Urteil: ProtonMail unterliegt Überwachungspflichten in der Schweiz als Kommunikationsdienst

Das schweizerische Bundesverwaltungsgericht hat mit Urteil A-5373/2020 vom 13.­Oktober 2021 erwartungsgemäss bestätigt, dass ProtonMail nicht als Fernmeldedienstanbieterin (FDA) zu qualifizieren ist.

ProtonMail unterliegt demnach erwartungsgemäss als Anbieterin abgeleiteter Kommunikationsdienste (AAKD) bzw. als Over-the-Top (OTT)-Dienst den Auskunfts- und Überwachungspflichten gemäss dem Überwachungsgesetz BÜPF.

Welche Pflichten genau ProtonMail zu erfüllen hat, muss der Dienst ÜPF, die zuständige Überwachungsbehörde in der Schweiz, nun prüfen. Wie ProtonVPN zu qualifizieren ist – als AAKD oder FDA –, liess das Gericht offen. Der Dienst ÜPF muss diese Qualifikation ebenfalls prüfen. In jedem Fall unterliegt auch ProtonVPN den Auskunfts- und Überwachungspflichten gemäss BÜPF.

Das Urteil des Bundesverwaltungsgerichts entspricht in Bezug auf ProtonMail den Erwartungen, nachdem das Bundesgericht als höchstes schweizerisches Gericht bereits geurteilt hatte, dass Threema nicht als FDA gemäss dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) zu qualifizieren ist (Urteil 2C_544/2020 vom 29. April 2021). Bei ProtonVPN lässt das Bundesverwaltungsgericht die Qualifikation offen.

Ich habe kürzlich in einem ausführlichen Beitrag erklärt, welchen Auskunfts- und Überwachungspflichten auch eine AAKD wie ProtonMail unterliegt. Unabhängig von der Qualifikation als AAKD oder FDA müssen sich ProtonMail und ProtonVPN am schweizerischen Überwachungsstaat beteiligen.

ProtonMail hatte sich bislang geweigert, den Status als AAKD oder FDA gemäss dem Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) offenzulegen. Genauso hatte sich der Dienst Überwachung Post- und Fernmeldeverkehr ÜPF (Dienst ÜPF) trotz einer entsprechenden Empfehlung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geweigert, sich zum Status von ProtonMail und anderen Internet-Unternehmen in der Schweiz zu äussern.

Vorgeschichte: Wechselnde Qualifikation von ProtonMail im schweizerischen Überwachungsstaat

Wir wissen durch das neue Urteil, dass ProtonMail ursprünglich selbst beantragt hatte, als FDA mit reduzierten Überwachungspflichten qualifiziert zu werden, was vom Dienst ÜPF bestätigt wurde – später auch gemeinsam für ProtonMail und ProtonVPN. ProtonMail ging demnach ursprünglich selbst davon aus, eine Fernmeldedienstanbieterin zu sein, wenn auch nicht mit allen Überwachungspflichten.

Anfang 2020 entschied der Dienst ÜPF, ProtonMail als FDA mit allen Überwachungspflichten zu qualifizieren, was von ProtonMail beim Bundesverwaltungsgericht angefochten wurde. In der Folge zog der Dienst ÜPF im Juni 2020 die Qualifikation zurück, das heisst, ProtonMail galt weiterhin als FDA mit reduzierten Überwachungspflichten und die Beschwerde wurde gegenstandslos. Gleichzeitig beantragte ProtonMail nun, als AAKD ohne weitergehende Überwachungspflichten und nicht mehr als FDA qualifiziert zu werden, worauf der Dienst ÜPF anscheinend nicht reagierte.

Kurz vorher war bekannt geworden, wonach Threema gemäss Bundesverwaltungsgericht als AAKD und nicht als FDA zu qualifizieren sei. Möglicherweise führte dieses Urteil zum Meinungsumschwung bei ProtonMail.

Ende September 2020 verfügte der Dienst ÜPF, dass ProtonMail nicht mehr nur als FDA mit reduzierten Überwachungspflichten zu qualifizieren sei. ProtonMail hätte in der Folge insbesondere die ständige und unverzügliche Auskunfts- und Überwachungsbereitschaft gemäss Art. 32 f. BÜPF gewährleisten müssen. Dagegen erhob ProtonMail Ende Oktober 2020 – wie das neue Urteil zeigt, erfolgreich – Beschwerde. Mit Entscheid vom 11. Februar 2021 gewährte das Bundesverwaltungsgericht der Beschwerde die aufschiebende Wirkung.

