-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- I. Einleitung
- II. Voraussetzung der doppelten Strafbarkeit (Art. 29 Abs. 3 und 4 CCC), Ausschluss politischer Strafverfolgung (Art. 29 Abs. 5 lit. a CCC) und Verstoss gegen den Ordre public (Art. 29 Abs. 5 lit. b CCC)
- III. Sicherung und Erhebung von Daten im Ausland
- IV. Ausführen von Preservation Requests durch Schweizer Behörden
- Literaturverzeichnis
- Materialienverzeichnis
I. Einleitung
A. Multinational-arbeitsteilige Strafverfolgung bei Cyberkriminalität
1 Kriminelle verwenden das Internet zur Begehung von Straftaten vor allem aus zwei Gründen. Einerseits, um anonym zu bleiben. Andererseits, um ihr kriminelles Geschäftsmodell kostengünstig zu skalieren, also um eine Vielzahl potentieller Opfer zu erreichen (insb. Cyber-Betrug). Hinzu kommen jene Computer-Straftaten im engeren Sinn, die in der analogen Welt gar nicht denkbar sind (z.B. Hacking, DDOS-Attacken etc.).
2 Entsprechend der Natur des Internets als weltweites Kommunikationsnetz, findet Internetkriminalität stets international statt. Organisierte Täterschaften agieren in der Regel weltweit, zumindest aber – aus Schweizer Perspektive betrachtet – europaweit, vereinzelt auch nur sprachregional (z.B. deutschsprachiger Raum). Daraus folgt, dass kein Staat alleine die Internetkriminalität bekämpfen kann. Cyber-Ermittlungen müssen fast immer international geführt werden bzw. weisen grenzüberschreitende Aspekte auf. Bei grossen und aufwändigen Ermittlungen spricht man von international-arbeitsteiliger Strafverfolgung. Der Kontrast dazu bei der (Schweizer) Strafverfolgung könnte nicht deutlicher sein. Aufgrund der primären Zuständigkeit der Kantone für die Strafverfolgung gehen hierzulande noch immer sehr viele Ressourcen für die Klärung der innerstaatlichen Zuständigkeit verloren. Ein nationales Lagebild zu Cybercrime-Phänomenen existiert bestenfalls in Ansätzen.
3 Wer im Cyber-Bereich ermittelt, kommt ausserhalb des Bagatellbereichs in der Regel am Art. 29 CCC (Preservation Request / umgehende Sicherstellung von Daten) nicht vorbei.
B. Praktische Bedeutung und verwandte Artikel
4 Art. 29 CCC zählt zusammen mit Art. 32 lit. b CCC zu den praktisch relevantesten Bestimmungen der Cybercrime Convention, zumindest aus Sicht der Strafverfolgungsbehörden.
5 Der Preservation Request soll das Problem lösen, dass elektronische Daten flüchtig sind und häufig im Ausland
6 Im Gegensatz zum Information Request gemäss Art. 32 lit. b CCC, welcher niederschwellig und für den ersuchenden Staat ohne Nachteile und Kosten gestellt werden kann, verpflichtet sich der ersuchende Staat, welcher sich auf Art. 29 CCC beruft, dazu, später die im Ausland gesicherten Daten tatsächlich auch mittels Rechtshilfeersuchen anzufragen. Ein Rechtshilfeersuchen ist für die ersuchende Staatsanwaltschaft mit einem gewissen Aufwand verbunden, sodass die Staatsanwaltschaft Preservation Requests nicht leichtfertig stellen wird.
7 Immer wieder stellt sich die Frage nach der Rechtsnatur eines Preservation Requests. Dies zum Beispiel, wenn nach Einreichung einer Strafanzeige noch unklar ist, ob ein hinreichender Anfangsverdacht zur Eröffnung eines Strafverfahrens gegeben ist (Art. 309 Abs. 1 lit. a StPO). Nur dann sind staatsanwaltliche Zwangsmassnahmen möglich und gerechtfertigt. Handelte es sich beim Preservation Request nicht um eine Zwangsmassnahme, wäre es möglich, dass auch die Polizei von sich aus einen Preservation Request stellt, was von der Intention her zu begrüssen wäre, weil eine Datensicherung umso erfolgreicher sein dürfte, je rascher sie erfolgt. Die Frage nach der Rechtsnatur wird von der Cybercrime Convention selbst nicht beantwortet, sondern richtet sich nach dem Recht des angefragten Staates (Art. 25 Abs. 4 CCC).
