Fedpol muss nicht offenlegen, ob ein Vertrag mit einem GovWare-Entwickler besteht

F

Besprechung des Urteils des Bundesverwaltungsgerichts A-1310/2022 vom 9. Januar 2024

Anna Katharina Burri, Rechtsanwältin, Zürich
Rahel Breitschmid, Rechtsanwältin, Zürich

Résumé: En août 2021, la RTS avait révélé que les autorités suisses utilisaient aussi des logiciels de surveillance (appelés GovWare) israéliens. Invoquant la Loi sur la transparence (LTrans), un avocat avait ensuite demandé à l’Office fédéral de la police (fedpol) l’accès au «contrat conclu avec la firme israélienne NSO Group pour l’utilisation de tout logiciel développé par cette firme». Fedpol a refusé de fournir des informations sur l’existence ou l’inexistence d’un tel contrat. Saisi, le Tribunal administratif fédéral, évoquant aussi des intérêts publics, a jugé en janvier 2024 que ce refus était justifié. Il a estimé que l’accès à un éventuel contrat pourrait affecter les mesures prises par les autorités et menacer la sécurité de la Suisse. Autre argument de la Cour de St-Gall: dans le cas où le Service de renseignement de la Confédération (SRC) utiliserait également un logiciel GovWare, la LTrans serait inapplicable. Un recours contre le verdict du TAF est pendant devant le Tribunal fédéral.

Zusammenfassung: In den Medien wurde bekannt, dass Schweizer Behörden israelische Überwachungssoftware (sog. GovWare) einsetzen würden. Ein Gesuchsteller beantragte gestützt auf das Öffentlichkeitsgesetz (BGÖ) beim Bundesamt für Polizei (fedpol) Zugang zum Vertrag mit der israelischen NSO Group über die Nutzung jeglicher von dieser entwickelten Software. Das fedpol verweigerte die Information über die Existenz oder Nichtexistenz eines solchen Vertrages. Diese Verweigerung beurteilt das Bundesverwaltungsgericht als rechtmässig. Öffentliche Interessen würden dem Zugang entgegenstehen: Rückschlüsse auf die verwendete GovWare könnten behördliche Massnahmen beeinträchtigen und die Sicherheit der Schweiz gefährden. Allenfalls nutze auch der Nachrichtendienst des Bundes (NDB) die GovWare, womit das BGÖ nicht anwendbar wäre. Gegen das Urteil des Bundesverwaltungsgericht ist ein Beschwerdeverfahren vor Bundesgericht hängig.

TAF A-1310-2022

Anmerkungen:

a) Zugangsverweigerung durch das fedpol

1

Durch die Medien wurde bekannt, dass verschiedene Staaten die von der israelischen Gesellschaft NSO Group entwickelte Software «Pegasus» verwendeten.

2

Die Software «Pegasus» ist eine sogenannte Government Ware oder GovWare, also ein Informatikprogramm, das von einem Staat oder für Staaten von einem Dritten entwickelt wird, um Fernmeldeüberwachungen bestimmter Personen durchzuführen. In der Schweiz sind solche Überwachungen gesetzlich geregelt, namentlich in der Strafprozessordnung (StPO)[1]  sowie im Nachrichtendienstgesetz (NDG)[2] und an strenge Voraussetzungen gebunden[3].

3

Im August 2021 publizierte RTS Radio Télévision Suisse in einem Artikel, dass auch die Schweizer Behören israelische Spionagesoftware einsetzen würden. Um welche Technologie es konkret gehe, würde die Bundespolizei jedoch nicht bekanntgeben[4].

4

Daraufhin stellte ein Anwalt beim Bundesamt für Polizei (fedpol) ein Gesuch um Zugang zum Vertrag mit der israelischen Unternehmung NSO Group über die Nutzung jeglicher von dieser entwickelten Software (“contrat conclu avec la firme israélienne NSO Group pour l’utilisation de tout logiciel dévéloppé par cette firme”). Dieses Gesuch stützte er auf das Öffentlichkeitsgesetz (BGÖ)[5].

5

Das fedpol verweigerte den Zugang zu einem allfällig bestehenden Vertrag mit der NSO Group. Es begründete dies im Wesentlichen damit, dass mehrere öffentliche Interessen, darunter die innere oder äussere Sicherheit der Schweiz, dem Zugang entgegenstünden.

