Loading source…

Art. 27

780.1LSCPTFederal Act1 mars 2018Source originale

Les fournisseurs de services de communication dérivés tolèrent une surveillance exécutée par le Service ou par les personnes mandatées par celui-ci portant sur des données que la personne surveillée transmet ou enregistre en recourant à des services de communication dérivés. A cet effet, ils doivent sans délai:
1. garantir l’accès à leurs installations;
2. fournir les renseignements nécessaires à l’exécution de la surveillance.
Ils livrent, sur demande, les données secondaires de télécommunication de la personne surveillée dont ils disposent.
Si cela est nécessaire pour surveiller la correspondance par télécommunication, le Conseil fédéral soumet l’ensemble ou une partie des fournisseurs de services de communication dérivés offrant des services d’une grande importance économique ou à un grand nombre d’utilisateurs à tout ou partie des obligations mentionnées à l’art. 26. Le cas échéant, les dispositions de la présente loi concernant les fournisseurs de services de télécommunication sont applicables par analogie.

4 commentaries

N1.Identification des abonnés en cas de NAT et critères des demandes

LSCPT art. 27 n. 4 En cas de traduction d'adresses réseau (NAT), l'identification d'un abonné ne peut être effectuée qu'avì un surcroît d'efforts techniques. Pour les demandes de renseignements correspondantes, il faut en outre préciser des critères de recherche supplémentaires.

“Die Vereinheitlichung dieser Abfrage erfolgt, "weil man es einer IP-Adresse nicht ansieht, ob sie statisch oder dynamisch zugeteilt war". Erst das Ergebnis dieses Auskunftstyps schafft Klarheit (Erl. VÜPV S. 39). War die fragliche IP-Adresse nicht eindeutig zugeteilt, ist ein Auskunftsgesuch IR_8_IP (NAT) gemäss Art. 38 VÜPF zu stellen. Bei der Network Address Translation (NAT) können sich bis zu vielen Tausend Benutzer und Benutzerinnen gemeinsam die gleiche öffentliche IP-Adresse teilen. Daher ist bei NAT eine Teilnehmeridentifikation nur mit erhöhtem technischen Aufwand möglich. Zudem erfordert ein solches Auskunftsgesuch die Angabe weiterer Anfragekriterien. Der Auskunftstyp IR_9_NAT dient schliesslich der Auskunft über NAT-Übersetzungsvorgänge (Erl. VÜPV S. 40 und 43). Die zum Zweck der rückwirkenden Überwachung (Art. 26 Abs. 4 BÜPF) und der Identifikation der Täterschaft bei Straftaten über das Internet (Art. 22 BÜPF) gesammelten Randdaten werden als "aufbewahrte Daten" bezeichnet. Die zum Zweck der Identifikation gemäss Art. 22 BÜPF aufzubewahrenden respektive zu liefernden Randdaten (vgl. auch die in Art. 27 Abs. 2 BÜPF [für Anbieterinnen abgeleiteter Kommunikationsdienste], in Art. 28 Abs. 2 BÜPF [für Betreiberinnen von internen Fernmeldenetzen] und Art. 29 Abs. 2 BÜPF [für Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen] verankerten Lieferpflichten) wurden in der bis am 31. Dezember 2023 geltenden Fassung der VÜPF in Art. 21 Absatz 2 VÜPF bestimmt und umfassen (u.a.) gemäss lit. b die Randdaten über die Zuteilung und Übersetzung von IP-Adressen und Portnummern, um die Auskünfte gemäss den Art. 37, 38 und 39 VÜPF erteilen zu können (vgl. Erl. VÜPF S. 65 und Art. 21 Abs. 2 lit. b BÜPF in der bis 31. Dezember 2023 geltenden Fassung). Für die Herausgabe dieser Randdaten gilt, dass für die Anordnung der Beschlagnahme, d.h. der Überwachungsanordnung die Genehmigung des Zwangsmassnahmengerichts zwingend vorliegen muss (Botschaft BÜPF 2743 f.).”