Urteil: Qualifikation von ProtonMail als OTT-Dienst, unklarer Status von ProtonVPN

In seinem Urteil hält das Bundesverwaltungsgericht insbesondere fest, dass eine Anbieterin, die weder direkt noch indirekt den Zugang zum Internet anbietet oder gegenüber ihren Kundinnen die Verantwortung für die Übermittlung von Informationen über das Internet übernimmt, keine FDA gemäss Art. 2 lit. b BÜPF ist (E. 6.3.6, mit Hervorhebung):

«En conclusion, il y a lieu de retenir qu’un fournisseur qui n’offre ni directement ni indirectement un accès à Internet et qui n’assume pas non plus de responsabilité envers ses clients pour la transmission d’informations via Internet n’est pas un fournisseur de services de télécommunication au sens de l’art. 2 LSCPT. La simple introduction d’informations sur un réseau ne peut pas être comprise comme la transmission d’informations pour le compte de tiers au moyen de techniques de télécommunication. Ainsi, les fournisseurs de services Internet ou les fournisseurs d’hébergement ou les personnes qui ne constituent pas des fournisseurs d’accès, mais qui jouent un rôle dans le processus de correspondance par télécommunication en particulier par Internet, en fournissant des services qui ne peuvent être offerts que parce que l’usager dispose d’un accès au réseau par le biais d’un fournisseur de services de télécommunication sont désignés comme fournisseurs de services de communication dérivés. Il s’agit notamment des fournisseurs d’espace de stockage de courriers électroniques ainsi que d’hébergement d’applications ou de services de courriers électroniques.»

ProtonMail als E-Mail-Dienst ist gemäss Bundesverwaltungsgericht klarerweise eine AAKD bzw. ein Over-the-Top (OTT)-Dienst (E. 6.4.1, mit Hervorhebung):

«Les clients de ProtonMail doivent ainsi recourir à un fournisseur de services de télécommunication tiers afin d’avoir l’accès à Internet (fixe ou mobile) nécessaire au transport de l’information. Dans cette situation, le service ProtonMail est un service over-the-top, c’est-à-dire un service fourni via Internet, mais qui ne constitue pas lui-même un service d’accès à Internet. Ainsi, le service ProtonMail relève bel et bien des services de communication dérivés au sens de l’art. 2 LSCPT et non des services de télécommunications. Le fait que le service soit crypté de bout en bout ne change rien à ce sujet.»

In Bezug auf ProtonVPN hingegen sah sich das Bundesverwaltungsgericht aufgrund fehlender Informationen nicht in der Lage, über die Qualifikation zu urteilen, deutet aber an, dass ProtonVPN als Fernmeldedienst qualifiziert werden könnte (E. 6.4.2, mit Hervorhebungen):

«Quant au service ProtonVPN, force est d’admettre que l’autorité inférieure se montre quelque peu lacunaire. […] Si l’on imagine le réseau mis en place par un fournisseur de services de télécommunication comme un tunnel, le VPN constitue un second tunnel à l’intérieur de celui-ci qui relie directement l’usager au destinataire de l’information. Si l’utilisation d’un VPN nécessite, a priori, un accès Internet pour fonctionner et présente ainsi certaines caractéristiques d’un service de communication dérivé, il n’en demeure pas moins qu’il porte sur le transfert de l’entier des informations entre l’utilisateur et le destinataire. On ne peut ainsi ignorer qu’il présente aussi certaines caractéristiques propres aux fournisseurs de service de télécommunications.

Ceci étant, force est bien d’admettre, sur ce point, que la décision attaquée n’a pas tranché cette question et que l’autorité inférieure ne s’est pas attardée sur les services VPN proposés par la recourante, de sorte que le Tribunal ne peut, en pleine connaissance de cause, effectuer son contrôle. Il s’agissait là pourtant d’une question décisive pour l’issue du litige.»

Im Ergebnis ist klar, dass ProtonMail als AAKD gilt, doch muss der Dienst ÜPF prüfen, ob ProtonMail allenfalls eine AAKD mit weitergehenden Pflichten ist, was aufgrund der zahlreichen Behördenanfragen zu erwarten wäre. Im weiteren Ergebnis muss der Dienst ÜPF prüfen, ob ProtonMail als AAKD oder FDA zu qualifizieren ist, auch mit welchen Pflichten (E. 7):

«Sur le vu de l’ensemble de ce qui précède, le recours doit être admis. Partant, la décision attaquée est annulée et il y a lieu de renvoyer la cause à l’autorité inférieure pour nouvelle décision.

S’agissant du service ProtonMailMail, elle devra déterminer si la recourante – en tant que fournisseur de services de communication dérivés – est nonobstant soumise à des obligations de surveillance étendues en matière de surveillance. Elle devra également déterminer, s’agissant du service ProtonVPN, si celui-ci relève des services de télécommunication au sens de l’art. 2 LSCPT ou s’il s’agit d’un service de communication dérivé et, le cas échéant, dire si la recourante est soumise à des obligations restreintes ou étendues.»

Die Anwendbarkeit des BÜPF auf ProtonMail und ProtonVPN war im Verfahren unbestritten. ProtonMail hatte lange Zeit fälschlicherweise behauptet, man sei vom BÜPF ausgenommen.

Für die Nutzerinnen und Nutzer spielt es keine wesentliche Rolle, ob ProtonMail und ProtonVPN als AAKD oder als FDA überwachen müssen. Bei der Unterscheidung geht es vor allem darum, welche Pflichten ein Internet-Unternehmen in welchem Umfang selbst erfüllen muss, zum Beispiel betreffend Pikettdienst und Überwachungsschnittstellen.

Das Urteil ist noch nicht rechtskräftig. Das Eidgenössische Justiz- und Polizeidepartement (EJPD), bei welchem der Dienst ÜPF angesiedelt ist, könnte mit Beschwerde an das Bundesgericht gelangen.

Bild: Pixabay / VISHNU_KV, Public Domain-ähnlich.