-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 40 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
- I. Allgemeines
- II. Zugriff auf in einem anderen Vertragsstaat gespeicherte öffentlich zugängliche Daten («open source») (lit. a)
- III. Zugriff auf anderweitige, in einem anderen Vertragsstaat gespeicherte Daten (lit. b)
- IV. Über Art. 32 CCC hinausgehende Beweissicherung nach dem Zugriffsprinzip
- V. Folgen der Verletzung ausländischen Souveränitätsrechts
- VI. Reformbedarf
- Literaturverzeichnis
- Materialienverzeichnis
I. Allgemeines
A. Einleitung, Entstehungsgeschichte, Zweck und Kritik
1 In Anbetracht der stetig zunehmenden Verlagerung der Kommunikation auf Internetdienste (wie E-Mails, soziale Medien und Internettelefonie) sowie der technologischen Entwicklung weg vom lokalen Speicher hin zu «Cloud Computing» hat sich auch der Ermittlungsfokus der Strafverfolgungsbehörden gewandelt. Deren Arbeit wird durch diese Beweisverlagerung in die digitale Welt zunehmend komplexer. Diese Komplexität ist zum einen darauf zurückzuführen, dass Daten von flüchtiger Natur sind, problemlos grenzüberschreitend verschoben werden können (was bspw. aus Gründen besserer Auslastung der Rechnersysteme auch automatisch geschehen kann)
2 In diesem grenzüberschreitenden Kontext müssen den Behörden effektive Eingriffsbefugnisse zur Verfügung gestellt werden, die es ihnen ermöglichen, die für inländische Strafverfahren erforderlichen Beweismittel sicherzustellen.
3 Die Notwendigkeit einer grenzüberschreitenden Beweissicherung wurde bereits in den Neunzigerjahren erkannt, und am 11.9.1995 – zu einem Zeitpunkt, als die heutigen technischen Möglichkeiten erst in mancher Populärliteratur absehbar waren – verabschiedete der Europarat die Empfehlung Nr. R (95) 13 zu den Problemen des Strafverfahrensrechts im Zusammenhang mit Informationstechnologien. Deren Rz. 17 lautet wie folgt: «The power to extend a search to other computer systems should also be applicable when the system is located in a foreign jurisdiction, provided that immediate action is required. In order to avoid possible violations of state sovereignty or international law, an unambiguous legal basis for such extended search and seizure should be established. Therefore, there is an urgent need for negotiating international agreements as to how, when and to what extent such search and seizure should be permitted.»
4 Der letztlich beschlossene Art. 32 der Cybercrime Convention («CCC»)
5 Im Vernehmlassungs- und Gesetzgebungsprozess zur Umsetzung der CCC in der Schweiz gab Art. 32 CCC, trotz der darin verwendeten auslegungsbedürftigen Begriffe und des damit einhergehenden Souveränitätseingriffs, zu keinerlei Bemerkungen Anlass.
6 Die Stossrichtung des Art. 32 CCC ist andernorts nicht unkritisiert geblieben, einerseits wegen der damit einhergehenden Aufhebung des durch die territoriale Souveränität gewährleisteten Grundrechtsschutzes, ohne dass die inländischen Behörden überhaupt von solchen Grundrechtseingriffen Kenntnis erlangen.
