Sogenannte soziale Netzwerke (von Anbietern wie Facebook, Google, Instagram, Snapchat usw.), grosse Online-Handelsplattformen (z.B. Alibaba, Ebay, Amazon usw.), abgeleitete Internettelefonie (z.B. über Whatsapp), Mailing- (z.B. Gmail von Google oder Outlook von Microsoft), Chat-/Messaging-, (Peer-to-Peer-)Videokommunikations- (z.B. über Skype oder Whatsapp) oder Cloud-Dienste werden zunehmend auch von Kriminellen genutzt. Leider gehören dazu regelmässig auch hochgefährliche Terroristen, mafiöse Organisationen und andere international tätige und gut vernetzte Verbrecher.
Zwei neue Forschungsarbeiten der Universität St. Gallen zeigen die gesetzlichen Lücken auf bei der strafprozessualen Überwachbarkeit wichtiger moderner Kommunikationskanäle (vgl. Laura Dusanek, Probleme der strafprozessualen Überwachung abgeleiteter Internetdienste wie Facebook, Skype oder Whatsapp – Lösungen im neuen BÜPF? MA SG 2019; Katja Allenspach, Revision des Überwachungsrechts: Eine Übersicht der bedeutendsten Änderungen, MA SG 2019). Bisher fehlt es dem Bundesrat bedauerlicherweise am politischen Mut zur dringend gebotenen Regulierung von Schweizer Tochter- und Vertriebsgesellschaften der grossen ausländischen IT-Konzerne:
Die Antwort auf die Frage, welche Internetdienste strafprozessual überwacht werden können (z.B. Telefonabhörung, Internet-Teilnehmerüberwachung usw.), ist komplex und ständigem technischem Wandel unterworfen. Sie hängt insbesondere vom verwendeten Dienst, von der Art der Verschlüsselung und vom verwendeten Kommunikationsgerät bzw. Internetzugang ab. Selbst die grossen ausländischen Internetdienste und Social Media (soweit sie überhaupt eine gesetzliche Mitwirkungspflicht bei schweizerischen Überwachungen nach dem BÜPF haben) sind teilweise technisch gar nicht in der Lage, auf "End-to-End"-verschlüsselte Kommunikationsinhalte (Gesprächsverkehr) ihres Dienstes zuzugreifen bzw. unverschlüsselte Daten zu liefern. Die gesetzlich stark regulierten Schweizer Internet-Zugangsprovider (wie Swisscom, Sunrise, Salt usw.) haben nur Zugriff auf die Registrierungs- und Identifikationsdaten bereits bekannter Anschlüsse sowie auf die "IP-Histories" (IP-Adressverläufe) von bestimmten Internetaktivitäten. Auch die Beschlagnahme unverschlüsselter (bereits "abgerufener") Kommunikationsinhalte auf Empfangsgeräten (Smartphones usw.) ist nur möglich, falls die Strafbehörden direkten Zugriff auf ein solche Geräte haben. Der höchstens subsidiär in Frage kommende Einsatz von GovWare (behördliche Software zur heimlichen Kommunikationsüberwachung) bildet ebenfalls kein Allheilmittel: Diese seit 1. März 2018 im Gesetz vorgesehene Überwachungsart ist sehr aufwändig und teuer; ausserdem setzt sie günstige Zugriffskonstellationen voraus (physischer Zugriff auf das Zielgerät oder heimliches Aufladen der GovWare per Internet, z.B. mittels präparierter E-Mail oder WLAN).
– Können Schwerkriminelle also in der Schweiz ungestört und ohne Überwachung über Internet kommunizieren und Verbrechen planen? Die beunruhigende Antwort lautet: in weiten Bereichen leider ja.
