Soziale Medien

UPDATE – AUSFÜHRLICHE BESPRECHUNG Bundesgericht: Soziale Medien sind nicht zu direktem Austausch von Daten der Internet-Kommunikation mit Schweizer Strafverfolgungsbehörden verpflichtet


Ihr Kontakt

Das Schweizer Bundesgericht hat am 15. April 2014 ein Urteil (1B_344/2014)über die Zulässigkeit des Informationsaustausches zwischen der Zürcher Staatsanwaltschaft und einem Social Media Unternehmen aus den USA veröffentlicht (siehe unsere Kurzbetrachtung vom 18. April 2015). Im Wesentlichen wurde entschieden, dass kein direkter grenzüberschreitender Zugriff auf die Daten der Internetkommunikation einer Person, die sich möglicherweise einer Straftat schuldig gemacht hat, ausserhalb eines förmlichen internationalen Rechtshilfeverfahrens erfolgen darf. Eine Ausnahme von den oft aufwändigen und langwierigen förmlichen Rechtshilfeverfahren ist zwar möglich, die Voraussetzungen dafür waren im konkreten Fall jedoch nicht gegeben. Dies gilt auch dann, wenn Twitter, Facebook & co. eine solche Weitergabe in Ihren Nutzungsbedingungen vorsehen. Sofern die Herausgabe von einem Schweizer Gerichtsentscheid abhängig gemacht werde, erfolge die Herausgabe eben nicht freiwillig. Ein solcher stelle aber ein Zwangsmittel dar und ein solches stünde einem Schweizer Gericht, resp. einer Schweizer Behörde nicht zu.

Sachverhalt

Ausgangspunkt des Bundesgerichtsurteils (1B_344/2014) vom 14. Januar 2015 sind rassistische Äusserungen (Postings) die auf der Webseite eines sozialen Netzwerks veröffentlicht wurden. Die Strafverfolgungsbehörden des Kantons Zürich leiteten im Sommer 2014 ein Strafverfahren gegen eine unbekannte Täterschaft ein und verfügten gegenüber dem in den USA niedergelassenen Internetservice-Provider die Herausgabe der IP-History sowie der Registrierungsdaten des betreffenden Kundenprofils. Als Rechtsgrundlage diente Art. 273 StPO i. V. m. Art. 32 lit. b des Internationalen Cybercrime-Übereinkommens (CCC). In der Folge wies das Zwangsmassnahmengericht (Obergericht des Kantons Zürich) das Gesuch der Staatsanwaltschaft auf eine rückwirkende Überwachung des Fernmeldeverkehrs (mit Erhebung von Kommunikations- und Randdaten und sogenannten Bestandesdaten (insb. Name und Adresse) in den USA) ab. Begründet wurde dies damit, dass weder das Internationale Cybercrime Übereinkommen noch das Bundesrecht eine genügende Rechtsgrundlage für eine direkte, grenzüberschreitende Untersuchungsmassnahme darstellen. Die Oberstaatsanwaltschaft des Kantons Zürich gelangte gegen die Verfügung des Zwangsmassnahmengerichts mit Beschwerde an das Bundesgericht und beantragte, den angefochtenen Entscheid aufzuheben und das Überwachungsgesuch zu genehmigen.

Grenzüberschreitende rückwirkende und direkte Randdatenerhebung (IP-History)

Die Identifizierung einer verdächtigen Person ist nicht ohne weiteres möglich, da Service-Provider dem Nutzer in der Regel mit jedem Besuch eine neue IP-Adresse zuweist. Um einen Nutzer identifizieren zu können, muss der Provider alle zugewiesenen IP-Adressen über den Verlauf der Zeit abspeichern. Service-Provider die dem Schweizer Recht unterworfen sind, sind verpflichtet, der Polizei und der Staatsanwaltschaft im Rahmen eines Strafverfahrens, rückwirkend auf mind. 6 Monate alle Angaben zu machen (Art. 12 Abs. 2 BÜPF), welche eine Identifikation des Urhebers einer über das Internet begangenen Straftat ermöglichen. Sind der Staatsanwaltschaft, wie im vorliegenden Fall nur Aktivitäten wie Postings bekannt, nicht jedoch eine E-Mail Adresse oder ein Internetanschluss, müssen über die Verbindungs-Randdaten (IP-History) der entsprechenden Internetkommunikation, die betreffenden IP-Adressen und registrierten Nutzer erst eruiert werden. Die Anordnung solcher Überwachungsmassnahmen erfolgt in der Schweiz gestützt auf Art. 273 StPO. Anders verhält es sich, wenn eine E-Mail Adresse oder ein Internetanschluss bereits bekannt ist. Dann nämlich werden lediglich Bestandesdaten abgefragt (vgl. dazu unten Punkt 3).