6

Der Gesuchsteller reichte daher beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einen Schlichtungsantrag ein. Der EDÖB führte ein schriftliches Schlichtungsverfahren durch und empfahl dem fedpol, über das Bestehen oder Nichtbestehen eines Vertrages mit der NSO Group zu informieren und, falls ein solcher Vertrag bestehen sollte, in Anwendung des Öffentlichkeitsgesetzes Zugang zu gewähren. Der EDÖB hielt in seiner Begründung fest, das fedpol habe seinen Standpunkt nicht in genügender Weise dargelegt. Insbesondere sei auch unklar, auf welche Weise die Spezialbestimmung von Art. 67 NDG, die das Öffentlichkeitsgesetz aushebeln würde, Anwendung finden soll[6].

7

Entgegen der Empfehlung des EDÖB verweigerte das fedpol jeglichen Informationszugang weiterhin, woraufhin der Gesuchsteller Beschwerde beim Bundesverwaltungsgericht einreichte.

b) Bundesverwaltungsgericht hält Verweigerung von Informationen durch das fedpol für rechtmässig

8

Das Bundesverwaltungsgericht wies die Beschwerde des Gesuchstellers mit Urteil vom 9. Januar 2024 ab. Damit bestätigte es die Verfügung des fedpol, mit welcher dieses Informationen über einen allfälligen Vertrag mit der NSO Group verweigerte.

9

Zusammengefasst begründet das Bundesverwaltungsgericht sein Urteil wie folgt:

10

Zuerst legt es den gesetzlichen Rahmen der Transparenz in der Verwaltung dar und zeigt auf, dass das Öffentlichkeitsgesetz nur gilt, wenn keine Spezialbestimmung vorgeht. Zudem erläutert es, dass – selbst wo das Öffentlichkeitsgesetz grundsätzlich anwendbar ist – es Ausnahmen gibt, bei denen der Zugang eingeschränkt, aufgeschoben oder verweigert werden kann. Dabei hält es fest, dass diese Ausnahmen nur dann zur Anwendung kommen, wenn die Offenlegung der Informationen möglicherweise zu einem Schaden führt. Der drohende Schaden muss jedoch eine gewisse Intensität erreichen, die drohende Beeinträchtigung damit erheblich sein. Zudem muss das Risiko des Schadenseintritts nach dem gewöhnlichen Lauf der Dinge höchstwahrscheinlich sein. Der Eintritt muss zwar nicht sicher erscheinen, jedoch darf die Beeinträchtigung nicht bloss vorstellbar oder möglich sein. Andernfalls würde der mit dem BGÖ eingeführte Paradigmenwechsel hin zur grundsätzlichen Transparenz ausgehöhlt werden[7].

11

In der Folge äussert sich das Bundesverwaltungsgericht zunächst nicht dazu, ob in casu eine Spezialbestimmung zur Anwendung kommt, gemäss welcher das Öffentlichkeitsgesetz nicht gilt. Vielmehr geht es direkt dazu über, zu prüfen, ob im konkreten Fall öffentliche Interessen vorliegen, bei denen der Zugang ausnahmsweise eingeschränkt, aufgeschoben oder verweigert wird.

12

Das Bundesverwaltungsgericht kommt zum Schluss, dass keine Informationen über das Bestehen oder Nichtbestehen eines Vertrages mit der NSO Group offengelegt werden können, weil öffentliche Interessen einem Zugang entgegenstehen. Folgende Ausnahmen vom Öffentlichkeitsprinzip (gemäss Art. 7 Abs. 1 BGÖ) seien zu bejahen:

13
  • Die Kenntnis der verwendeten GovWare könne die zielkonforme Durchführung konkreter behördlicher Massnahmen beeinträchtigen – damit sei es rechtmässig, den Informationszugang gestützt auf Art. 7 Abs. 1 lit. b BGÖ zu verweigern[8].
14

Dabei müssten nicht zwingend Massnahmen eines konkreten Einzelfalls betroffen sein. Es genüge, wenn durch den Informationszugang eine konkrete Praxis einer Behörde gefährdet werde[9].

15

Bereits die Kenntnis der Existenz eines bestimmten Typs von GovWare, die im Rahmen der Strafverfolgung und des Nachrichtendienstes eingesetzt wird, würde es mit hoher Wahrscheinlichkeit verschiedenen Kreisen erlauben, sich einen Überblick über die technischen Möglichkeiten der Überwachungsmassnahmen und deren Grenzen zu verschaffen. Diesbezüglich könne der Ansicht des fedpol gefolgt werden[10]:

16

Potenziell von der Überwachung mit GovWare betroffene Personen könnten versuchen, sich der Überwachung zu entziehen, indem sie beispielsweise versuchen würden, das Risiko einer Infektion zu verringern oder geeignete Sicherheitsvorkehrungen zu treffen oder Computerbarrieren zu errichten. Zwar seien teilweise bereits gewisse Massnahmen bekannt, wie das Risiko einer Infektion mit GovWare vermieden werden könne. Dennoch habe jede GovWare ihre eigenen Besonderheiten und Grenzen. Dies sei umso problematischer, da 2019 öffentlich bekannt geworden sei, dass in der Schweiz – zumindest im damaligen Zeitpunkt – nur eine GovWare verwendet würde und die Anzahl der auf dem Markt erhältlichen GovWare sehr beschränkt sei.

