Loading source…

Commentaires: Art. 38 | Omnilex

Retour à la loi

Art. 38

780.11OSCPTFederal Council Ordinance1 mars 2018Source originale

Le type de renseignements IR_8_IP (NAT) a pour objet les indications ci-après à des fins d’identification dans le cas d’une adresse IP qui n’est pas attribuée de manière univoque (traduction d’adresses de réseau):
1. si disponible, l’identifiant de l’usager (par ex. nom d’utilisateur);
2. ¹ l’identifiant du service d’accès au réseau (par ex. nom d’utilisateur, MSISDN, GPSI) ou un identifiant qui permette de demander les données d’identification selon l’art. 19, al. 2.
La demande de renseignements contient les indications connues concernant le contexte de la traduction d’adresses de réseau sur lequel porte la demande:²
1. l’adresse IP source publique;
2. si nécessaire pour l’identification, le numéro de port source public;
3. si nécessaire pour l’identification, l’adresse IP publique de destination;
4. si nécessaire pour l’identification, le numéro de port de destination;
5. si nécessaire pour l’identification, le type de protocole de transport;
6. ³ le moment déterminant, avec précision de la date et de l’heure, au début, au cours ou à la fin du contexte de traduction d’adresses de réseau.

Nouvelle teneur selon le ch. I de l’O du 15 nov. 2023, en vigueur depuis le 1^erjanv. 2024 (RO 2023 685). ↩
Nouvelle teneur selon le ch. I de l’O du 15 nov. 2023, en vigueur depuis le 1^erjanv. 2024 (RO 2023 685). ↩
Nouvelle teneur selon le ch. I de l’O du 15 nov. 2023, en vigueur depuis le 1^erjanv. 2024 (RO 2023 685). ↩

5 commentaries

N1.Interne Logindaten als Teilnehmeridentifikator

Interne Login‑ oder Benutzerdaten von Einrichtungen (z.B. Hochschulen) können als eindeutiger Teilnehmeridentifikator dienen und sind entsprechend vom Auskunftspflichtigen zu liefern, soweit vorhanden.

“Gemäss den Erwägungen der Vorinstanz sei die täterische IP-Adresse bekannt gewesen, weshalb es nur noch um die interne Identifikation des Täters gegangen sei. Die Besonderheit bestehe darin, dass an dieser IP-Adresse ein geschlossenes internes Netzwerk der Hochschule S.________ angeschlossen gewesen sei. Das Hochschule S.________-Netzwerk eröffne einem beschränkten Kreis von Nutzern über die öffentliche IP-Adresse der Hochschule S.________ den Zugang zum Internet. Wesentlich sei, "dass diese Nutzer im internen Hochschule S.________-Netzwerk bereits aufgrund ihres Log-ins mittels dem registrierten Hochschule S.________-Benutzernamen und einem Passwort im Hochschule S.________-Netzwerk durch die Hochschule S.________ technisch verlässlich identifizierbar waren". Die Hochschule S.________ betreibe ein internes Fernmeldenetz und ermögliche ihren Benutzern darüber hinaus mittels VPN-Verbindung mittelbar auch den Zugang zum Internet. Sie unterstehe damit dem BÜPF und der VÜPF und sei gemäss Art. 22 Abs. 1 BÜPF verpflichtet, alle Angaben zu liefern, die eine ausreichende Identifikation im Strafverfahren ermöglichten. Art. 38 VÜPF sehe eine separate Auskunftsanfrage bei NAT-Beziehungen vor, wobei auf eine Anfrage hin ein eindeutiger Teilnehmeridentifikator, z.B. ein Benutzername zu liefern sei. Mittels dieses eindeutigen Teilnehmeridentifikators könne gemäss Art. 35 Abs. 1 lit. c VÜPF die Teilnehmeridentität abgefragt werden. Die Hochschule S.________-interne IP-Adresse habe somit die Funktion einer internen Registratur, woraus sich ein Endbenutzer bereits zuverlässig einem bestimmten Datenverkehr zuordnen lasse. Dass dadurch innerhalb des privaten Netzwerkes interne IP-Adressen zugewiesen würden, sei eine technische Umsetzung der Identifikationspflicht des privaten Netzwerkbetreibers. Daraus könne entgegen dem Beschwerdeführer nicht abgeleitet werden, dass zwischen der Hochschule S.________-IP-Adresse und J.________.com eine weitergehende schützenswerte Kommunikation stattgefunden habe, deren Randdaten unter Art. 273 i.V.m. Art. 277 StPO fallen würden. Derselbe Schluss ergebe sich aus der Systematik der VÜPF. Damit sei die Ermittlung des Beschwerdeführers als Teilnehmer des internen Hochschule S.”

N2.Zurechnung externer Randdatenauswertung

Wird die Auswertung der Randdaten (z.B. IP‑History) durch Dritte durchgeführt oder ediert, sind diese ausgewerteten Randdaten der Staatsanwaltschaft zuzurechnen und gelten als von der Staatsanwaltschaft erhobene Beweismittel.