Die Cyberkriminalität im internationalen Kontext stellt die Strafverfolgungsbehörden vor zusätzliche Herausforderungen: deliktisches Verhalten erfolgt im Internet über die Staatsgrenzen hinaus, deliktische Inhalte werden mit einer hohen Geschwindigkeit verbreitet und Aktivitäts- und Erfolgsorte können geografisch weit auseinander liegen. Die Gesetzgebung eines Landes ist, dem Territorialitätsgrundsatz folgend, an seine Landesgrenzen gebunden. Bei internationalen Strafsachverhalten muss grundsätzlich der langwierige und aufwändige Weg der förmlichen Rechtshilfe begangen werden, welcher im Hinblick auf die Cyberkriminalität oft ein zu träges Mittel darstellt. Hinzu kommt, dass die Staaten unterschiedlich mit den für die Strafverfolgung relevanten Daten umgehen. Bei Staaten mit einer relativ kurzen Vorratsdatenspeicherung drohen die Daten schon vernichtet zu werden, bevor über ein hängiges Rechtshilfegesuch entschieden wurde. Um diesem Ungleichgewicht entgegenzutreten sieht das internationale Übereinkommen über die Cyberkriminalität (CCC) eigene Instrumente zur Erleichterung der strafrechtlichen Verfolgung vor, darunter

  • die vorsorgliche umgehende Sicherung gespeicherter Computerdaten im Hinblick auf ein späteres Rechtshilfeersuchen (Sicherstellung für den Fall der Beweiserhebung auf dem förmlichen Rechtsweg)
  • die umgehende Weitergabe von Verkehrsdaten aufgrund eines vorsorglichen Ersuchens
  • der direkte grenzüberschreitende Zugriff, wenn ein Berechtigter der Datenerhebung zugestimmt hat.

Gegenstand des Urteils ist die Prüfung des letztgenannten Instrumentes der direkten grenzüberschreitenden Randdatenerhebung. Über das von der Staatsanwaltschaft ebenfalls gestellte Gesuch auf Sicherung und Weitergabe der Randdaten der Internetkommunikation entscheidet die zuständige US-Behörde. Es ist folglich nicht Gegenstand des angefochtenen Entscheides. Geprüft wird nur ob die Voraussetzungen einer grenzüberschreitenden direkten und rückwirkenden Erhebung von Verbindungs-Randdaten (IP-History) nach Art. 32 lit. b CCC i. V. m. Art. 273 StPO gegeben sind.

Zunächst muss eine Person oder Gesellschaft befugt sein, einer Weitergabe der erfragten Daten zustimmen zu dürfen. Befugt und somit Zustimmungsberechtigt sind laut Bundesgericht (E.5.10) namentlich Internetprovider und Social Media-Anbieter, wenn sie in ihren Nutzungsbedingungen oder Datenverwendungsrichtlinien ein Weiterleitungsrecht an ausländische Strafverfolgungsbehörden gegenüber ihren Nutzern ausbedungen haben. Liegt eine solche Befugnis, über die Daten verfügen zu dürfen vor, muss als Zweites eine freiwillige Zustimmung des Social-Media Unternehmens vorliegen. Es reicht also nicht aus, dass jemand zur direkten grenzüberschreitenden Datenherausgabe berechtigt ist, viel mehr muss die Herausgabe aus freien Zügen erfolgen. Eine freiwillige Zustimmung liegt, laut Bundesgericht, nicht vor, wenn das Social-Media Unternehmen sich nur dann bereit erklärt die Daten auszuhändigen, wenn es durch einen hoheitlichen Entscheid dazu gezwungen werden könne. Der betroffene amerikanische Internetservice-Provider gab zudem schriftlich zu erkennen, dass er anderenfalls auf die Einhaltung des förmlichen Rechtshilfeweges bestehen würde. Das Bundesgericht hält fest, dass in dieser Äusserung keine freiwillige Zustimmung zur direkten Datenherausgabe gesehen werden darf und stützt damit die vorinstanzliche Meinung. Die Voraussetzungen von Art. 32 lit. b CCC i. V. m. 273 StPO sind demnach nicht erfüllt, mit der Folge, dass das Zwangsmassnahmengericht die grenzüberschreitende rückwirkende Erhebung der Verkehrs und Verbindungsdaten (IP-History) nicht hätte bewilligen müssen.

Grenzüberschreitende und direkte Übermittlung von Bestandesdaten?

Nachdem das Bundesgericht festgestellt hat, das die Voraussetzungen für die Herausgabe der Verkehrs- und Verbindungsdaten der fraglichen Internetkommunikation nicht erfüllt sind, prüfte es an zweiter Stelle, ob immerhin die Übermittlung der Bestandesdaten des fraglichen Profils vom Zwangsmassnahmengericht hätte bewilligt werden müssen. Die Bestandesdaten umfassen lediglich die Informationen darüber, wer der Inhaber bzw. Rechnungsadressat eines bestimmten, den Strafverfolgungsbehörden schon bekannten, Fernmeldeanschlusses ist. Im Gegensatz zu den Verbindungs-Randdaten wird in diesem Fall also nicht darüber informiert, wer mit wem kommuniziert hat, sondern lediglich darüber, wer einen bestimmten Internetanschluss benutzt hat. Auskünfte über die Bestandesdaten erfolgen innerhalb der Schweiz nach den Regelungen von Art. 14 Abs. 4 BÜPF und brauchen nicht richterlich bewilligt zu werden.