17

Hinzu komme, dass die Nutzung einer GovWare nicht ohne Risiko sei. Mit Kenntnis der verwendeten GovWare könnte etwa die von der GovWare selbst geschaffenen oder ausgenutzten Sicherheitslücken zum Einschleusen von Schadsoftware gegenüber Schweizer Behörden genutzt werden. Das Risiko, dass die Software enttarnt, analysiert, verändert bzw. missbräuchlich verwendet werde, könne nicht toleriert werden.

18

Die Kenntnis über die Verwendung oder Nichtverwendung eines bestimmten GovWare-Typs könne daher mit hoher Wahrscheinlichkeit die Wirksamkeit der gesetzlich vorgesehenen Überwachungsmassnahme in Frage stellen.

19

Damit gibt es gemäss dem Bundesverwaltungsgericht genügend Anhaltspunkte dafür, dass die Geheimhaltung der Art der verwendeten GovWare der Schlüssel zur erfolgreichen Durchführung von Überwachungsmassnahmen ist.

20
  • Mit der Kenntnis der verwendeten Software könne auch die innere Sicherheit der Schweiz gefährdet werden – damit sei es rechtmässig, den Informationszugang gestützt auf Art. 7 Abs. 1 lit. c BGÖ zu verweigern[11].
21

Es bestehe, wie bereits ausgeführt, ein enger Zusammenhang zwischen der zu erwartenden ernsthaften Beeinträchtigung der Wirksamkeit der Überwachungsmassnahme und der Wirksamkeit der Strafverfolgung sowie den Ermittlungen des Nachrichtendienstes des Bundes (NDB). Damit verliere ein wichtiges Instrument zur Bekämpfung der Kriminalität bzw. zur Prävention von Bedrohungen für die Sicherheit der Schweiz seine Wirkung.

22

Ob noch weitere öffentliche Interessen einem Informationszugang entgegenstehen (namentlich gemäss Art. 7 Abs. 1 lit. e und f BGÖ), kann nach dem Bundesverwaltungsgericht offengelassen werden[12].

23

Zur Verhältnismässigkeit der vollständigen Verweigerung des Informationszugangs hält das Bundesverwaltungsgericht folgende Punkte fest[13]:

24
  • Nach den Enthüllungen und dem Skandal um die von der NSO Group entwickelte Software Pegasus sei klar, dass das öffentliche Interesse an Transparenz erheblich sei. Dies umso mehr, als dass der Einsatz von GovWare eine einschneidende Massnahme sei und sich gerade die Pegasus-Software in mehrfacher Hinsicht von traditionellen Abhörmassnahmen unterscheiden würde.
24
  • In der Schweiz sei der Einsatz von GovWare streng geregelt. Zudem würden Überwachungsstatistiken geführt und in konsolidierter Form veröffentlicht. Damit sei eine gewisse Information der Öffentlichkeit gewährleistet.
25
  • Bereits in einem früheren Urteil sei das Bundesverwaltungsgericht in Bezug auf Software zur Überwachung des Post- und Fernmeldeverkehrs zum Schluss gekommen, dass kein vollständiger Zugang gewährt werden könne[14]. Das Risiko, das eine Offenlegung für die Wirksamkeit der Strafverfolgung darstelle, sei zu gross.
26
  • Vor diesem Hintergrund sei auch eine teilweise Offenlegung nicht angezeigt. Bereits die blosse Information über die Existenz oder Nichtexistenz eines Vertrags mit der NSO Group erlaube Rückschlüsse auf die in der Schweiz verwendete GovWare und könne damit zu einer möglichen erheblichen Beeinträchtigung der Überwachungsmassnahmen führen.
27