7 Andererseits erachten insbesondere Strafverfolgerkreise den Art. 32 CCC als zu restriktiv: Art. 32 CCC stelle als «kleinster gemeinsamer Nenner»
8 Einen Schritt weiter als Art. 32 CCC geht die unlängst in der EU verabschiedete Verordnung (EU) 2023/1543 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren vom 12.7.2023 («e-Evidence-Verordnung»), wonach Justizbehörden eines Mitgliedstaats elektronische Beweismittel direkt von einem Diensteanbieter in einem anderen Mitgliedstaat anfordern dürfen (Art. 1 Abs. 1 e-Evidence-Verordnung) und die Diensteanbieter rechtlich verpflichtet sind, die Daten innert 10 Tagen bzw. der angesetzten Frist zu edieren (Art. 10 e-Evidence-Verordnung). Art. 32 CCC setzt dagegen auf die Freiwilligkeit ausländischer Diensteanbieter – kommen sie dem Ersuchen nicht oder nicht vollständig nach, ist der Rechtshilfeweg zu beschreiten, selbst bei willkürlicher, undurchsichtiger oder unbegründeter Kooperationsverweigerung. Wohl sieht Art. 18 Abs. 1 lit. b CCC zumindest vor, dass derjenige Internet-Service-Provider, der seine Dienste «im Hoheitsgebiet der Vertragspartei anbietet», Bestandesdaten im Zusammenhang mit diesen Diensten auf Verlangen hin herauszugeben hat. Das Bundesgericht erlaubt aber keine Editionsverfügung auf der Grundlage von Art. 18 Abs. 1 CCC an einen ausländischen Provider bzw. erachtet eine solche maximal dann als rechtmässig, wenn sie an dessen schweizerischen Ableger adressiert ist, sofern dieser die Daten entweder besitzt oder kontrolliert.
9 Die vor allem in Strafverfolgerkreisen geäusserte Kritik an den Limitationen des Art. 32 CCC ist in der Schweiz etwas leiser geworden. Denn der Umstand, dass die Staatengemeinschaft bislang keine konsensuale Lösung gefunden hat, hat das Bundesgericht (wohl aus Praktikabilitätsüberlegungen, wenngleich in Missachtung des Souveränitätsprinzips) nicht davon abgehalten, auch transnationale Beweiserhebungen von Daten ohne Einwilligung der berechtigten Personen unter implizitem Rückgriff auf das sogenannte Zugriffsprinzip zu erlauben (vgl. nachstehend, N. 63 ff.).
B. Völkerrechtliches Fundament: Territorialitäts- und Souveränitätsprinzip (Art. 31 CCC) sowie deren Durchbrechung (Art. 32 CCC)
10 Das Territorialitätsprinzip stellt eine der völkerrechtlichen Souveränität entfliessende Schranke staatlichen Handelns dar. Es dient nicht nur der Begrenzung der Anwendbarkeit innerstaatlichen Strafrechts auf ausländische Sachverhalte – wovon freilich Ausnahmen existieren –
11 Insbesondere «eigenmächtige Handlungen mit Zwangs- und Eingriffscharakter auf fremdem Hoheitsgebiet»
12 Nicht anders gelagert sind Beweisbeschaffungssituationen, in denen sich die Strafbehörden zwar nicht physisch auf ausländischem Staatsgebiet aufhalten, aber in der Schweiz Untersuchungshandlungen vornehmen, die sich auf die fremde Gebietshoheit auswirken. Darunter fällt bspw. die Observation von Personen auf der deutschen Uferseite des Rheins durch schweizerische Polizisten von Schaffhausen aus, genauso wie die Video-Einvernahme eines im Ausland befindlichen Beschuldigten durch ein schweizerisches Gericht. Solches Verhalten verletzt das Völkerrecht ebenfalls, da es in seinen Wirkungen einem Hoheitsakt direkt auf fremdem Staatsgebiet gleichkommt.
13 Auch der Zugriff auf Computersysteme im Ausland von einem Standort in der Schweiz aus und damit die Sicherstellung von im Ausland gespeicherten Daten sind als solche extraterritorialen Hoheitsakte zu qualifizieren.
14 Sobald in einem solchen Sinne in die Souveränität eines ausländischen Staates eingegriffen werden soll, muss dieser infolgedessen einwilligen, entweder indem er auf individuelles Ersuchen hin Rechtshilfe leistet oder internationalen Partnern staatsvertraglich oder ad hoc die Berechtigung einräumt, entsprechend tätig zu werden. Anwendungsbeispiele für die partielle Aufgabe der Souveränität der Schweiz finden sich in Abkommen mit Nachbarländern zur polizeilichen «Nacheile»
C. Materialien und Auslegung
15 Die von Art. 32 CCC verwendeten Begriffe und die davon erfassten Konstellationen wurden im Explanatory Report zur CCC – sinngemäss die «Botschaft» des Europarats zur CCC – nur teilweise näher erläutert, was das Risiko birgt, dass die Behörden der Vertragsstaaten diese unterschiedlich auslegen. Das scheint aber ein bewusster Entscheid gewesen zu sein.