N2.CompétenÎ du Conseil fédéral selon l'art. 27 LSCPT

Conformément à l'art. 27 al. 3 LSCPT, le Conseil fédéral est compétent pour imposer aux fournisseurs de services de communication dérivés, qui proposent des services d'une granÞ importanÎ économique ou destinés à une large clientèle, tout ou partie des obligations incombant aux fournisseurs de services de télécommunication. Dans la doctrine, cette disposition est présentée comme un moyen d'éviter ou de réduire les lacunes en matière de surveillanÎ; son application s'opère au niveau réglementaire (voir art. 52 OSCPT).

“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”

“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”

N3.Accès transfrontalier aux données et principe de territorialité

Lors d'un accès transfrontalier, le principe de territorialité doit en principe être respecté; en conséquenÎ, la voie de l'entraiÞ judiciaire internationale doit en principe être suivie. L'art. 32 let. b de la Convention sur la cybercriminalité ouvre toutefois, sous réserve du «consentement volontaire» requis, la possibilité d'un accès direct aux données stockées à l'étranger, notamment auprès de prestataires de services de communication dérivés. Même dans un tel cas, il convient néanmoins de respecter les règles nationales relatives à l'ordonnanÎ de mesures coercitives (notamment art. 273 CPP). La doctrine et la jurisprudenÎ ne présentent pas d'avis uniforme à cet égard, en particulier s'agissant des prestataires de services de communication dérivés et du secret des télécommunications (voir aussi arrêt 2C_544/2020).

“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”

“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”

“Sollen Fernmeldeüberwachungen im Ausland vorgenommen respektive Daten bei einem im Ausland domizilierten Anbieter von Internetdiensten erhältlich gemacht werden, ist ein Staat aufgrund des Grundsatzes der Territorialität nicht berechtigt, auf dem Hoheitsgebiet des ausländischen Staates eigene Strafverfolgungsmassnahmen vorzunehmen. Vorbehältlich abweichender völkerrechtlicher Bestimmungen ist der Weg der internationalen Rechtshilfe in Strafsachen zu beschreiten (BGE 146 IV 36 E. 2.2 m.H. auf 143 IV 270 E. 4.7, 143 IV 21 E. 3.2 ff. und 141 IV 108 E. 5.3). Art. 32 lit. b der Cyber Crime Convention eröffnet u.a. die Möglichkeit, dass eine Vertragspartei des Übereinkommens ohne die Genehmigung einer anderen Vertragspartei auf gespeicherte Computerdaten, die sich im Hoheitsgebiet der anderen Vertragspartei befinden, zugreifen und damit namentlich bei Anbieterinnen abgeleiteter Kommunikationsdienste direkt und in "Umgehung" des Rechtshilfeweges eine grenzüberschreitende rückwirkende Datenerhebung vornehmen kann, sofern die hierfür erforderliche "freiwillige Zustimmung" vorliegt (BGE 143 IV 21 E. 3.2; BGE 141 IV 108 E. 5.9 bis 5.11; vgl. in Bezug auf Anbieterinnen abgeleiteter Kommunikationsdienste Art. 2 Abs. 1 lit. c BÜPF und Art. 27 BÜPF in der seit 1. März 2018 geltenden Fassung; Botschaft BÜPF 2707 f.). Auch bei diesem Vorgehen sind indes die innerstaatlichen Regelungen über die Anordnung von Zwangsmassnahmen respektive der hierfür erforderlichen innerstaatlichen Bewilligungen und damit Art. 273 StPO zu beachten (vgl. BGE 141 IV 108 und dort E. 5.12, wo bereits - wenn auch ohne vertiefte Auseinandersetzung - für einen direkten grenzüberschreitenden Zugriff auf Internet-Kommunikationsdaten im Kontext von Art. 32 der Cyber Crime Convention auf das Erfordernis der Bewilligung des Zwangsmassnahmengerichts nach Art. 273 StPO hingewiesen worden ist; Urteil des Bundesgerichts 6B_656/2015 vom 16. Dezember 2016 E. 1.3.2 und 1.4). Ein Teil der Lehre stimmt dieser Auffassung (im Grundsatz) zu, während mit Blick auf Anbieterinnen abgeleiteter Kommunikationsdienste und das Fernmeldegeheimnis respektive den Entscheid 2C_544/2020 vom 29. April 2021 eine andere Meinung vertreten wird (vgl. DAMIAN K. GRAF, in: Onlinekommentar Übereinkommen über die Cyberkriminalität (Cyber Crime Convention) - Version 26.”