Die Problematik ist eine doppelte: Nicht nur fehlt es an einer klaren gesetzlichen Grundlage zum Durchgriff auf ausländische Datenverwalter grosser IT-Konzerne, Social Media und Online-Handelsplattformen, etwa über deren schweizerische Vertriebs- und Marketingfilialen. Hinzu kommt noch die technische Schwierigkeit, dass es bei verschlüsselten mobilen Internetdiensten (und damit im zentralen Bereich) weder für die schweizerische Strafbehörde, noch den technischen Dienst ÜPF, noch für den Schweizer Internet-Zugangsprovider ohne weiteres möglich ist, ohne Zutun des ausländischen Internetdienstes (oder aufwändige technische Zusatzvorkehren) auf die notwendigen verschlüsselten Kommunikationsdaten zu greifen.
Die Internet-Zugangsprovider sind zwar verpflichtet, die "IP-Histories" ihrer Kunden herauszugeben und entsprechende Auskünfte zur Identifizierung ihrer registrierten Internetkunden zu geben (Art. 22 BÜPF, Art. 14 aBÜPF). Auf verschlüsselte Chatverläufe und registrierte Benutzerdaten von Internetdiensten wie Facebook, Whatsapp, Google, Instagram, Snapchat, Skype usw. haben sie jedoch regelmässig keinen direkten Zugriff. Das neue BÜPF sieht daher eine Duldung möglicher Überwachungen durch alle – in der Schweiz ansässigen – "abgeleiteten Internetdienste" vor sowie eine Herausgabepflicht betreffend bei ihnen vorhandene Rand- und Identifikationsdaten (Art. 27 Abs. 1 und Art. 22 Abs. 1 und 3 BÜPF). Bei Schweizer Internetkommunikations-Anbietern, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, bestimmt das Gesetz sogar noch, dass der Bundesrat inhaltliche Überwachungen (mit Verpflichtung zur Aufhebung eigener Verschlüsselungen der abgeleiteten Dienste) und Daten-Aufbewahrungspflichten vorsehen könne (Art. 27 Abs. 3 i.V.m. Art. 26 Abs. 1 lit. a und Abs. 2 lit. c sowie Art. 22 Abs. 4 i.V.m. Abs. 2 BÜPF).
Der Bundesrat hat allerdings auf griffige gesetzliche Massnahmen, um die wichtigsten Provider mit Sitz bzw. Datenverwaltung im Ausland nach dem sogenannten Zugriffsprinzip zur Mitwirkung zu verpflichten, bisher bewusst verzichtet. Insbesondere will er keine Bestimmung einführen, wonach solche Dienstanbieter, die in der Schweiz regelmässig mit eigenen Niederlassungen Marketing betreiben, hier auch die Rand- und Identifikationsdaten der Schweizer Kunden verwalten (oder zumindest faktischen Zugriff auf die Daten haben) müssten. Nicht einmal Töchter von ausländischen IT-Giganten, welche bereits in der Schweiz ansässig sind und hier fleissig Schweizer Kundinnen und Kunden anwerben bzw. Marketing betreiben, möchte der Bundesrat in die Pflicht nehmen. Diese sind bisher nicht gesetzlich verpflichtet, sich über ihre Konzernmutter die Zugangsberechtigung für die Daten ihrer Schweizer Kundschaft zu beschaffen.
Nach bisheriger Ansicht des Bundesrates bestehe "kein Anlass dazu, dass Anbieterinnen, bloss weil sie abgeleitete Dienste bereitstellen, den gleichen Anforderungen wie die klassischen Fernmeldedienstanbieterinnen unterliegen" sollten. Anderslautende Schweizer Regelungen könnten "mangels Zuständigkeit gar nicht durchgesetzt werden". − Diese Argumentation überzeugt nicht. Geradezu verniedlichend und naiv wirkt die Ansicht des Bundesrates, marktbeherrschende Gosskonzerne wie Facebook oder Google würden "bloss" abgeleitete Dienste bereitstellen. Wenn ein ständig zunehmender Grossteil der Kommunikation über Produkte und Dienstleistungen dieser Konzerne läuft (z.B. Whatsapp, FB- und Instagram-Messenger, Google-Mails und -Chats oder Internettelefonie), darunter leider auch sehr viel anonyme Kommunikation mit kriminellem Hintergrund, dann drängt es sich im Gegenteil geradezu auf, diese Dienstleistungen einzubeziehen und wenigstens jene Daten (insbes. Daten, welche eine Identifizierung der Nutzer ermöglichen) zu beanspruchen, welche die Provider selber sammeln und verwalten. Der Schweizer Gesetzgeber ist auch durchaus dafür "zuständig", die Regeln zu bestimmen, nach denen Filialen von ausländischen Grossanbietern in der Schweiz Geschäfte betreiben und bewerben. In neueren Stellungnahmen des Bundesrates wird denn auch immerhin eingeräumt, dass grosse IT-Konzerne wirtschaftlich und technisch betrachtet die Funktion eigentlicher Fernmeldedienstleister innehaben. Eine förmliche Einstufung von grossen ausländischen Internetdiensten als "Fernmeldedienste" (im Sinne des BÜPF) durch den Dienst ÜPF (per "Merkblatt") löst den Konflikt mit dem völkerrechtlichen Territorialitätsprinzip aber in der Praxis nicht und ist auch rechtsstaatlich fragwürdig.