16 Gemäss Bundesrat soll die Bestimmung eng ausgelegt werden, «um der Gefahr des Missbrauchs unter Umgehung der Rechtshilfe oder in Verletzung der Privatsphäre Dritter entgegenzuwirken.»
D. Rechtsnatur
17 Art. 32 CCC ist eine «self-executing» völkerrechtliche Norm,
E. Geltungsbereich
18 Art. 32 CCC erlaubt die Sicherstellung von Computerdaten, die in einem anderen Vertragsstaat gespeichert sind.
19 Als Computerdaten gelten nach Art. 1 lit. b CCC sämtliche Darstellungen «von Tatsachen, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschliesslich eines Programms, das die Ausführung einer Funktion durch ein Computersystem auslösen kann.» Durch Art. 32 CCC erfasst ist damit der Zugriff auf Bestandes-, Verkehrs- bzw. Randdaten wie auch Inhaltsdaten, die entweder gespeichert sind oder sich im Zeitpunkt des Zugriffs im Übermittlungsstadium befinden. Aufgrund seiner rechtlichen Qualifikation als elektronischer Datenbestand kann bspw. auch Kryptovermögen in Anwendung von Art. 32 lit. b CCC sichergestellt werden, sofern die berechtigten Personen ihre Ermächtigung dazu erteilen.
20 Art. 32 CCC stellt ausdrücklich auf den Speicherort der konkret envisagierten Daten ab (Art. 32 lit. b CCC: «[…] gespeicherte Computerdaten, die sich im Hoheitsgebiet einer anderen Vertragspartei befinden»; vgl. auch Art. 31 CCC: «[…], die mittels eines Computersystems gespeichert sind, das sich im Hoheitsgebiet der ersuchten Vertragspartei befindet»). Bei Daten, die an mehreren Orten gespeichert sind, ist der Speicherort des Datensatzes massgebend, der konkret sichergestellt werden soll. Ein Zugriff in Anwendung dieser Bestimmung ist folglich nur dann zulässig, wenn die CCC am Ort der Datenhaltung anwendbar ist.
21 Nicht anwendbar ist Art. 32 CCC auf rein innerstaatliche Verhältnisse: Sind die Daten lokal auf einem sich in der Schweiz befindenden und hier sichergestellten Endgerät oder Server gespeichert, so ist diesbezüglich schweizerisches Landesrecht anwendbar (vorab Art. 246, Art. 263 und Art. 265 StPO, für Randdaten siehe Art. 273 StPO).
22 Hinsichtlich von Drittstaaten, die sich der Konvention nicht angeschlossen haben, muss im Umkehrschluss davon ausgegangen werden, dass die staatliche Souveränität hier jedweden Online-Zugriff auf (nicht-öffentliche, vgl. nachstehend, N. 35) Daten verbietet und daher einzig die Beschreitung des Rechtshilfewegs in Frage kommt.
23 Das Abstützen auf den Speicherort ist zwar naheliegend, weil sich die Staaten auch hinsichtlich der sich auf ihrem Territorium befindenden IT-Infrastruktur auf das Souveränitätsprinzip zu berufen vermögen.
24 Im Verhältnis zu den grossen Social Media-Providern stellt sich die Sachlage noch etwas komplizierter dar. Diese haben ihren Hauptsitz in den USA, ihren Europasitz aber oft in Irland und gemäss eigenen (angesichts des U.S. Cloud Act aber nicht unbedingt korrekten) Angaben einzig von Irland aus Zugriff auf die Daten europäischer und schweizerischer Kundinnen und Kunden (was die Provider mit der europäischen Datenschutz-Grundverordnung vom 27.4.2016 [«DSGVO»] begründen), wobei die Daten wiederum regelmässig in anderen Staaten (bspw. Schweden) gespeichert sind.
