Universität St. Gallen ®

 

Territorialitätsgrundsatz und strafrechtliches Zugriffsprinzip bei Facebook, Whatsapp, Google und Co. – Gefährliche "Postkutschenromantik" im 21. Jahrhundert

Sogenannte soziale Netzwerke (von Anbietern wie Facebook, Google, Instagram, Snap­chat usw.), grosse Online-Handelsplattformen (z.B. Alibaba, Ebay, Amazon usw.), abgeleitete Internettelefonie (z.B. über Whatsapp), Mailing- (z.B. Gmail von Google oder Outlook von Microsoft), Chat-/Messaging-, (Peer-to-Peer-)Videokom­mu­nikations- (z.B. über Skype oder Whatsapp) oder Cloud-Dienste werden zunehmend auch von Kriminellen genutzt. Leider gehören dazu regelmässig auch hochgefährliche Terroristen, mafiöse Organisationen und andere international tätige und gut vernetzte Verbrecher.

 

Zwei neue Forschungsarbeiten der Universität St. Gallen zeigen die gesetzlichen Lücken auf bei der strafprozessualen Überwachbarkeit wichtiger moderner Kommunikationskanäle (vgl. Laura Dusanek, Probleme der strafprozessualen Überwachung abgeleiteter Internetdienste wie Facebook, Skype oder Whatsapp – Lösungen im neuen BÜPF? MA SG 2019; Katja Allenspach, Revision des Überwachungsrechts: Eine Übersicht der bedeutendsten Änderungen, MA SG 2019). Bisher fehlt es dem Bundesrat bedauerlicherweise am politischen Mut zur dringend gebotenen Regulierung von Schweizer Tochter- und Vertriebsgesellschaften der grossen ausländischen IT-Konzerne:

 

Die Antwort auf die Frage, welche Internetdienste strafprozessual überwacht werden können (z.B. Telefonabhörung, Internet-Teilnehmerüberwachung usw.), ist komplex und ständigem technischem Wandel unterworfen. Sie hängt insbesondere vom verwendeten Dienst, von der Art der Verschlüsselung und vom verwendeten Kommunikationsgerät bzw. Internetzugang ab. Selbst die grossen ausländischen Internetdienste und Social Media (soweit sie überhaupt eine gesetzliche Mitwirkungspflicht bei schweizerischen Überwachungen nach dem BÜPF haben) sind teilweise technisch gar nicht in der Lage, auf "End-to-End"-verschlüsselte Kommunikationsinhalte (Gesprächsverkehr) ihres Dienstes zuzugreifen bzw. unverschlüsselte Daten zu liefern. Die gesetzlich stark regulierten Schweizer Internet-Zugangsprovider (wie Swisscom, Sunrise, Salt usw.) haben nur Zugriff auf die Registrierungs- und Identifikationsdaten bereits bekannter Anschlüsse sowie auf die "IP-Histories" (IP-Adressverläufe) von bestimmten Internetaktivitäten. Auch die Beschlagnahme unverschlüsselter (bereits "abgerufener") Kommunikationsinhalte auf Empfangsgeräten (Smartphones usw.) ist nur möglich, falls die Strafbehörden direkten Zugriff auf ein solche Geräte haben. Der höchstens subsidiär in Frage kommende Einsatz von GovWare (behördliche Software zur heimlichen Kommunikationsüberwachung) bildet ebenfalls kein Allheilmittel: Diese seit 1. März 2018 im Gesetz vorgesehene Überwachungsart ist sehr aufwändig und teuer; ausserdem setzt sie günstige Zugriffskonstellationen voraus (physischer Zugriff auf das Zielgerät oder heimliches Aufladen der GovWare per Internet, z.B. mittels präparierter E-Mail oder WLAN).

 

 – Können Schwerkriminelle also in der Schweiz ungestört und ohne Überwachung über Internet kommunizieren und Verbrechen planen? Die beunruhigende Antwort lautet: in weiten Bereichen leider ja.