8 Zu erwähnen ist auch Art. 16 CCC, welcher von den Mitgliedsstaaten verlangt, die nötigen gesetzgeberischen und organisatorischen Voraussetzungen zu schaffen, damit Preservation Requests ausländischer Staaten gemäss Art. 29 CCC nachgekommen werden kann. Die Schweiz entschied sich im Zuge der Umsetzung des Übereinkommens, diesbezüglich kein neues Strafprozessrecht zu erlassen (vgl. nachstehend, N. 32).
II. Voraussetzung der doppelten Strafbarkeit (Art. 29 Abs. 3 und 4 CCC), Ausschluss politischer Strafverfolgung (Art. 29 Abs. 5 lit. a CCC) und Verstoss gegen den Ordre public (Art. 29 Abs. 5 lit. b CCC)
9 Die Cybercrime Convention ist bestrebt, die internationale Zusammenarbeit bei der Strafverfolgung von Computerdelikten bestmöglich zu fördern. Aus diesem Grund enthält die Konvention selbst kein Erfordernis der beiderseitigen Strafbarkeit, sondern stellt es Vertragsstaaten frei, Unterstützung zu leisten, wenn auch nur der ersuchende Staat eine entsprechende Straftat unter Strafe stellt (Art. 29 Abs. 3 CCC). Den Vertragsstaaten steht es frei, bei der Ratifizierung einen Vorbehalt anzubringen, wonach die doppelte Strafbarkeit eine Voraussetzung sei. In diesem Fall darf der ersuchte Staat einen Preservation Request ablehnen, wenn bereits in diesem Zeitpunkt feststeht, dass die zur Sicherung angefragten Daten auf dem Wege der Rechtshilfe nicht werden herausgegeben werden können (Art. 29 Abs. 4 CCC). Von den 70 Staaten, welche die Konvention ratifizierten, haben 23 einen entsprechenden Vorbehalt angebracht, darunter die Schweiz und die Vereinigten Staaten von Amerika.
10 Unabhängig von der Frage der doppelten Strafbarkeit, schliesst die Cybercrime Convention den Preservation Request für die politisch motivierte Strafverfolgung (Persecution) aus (Art. 29 Abs. 5 lit. a CCC), was aus Schweizer Sicht eine Selbstverständlichkeit sein dürfte. Dasselbe gilt dann, wenn die ersuchte Vertragspartei der Ansicht ist, dass die Erledigung des Ersuchens geeignet ist, ihre Souveränität, Sicherheit, öffentliche Ordnung (Ordre public) oder andere wesentliche Interessen zu beeinträchtigen (Art. 29 Abs. 5 lit. b CCC).
III. Sicherung und Erhebung von Daten im Ausland
11 Aus Schweizer Sicht ist Art. 29 CCC vor allem für die Erhebung von Computerdaten im Ausland relevant (vgl. sogleich, N. 12 ff.). Der Artikel kommt aber ebenso bei Anfragen ausländischer Staaten an die Schweiz zur Anwendung (vgl. nachstehend, N. 31 ff.).
A. Einen Preservation Request stellen
12 Der Konventionstext selbst gibt eine recht detaillierte Anleitung, wie ein Preservation Request zu formulieren sei. Ausdrücklich genannt werden die folgenden Anforderungen:
1. Die ersuchende Behörde (lit. a.)
13 Hierbei wird es sich in der Praxis regelmässig um eine Staatsanwaltschaft handeln (vgl. auch vorstehend, N. 7). Aus Sicht der Konvention spricht jedoch nichts dagegen, dass – in enger Absprache mit der staatsanwaltschaftlichen Verfahrensleitung (welche später das Rechtshilfeersuchen stellen muss) – auch bereits die Polizei einen Preservation Request stellen kann.
2. Die Straftat, die Gegenstand der strafrechtlichen Ermittlungen oder Verfahren ist, und eine kurze Sachverhaltsdarstellung (lit. b.)
14 Hier geht es darum, dass der ersuchte Staat erkennen kann, ob die doppelte Strafbarkeit erfüllt ist (vgl. vorstehend, N. 9) und ob das Ersuchen, das durchaus mit erheblichem Aufwand verbunden sein kann, verhältnismässig ist (Zweck-/Mittel-Relation). Bei gängigen Phänomenen reicht aber dennoch eine Beschreibung aus zwei, drei Sätzen aus, um das Erfordernis zu erfüllen.