25 Angesichts all dieser Schwierigkeiten macht der Speicherort als massgebendes Kriterium wenig Sinn. De lege ferenda sollte daher für Art. 32 CCC auf das Anknüpfungsmerkmal des Speicherorts verzichtet und vielmehr an den Sitz oder Aufenthaltsort derjenigen Person geknüpft werden, die auf die Daten rechtmässig Zugriff hat. Alternativ (der e-Evidence-Verordnung der EU
F. Praxisrelevanz
26 Art. 32 CCC hat sich als unverzichtbares Mittel zur Verfolgung von Kriminalität mit einer digitalen Komponente entwickelt. Schweizerische Strafverfolgungsbehörden stützen sich regelmässig auf Art. 32 CCC, sei es durch die Sammlung von Open Source Information («OSINF») in Anwendung von Art. 32 lit. a CCC, sei es durch den Zugriff auf Daten bei freiwilliger Bekanntgabe der Login-Daten durch die schweizerische datenberechtigte Person gemäss Art. 32 lit. b CCC oder insbesondere durch direkte Anfragen («Information Requests») an ausländische Internet-Service-Provider zur Bekanntgabe von Bestandes-, Rand- oder Inhaltsdaten (wobei in der Praxis zumeist nur Bestandes- und Randdaten geliefert werden und für Inhaltsdaten der Rechtshilfeweg, allenfalls in Kombination mit einem «Preservation Request» nach Art. 29 CCC, beschritten werden muss). Die Zahlen direkter Auskunftsersuchen sind bemerkenswert: Im ersten Halbjahr 2022 hat Google allein über 422’000 direkte Anfragen erhalten, darunter 1’357 von schweizerischen Strafverfolgungsbehörden, wovon 90 % gutgeheissen wurden.
II. Zugriff auf in einem anderen Vertragsstaat gespeicherte öffentlich zugängliche Daten («open source») (lit. a)
A. Öffentlich zugängliche Daten
27 Das Sammeln und Auswerten von «open source information» wird im nachrichtendienstlichen Sektor als «OSINT» («Open Source Intelligence») bezeichnet. Die Nutzung öffentlich zugänglicher Daten hat sich auch in der Strafverfolgung als nützliche und nicht-invasive Ermittlungsmethode entwickelt. Unterstützt wird dies durch die Tech-Industrie, die Tools entwickelt hat, mit welchen die Daten nicht mehr händisch zusammengetragen werden müssen, sondern dies automatisiert erfolgt: Etwa durch Bereitstellen einer Software, mit der sämtliche öffentlich zugänglichen Informationen aus Facebook herausgezogen und in Beziehungsbäumen sowie auf der Zeitachse dargestellt werden können, oder technische Hilfsmittel, um den Geldfluss von Kryptowährungen (deren Blockchain öffentlich zugänglich ist) nachvollziehen zu können. Auch der Einsatz von künstlicher Intelligenz ist keine Zukunftsmusik mehr.
28 Öffentlich sind Daten dann, wenn sie via eine Datenverarbeitungsanlage frei zugänglich
29 Als öffentlich zugängliche Daten gelten beispielhaft – im Sinne einer nicht abschliessenden Aufzählung – frei zugängliche Massenmedien (Printmedien [selbst wenn mittels Paywall geschützt], Rundfunk), sämtliche im Internet (Clearnet wie auch Darknet) auffindbaren Informationen, webbasierte Anwendungen (wie Google Earth), Informationen auf der öffentlich einsehbaren Blockchain (bspw. bei Bitcoin), auf dem Webauftritt unter der Domainadresse einer Firma oder einer Verwaltung öffentlich abrufbare Daten,
30 Je nach den Umständen können nicht nur Inhaltsdaten (Personen- oder andere Daten), sondern auch Bestandesdaten (bspw. Registrierungsinformationen aus «WhoIs»-Datenbeständen) oder (selten) auch Randdaten öffentlich sein und folglich in Anwendung von Art. 32 lit. a CCC erhoben werden.