 

Die Pro­ble­matik ist eine doppelte: Nicht nur fehlt es an einer klaren gesetzlichen Grund­lage zum Durchgriff auf ausländische Datenverwalter grosser IT-Konzerne, Social Media und Online-Handelsplattformen, etwa über deren schweize­rische Vertriebs- und Marketing­filialen. Hinzu kommt noch die technische Schwierigkeit, dass es bei ver­schlüsselten mobilen Internetdiensten (und damit im zentralen Bereich) weder für die schweizerische Strafbehörde, noch den technischen Dienst ÜPF, noch für den Schwei­zer Internet-Zugangs­provider ohne weiteres möglich ist, ohne Zutun des ausländischen Internetdienstes (oder aufwän­dige technische Zusatzvorkehren) auf die notwendigen verschlüsselten Kommunikationsdaten zu greifen.

 

Die Internet-Zugangsprovider sind zwar verpflichtet, die "IP-Histories" ihrer Kunden her­aus­zu­geben und entsprechende Auskünfte zur Identifizierung ihrer registrierten Internet­kunden zu geben (Art. 22 BÜPF, Art. 14 aBÜPF). Auf verschlüsselte Chat­verläufe und regi­strierte Benutzerdaten von Internetdiensten wie Facebook, Whatsapp, Google, Instagram, Snapchat, Skype usw. haben sie jedoch regelmässig keinen direkten Zugriff. Das neue BÜPF sieht daher eine Duldung möglicher Überwachungen durch alle – in der Schweiz ansässigen – "abgeleiteten Internetdienste" vor sowie eine Herausgabe­pflicht betreffend bei ihnen vorhandene Rand- und Identifikations­daten (Art. 27 Abs. 1 und Art. 22 Abs. 1 und 3 BÜPF). Bei Schweizer Internetkommunikations-Anbietern, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, bestimmt das Gesetz sogar noch, dass der Bundesrat inhaltliche Überwachungen (mit Verpflichtung zur Aufhebung eigener Verschlüsselungen der abgeleiteten Dienste) und Daten-Aufbewah­rungspflichten vorsehen könne (Art. 27 Abs. 3 i.V.m. Art. 26 Abs. 1 lit. a und Abs. 2 lit. c sowie Art. 22 Abs. 4 i.V.m. Abs. 2 BÜPF).

 

 Der Bundesrat hat allerdings auf griffige gesetzliche Massnahmen, um die wichtigsten Provider mit Sitz bzw. Daten­ver­waltung im Ausland nach dem sogenannten Zugriffsprinzip zur Mitwirkung zu verpflichten, bisher bewusst verzichtet. Insbesondere will er keine Bestimmung einführen, wonach solche Dienstanbieter, die in der Schweiz regelmässig mit eigenen Niederlassungen Marketing betreiben, hier auch die Rand- und Identifikations­daten der Schweizer Kunden verwal­ten (oder zumindest fakti­schen Zugriff auf die Daten haben) müssten. Nicht einmal Töchter von ausländischen IT-Giganten, welche bereits in der Schweiz ansässig sind und hier fleissig Schweizer Kundinnen und Kunden anwerben bzw. Marketing betreiben, möchte der Bundesrat in die Pflicht nehmen. Diese sind bisher nicht gesetzlich verpflichtet, sich über ihre Konzernmutter die Zugangsberechtigung für die Daten ihrer Schweizer Kundschaft zu beschaffen.

 