3. Die gespeicherten Computerdaten, die zu sichern sind, und der Zusammenhang zwischen ihnen und der Straftat (lit. c.)
15 Es muss substantiiert werden, welche Daten konkret zu sichern sind (z.B. Registrierungsdaten, Logfiles/Randdaten oder gar Inhaltsdaten, falls möglich und sinnvoll auch unter Angabe der Dateiformate). Insbesondere aber soll begründet werden, weshalb diese Daten auch tatsächlich einen Zusammenhang zum Tatverdacht begründenden Sachverhalt haben. Dieses Kriterium ähnelt der sogenannten potentiellen Beweiserheblichkeit im Kontext einer inländischen Durchsuchung nach Art. 246 StPO (wonach «zu vermuten ist», dass sich in den betreffenden Aufzeichnungen Informationen befinden, die beschlagnahmt werden können); die Daten müssen hier nur, aber immerhin, «von Bedeutung sein können»
4. Alle verfügbaren Informationen zur Ermittlung des Verwahrers der gespeicherten Computerdaten oder des Standorts des Computersystems (lit. d.)
16 Hier dürfte in der Regel schlicht das Unternehmen bezeichnet werden, welchem das konkrete Adressierungselement zugeordnet ist. Also etwa Google für @gmail-Mailadressen, Meta (für Facebook, Instagram und WhatsApp) etc.
5. Die Notwendigkeit der Sicherung (lit. e.) und die Absicht der Vertragspartei, ein Rechtshilfeersuchen zu stellen (lit. f.)
17 Im Ersuchen muss explizit erklärt werden, dass das Ersuchen erforderlich ist (im Sinne der Subsidiarität und der Verhältnismässigkeit) und es muss bekräftigt werden, dass die ersuchende Behörde willens ist, den Preservation Request mittels Rechtshilfeersuchen zu prosequieren.
B. Weiterleitung und Verarbeitung des Preservation Requests
18 Unabhängig vom Wortlaut der Cybercrime Convention, gibt es in der Praxis zwei Wege, auf denen ein Preservation Request gestellt werden kann beziehungsweise muss. Der typische Weg ist über das 24/7 Network gemäss Konventionstext (Art. 35 CCC). Jeder Signatarstaat hat sich verpflichtet, eine Anlaufstelle zu betreiben, welche rund um die Uhr, sieben Tage die Woche bereit ist, Preservation Requests entgegen zu nehmen. In der Schweiz übernimmt diese Rolle das Bundesamt für Justiz zusammen mit dem Bundesamt für Polizei (fedpol).
19 Aus Effizienzgründen (Vermeidung von Medienbrüchen, Automatisierung) sind aber viele grosse Anbieter von internetbasierten Kommunikationsdiensten dazu übergegangen, eigene Law Enforcement Request Systeme (LERS) zu betreiben, worüber die Strafverfolgungsbehörden ihre Anfragen auf standardisierte Weise direkt erfassen und den Fortschritt verfolgen können, ohne dass weitere staatliche Behörden (z.B. Bundesamt für Justiz / Departement of Justice) involviert werden müssen.
20 Alternativ haben die Strafverfolgungsbehörden die Möglichkeit, ihre Anfragen per E-Mail (verschlüsselt und authentifiziert) an das Bundesamt für Polizei (fedpol) zu senden. Dort werden die Ersuchen geprüft, falls nötig mittels Rückfragen ergänzt, übersetzt und an die zuständige Behörde im Ausland weitergeleitet. Allgemein wird Englisch als Sprache für Preservation Requests weltweit empfohlen.
C. Abgrenzung zum Information Request
21 Was unterscheidet nun den Preservation Request vom Information Request gemäss Art. 32 lit. b CCC? Diesbezüglich sei zunächst auf die Kommentierung zu Art. 32 CCC verwiesen.
22 Wenngleich die Cybercrime Convention diese Einschränkung nicht kennt, kann ein Information Request gemäss dem nationalen Recht der relevanten Partnerstaaten in der Regel nur Registrierungsdaten (auch: «Bestandesdaten» oder «Subscriber Information») gemäss Art. 18 Abs. 3 lit. b CCC (z.B. Name, Geburtsdatum, Adresse, Benutzername, Rechnungsadresse, E-Mail-Adressen, IP-Adresse bei der Registrierung) umfassen und Randdaten («Traffic Data», z.B. die IP-History), aber in aller Regel keine Inhaltsdaten («Content Data»).