31 Für die Qualifikation als öffentlich zugängliche Daten spielt es keine Rolle, ob die Daten unbefugt oder mit Einwilligung der datenberechtigten Person veröffentlicht wurden. Ist die Veröffentlichung rechtswidrig erfolgt (bspw. durch Verletzung gesetzlicher Geheimhaltungsverpflichtungen), so sind die Daten im innerstaatlichen Strafverfahren dann verwertbar, wenn sie von den Strafverfolgungsbehörden rechtmässig hätten erlangt werden können und eine Interessenabwägung für deren Verwertung spricht.
B. Rechtsnatur: Qualifikation als Grundrechtseingriff?
32 Fraglich ist, inwieweit das Sammeln und Auswerten öffentlich zugänglicher Daten als Grundrechtseingriff und in der Konsequenz als Zwangsmassnahme i.S.v. Art. 196 StPO zu qualifizieren sind. Die Beantwortung dieser Frage ist zentral, zum einen um festzulegen, inwieweit auch auf öffentliche Daten, die in einem Drittstaat liegen, zugegriffen werden kann, und zum anderen weil bejahendenfalls eine hinreichend konkrete gesetzliche Grundlage bestehen muss (Art. 197 Abs. 1 lit. a StPO). Letzteres ist durch Art. 95 StPO (Beschaffung von Personendaten) allerdings bereits verwirklicht.
33 Als Zwangsmassnahmen werden gemäss Art. 196 StPO Verfahrenshandlungen der Strafbehörden definiert, die u.a. dazu dienen, Beweise zu sichern, soweit sie in die Grundrechte der betroffenen Personen eingreifen. Art. 196 StPO setzt damit (im Widerspruch zum Wortlaut [«Zwangs»-Massnahme]) nicht notwendigerweise Zwang voraus, sondern stützt vielmehr entscheidend darauf ab, ob die Massnahme als Eingriff in die Grundrechte der betroffenen Personen zu werten ist.
34 Zur automatisierten Verkehrsüberwachung hielt das Bundesgericht einmal fest, der Schutz der Privatsphäre beschränke sich nicht auf private Räumlichkeiten, sondern erstrecke sich auch auf den privatöffentlichen Bereich; von Art. 13 BV erfasst würden auch Lebenssachverhalte mit persönlichem Gehalt, die sich im öffentlichen Raum ereignen.
35 Ist der Zugriff auf allgemein zugängliche Daten keine Zwangsmassnahme, bedeutet das zugleich, dass Art. 32 lit. a CCC nicht konstitutiver, sondern rein deklaratorischer Natur ist:
36 Selbst wenn dem nicht in dieser Absolutheit gefolgt würde, könnte in jedem Fall das Abgreifen freiwillig offengelegter Daten – etwa von Kommunikationsinhalten in den sozialen Medien – nicht als Grundrechtseingriff charakterisiert werden. Denn durch die bewusste Entscheidung, persönliche Informationen zu teilen, verzichten die betroffenen Personen in Bezug auf diese spezifischen Daten auf ihre informationelle Selbstbestimmung, oder in anderen Worten: durch die Freigabe in den öffentlichen Bereich haben sie ihre informationelle Selbstbestimmung gerade ausgeübt. Dasselbe gilt für die durch eigene Inputs hinterlassene öffentliche Datenspur, etwa mit Bitcoin getätigten Transaktionen, die auf der öffentlichen Blockchain nachverfolgbar sind. Sodann sind Daten, die nicht unmittelbar einer bestimmten Person zugerechnet werden können, unter keinem grundrechtlichen Titel schützenswert. Dazu gehört etwa die Verwendung von «Google Earth» oder technischer Daten, die ein Webserver preisgibt. Folglich fällt maximal das Abgreifen und Auswerten nicht freiwillig offenbarter personenbezogener Informationen als Zwangsmassnahme in Betracht; hier könnte berechtigterweise geltend gemacht werden, die Betroffenen hätten keine Kontrolle darüber, welche Informationen über sie im Internet verfügbar sind. Allerdings wäre auch dann zu berücksichtigen, dass OSINT ein vergleichsweise wenig invasiver und damit verhältnismässiger Eingriff ist, da er sich auf Informationen beschränkt, die ohne spezielle Zugangsbeschränkung von jedermann abgerufen werden können.