Nach den Ergebnissen der beiden (unabhängig voneinander erstellten) St.Galler Forschungsarbeiten hat die Revision des BÜPF an der bisherigen Rechtslage für grosse IT-Konzerne mit Datenspeicherung im Ausland grundsätzlich nichts geändert: Zwar ergibt sich eine gesetzliche Mitwirkungspflicht, wenn der Konzern "Dienste für sich in der Schweiz befindliche Personen" erbringt oder "sich gezielt an Personen in der Schweiz adressiert". Mitwirkungspflichtig sind jedoch nur jene Internetdienste, die einen Sitz oder eine Niederlassung in der Schweiz haben, welche die faktische oder rechtliche Kontrolle über die Daten ausüben. Faktische und rechtliche Kontrolle haben die jeweiligen Datenverwalter (z.B. FB Irland) bzw. die Konzernzentrale (z.B. FB USA). Für andere Tochterfirmen ausländischer IT-Giganten, also insbesondere reine Marketing- und Vertriebsfilialen in der Schweiz, gilt weiterhin die folgende Rechtslage:
Die Internationale Konvention zur Bekämpfung der Cyber-Kriminalität (CCC) orientiert sich noch stark am Territorialitätsprinzip. Dieses ist verhaftet im Nationalstaatendenken des 19. und 20. Jahrhunderts, welches noch von kontrollierbaren Staatsgrenzen mit bunt gestrichtenen "Schlagbäumen" und davor anhaltenden Postkutschen ausgeht. Eine solche internationalstrafrechtliche Sicht ist spätestens in Zeiten der grenzübergreifenden IT-Kriminalität schon fast rührend und hoffnunglos veraltet. Aufgrund des Territorialitätsprinzipes dürfen selbst die CCC-Signatarstaaten (z.B. die Schweiz) in den jeweiligen Partnerstaaten (z.B. den USA) keine direkten Datenerhebungen (auf nicht öffentlich zugänglichen Datenbanken) vornehmen. Einzelne regulatorische "Paradiese" für IT-Grosskonzerne wie Irland haben nicht einmal die (eher zahnlose) CCC ratifiziert. Wenn die Schweizer Strafbehörden ein Verbrechen aufdecken wollen, z.B. Terrorismus, Mord oder Kinderpornographie, welches mithilfe des Internets begangen oder vorbereitet wurde, müssen sie (gestützt auf die CCC) zunächst versuchen, die Schweizer Kundinnen und Kunden des betroffenen Internetdienstes (die allenfalls in den Kreis von Verdächtigen fallen könnten) um Zustimmung zur Datenerhebung (nach Art. 32 lit. b CCC) zu bewegen. Falls die Zustimmung (aus welchen Motiven auch immer) nicht erfolgt, kann noch versucht werden, die ausländische Datenverwaltung um Zustimmung zu bitten. Aus "Geheimnisschutz"- bzw. nahe liegenden Marketinggründen sind diese an einer freiwilligen Zusammenarbeit aber (verständlicherweise) meistens wenig interessiert.