23 In der Praxis werden Information Requests sehr viel niederschwelliger gestellt, weil sich dadurch die Staatsanwaltschaft nicht zu einem Rechtshilfeersuchen verpflichtet. Ein solches ist auch nicht notwendig, weil die Herausgabe der Daten ja freiwillig erfolgt und direkt durch den Dienstanbieter beantwortet wird. Die Kooperationsbereitschaft der Dienstanbieter hängt stark von der Art des Delikts ab. Besonders kooperationsbereit sind die Dienste regelmässig bei Sexualdelikten, insbesondere zum Nachteil von Kindern. Problematischer sind Vermögensdelikte. Am unteren Ende der Skala finden sich die Ehrverletzungsdelikte, bei denen die Kooperation regelmässig schon am Erfordernis der doppelten Strafbarkeit scheitert (vgl. vorstehend, N. 9 und N. 14).
D. Prosequierung mittels Rechtshilfeersuchen
24 Wie bereits mehrfach erwähnt und auch im Konventionstext explizit festgehalten, verpflichtet sich die Staatsanwaltschaft mit dem Preservation Request dazu, die sichergestellten Daten auf dem Rechtshilfeweg anzufragen. Sicherlich gibt es Fälle, wo sich im Nachhinein herausstellt, dass zunächst gesicherte Daten unterdessen obsolet wurden. Auch hat der Verzicht auf ein Rechtshilfeersuchen keine direkten Konsequenzen (es entstehen z.B. keine Kostenfolgen). Es wird aber allgemein erwartet, dass Staatsanwaltschaften sich an diese konventionsrechtliche Verpflichtung halten, um die gute Zusammenarbeit unter Konventionsstaaten nicht zu gefährden.
25 Die Sicherstellung der Daten erfolgt für mindestens 60 Tage (vgl. Art. 29 Abs. 7 CCC). Die konkrete Dauer wird in der schriftlichen Bestätigung des Preservation Request angegeben und ist in der Regel länger. Die ersuchende Behörde kann meist auch ein Ersuchen um Fristerstreckung stellen. Innert der Frist muss das Rechtshilfeersuchen formell gestellt werden.
E. Best Practices für Rechtshilfeersuchen an die USA
26 Aufgrund der grossen praktischen Bedeutung wird nachfolgend auf die Best Practices für Rechtshilfeersuchen an die USA eingegangen. Die folgenden Ausführungen beruhen auf dem «Practical Guide for Requesting Electronic Evidence Across Borders», herausgegeben von UNODC, CTED und IAP, sowie auf eigenen Erfahrungen.
27 An ausländische Behörden gerichtete Rechtshilfeersuchen in Cybercrime-Fällen müssen folgende Angaben enthalten:
Sprache des Ersuchens: Rechtshilfeersuchen sind idealerweise direkt in Englisch zu erfassen, andernfalls übersetzen zu lassen;
Sachverhalt: ist unter Angabe des Tatortes (resp. Erfolgsortes), der genauen Tatzeit und der Art der Tatbegehung kurz aber in wesentlichen Zügen darzustellen;
Allfälliger Modus Operandi: ist detailliert zu schildern;
Rechtliche Bezeichnung der Tat, inkl. anwendbare Gesetzesartikel im Wortlaut;
Gründe des Ersuchens, wobei insbesondere der Zusammenhang zwischen dem geführten Verfahren und den verlangten Massnahmen aufzuzeigen ist;
Die gesuchten Beweise oder verlangten Handlungen sind genau zu bezeichnen (bspw. Herausgabe der Kontoauszüge betreffend Konto X für den Zeitraum A bis B, Einholung von Unterlagen beim Provider Y, woraus zum Remote ID 12345678 für die Zeit zwischen A und B die Registrierungsdaten sowie die Logfiles ersichtlich sind usw.);
Ausführungen zum allfällig bereits gestellten Preservation Request, wobei sämtliche im Anschluss an den Preservation Request mitgeteilten Referenznummern im Ersuchen auszuführen sind (CCIPS sowie Referenznummern des fedpol, der ersuchten ausländischen Polizeibehörde und der ersuchten ausländischen Staatsanwaltschaft).
