Close
Wonach suchen Sie?
Site search
9. Februar 2023 Was Schweizer Hosting-Anbieter im Umgang mit Editionsverfügungen beachten sollten

Schweizer Hosting-Anbieter sehen sich immer öfters mit Aufforderungen von Strafbehörden zur Herausgabe von Daten konfrontiert, die eine bestimmte Kundenbeziehung betreffen. Um sich selbst nicht einem Haftungsrisiko auszusetzen, sollten sie im Umgang mit solchen Verfügungen einiges beachten, und insbesondere Daten nicht leichtfertig herausgeben.

1. Swico Leitfaden Behördenanfragen

Um Schweizer Hosting-Anbietern den Umgang mit Anfragen von Behörden und Gerichten betreffend Aktivitäten, Informationen und Inhalten von Kunden zu erleichtern, hat Swico – der Schweizer Wirtschaftsverband der ICT- und Online-Branche – im Jahr 2020 einen «Leitfaden Behördenanfragen» herausgegeben.

Dieser Leitfaden enthält verschiedene technologiegerechte, an Schweizer Hosting-Anbieter gerichtete Verhaltensgrundsätze, und äussert sich auch konkret zum Umgang mit Editionsverfügungen von Strafbehörden [1]. Er hat sich in der Praxis bewährt und leistet einen wesentlichen Beitrag zur Verbesserung der Rechtssicherheit im Internet.

2. Allgemeine Anforderungen an eine Editionsverfügung

Ist ein Hosting-Anbieter mit einer Editionsverfügung einer Strafbehörde konfrontiert, sollte er folgendes prüfen:

  1. Handelt es sich bei der Absenderin der Editionsverfügung um eine Schweizer Strafbehörde?
  2. Liegt eine schriftliche, unterzeichnete und (zumindest kurz, mit Angabe des einschlägigen Straftatbestands) begründete Editionsverfügung vor?
  3. Gestützt auf welche Rechtsgrundlage verlangt die Strafbehörde Auskunft?
  4. Ist die Kundenbeziehung, um die es geht, hinreichend spezifiziert?
  5. Sind die herauszugebenden Informationen/Dokumente etc. hinreichend spezifiziert (z.B. Herausgabe von Halterdaten betreffend einen konkreten Kunden oder Herausgabe von spezifischen, von einem bestimmten Kunden zugänglich gemachten Inhalten etc.)?

3. Nötigenfalls Nachbesserung durch die Strafbehörde verlangen

Muss der Hosting-Anbieter eine oder mehrere der vorstehend erwähnten Fragen mit "nein" beantworten, sollte er mit der anfragenden Strafbehörde Kontakt aufnehmen und eine Nachbesserung der Editionsverfügung verlangen.

Bestehen Zweifel an der Existenz der anfragenden Strafbehörde und/oder an der Echtheit der Editionsverfügung, empfiehlt es sich, zunächst zur betroffenen Behörde zu recherchieren, sie über eine öffentlich publizierte Telefonnummer zu kontaktieren und die Anfrage mit ihr zu verifizieren.

Direkten Anfragen von ausländischen (Straf-)Behörden sollten Schweizer Hosting-Anbieter grundsätzlich [2] keine Folge leisten. Vielmehr sollten die Anbieter die betroffene Behörde auf den internationalen Amts- bzw. Rechtshilfeweg verweisen. Andernfalls setzen sie sich bzw. ihre Entscheidungsträger dem Risiko der Strafbarkeit nach Art. 271 StGB (verbotene Handlung für einen fremden Staat) aus.

Was die Bestimmtheit der Editionsverfügung betrifft, so hat der Hosting-Anbieter zu verlangen, dass sie so präzise formuliert ist, dass er die betroffenen Daten zweifelsfrei und ohne eigene Interpretation und/oder Selektion aussondern kann. Im Zweifelsfall sollte der Hosting-Anbieter die anfragende Strafbehörde auch hier um Nachbesserung bitten. Dasselbe gilt, wenn sich die Editionsverfügung als missverständlich erweisen sollte und beispielsweise falsche technische Begriffe verwendet werden. Zu denken ist hier etwa an eine Editionsverfügung, in der es offensichtlich um gehostete Inhalte geht, aber einzig von «Daten betreffend den Domainnamen xyz.ch» die Rede ist.