N4.Pouvoir d'imposer des obligations aux prestataires de services dérivés

Citation : LSCPT art. 27 ch. 1 Le Conseil fédéral peut imposer aux prestataires de services de communication dérivés qui offrent des prestations d'une granÞ importanÎ économique ou destinées à une large clientèle tout ou partie des obligations visées à l'art. 26; ces obligations peuvent s'inspirer des obligations de collaboration applicables aux prestataires de services de télécommunication (art. 21 ss. LSCPT).

“Zu diesen Mitwirkungspflichtigen zählen gemäss Art. 2 lit. b BÜPF die Anbieterinnen von Fernmeldediensten im Sinne von Art. 3 lit. b des Fernmeldegesetzes vom 30. April 1997 (FMG; SR 784.10; vgl. dazu hinten E. 4.1). Für solche Anbieterinnen gelten die in Art. 21 ff. BÜPF statuierten Pflichten. Eine weitere Kategorie von Mitwirkungspflichtigen bilden gemäss Art. 2 lit. c BÜPF die sog. Anbieterinnen abgeleiteter Kommunikationsdienste, wobei es sich bei diesen Anbieterinnen nach dieser Bestimmung um Anbieterinnen von Diensten handelt, "die sich auf Fernmeldedienste stützen und eine Einweg- oder Mehrwegkommunikation ermöglichen". Die Anbieterinnen abgeleiteter Kommunikationsdienste treffen nach dem Gesetz Pflichten, welche grundsätzlich weniger weit gehen als die Mitwirkungspflichten der Anbieterinnen von Fernmeldediensten (vgl. Art. 21 ff. BÜPF). Indessen kann der Bundesrat gewissen Anbieterinnen abgeleiteter Kommunikationsdienste weitergehende Auskunfts- oder Überwachungspflichten auferlegen (vgl. Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF; siehe dazu hinten E. 5.3).”

“"Entspricht die Praxis des Dienstes ÜPF hinsichtlich der Pflichten der Anbieterinnen abgeleiteter Kommunikationsdienste dem Gesetz?"). Der ihm bekannt gewesenen Gefahr, dass trotz der Unterstellung der abgeleiteten Kommunikationsdienste unter das Gesetz Überwachungslücken entstehen bzw. verbleiben könnten (vgl. dazu AB S 2014 S. 117), trug der Gesetzgeber dadurch Rechnung, dass er in Art. 22 Abs. 4 und Art. 27 Abs. 3 BÜPF dem Bundesrat die Kompetenz übertrug, Anbietern von abgeleiteten Kommunikationsdiensten, welche Dienstleistungen von grosser wirtschaftlicher Bedeutung oder für eine grosse Benutzerschaft anbieten, alle oder einen Teil der Pflichten der Anbieter von Fernmeldediensten aufzuerlegen (vgl. Botschaft zum BÜPF, BBl 2013 2732; zur Umsetzung dieser Regelung auf Verordnungsstufe Art. 22 und Art. 52 der Verordnung vom 15. November 2017 über die Überwachung des Post- und Fernmeldeverkehrs [VÜPF; SR 780.11]).”