C. Voraussetzungen für einen zulässigen Datenzugriff nach schweizerischem Strafprozessrecht
37 Der Abgriff von «Open Source»-Daten ist zulässig für beliebige Straftaten (Verbrechen, Vergehen oder Übertretungen), soweit die Erhebung von in elektronischer Form vorhandenem Beweismaterial für deren Verfolgung nützlich ist (vgl. Art. 25 Abs. 1 und Art. 14 Abs. 2 lit. c CCC). Soweit das kantonale Polizeirecht es erlaubt, kann auch im Rahmen präventiver polizeilicher Tätigkeit auf öffentliche Informationen zugegriffen werden.
38 Aufgrund des fehlenden Grundrechtseingriffs sind «open source»-Ermittlungen nicht als Zwangsmassnahmen i.S.v. Art. 196 ff. StPO einzustufen (vgl. vorstehend, N. 32 ff.). Als Folge dessen sind weder die formellen und materiellen Vorschriften zur Durchsuchung (Art. 246 ff. StPO) noch zur Beschlagnahme (Art. 263 StPO) anwendbar. «OSINF» bzw. «OSINT» gilt vielmehr als eine gestützt auf Art. 95 StPO zulässige Erhebung von Beweismitteln i.S.v. Art. 139 Abs. 1 StPO.
39 Das Einloggen durch Angehörige von Strafverfolgungsbehörden unter einer falschen Identität in den sozialen Medien oder in einem Chat, um Zugang zu den dort veröffentlichten Inhalten erhält, ist nicht als verdeckte Fahndung (Art. 298a StPO) oder verdeckte Ermittlung (Art. 285a StPO) einzustufen, da hier kein direkter Kontakt mit der Zielperson aufgebaut wird.
40 Der Beweiswert von öffentlich verfügbaren Daten gilt es im Rahmen der freien Beweiswürdigung (Art. 10 Abs. 2 StPO) im Detail zu prüfen.
III. Zugriff auf anderweitige, in einem anderen Vertragsstaat gespeicherte Daten (lit. b)
A. Rechtmässige und freiwillige Einwilligung der Person, die rechtmässig befugt ist, die Daten weiterzugeben
1. Weitergabeberechtigung
41 Art. 32 CCC regelt lediglich die völkerrechtliche Zulässigkeit des Datenzugriffs; «die innerstaatlichen Vorschriften, an denen die Datenübermittlung zu messen ist, nach denen also zu entscheiden ist, ob die Zustimmung zu der Übermittlung rechtmässig durch eine dazu befugte Person erteilt worden ist, werden von dem Übereinkommen nicht berührt.»
42 Die Frage, wer «rechtmässig befugt ist, die Daten […] weiterzugeben», bestimmt sich nach dem inländischen Recht des ersuchenden Staates, also demjenigen, in dem die Ermittlungen stattfinden.
43 Erforderlich ist die Berechtigung, Daten weiterzugeben. Notwendig, aber auch hinreichend ist die Einwilligung einer Person, die rechtmässig befugt ist, diese den Strafverfolgungsbehörden zu offenbaren.
44 Entgegen der Botschaft
45 Der Explanatory Report und die Botschaft nennen als einwilligungsfähig beispielhaft Personen, die ihre E-Mails bei einem Service-Provider in einem anderen Staat oder anderweitige Daten im Ausland gespeichert haben.