28 Zur Erhältlichmachung von Inhaltsdaten von US-Dienstanbietern muss das Department of Justice einen Durchsuchungsbefehl nach US-Recht bei einem Gericht erwirken. Die Hürde des Beweismasses ist «probable cause». Dies bedeutet, dass das Gericht überzeugt werden muss, dass das betreffende Nutzerkonto wahrscheinlich immer noch deliktsrelevante Beweise enthält (es sei denn, die Daten seien gestützt auf einen Preservation Request bereits vorläufig sichergestellt worden). Erforderlich ist weiter ein belastbares Beweisfundament für die Annahme, dass eine Straftat begangen wurde oder wird und dass die Beweise für die Straftat sich im verlangten Benutzerkonto finden werden. Die Quellen der vorgelegten Indizien müssen vertrauenswürdig sein (z.B. Polizeirapporte, vertrauenswürdige private Quellen). Zentrale Indizien sollten vorgelegt werden. Falls Indizien vorgelegt werden, müssen sie auf Englisch übersetzt werden. Zusammengefasst muss erläutert werden, wieso der Kontoinhaber ein Ziel der Ermittlungen ist, weshalb man davon ausgeht, das fragliche Nutzerkonto gehöre dieser Person, und welche Beweismittel man sich von diesem Nutzerkonto erhofft.
29 Das Rechtshilfeersuchen ist entweder auf dem diplomatischen Weg über das Bundesamt für Justiz oder – wenn vereinbart und vorgesehen – auf direktem Übermittlungsweg an die Staatsanwaltschaft im Ausland zuzustellen. Der Rechtshilfeführer des Bundesamts für Justiz enthält nähere Angaben zu den konkreten Übermittlungswegen.
30 Merke:
Bei Rechtshilfeersuchen in Cybercrime-Fällen ist als Rechtsgrundlage zusätzlich die CCC einzutragen (sofern das Zielland die Konvention ratifiziert hat).
Die Darstellung des Sachverhalts, die Subsumtion des Sachverhalts unter die Straftatbestände sowie das Aufzeigen der Gründe des Ersuchens sind das A und O eines Ersuchens um internationalen Rechtshilfe.
Detaillierte Angaben zur Rechtshilfe sind im Rechtshilfeführer des Bundesamts für Justiz zu finden, mit Mustern in verschiedenen Sprachen und einem Länderindex.
Ein Rechtshilfeersuchen nach einem gestellten Preservation Request hat sobald als möglich, spätestens innert der Prosequierungsfrist (Art. 29 Abs. 7 CCC), zu erfolgen.
IV. Ausführen von Preservation Requests durch Schweizer Behörden
A. Verfahrensablauf und Zuständigkeiten
31 Alle Staaten, welche die Cybercrime Convention ratifiziert haben, gaben an, welche ihrer Behörden als zentrale Anlaufstelle für ersuchende Staaten fungiert («24/7 network»,
B. Umsetzung mittels Schweizer Recht
32 Der Prozess, wie ein ausländischer Preservation Request in der Schweiz verarbeitet wird, ist nicht gesetzlich geregelt. Bemerkenswert ist, wie wenig die Botschaft zur Umsetzung der Cybercrime Convention sich mit verfahrensrechtlichen und praktischen Fragen auseinandersetzte.
33 Das Schweizer Strafprozessrecht kennt keine «Preservation Orders» im Sinne der Cybercrime Convention.
34 Diese schweizerische Ausgestaltung des Preservation Requests gemäss Art. 29 CCC ist relativ weit vom Geist der Konvention entfernt, die eine rasche, unkomplizierte und mit möglichst geringen Einschränkungen für alle Beteiligten verbundene Massnahme wollte. Der soeben dargelegte Prozess involviert mindestens drei Behörden und die adressierte Unternehmung, also zahlreiche Schnittstellen, was zu Verzögerungen führt und zwangsläufig die Fehleranfälligkeit erhöht. Eine Editionsverfügung, verbunden mit physischer oder digitaler Auslieferung und Aufbewahrung von – unter Umständen sehr erheblichen – Datenmengen bedeutet zudem einen erheblichen Aufwand für Dienstanbieter und die für die Datenvorhaltung verantwortlichen Behörden. International wird diskutiert, ob Staaten, welche keine Preservation Orders im Sinne der Konvention eingeführt haben und sich stattdessen mit Editionsverfügungen behelfen (wie die Schweiz), die Anforderungen der Konvention überhaupt erfüllen. Zwar wird dies offenbar mehrheitlich bejaht, dennoch bleiben Kritikpunkte, namentlich betreffend höhere juristische Hürden (nicht in der Schweiz), längere Verfahrensdauer und die möglicherweise erhöhte Gefahr, dass die betroffenen Personen von der Massnahme erfahren, was den Untersuchungszweck vereiteln kann.