“Mit ihrem Hinweis auf eben diesen Auskunftstyp (Art. 38 VÜPF) übersieht die Vorinstanz, dass ein entsprechendes Auskunftsgesuch durch die Staatsanwaltschaft zu leistende Vorarbeiten bedingt. Diese bestehen in der Beschaffung der für ein Auskunftsgesuch gemäss Art. 38 VÜPF notwendigen Angaben, welche sich (erst) aus der vorgängigen Beschaffung der IP-History respektive der Eruierung und Auswertung der Verbindungsdetails der fraglichen Login-Ereignisse ergeben. Erst mit dem Vorliegen der für (die konkrete Konstellation notwendigen) Angaben (vgl. hierzu Art. 38 Abs. 2 lit. a bis f VÜPF) kann alsdann eine (bewilligungsfreie) Anfrage gemäss Art. 38 VÜPF gestellt werden (vgl. Erl. VÜPV S. 43). Diese vorgängig vorzunehmende Beschaffung und Auswertung der IP-History zwecks nachfolgender Abfrage stellt eine selbstständige und unter Art. 273 StPO fallende Randdatenerhebung dar und bedarf damit der Bewilligung durch das Zwangsmassnahmengericht. Damit korrespondiert der explizite Hinweis im erläuternden Bericht VÜPF, dass diese "Vorarbeit" bzw. dieser "erste Schritt" nicht [keine Hervorhebung im Originaltext] Teil eines Auskunftsgesuches gemäss Art.”

N3.Randdatenweitergabe und Richtervorbehalt

Die Übermittlung von Randdaten an Behörden durch Anbieterinnen kann den Schutzbereich bzw. die Schranke von Art. 38 Abs. 1 VÜPF überschreiten; intern analysierte Randdaten dürfen dabei nicht einfach herausgegeben werden, andernfalls würde Art. 38 Abs. 1 VÜPF umgangen bzw. eine richterliche Genehmigungspflicht ausgelöst.

“Mai 2022 und nicht die eigentlich angeforderten Logs als Beweise würdige. Die Staatsanwaltschaft Zürich habe bewusst Rand- und nicht Bestandesdaten ediert. Damit einhergehend habe die Vorinstanz das Recht hinsichtlich der Verwertbarkeit von Beweisen falsch angewandt. Der Inhalt der CD-ROM mit der Überschrift "Edition Hochschule S.________" beweise, dass es sich bei den Verfahrenshandlungen um eine Randdatenerhebung gehandelt habe, was auch ohne die Dateien ersichtlich sei. Die im Schreiben vom 4. Mai 2022 erwähnten Informationen passten exakt zum genehmigungspflichtigen Überwachungstyp HD_28_NA und damit der rückwirkenden Überwachung gemäss Art. 60 VÜPF. Nicht einschlägig sei damit der Auskunftstyp IR_IP (NAT) gemäss Art. 38 VÜPF. Zudem erlaube diese Bestimmung der Anbieterin zwar, die Randdaten im Rahmen einer Bestandesdatenauskunft betriebsintern zu analysieren, stelle aber keine Legitimation dar, diese der ersuchenden Behörde zu übermitteln. Wechselten Randdaten im Rahmen dieser Auskunft trotzdem den Besitzer, sei die Umgrenzung von Art. 38 Abs. 1 VÜPF verletzt und ungeachtet der ursprünglichen Absicht der Staatsanwaltschaft die Grenze zur genehmigungspflichtigen Randdatenerhebung überschritten. Zusammenfassend habe die Staatsanwaltschaft Randdaten beschafft, ohne eine richterliche Genehmigung einzuholen. Eventualiter habe die Vorinstanz die Regeln über die nationale Rechtshilfe verletzt.”

N4.Logdatenanforderungen bei NAT‑Szenarien

Bei NAT‑Szenarien sind für Auskunftsgesuche regelmäßig spezifische Logdaten erforderlich, namentlich Startzeit/Frequenz und Dauer der Verbindung, verwendetes Protokoll, übertragene Datenmengen sowie Quell‑ und Ziel‑IP‑Adressen und Ports; die Teilnehmeridentifikation ist bei NAT nur mit erhöhterem technischem Aufwand möglich, weshalb zusätzliche, präzisere Anfragekriterien verlangt werden.

“MB) ". Aus dem Bericht zur Editionsverfügung (Ordner IV act. 3/3/2 ff. und dort S. 4) ergeben sich alsdann die von der Hochschule S.________ mit der Log-Datei "ppp-ggg.txt" gelieferten und ausgewerteten Daten, konkret das Datum und die Startzeit des jeweiligen Verbindungsaufbaus, die Dauer der einzelnen Netzwerkverbindungen in Sekunden, das Verbindungsprotokoll (TCP), die Datenmengen der gesendeten und empfangenen Daten, aber auch die jeweilige Quell-IP-Adresse und der Quell-Port und die jeweilige Ziel-IP-Adresse und der Ziel-Port. Hierbei handelt es sich zweifelsohne um Randdaten i.S.v. Art. 8 lit. b BÜPF und dabei u.a. um Verbindungsdetails, welche namentlich und gegebenenfalls für ein Auskunftsgesuch gemäss Art. 38 VÜPF (Auskunftsgesuch IR_8_IP (NAT) : Identifikation der Benutzerschaft bei nicht eindeutig zugeteilten IP-Adressen (NAT)) notwendig sind.”

