteilung erwähnt der Verein die Einstufung von AAKD "mit reduzierten Pflichten". Bereits mit 5000 monatlich aktiven Usern überschreiten Dienste die entsprechende Schwelle. Sie sorge dafür, dass faktisch alle Anbieter von Kommunikationsdienstleistungen in der Schweiz betroffen wären. Nebst den Unternehmen seien zudem auch Non-Profit- und Open-Source-Projekte von der Verschärfung betroffen. Würden die entsprechenden Dienste die Schweiz verlassen, würden auch User den Zugang zu sicheren und vertraulichen Kommunikationsmitteln verlieren.
Zudem dürfe die " Ausweitung der Überwachung von solch erheblicher Tragweite" nicht auf Verordnungsstufe erfolgen. "Die Regelungen gehören zwingend in ein Gesetz, müssen vom Parlament erlassen und einer demokratischen Legitimation mittels Referendum unterstellt werden. Der Versuch, dermassen weitreichende Überwachungspflichten auf dem Verordnungsweg einzuführen, stellt einen klaren Verstoss gegen das Legalitätsprinzip dar und untergräbt die Kompetenzordnung", kritisiert die Digitale Gesellschaft.
Übrigens setzt auch die Schweizer Armee Threema ein. Hier lesen Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Aktuelle KI-Risiken beunruhigen stärker als apokalyptische Zukunftsszenarien
Stiftung Switch sucht CISO
Wie der Bund die Cybersecurity seiner Lieferanten in den Griff kriegen kann
Die wohl wunderschöne Gesangsstimme von Ankylosauriern
Dragonforce will mit White-Label-Angebot ein Ransomware-Kartell aufbauen
"Zeitalter der Störung" stellt die Cyberresilienz auf die Probe
Kommando Cyber veröffentlicht Open-Source-Software
Generative KI stellt die Cybersicherheit vor Herausforderungen
Die alte, dunkle Familiengeschichte der niedlichen heutigen Wale