Zwar wäre eine vom betroffenen Staat bewilligte grenzüberschreitende Datenerhebung mit dem Völkerrecht ("Territorialitätsprinzip") bzw. dem internationalen Strafrecht vereinbar. Eine solche Lösung setzt aber selbst nach der CCC auch noch eine Zustimmung der direkt betroffenen Kunden oder der ausländischen Datenverwaltung des betroffenen IT-Konzerns voraus. Falls eine solche freiwillige Datenherausgabe verweigert wird, bleibt der Strafbehörde nur noch der sehr langwierige und komplizierte Rechtshilfeweg.
Auch hier ergeben sich regelmässig Probleme. Selbst wenn Rechtshilfe geleistet wird, kommt sie oft zu spät, zumal die Daten-Aufbewahrungsvorschriften im Ausland oft lasch sind und die Verfahren oft viele Monate bzw. Jahre dauern. Bei Delikten wie z.B. Rassismus kommt noch dazu, dass ausländische Gerichte (insbesondere US-amerikanische oder irische Gerichte) die internationale Zusammenarbeit leider sogar in beunruhigendem Ausmass verweigern. Das kontinentaleuropäische Rechtsdenken bemüht sich um einen Ausgleich zwischen dem hochwertigen Grundrecht der Meinungsäusserungsfreiheit einerseits und dem notwendigen Schutz der betroffenen Menschen vor rassistischer und ehrverletzender Hetze und Verleumdung. Aus dieser Sicht trägt eine Verabsolutierung des "Freedom of (Hate) Speech" im angloamerikanischen und teilweise auch im skandinavischen Rechtskreis (Schweden hat die CCC ebenfalls noch nicht ratifiziert) Züge eines befremdlichen Grundrechtsfetischismus.
Einerseits darf ein Staat nicht einfach Zwangsmassnahmen auf ausländischem Hoheitsgebiet ergreifen. Anderseits muss er auf seinem Territorium sein Strafrecht durchsetzen können, auch gegenüber Personen und Gesellschaften, die im Inland wirtschaftlich tätig sind. Eine moderne Interpretation des Territorialitätsprinzips im Zeitalter des Cyberspace sollte daher an der faktischen wirtschaftlichen Betätigung ausländischer IT-Konzerne anknüpfen und damit einen gesetzlichen Zugriff auf dessen inländische Marketing- und Vertriebsfilialen zulassen.
Wie in den beiden St.Galler Forschungsarbeiten aufgezeigt wird, neigt auch die Praxis des Bundesgerichtes einem entsprechenden internationalstrafrechtlichen Zugriffsprinzip zu. Dem schweizerischen Gesetzgeber kann es nicht verwehrt sein, in der Schweiz domizilierte Vertriebs- und Marketingfilialen von ausländischen Diensten anzuweisen, sich die für eine ausreichende Mitwirkung (namentlich Nutzer-Identifizierung) benötigten Daten von ihrer Konzernzentrale oder von den ausländischen Datenverwaltern zu beschaffen. Dies müsste im BÜPF allerdings klar so geregelt werden. Dass ein angemessenes regulatorisches Vorgehen im Interesse der Rechtsstaatlichkeit und Verbrechensaufklärung durchaus möglich ist (solange die CCC noch keine Lösungen bringt), hat zum Beispiel Belgien bewiesen.
– Was müsste der schweizerische Gesetzgeber also tun, damit die Verfolgung von schweren Verbrechen wie Terrorismus, Drogenhandel oder Kinderpornographie nicht an der "Zustimmung" von Internet-Usern und ausländischen IT-Konzernen scheitert? Etwas mehr politischer Mut wäre gefragt. Die Vertriebs- und Marketinggesellschaften von ausländischen IT-Konzernen mit Sitz in der Schweiz müssten gesetzlich verpflichtet werden, sich den Datenzugang für ihre Schweizer Kunden (und die Berechtigung dazu) bei ihren ausländischen Muttergesellschaften zu beschaffen. – Sollte das bereits zu viel verlangt sein? Wird die internationalstrafrechtliche "Postkutsche" noch lange am Schlagbaum des veralteten Nationalstaatsdenkens angehalten?
2. September 2019 / © Prof. Dr. Marc Forster