“Für die Abfrage von (bekannten) IP-Adressen stehen spezifische Auskunftstypen zur Verfügung (vgl. Art. 37-39 VÜPF; Erl. VÜPF S. 27 f., 40; oben E. 4.4.1). Der in Art. 37 VÜPF definierte Auskunftstyp IR_7_IP betrifft (bewilligungsfreie) Auskünfte zur Identifikation der Benutzerschaft bei eindeutig zugeteilten und damit bei statisch und eindeutig zugeteilten dynamischen IP-Adressen. Die Vereinheitlichung dieser Abfrage erfolgt, "weil man es einer IP-Adresse nicht ansieht, ob sie statisch oder dynamisch zugeteilt war". Erst das Ergebnis dieses Auskunftstyps schafft Klarheit (Erl. VÜPV S. 39). War die fragliche IP-Adresse nicht eindeutig zugeteilt, ist ein Auskunftsgesuch IR_8_IP (NAT) gemäss Art. 38 VÜPF zu stellen. Bei der Network Address Translation (NAT) können sich bis zu vielen Tausend Benutzer und Benutzerinnen gemeinsam die gleiche öffentliche IP-Adresse teilen. Daher ist bei NAT eine Teilnehmeridentifikation nur mit erhöhtem technischen Aufwand möglich. Zudem erfordert ein solches Auskunftsgesuch die Angabe weiterer Anfragekriterien. Der Auskunftstyp IR_9_NAT dient schliesslich der Auskunft über NAT-Übersetzungsvorgänge (Erl. VÜPV S. 40 und 43). Die zum Zweck der rückwirkenden Überwachung (Art. 26 Abs. 4 BÜPF) und der Identifikation der Täterschaft bei Straftaten über das Internet (Art. 22 BÜPF) gesammelten Randdaten werden als "aufbewahrte Daten" bezeichnet. Die zum Zweck der Identifikation gemäss Art. 22 BÜPF aufzubewahrenden respektive zu liefernden Randdaten (vgl. auch die in Art. 27 Abs. 2 BÜPF [für Anbieterinnen abgeleiteter Kommunikationsdienste], in Art. 28 Abs. 2 BÜPF [für Betreiberinnen von internen Fernmeldenetzen] und Art. 29 Abs. 2 BÜPF [für Personen, die ihren Zugang zu einem öffentlichen Fernmeldenetz Dritten zur Verfügung stellen] verankerten Lieferpflichten) wurden in der bis am 31.”

N5.Vorgängige IP‑History: Bewilligungspflicht nach Art. 273 StPO

Die vorgängige Beschaffung und Auswertung der IP‑History bzw. sonstiger Verbindungsdaten stellt eigenständige Vorarbeit dar und ist nicht Teil des Auskunftsgesuchs nach Art. 38 VÜPF; sie gilt als Randdatenerhebung bzw. Zwangsmassnahme und bedarf deshalb einer gerichtlichen Bewilligung (Art. 273 StPO).

“Mit ihrem Hinweis auf eben diesen Auskunftstyp (Art. 38 VÜPF) übersieht die Vorinstanz, dass ein entsprechendes Auskunftsgesuch durch die Staatsanwaltschaft zu leistende Vorarbeiten bedingt. Diese bestehen in der Beschaffung der für ein Auskunftsgesuch gemäss Art. 38 VÜPF notwendigen Angaben, welche sich (erst) aus der vorgängigen Beschaffung der IP-History respektive der Eruierung und Auswertung der Verbindungsdetails der fraglichen Login-Ereignisse ergeben. Erst mit dem Vorliegen der für (die konkrete Konstellation notwendigen) Angaben (vgl. hierzu Art. 38 Abs. 2 lit. a bis f VÜPF) kann alsdann eine (bewilligungsfreie) Anfrage gemäss Art. 38 VÜPF gestellt werden (vgl. Erl. VÜPV S. 43). Diese vorgängig vorzunehmende Beschaffung und Auswertung der IP-History zwecks nachfolgender Abfrage stellt eine selbstständige und unter Art. 273 StPO fallende Randdatenerhebung dar und bedarf damit der Bewilligung durch das Zwangsmassnahmengericht. Damit korrespondiert der explizite Hinweis im erläuternden Bericht VÜPF, dass diese "Vorarbeit" bzw. dieser "erste Schritt" nicht [keine Hervorhebung im Originaltext] Teil eines Auskunftsgesuches gemäss Art.”