Schweizer Strafverfolgungsbehörden können gestützt auf das BÜPF Bestandesdaten in der Schweiz direkt bei den Providern erheben und diese auf der Grundlage des CCC und des Bundesgesetzes über internationale Rechtshilfe in Strafsachen (IRSG) auch unaufgefordert an ausländische Strafverfolgungsbehörden übermitteln. Umgekehrt können ausländische Strafverfolgungsbehörden Bestandesdaten auch an Schweizer Strafverfolgungsbehörden ausliefern, sofern ihr innerstaatliches Recht dies erlaubt (Art. 26 Abs. 1 CCC). Die Oberstaatsanwaltschaft Zürich macht in ihrer Beschwerde geltend, Art. 18 Abs. 1 lit. b CCC sei auch auf ausländische Internetservice-Provider anwendbar, die ihre Dienste in der Schweiz anbieten. Das Bundesgericht hält diesem Vorbringen jedoch entgegen, dass Art. 18 Abs. 1 lit. b CCC keine weitere Regelung (neben Art. 32 CCC) eines direkten grenzüberschreitenden Zugriffs enthalte. Neben dem Anbieten der Dienste müssten für ein Vorgehen in der Schweiz der ausländische Anbieter (oder eine Tochtergesellschaft) vielmehr die Daten in der Schweiz speichern. Nur ausländische Tochtergesellschaften („Server Farms“) die in der Schweiz domiziliert sind und Bestandesdaten ihrer Kunden speichern, unterstehen dem Schweizer Recht. Ein schlichtes Anbieten von Diensten, ohne Daten im Inland zu speichern, reicht hingegen noch nicht aus. Vielmehr bezweckt Bestimmung von Art. 18 Abs. 1 lit. b CCC den Erlass innerstaatlicher, verfahrensrechtlicher Zugriffsmöglichkeiten. Abschliessend hält das Bundesgericht fest, dass für die Herausgabe von Bestandesdaten eins Social Media Anbieters in den USA das von den US-Behörden anzuwendende Recht massgeblich ist. Ob vor diesem Hintergrund eine unaufgeforderte Übermittlung der Bestandesdaten an die Zürcher Strafverfolgungsbehörden erfolgen kann, hat nicht das Zwangsmassnahmengericht zu entscheiden, sondern die sachlich zuständige amerikanische Behörde auf informelle Anfrage der Schweizer Behörden hin.

Schlussbetrachtung

Das Bundesgericht hat die Bewilligung einer von der Staatsanwaltschaft Zürich beabsichtigten Datenerhebung mittels einer rückwirkenden Überwachung in den USA durch ein Schweizer Zwangsmassnahmengreicht für unzulässig beurteilt. Damit stützt es den Entscheid des Zwangsmassnahmengerichtes, welches eben dieses Gesuch der Staatsanwaltschaft abwies. Die Voraussetzungen für eine direkte grenzüberschreitende Datenherausgabe nach dem CCC sind demnach nicht erfüllt. Die erwünschte Überwachungsmassnahme kann nur über den Weg der internationalen Rechtshilfe in Strafsachen erfolgen. Die Herausgabe von Bestandesdaten wurde vom Zwangsmassnahmengericht richtigerweise nicht behandelt. Dass es dafür gar nicht zuständig war, wurde nun vom Bundesgericht bestätigt.

Dem Entscheid kann zudem entnommen werden, dass auf Tochtergesellschaften von ausländischen Internetservice-Provider die Schweizerische Strafprozessordnung und das BÜPF anwendbar sind, wenn diese Daten in der Schweiz speichern. Hat ein datenbearbeitendes Unternehmen in seinen Nutzungsbedingungen oder in einer Datenschutzerklärung die Weitergabe der Daten an Strafverfolgungsbehörden herausbedungen, stellt dies eine vertragliche Befugnis des Unternehmens gegenüber dem Kunden dar, die Daten wie beschrieben zu benutzen. Keine Aussage macht der Entscheid darüber, ob bereits ein Anbieten von Diensten in der Schweiz (von einem ausländischen Unternehmen) zu einer Anwendbarkeit von Schweizer Recht führt. Das Bundesgericht betrachtet im Entscheid lediglich im Inland domizilierte Tochtergesellschaften. Art. 18 CCC ist, entgegen der Ansicht der Beschwerdeführerin, gerade keine Regelung über die Anwendbarkeit von Schweizer Recht auf ausländische Dienstanbieter. Die fragliche Regelung soll einen Vertragsstaat des CCC lediglich dazu bringen, die nötigen Massnahmen zu treffen, um einen Dienstanbieter zur Herausgabe der Bestandesdaten an eine zuständige Behörde veranlassen zu können. Betroffen sind Dienstanbieter die im Hoheitsgebiet des Staates Dienste anbieten und auf welche behördlicher Zwang ausgeübt werden darf (Territorialitätsprinzip). Laut Bundesgericht ist dies dann der Fall, wenn Daten in der Schweiz gespeichert werden.

Weiterführende Informationen:

Ansprechpartner: Lukas Bühlmann


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.