Sehen Hosting-Anbieter leichtfertig über die vorstehend erwähnten Anforderungen hinweg und liefern unbedacht Daten an die anfragende Strafbehörde, laufen sie Gefahr, gegenüber ihren Kunden und/oder betroffenen Dritten schadenersatzpflichtig zu werden.

4. Die Modalitäten der Datenlieferung mit der Strafbehörde abstimmen

Erfüllt eine Editionsverfügung die vorstehend erwähnten Anforderungen, sollte der in Anspruch genommene Hosting-Anbieter die konkreten technischen Modalitäten der Datenlieferung mit der anfragenden Strafbehörde abstimmen.

Bei der Definition der technischen Modalitäten sollte der Hosting-Anbieter den aktuellen Stand der Technik, die Sensitivität und den Umfang der Daten berücksichtigen, um ein den Umständen entsprechendes Mass an Datensicherheit sicherzustellen.

Daten, die aus öffentlichen Quellen frei einsehbar sind (z.B. Impressum) können Strafbehörden grundsätzlich per E-Mail zugestellt werden. Nicht öffentlich einsehbare Daten sollte ein Hosting-Anbieter demgegenüber verschlüsselt und über einen zugriffsgeschützten Zugang zur Verfügung stellen.

5. Allfälliges Mitteilungsverbot beachten

Editionsverfügungen von Strafbehörden enthalten regelmässig ein Mitteilungsverbot, also eine unter Strafandrohung (Art. 292 StGB) im Verletzungsfall ausgesprochene Anweisung, über die Verfügung wie auch über damit zusammenhängende Umstände Stillschweigen zu bewahren und nichts zu unternehmen, das die beschuldigte Person oder Dritte auf die laufende Strafuntersuchung hinweisen könnte. Um sich bzw. ihre Entscheidungsträger nicht dem Risiko der Strafbarkeit nach Art. 292 StGB auszusetzen, sollten Hosting-Anbieter bzw. ihre verantwortlichen Organe sich strikte an dieses Verbot halten und auch sicherstellen, dass sämtliche mit der jeweiligen Editionsverfügung befassten Mitarbeitenden über das Mitteilungsverbot orientiert werden.

Beabsichtigt der Hosting-Anbieter die Auflösung der betroffenen Kundenbeziehung (etwa weil er widerrechtliche Inhalte des Kunden vermutet und er vertraglich zur fristlosen Kündigung berechtigt wäre), sollte der Hosting-Anbieter sich vor der Kündigung mit der Strafbehörde abstimmen, um den Zweck des Mitteilungsverbots nicht zu unterlaufen (es wäre denkbar, dass der Kunde durch eine fristlose Kündigung seitens des Hosting-Anbieters darauf schliesst, dass gegen ihn ein Strafverfahren läuft, so dass er z.B. Daten löschen und damit die wirksame Strafverfolgung verhindern könnte).

6. Siegelung ist nicht das Allerheilmittel

Anders als die aktuelle Berichterstattung rund um die Affäre Berset/Lauener (vgl. etwa den Beitrag in der NZZ am Sonntag vom 5. Februar 2023, S. 9) vermuten liesse, ist die Siegelung jedenfalls für Hosting-Anbieter nicht das Allerheilmittel, das sie als Reaktion auf Editionsverfügungen einsetzen könnten und sollten.

Die Siegelung ist ein Instrument, mit dem sich die Kenntnisnahme und die Verwertung von Daten durch die Strafbehörden verhindern oder zumindest verzögern lässt. Sie dient dem Schutz der Geheimsphäre von betroffenen Personen: Die Siegelung soll verhindern, dass die Strafbehörden von Geheimnissen erfahren, von denen sie keine Kenntnis haben dürften. Es handelt sich dabei um eine Sofortmassnahme, die mit blosser Geltendmachung (also mit dem Antrag auf Siegelung) ihre Wirkungen entfaltet und jede Kenntnisnahme durch die Strafbehörde ausschliesst. Um die Daten doch noch verwerten zu können, hat die Strafbehörde beim zuständigen (Entsiegelungs-)Gericht im Rahmen eines separaten Verfahrens die Entsiegelung der betroffenen Daten zu verlangen.