46 Ein im Explanatory Report nicht abschliessend erörterter Aspekt beschlägt die Frage, ob die Einwilligung stets durch die betroffenen Personen erteilt werden muss (Datenherrinnen) oder die Ermächtigung anderer Stellen, die die personenbezogenen Daten bearbeiten (allen voran der Internet-Service-Provider als Datengewahrsamsinhaber), ausreicht.
47 Die Frage der Weitergabeberechtigung ist im breiteren Kontext zu betrachten, dass in der Schweiz nach geltender Rechtslage kein eigentumsähnliches Recht an Daten existiert: Das Eigentumsrecht nach Art. 641 ZGB erstreckt sich einzig auf die «Sache», worunter die Lehre «ein körperlicher, von anderen abgegrenzter Gegenstand, der tatsächlicher und rechtlicher Beherrschung zugänglich ist»,
48 Die Schweiz, im Einklang mit anderen Vertragsstaaten, lässt deshalb die Einwilligung von Internet-Service-Provider als Folge ihres privatrechtlichen Verhältnisses mit der betroffenen Person genügen, wenn die Diensteanbieter sich in ihren Allgemeinen Nutzungsbedingungen bzw. Datenverwendungsrichtlinien ein Weiterleitungsrecht an ausländische Strafverfolgungsbehörden ausbedungen haben.
2. Einwilligung
49 Dass eine betroffene ausländische Providerfirma in beschriebenem Sinne grundsätzlich berechtigt wäre, ihre Zustimmung zu einer direkten Datenherausgabe zu erklären, reicht (nach dem klaren Wortlaut von Art. 32 lit. b CCC) für einen grenzübergreifenden Zugriff noch nicht aus: Vielmehr ist weiter zu prüfen, ob die anfragende Strafverfolgungsbehörde eine rechtswirksame «rechtmässige und freiwillige Zustimmung» eingeholt hat.
50 Einwilligungsfähig ist, wie besehen, die juristische oder urteilsfähige
51 Die Einwilligung kann nach allgemeinen strafprozessualen Grundsätzen entweder ausdrücklich erklärt werden (wofür kein Formerfordernis gilt) oder konkludent erfolgen.
52 Das bedeutet zugleich, dass entsprechende «Information Requests» ins Ausland gestellt werden dürfen, und zwar ohne dass dies als unzulässige Handlung in einem fremden Staat zu qualifizieren wäre. Direkte Anfragen an ausländische Provider haben sich in der Praxis denn auch international zu einem Standard entwickelt, die entweder über von den Providern eigens betriebene Strafverfolgungsportale eingegeben oder, im Falle von anderen (kleineren) Providern, auch auf dem Polizeiweg (via Interpol) zugestellt werden können. Verschiedene Staatsverträge erlauben eine direkte Zustellung amtlicher Dokumente ins Ausland zudem mindestens dem Grundsatz nach, allen voran Art. 52 Abs. 1 des Schengener Durchführungsübereinkommens vom 19.6.1990 («SDÜ»). Dieser sieht aber vor, dass jeder Staat eine Erklärung darüber abgeben kann bzw. abzugeben hat, welche Urkunden an Personen in seinem Staatsgebiet übersendet werden dürfen.
53 Die Einwilligung muss freiwillig erfolgen; die betroffene Person darf nicht getäuscht oder durch Zwang zur Datenherausgabe gebracht werden.
54 Schliesslich ist die Einwilligung jederzeit widerrufbar, wobei der Widerruf bloss ex nunc gilt. Ein Widerruf nach erfolgter Datensicherung ist daher unbeachtlich.
B. Folge einer rechtsgültigen Einwilligung
55 Gibt die verfügungsberechtigte Person ihre Login-Daten zu ausländischen abgeleiteten Internetdiensten freiwillig preis resp. willigt in die Online-Durchsuchung ein, steht es den Strafverfolgungsbehörden in Anwendung von Art. 32 lit. b CCC offen, direkt durch Nutzung der Zugangsdaten auf die Informationen zuzugreifen und diese sicherzustellen.