Schliesslich nimmt das Bundesverwaltungsgericht Bezug auf Aktivitäten des NDB: Die verlangten Informationen und Dokumente könnten unter Umständen die Verwendung eines Typs von GovWare aufdecken, der möglicherweise auch vom NDB genutzt würde. Damit stelle sich die Frage, ob das Öffentlichkeitsgesetz überhaupt anwendbar sei, da Spezialbestimmungen Vorrang haben (Art. 4 BGÖ). Für den NDB gelte das NDG. Dieses sehe vor, dass das Öffentlichkeitsgesetz “für den Zugang zu amtlichen Dokumenten betreffend die Informationsbeschaffung nach [dem Nachrichtendienstgesetz]” nicht gelte (vgl. Art. 67 NDG). Es spiele dabei keine Rolle, bei wem sich das fragliche Dokument befinde – nur der Inhalt des Dokuments sei massgebend. Damit würde die Information über die Existenz oder Nichtexistenz eines Vertrages mit der NSO Group vom Anwendungsbereich des Öffentlichkeitsgesetzes ausgeschlossen sein[15].

c) Kommentar

28

Das Urteil wurde mit Beschwerde an das Bundesgericht angefochten. Es wird sich zeigen, ob das Bundesgericht der Argumentation des Bundesverwaltungsgerichts folgt oder nicht.

29

Aus unserer Sicht sind folgende Punkte bemerkenswert:

30
  • Das Bundesverwaltungsgericht bestätigt die Verweigerung des Zugangs zu den verlangten Informationen und Dokumenten in erster Linie deswegen, weil öffentliche Interessen (im Sinne von Art. 7 Abs. 1 lit. c und d BGÖ) einem Zugang entgegenstehen würden.
31

Im Zentrum stehen dabei Bedenken, dass bei einer allgemeinen Kenntnis der verwendeten GovWare deren Wirkungsmöglichkeit erheblich eingeschränkt werden könnte. Gleichzeitig hält das Bundesverwaltungsgericht fest, dass es aktuell nur eine sehr limitierte Anzahl von möglicher Überwachungssoftware auf dem Markt gibt und offenbar bereits heute technische Möglichkeiten bestehen, Anhaltspunkte für die Präsenz der GovWare Pegasus auf Telefonen oder anderen Geräten festzustellen[16].

32

Damit ist möglicherweise nicht so klar (wie vom Bundesverwaltungsgericht dargestellt), ob die Kenntnis über die Existenz oder Nichtexistenz eines Vertrages mit der NSO Group tatsächlich zu einer grösseren Wahrscheinlichkeit führt, dass die von den Schweizer Behörden verwendete GovWare ausgehebelt wird. Sofern die Kenntnis die Wahrscheinlichkeit des Schadenseintritts also nicht zusätzlich erhöht, ist fraglich, ob das dadurch entstehende Schadensrisiko genügend gross ist, um eine (vollumfängliche) Geheimhaltung zu rechtfertigen.

33
  • Die Argumentation des Bundesverwaltungsgerichts, dass allenfalls auch der NDB die gleiche GovWare wie das fedpol verwendet und damit ein Ausschluss vom Anwendungsbereich des BGÖ vorliege, scheint grundsätzlich nachvollziehbar. Das Bundesverwaltungsgericht äussert sich nicht eindeutig zur Frage, ob der NDB tatsächlich die gleiche GovWare nutzt. Möglich ist, dass diese Information dem Bundesverwaltungsgericht bekannt ist[17].
34
  • Auch andere beim fedpol und beim NDB eingereichte BGÖ-Gesuche haben wohl zum Ziel, in Erfahrung zu bringen, mit welcher GovWare die Schweizer Behörden agieren. Der EDÖB hat dazu Empfehlungen publiziert.
35

Bei einem direkt beim NDB (und nicht wie hier beim fedpol) eingereichten Gesuch, welches sich auf die vom NDB verwendete GovWare bezieht, geht auch der EDÖB davon aus, dass das BGÖ nicht anwendbar ist[18].

36

Bei einem weiteren, beim fedpol eingereichten Gesuch, mit welchem Unterlagen insbesondere zur Beschaffung von GovWare verlangt werden, argumentiert der EDÖB in seiner Empfehlung wie folgt: Das BGÖ sei nicht anwendbar, soweit die Unterlagen vergaberechtliche Beschaffungen betreffen, die gestützt auf eine vergaberechtliche Spezialbestimmung (z.B. aus Sicherheitsgründen) nicht nach den Regelungen des Bundesgesetzes über das öffentliche Beschaffungswesen (BöB)[19] beschafft werden müssten. Dabei nimmt er Bezug auf jüngere Urteile des Bundesverwaltungsgerichts[20]. Gemäss diesen Urteilen sind Informationen und Dokumente bezüglich aus Sicherheitsgründungen nicht nach dem BöB vorzunehmenden Beschaffungen gänzlich vom Anwendungsbereich des BGÖ ausgenommen[21]. Hierzu ist anzumerken, dass diese Urteile beim Bundesgericht angefochten sind. Es wird sich zeigen, ob sich das Bundesgericht der Meinung des Bundesverwaltungsgerichts, die das Öffentlichkeitsprinzip stark einschränkt, anschliesst[22].