35 Die Ausführung ausländischer Preservation Requests im Inland ist noch nicht Teil eines formellen Rechtshilfeverfahren und auch keine vorsorgliche Massnahme gemäss IRSG (oder anderer Grundlagen des Rechtshilferechts). Sie ist einem allfälligen Rechtshilfeverfahren vorgelagert. Faktisch dürfte längst nicht auf jeden Preservation Request auch ein formelles Rechtshilfeersuchen folgen. Der Preservation Request findet seine Grundlage in der Cybercrime Convention selbst (die, soweit hinreichend konkret, im monistischen System der Schweiz direkt anwendbar ist
36 Der Dienstanbieter selbst hat gemäss der aktuellen Rechtslage bei der Edition als Gewahrsamsinhaber der Daten ein eigenes Siegelungsrecht (vgl. Art. 248 Abs. 1 StPO).
37 Um den Ermittlungserfolg nicht zu gefährden und unnötige Leerläufe zu verhindern, wäre daher die einzige für den Kontext der Cybercrime Convention stimmige Vorgehensweise, wenn die Siegelung/Entsiegelung erst im Rahmen des formellen Rechtshilfeverfahrens zur Anwendung käme.
38 Es stellt sich die Frage, ob es nach Schweizer Recht zulässig wäre, Dienstanbieter auch ausserhalb des Anwendungsbereichs des BÜPF, anstelle der Herausgabe, zur blossen Vorhaltung bestimmter Daten zu verpflichten.
Literaturverzeichnis
Bommer Felix/Goldschmid Peter, Kommentierung zu Art. 265 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
Graf Damian K., Praxishandbuch zur Siegelung, StPO inkl. revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022.
Thormann Oliver/Brechbühl Beat, Kommentierung zu Art. 248 StPO, in: Niggli Heer/Wiprächtiger (Hrsg.), Schweizerische Strafprozessordnung, Strafprozessrecht I + II, 3. Aufl., Basel 2023.
Materialienverzeichnis
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 24.1.2024.
Council of Europe, The 24/7 Network established under the Convention on Cybercrime (known as the Budapest Convention), What is the 24/7 Network?, abrufbar unter: https://www.coe.int/en/web/cybercrime/24/7-network-new-, zuletzt besucht am 24.1.2024 (zit. CoE 24/7).
Cybercrime Convention Committee (T-CY), Assessment report, Implementation of the preservation provisions of the Budapest Convention on Cybercrime, Supplementary report, 15/16.06.2015, abrufbar unter: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=090000168044be2b, zuletzt besucht am 24.1.2024 (zit. T-CY, Preservation Assessment).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter: https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter: https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter: https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Opinion of the T-CY on the competent authority for issuing a preservation request under Articles 29 and 35 Budapest Convention, 28.11.2017, abrufbar unter: https://rm.coe.int/t-cy-2017-18-opinion-article29-/168076cf95, zuletzt besucht am: 19.1.2024 (zit. T-CY, Competent Authority).
Reservations and Declarations for Treaty No.185 - Convention on Cybercrime (ETS No. 185), Status as of 09/03/2024, abrufbar unter: https://www.coe.int/en/web/conventions/full-list?module=declarations-by-treaty&numSte=185&codeNature=0, besucht am 9.3.2024 (zit. Reservations and Declarations).
United Nations Office on Drugs an Crime (UNDOC), Sharing Electronic Resources and Laws on Crime (SHERLOC), The Practical Guide for Requesting Electronic Evidence across Borders, für Strafbehörden abrufbar unter: https://sherloc.unodc.org/cld/en/st/evidence/practical-guide.html, besucht am 27.09.2023, zuletzt besucht am 24.01.2024 (zit. Practical Guide for Requesting Evidence).