4 commentaries
Bei Network Address Translation (NAT) kann die Identifikation eines Teilnehmers nur mit erhöhtem technischem Aufwand erfolgen. Für entsprechende Auskunftsgesuche sind zudem zusätzliche Anfragekriterien anzugeben.
“Die Vereinheitlichung dieser Abfrage erfolgt, "weil man es einer IP-Adresse nicht ansieht, ob sie statisch oder dynamisch zugeteilt war". Erst das Ergebnis dieses Auskunftstyps schafft Klarheit (Erl. VÜPV S. 39). War die fragliche IP-Adresse nicht eindeutig zugeteilt, ist ein Auskunftsgesuch IR_8_IP (NAT) gemäss Art. 38 VÜPF zu stellen. Bei der Network Address Translation (NAT) können sich bis zu vielen Tausend Benutzer und Benutzerinnen gemeinsam die gleiche öffentliche IP-Adresse teilen. Daher ist bei NAT eine Teilnehmeridentifikation nur mit erhöhtem technischen Aufwand möglich. Zudem erfordert ein solches Auskunftsgesuch die Angabe weiterer Anfragekriterien. Der Auskunftstyp IR_9_NAT dient schliesslich der Auskunft über NAT-Übersetzungsvorgänge (Erl. VÜPV S. 40 und 43). Die zum Zweck der rückwirkenden Überwachung (Art. 26 Abs. 4 BÜPF) und der Identifikation der Täterschaft bei Straftaten über das Internet (Art. 22 BÜPF) gesammelten Randdaten werden als "aufbewahrte Daten" bezeichnet. Die zum Zweck der Identifikation gemäss Art. 22 BÜPF aufzubewahrenden respektive zu liefernden Randdaten (vgl. auch die in Art. 27 Abs. 2 BÜPF [für Anbieterinnen abgeleiteter Kommunikationsdienste], in Art. 28 Abs. 2 BÜPF [für Betreiberinnen von internen Fernmeldenetzen] und Art. 29 Abs. 2 BÜPF [für Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen] verankerten Lieferpflichten) wurden in der bis am 31. Dezember 2023 geltenden Fassung der VÜPF in Art. 21 Absatz 2 VÜPF bestimmt und umfassen (u.a.) gemäss lit. b die Randdaten über die Zuteilung und Übersetzung von IP-Adressen und Portnummern, um die Auskünfte gemäss den Art. 37, 38 und 39 VÜPF erteilen zu können (vgl. Erl. VÜPF S. 65 und Art. 21 Abs. 2 lit. b BÜPF in der bis 31. Dezember 2023 geltenden Fassung). Für die Herausgabe dieser Randdaten gilt, dass für die Anordnung der Beschlagnahme, d.h. der Überwachungsanordnung die Genehmigung des Zwangsmassnahmengerichts zwingend vorliegen muss (Botschaft BÜPF 2743 f.).”
Der Bundesrat verfügt nach Art. 27 Abs. 3 BÜPF über die Kompetenz, Anbietern abgeleiteter Kommunikationsdienste, die Dienste von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder Teile der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen. In den Quellen wird diese Regelung als Mittel zur Vermeidung bzw. Verringerung von Überwachungslücken beschrieben; ihre Umsetzung erfolgt auf Verordnungsstufe (vgl. Art. 52 VÜPF).
“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”
“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”
Bei grenzüberschreitendem Zugriff ist grundsätzlich der Territorialitätsgrundsatz zu beachten; grundsätzlich ist daher der Weg der internationalen Rechtshilfe zu beschreiten. Art. 32 lit. b der Cyber Crime Convention eröffnet jedoch unter der Voraussetzung der erforderlichen «freiwilligen Zustimmung» die Möglichkeit eines direkten Zugriffs auf im Ausland gespeicherte Daten, namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste. Auch bei einem solchen Vorgehen sind indessen die innerstaatlichen Regeln für die Anordnung von Zwangsmassnahmen zu beachten (insbesondere Art. 273 StPO). In Lehre und Rechtsprechung besteht hierzu keine einheitliche Auffassung, insbesondere im Hinblick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis (vgl. auch Entscheid 2C_544/2020).
“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”
“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”
“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”
Der Bundesrat kann Anbieterinnen abgeleiteter Kommunikationsdienste, die Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einzelne der in Art. 26 genannten Pflichten auferlegen; diese Pflichten können sich an den für Anbieterinnen von Fernmeldediensten geltenden Mitwirkungspflichten (Art. 21 ff. BÜPF) orientieren.
“Zu diesen Mitwirkungspflichtigen zählen gemäss Art. 2 lit. b BÜPF die Anbieterinnen von Fernmeldediensten im Sinne von Art. 3 lit. b des Fernmeldegesetzes vom 30. April 1997 (FMG; SR 784.10; vgl. dazu hinten E. 4.1). Für solche Anbieterinnen gelten die in Art. 21 ff. BÜPF statuierten Pflichten. Eine weitere Kategorie von Mitwirkungspflichtigen bilden gemäss Art. 2 lit. c BÜPF die sog. Anbieterinnen abgeleiteter Kommunikationsdienste, wobei es sich bei diesen Anbieterinnen nach dieser Bestimmung um Anbieterinnen von Diensten handelt, "die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen". Die Anbieterinnen abgeleiteter Kommunikationsdienste treffen nach dem Gesetz Pflichten, welche grundsätzlich weniger weit gehen als die Mitwirkungspflichten der Anbieterinnen von Fernmeldediensten (vgl. Art. 21 ff. BÜPF). Indessen kann der Bundesrat gewissen Anbieterinnen abgeleiteter Kommunikationsdienste weitergehende Auskunfts- oder Überwachungspflichten auferlegen (vgl. Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF; siehe dazu hinten E. 5.3).”
“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”