Vergangenen Sommer machten in der Schweiz diverse antisemitische Äusserungen auf Facebook von sich reden. Diese verstiessen teilweise klar gegen die Anti-Rassismus-Strafnorm. Es gab entsprechende Klagen, und die Staatsanwaltschaft Zürich hat gegen die Urheber der Einträge Verfahren eröffnet. Doch teilweise versteckten sich die Täter hinter einem Pseudonym. Deren Identität kann in solchen Fällen nur mithilfe der involvierten Internet-Provider festgestellt werden. Technisch ist dies mittels der sogenannten IP-History ohne weiteres möglich (siehe Kasten).
Wenn ausländische Provider wie Facebook involviert sind, ist es aber für die Schweizer Behörden schwierig, an die entsprechenden Daten zu kommen. Die meisten Provider behalten sich zwar in ihren Allgemeinen Geschäftsbedingungen vor, bei Verdacht auf kriminelle Aktivitäten Nutzerdaten preiszugeben. Doch in der Regel braucht es dazu einen richterlichen Beschluss oder eine amtliche Verfügung. Was aus Sicht des Datenschutzes zu begrüssen ist, wurde für die Zürcher Staatsanwaltschaft in diesem Fall zum Stolperstein.
Aufwendige Rechtshilfe
Um den Datenaustausch für die Strafverfolgung von Delikten im Cyberspace zwischen verschiedenen Ländern zu vereinfachen, haben die Mitglieder des Europarates − darunter die Schweiz, aber auch assoziierte Partnerländer wie die USA, Kanada und Japan − ein internationales Abkommen unterzeichnet. Die sogenannte Cyber Crime Convention (CCC) eröffnet den Strafverfolgern grundsätzlich zwei Wege, an Daten eines ausländischen Providers zu kommen: via Rechtshilfe oder via direkten Datenzugriff. Die Rechtshilfe richtet sich – wie bei anderen Delikten – wiederum nach internationalen Abkommen zwischen einzelnen Ländern. Da Rechtshilfeverfahren meist aufwendig und zeitraubend sind, ist in eng gefassten Spezialfällen auch ein direkter Datenaustausch möglich. Allerdings nur, wenn die «rechtmässig befugte» Stelle diese «freiwillig» herausgibt.
Nun hat die Staatsanwaltschaft des Kantons Zürich in einem konkreten Einzelfall genau dies versucht. Sie hat einen Provider in den USA, den sie namentlich nicht bekanntgibt, aber bei dem es sich mutmasslich um Facebook handelt, um die IP-History eines rassistischen Eintrags ersucht. Doch der Provider hat sich quergestellt. Er werde die Daten nur herausgeben, wenn «ein rechtmässiger Entscheid der zuständigen Behörde» vorliege.
Die zuständige Behörde in der Schweiz ist gemäss Strafprozessordnung das Zwangsmassnahmengericht. Es muss die Herausgabe von sogenannten Randdaten genehmigen. Doch diese Genehmigung hat das Zürcher Gericht im vorliegenden Fall nicht erteilt. Und zwar mit der Begründung, ein ausländischer Provider könne weder gemäss Schweizer Gesetz noch gemäss CCC zur Herausgabe der Daten verpflichtet werden. Das Bundesgericht hat diese Auslegung in einem Urteil vom 14. Januar nun gestützt – nachdem die Zürcher Oberstaatsanwaltschaft die Verfügung ans Bundesgericht weitergezogen hatte (BGE 1B_344/2014).
«Unbefriedigende Situation»
«Diese Situation ist für uns unbefriedigend», sagt die zuständige Staatsanwältin und Cyber-Crime-Expertin Sandra Schweingruber. Denn damit habe das Bundesgericht der Strafverfolgung unnötig Steine in den Weg gelegt. Man sei mit dem Provider in den USA in Kontakt gestanden, und dieser wäre bei Vorliegen einer entsprechenden Verfügung bereit gewesen, die Daten herauszugeben. Auch wenn die Verfügung nur gemäss Schweizer Recht ausgestellt gewesen wäre.
Zwar hat die Staatsanwaltschaft parallel ein Rechtshilfegesuch gestellt. Da für die Rechtshilfe mit den USA – wie mit den meisten Ländern – das Prinzip der doppelten Strafbarkeit gilt, wurde das Gesuch aber abgelehnt. Doppelte Strafbarkeit heisst, dass Rechtshilfe nur bei Delikten gewährt wird, die in beiden Ländern als strafbar gelten. Die USA kennen keine Anti-Rassismus-Strafnorm. Die von der Schweizer Behörde angeprangerten Aussagen gehen dort unter die Redefreiheit. «Faktisch heisst das, dass wir die Anti-Rassismus-Strafnorm im Internet auf diesem Weg nicht durchsetzen können», so Schweingruber.
Ersatz für Staatstrojaner?
Falls sich diese Rechtsprechung behaupte, bestehe gesetzgeberischer Handlungsbedarf, so Schweingruber. Eine Möglichkeit wäre etwa, Provider, die ihre Dienste in der Schweiz anbieten, den Schweizer Regeln zu unterstellen − unabhängig von ihrem Hauptsitz. In anderen Ländern werde dies ebenfalls geprüft, so Schweingruber. Eine andere Auslegung des Territorialitätsprinzips für Internet-Provider schwebt auch dem obersten Datenschützer des Bundes, Hans-Peter Thür, vor. Firmen, die hierzulande Dienstleistungen anbieten, sollten gewisse Bedingungen erfüllen müssen, sagte er im Interview mit der NZZ (NZZ 6. 3. 14).
Konsequent zu Ende gedacht, könnte so allenfalls gar auf die umstrittenen Staatstrojaner verzichtet werden: Wenn ausländische Anbieter verpflichtet werden könnten, mit den Schweizer Behörden zusammenzuarbeiten, wäre auch das (von den Behörden genehmigte) Mithören von verschlüsselter Kommunikation ohne das Eindringen in die beteiligten Computersysteme möglich.
Wo die Nutzer ihre Spuren hinterlassen
flj. Bern ⋅ Internet-Service-Provider wie Facebook verfügen über eine sogenannte IP-History, mittels derer festgestellt werden kann, von welchem Computer aus welcher Eintrag gemacht wurde. Aufgrund der IP (der eindeutigen Adresse jedes Computers oder Smartphones im Internet) kann dann beim entsprechenden Zugangs-Provider – zum Beispiel Swisscom oder Sunrise – ausfindig gemacht werden, wer zur betreffenden Zeit die entsprechende IP benutzt hat.
Dies ist ein konkreter Anwendungsfall der vieldiskutierten Vorratsdatenspeicherung. Schweizer Provider sind verpflichtet, die entsprechenden Kundendaten ein halbes Jahr lang aufzubewahren und bei einem Strafverfahren an die Behörden weiterzuleiten. Im Rahmen der Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) soll diese Frist auf zwölf Monate verlängert werden. Dies würde den Strafverfolgungsbehörden gerade bei internationalen Fällen, die eine langwierige Rechtshilfe beanspruchen, helfen, an die benötigten Daten zu kommen.
Kommentare