Geregelt ist die Siegelung in Art. 248 der Schweizerischen Strafprozessordnung (StPO). Diese Bestimmung wurde jüngst revidiert (geplant ist derzeit ein Inkrafttreten am 1. Januar 2024; vgl. auch hier). Nach dem momentan noch geltenden Wortlaut von Art. 248 Abs. 1 StPO sind «Aufzeichnungen und Gegenstände, die nach Angaben der Inhaberin oder des Inhabers wegen eines Aussage- oder Zeugnisverweigerungsrechts oder aus anderen Gründen nicht durchsucht oder beschlagnahmt werden dürfen», zu versiegeln. Der Antrag auf Siegelung ist an keine Formvorschrift gebunden. Die Unzulässigkeit der Durchsuchung ist bloss glaubhaft zu machen, muss jedoch nicht belegt werden. Neu werden Strafbehörden gestützt auf Art. 248 Abs. 2 revStPO verpflichtet sein, Kunden von Hosting-Anbietern nach Erhalt der angeforderten Daten aktiv auf das Siegelungsrecht hinzuweisen.

Sowohl nach aktuellem wie auch nach revidiertem Recht gilt aber: Eine Siegelung «für» Drittpersonen (wie z.B. Kunden) ist gesetzlich nicht erlaubt. Einen Antrag auf Siegelung kann nur stellen, wer eigene Geheimnisinteressen geltend macht (vgl. etwa Urteil BGer 1B_243/2021 vom 20. Dezember 2021, E. 3.6 [zum VStrR]; Urteil BGer 1B_210/2017 vom 23. Oktober 2017, E. 6.4 [zum VStrR]; Urteil BGer 1B_562/2011 vom 2. Februar 2012, E. 2).

Konstellationen, in denen ein Hosting-Anbieter als Adressat einer Editionsverfügung in seinen eigenen Geheimnisinteressen betroffen ist, kommen in der Praxis nur sehr selten vor (so etwa, wenn die Herausgabe von Daten betreffend einen bestimmten Kunden verlangt würde, die auch Korrespondenz des Hosting-Anbieters mit seiner Rechtsvertretung beinhaltet).

7. Zur Macht der Schweizer Strafbehörden

Ob es angebracht ist, dass Schweizer Strafbehörden (im Gegensatz etwa zur Telefonüberwachung) ohne gerichtliche Genehmigung auf E-Mails und andere Daten zugreifen können, indem sie Hosting-Anbieter zur entsprechenden Herausgabe auffordern, ist eine rechtspolitische Frage.

Aus Sicht der betroffenen Personen mag das unbefriedigend sein. Hosting-Anbieter als Intermediäre können an diesem Machtgefüge unter geltendem Recht nur beschränkt etwas ändern, indem sie unzulänglichen Editionsverfügungen nicht Folge leisten und die anfragende Strafbehörde zur Nachbesserung auffordern.

Eine Einschränkung der rechtlichen Möglichkeiten der Schweizer Strafbehörden (z.B. Einführung einer gerichtlichen Genehmigungspflicht) bzw. ein Ausbau des Rechtsschutzes der betroffenen Personen liesse sich letztlich einzig auf dem Gesetzesweg erreichen.

Weitere Informationen:

 

 

 

 

 


[1]      Der Leitfaden Behördenanfragen äussert sich auch zu Editionsverfügungen im Zivilverfahren, zur Anordnung einer Fernmeldeüberwachung, zur Befragung/Einvernahme natürlicher Personen und zur Handlungen von Behörden oder Bevollmächtigten anstelle des Kunden. Diese Fallkonstellationen sind nicht Teil des vorliegenden Beitrags.

[2]      In Ausnahmefällen können ausländische Behörden (gestützt auf Art. 32 lit. b des Übereinkommens über die Cyberkriminalität) Anfragen direkt an Schweizer Hosting-Anbieter richten. Die direkte Herausgabe von Bestandes- und Randdaten ins Ausland ausserhalb des internationalen Amts- bzw. Rechtshilfewegs ist jedoch rechtlich nicht durchsetzbar. Eine freiwillige direkte Herausgabe ist nur zulässig, sofern der betreffende Kunde den Hosting-Anbieter dazu vertraglich ermächtigt hat.



Autoren: Jonas D. GassmannDr. Rolf Auf der Maur

 

Autoren