Nach bisheriger Ansicht des Bundesrates bestehe "kein Anlass dazu, dass Anbiete­rinnen, bloss weil sie abgeleitete Dienste bereit­stel­len, den gleichen Anforde­rungen wie die klassischen Fernmeldedienstanbieterinnen unter­liegen" sollten. Anderslautende Schweizer Rege­lungen könnten "mangels Zuständigkeit gar nicht durch­ge­setzt werden". − Diese Argumentation überzeugt nicht. Geradezu verniedlichend und naiv wirkt die Ansicht des Bundesrates, marktbeherrschende Gosskonzerne wie Facebook oder Google würden "bloss" abgeleitete Dienste bereitstellen. Wenn ein ständig zunehmender Grossteil der Kommunikation über Produkte und Dienstleistungen dieser Konzerne läuft (z.B. Whatsapp, FB- und Instagram-Messenger, Google-Mails und -Chats oder Internettelefonie), darunter leider auch sehr viel anonyme Kommunikation mit kriminellem Hintergrund, dann drängt es sich im Gegenteil geradezu auf, diese Dienstleistungen einzu­beziehen und wenigstens jene Daten (insbes. Daten, welche eine Identifizierung der Nutzer ermöglichen) zu beanspruchen, welche die Provider selber sammeln und verwalten. Der Schweizer Gesetz­geber ist auch durchaus dafür "zuständig", die Regeln zu bestim­men, nach denen Filialen von auslän­di­schen Grossanbietern in der Schweiz Geschäfte betreiben und bewerben. In neueren Stellungnahmen des Bundesrates wird denn auch immerhin eingeräumt, dass grosse IT-Konzerne wirtschaftlich und technisch betrachtet die Funktion eigentlicher Fernmeldedienstleister innehaben. Eine förmliche Einstufung von grossen ausländischen Internetdiensten als "Fernmeldedienste" (im Sinne des BÜPF) durch den Dienst ÜPF (per "Merkblatt") löst den Konflikt mit dem völkerrechtlichen Territorialitätsprinzip aber in der Praxis nicht und ist auch rechtsstaatlich fragwürdig.

 

Nach den Ergebnissen der beiden (unabhängig voneinander erstellten) St.Galler Forschungsarbeiten hat die Revision des BÜPF an der bisherigen Rechtslage für grosse IT-Konzerne mit Datenspeicherung im Ausland grundsätzlich nichts geändert: Zwar ergibt sich eine gesetzliche Mitwirkungspflicht, wenn der Konzern "Dienste für sich in der Schweiz befindliche Personen" erbringt oder "sich gezielt an Personen in der Schweiz adres­siert". Mitwirkungspflichtig sind jedoch nur jene Internetdienste, die einen Sitz oder eine Nieder­lassung in der Schweiz haben, welche die faktische oder rechtliche Kontrolle über die Daten ausübt. Faktische und rechtliche Kontrolle haben die jeweiligen Daten­verwalter (z.B. FB Irland) bzw. die Konzernzentrale (z.B. FB USA). Für andere Tochterfirmen ausländischer IT-Giganten, also insbesondere reine Marketing- und Vertriebs­filialen in der Schweiz, gilt weiterhin die folgende Rechtslage:

 

Die Internationale Konvention zur Bekämpfung der Cyber-Kriminalität (CCC) orientiert sich noch stark am Territoriali­täts­prin­zip. Dieses ist verhaftet im Nationalstaatendenken des 19. und 20. Jahrhun­derts, welches noch von kontrollierbaren Staatsgrenzen mit bunt gestrichtenen "Schlag­bäumen" und davor anhaltenden Postkutschen ausgeht. Eine solche internationalstrafrechtliche Sicht ist spätestens in Zeiten der grenzübergreifenden IT-Kriminalität schon fast rührend und hoffnunglos veraltet. Aufgrund des Territorialitätsprinzipes dürfen selbst die CCC-Signatarstaaten (z.B. die Schweiz) in den jeweiligen Partnerstaaten (z.B. den USA) keine direkten Datenerhebungen (auf nicht öffentlich zugänglichen Datenbanken) vornehmen. Einzelne regulatorische "Paradiese" für IT-Grosskonzerne wie Irland haben nicht einmal die (eher zahnlose) CCC ratifiziert. Wenn die Schweizer Strafbehörden ein Verbrechen aufdecken wollen, z.B. Terrorismus, Mord oder Kinderpornographie, welches mithilfe des Internets begangen oder vorbereitet wurde, müssen sie (gestützt auf die CCC) zunächst versuchen, die Schweizer Kundinnen und Kunden des betroffenen Internetdienstes (die allenfalls in den Kreis von Verdächtigen fallen könnten) um Zustimmung zur Datenerhebung (nach Art. 32 lit. b CCC) zu bewegen. Falls die Zustimmung (aus welchen Motiven auch immer) nicht erfolgt, kann noch versucht werden, die ausländische Datenverwaltung um Zustimmung zu bitten. Aus "Geheimnisschutz"- bzw. nahe liegenden Marketinggründen sind diese an einer freiwilligen Zusammenarbeit aber (verständlicherweise) meistens wenig interessiert.