 

Fussnoten:

  1. Schweizerische Strafprozessordnung, SR 312.

  2. Bundesgesetz über den Nachrichtendienst, SR 121.

  3. Vgl. insb. Art. 269 ff. StPO sowie Art. 26 ff. NDG.

  4. Vgl. Publikation RTS “La Suisse utilise aussi un logiciel espion israélien du type Pegasus” vom 11. August 2021, <https://www.rts.ch/info/suisse/12411718-la-suisse-utilise-aussi-un-logiciel-espion-israelien-du-type-pegasus.html> (letztmals besucht am 5. April 2024).

  5. Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung, SR 152.3.

  6. Vgl. Recommandation selon l’art. 14 de la loi sur la transparence concernant la procédure de médiation entre X. (demandeur) et l’Office fédéral de la police (fedpol) vom 25. Januar 2022, insb. E. 21 (in fine) und E. 28.

  7. Vgl. Urteil des Bundesverwaltungsgerichts (BVGer) A-1310/2022 vom 9. Januar 2024, E. 6.1-6.3.

  8. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 7.

  9. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 7.1.2.

  10. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 7.3.

  11. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 8.

  12. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 9.

  13. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 10.

  14. Vgl. Urteil des BVGer A-700/2015 vom 26. Mai 2015.

  15. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 11, insb. 11.3.

  16. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 7.3.2 und 7.3.3.

  17. Vgl. Urteil des BVGer A-1310/2022 vom 9. Januar 2024, E. 9, dem zu entnehmen ist, dass das fedpol beim Bundesverwaltungsgericht einen Bericht eingereicht hat, der dem Gesuchsteller nicht zugänglich gemacht wurde. Allenfalls sind darin Informationen zur Nutzung der GovWare durch den NDB enthalten.

  18. Vgl. Empfehlung des EDÖB nach Art. 14 des Öffentlichkeitsgesetzes im Schlichtungsverfahren zwischen X. (Antragssteller) und Nachrichtendienst des Bundes NDB vom 20. September 2023, insb. E. 23 bzw. 32. Vgl. dazu auch Empfehlung des EDÖB nach Art. 14 des Öffentlichkeitsgesetzes im Schlichtungsverfahren zwischen X (Antragsteller) und Nachrichtendienst des Bundes NDB vom 10. Dezember 2018 sowie Empfehlung des EDÖB nach Art. 14 des Öffentlichkeitsgesetzes im Schlichtungsverfahren zwischen Y (Antragsteller) und Nachrichtendienst des Bundes NDB vom 10. Dezember 2018.

  19. SR 172.056.1.

  20. Urteil des BVGer A-839/2022 vom 5. April 2023 sowie Urteil des BVGer A-1526/2022 vom 12. April 2023.

  21. Vgl. Empfehlung des EDÖB nach Art. 14 des Öffentlichkeitsgesetzes im Schlichtungsverfahren zwischen X. (Antragsstellerin) und Bundesamt für Polizei fedpol vom 21. Dezember 2023, insb. E. 38.

  22. Vgl. dazu Daniel Ladanie-Kämpfer, Erneut Spezialbestimmungen und der Schutz aussenpolitischer Interessen im Fokus, medialex 03/2024, 10. April 2024, Rz. 14 ff. und 19 ff.

<a rel=»license» href=»http://creativecommons.org/licenses/by-sa/4.0/»><img alt=»Creative Commons Lizenzvertrag» style=»border-width:0″ src=»https://i.creativecommons.org/l/by-sa/4.0/88×31.png» /></a><br />Dieses Werk ist lizenziert unter einer <a rel=»license» href=»http://creativecommons.org/licenses/by-sa/4.0/»>Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz</a>.

image_print

Kommentar schreiben

16 − 12 =

Über uns

Medialex ist die schweizerische Fachzeitschrift für Medien- und Kommunikationsrecht. Sie erscheint als Newsletter im Monatsrhythmus (10x jährlich), open access, und enthält Untersuchungen und Brennpunkte zu medienrechtlichen Themen, aktuelle Urteile mit Anmerkungen, Hinweise auf neue medien- und kommunikationsrechtliche Urteile, UBI-Entscheide und Presseratsstellungnahmen sowie auf neue wissenschaftliche Publikationen und Entwicklungen in der Rechtsetzung.

Vernetzen