 

Zwar wäre eine vom betroffenen Staat bewilligte grenzüberschreitende Datenerhebung mit dem Völkerrecht ("Territoriali­tätsprinzip") bzw. dem internationalen Strafrecht vereinbar. Eine solche Lösung setzt aber selbst nach der CCC auch noch eine Zustimmung der direkt betroffenen Kunden oder der ausländischen Datenverwaltung des betroffenen IT-Konzerns voraus. Falls eine solche freiwillige Datenherausgabe verweigert wird, bleibt der Strafbehörde nur noch der sehr langwierige und komplizierte Rechtshilfeweg.

 

Auch hier ergeben sich regelmässig Probleme. Selbst wenn Rechtshilfe geleistet wird, kommt sie oft zu spät, zumal die Daten-Aufbewahrungsvorschriften im Ausland oft lasch sind und die Verfahren oft viele Monate bzw. Jahre dauern. Bei Delikten wie z.B. Rassismus kommt noch dazu, dass ausländische Gerichte (insbesondere US-amerikanische oder irische Gerichte) die internationale Zusam­menarbeit leider sogar in beunruhigendem Ausmass verweigern. Das kontinental­euro­päi­sche Rechtsdenken bemüht sich um einen Ausgleich zwischen dem hochwertigen Grundrecht der Meinungsäusserungsfreiheit einerseits und dem notwendigen Schutz der betroffenen Menschen vor rassi­sti­scher und ehrverletzender Hetze und Verleumdung. Aus dieser Sicht trägt eine Verabsolutierung des "Freedom of (Hate) Speech" im angloamerikanischen und teilweise auch im skandinavischen Rechtskreis (Schweden hat die CCC ebenfalls noch nicht ratifiziert) Züge eines befremdlichen Grundrechtsfetischismus.

 

Einerseits darf ein Staat nicht einfach Zwangsmassnahmen auf ausländischem Hoheitsgebiet ergreifen. Anderseits muss er auf seinem Territorium sein Strafrecht durchsetzen können, auch gegenüber Personen und Gesellschaften, die im Inland wirtschaftlich tätig sind. Eine moderne Interpretation des Territorialitätsprinzips im Zeitalter des Cyberspace sollte daher an der faktischen wirtschaftlichen Betätigung ausländischer IT-Konzerne anknüpfen und damit einen gesetzlichen Zugriff auf dessen inländische Marketing- und Vertriebsfilialen zulassen.

 

Wie in den beiden St.Galler Forschungsarbeiten aufgezeigt wird, neigt auch die Praxis des Bundesgerichtes einem entsprechenden internationalstrafrechtlichen Zugriffsprinzip zu. Dem schweizerischen Gesetzgeber kann es nicht verwehrt sein, in der Schweiz domizilierte Vertriebs- und Marketingfilialen von ausländischen Diensten anzuweisen, sich die für eine ausreichende Mitwirkung (namentlich Nutzer-Identifizierung) benötigten Daten von ihrer Konzernzentrale oder von den ausländischen Datenverwaltern zu beschaffen. Dies müsste im BÜPF allerdings klar so geregelt werden. Dass ein angemessenes regulatorisches Vorgehen im Interesse der Rechtsstaatlichkeit und Verbrechensaufklärung durchaus möglich ist (solange die CCC noch keine Lösungen bringt), hat zum Beispiel Belgien bewiesen.

 

Was müsste der schweizerische Gesetzgeber also tun, damit die Verfolgung von schweren Verbrechen wie Terrorismus, Drogenhandel oder Kinderpornographie nicht an der "Zustimmung" von Internet-Usern und ausländischen IT-Konzernen scheitert? Etwas mehr politischer Mut wäre gefragt. Die Vertriebs- und Marketinggesell­schaf­ten von ausländischen IT-Konzernen mit Sitz in der Schweiz müssten gesetzlich verpflichtet werden, sich den Datenzugang für ihre Schwei­zer Kunden (und die Berechtigung dazu) bei ihren ausländischen Muttergesell­schaften zu beschaffen. – Sollte das bereits zu viel verlangt sein? Wird die internationalstrafrechtliche "Postkutsche" noch lange am Schlagbaum des veralteten Nationalstaatsdenkens angehalten?

 

 

 2. September 2019 / © Prof. Dr. Marc Forster