C. Voraussetzungen für einen zulässigen Datenzugriff nach schweizerischem Strafprozessrecht
56 Der Zugriff auf nicht-öffentliche Daten in der Schweiz ist nicht voraussetzungslos möglich. Handelt es sich um Inhaltsdaten, so sind die Daten sicherzustellen (etwa durch eine Editionsverfügung [Art. 265 StPO] oder anlässlich einer Hausdurchsuchung [Art. 244 StPO]), zu durchsuchen (Art. 246 StPO) und anschliessend, soweit beweisrelevant, zu beschlagnahmen (Art. 263 StPO). Für Verkehrsdaten ist eine rückwirkende Randdatenerhebung (Art. 273 StPO) zu verfügen und vom Zwangsmassnahmengericht genehmigen zu lassen (Art. 274 StPO). Art. 32 lit. b CCC stellt nun keine eigenständige Beweissicherungs- oder Beweiserhebungsmassnahme dar, die die innerstaatlichen Voraussetzungen überflügeln würde. Die Bestimmung regelt einzig, dass bei Vorliegen einer rechtsgültigen Einwilligung auf ein Rechtshilfeverfahren verzichtet werden kann.
57 Zunächst folgt daraus, dass grundsätzlich die Eröffnung einer Strafuntersuchung i.S.v. Art. 309 Abs. 1 StPO und damit ein hinreichender Tatverdacht vorausgesetzt sind, wobei ein noch nicht formell eröffnetes Strafverfahren mit dem Datenabgriff automatisch als eröffnet gilt (Art. 309 Abs. 1 lit. b StPO). Im selbständigen polizeilichen Ermittlungsverfahren darf nicht auf Art. 32 lit. b CCC abgestützt werden. Auch Nachrichtendienste können sich nicht darauf berufen.
58 Die CCC dient der Erhebung von in elektronischer Form vorhandenem Beweismaterial für eine Straftat (vgl. Art. 25 Abs. 1 und Art. 14 Abs. 2 lit. c CCC).
59 Für die Sicherstellung von Inhaltsdaten ist erforderlich, dass zu vermuten ist, dass sich darin Informationen befinden, die der Beschlagnahme unterliegen (Art. 246 StPO). Gemäss Art. 263 Abs. 1 lit. a StPO können Gegenstände einer beschuldigten Person oder einer Drittperson namentlich dann beschlagnahmt werden, wenn sie als Beweismittel gebraucht werden. Für die Sicherstellung und Durchsuchung von Aufzeichnungen genügt damit eine potentielle Beweiserheblichkeit, die dann gegeben ist, wenn die Daten zur Aufklärung der vorgeworfenen Straftaten «von Bedeutung sein können»
60 Werden die IP-History/Logdaten oder sonstige Randdaten im Ausland erhoben, stellt sich die Frage, ob die Staatsanwaltschaft diese Aufzeichnungen in eigener Kompetenz erhältlich machen darf oder ob in Anwendung von Art. 273 Abs. 2 StPO eine Genehmigung durch das Zwangsmassnahmengericht einzuholen ist. Das Bundesgericht hielt einmal fest, Art. 273 StPO ermögliche lediglich eine rückwirkende Randdatenerhebung des Fernmeldeverkehrs «gegenüber dem schweizerischen Recht unterworfenen, in der Schweiz domizilierten Fernmeldedienst-Anbieterinnen bzw. Internet-Zugangsprovidern.»
61 Es stellt sich schliesslich die Frage, inwieweit die übrigen Voraussetzungen der Rechtshilfe, namentlich Ablehnungsgründe und die Notwendigkeit einer doppelten Strafbarkeit, auch für Art. 32 lit. b CCC gelten. Art. 25 Abs. 4 CCC sieht, unter dem 3. Titel («Allgemeine Grundsätze der Rechtshilfe»), vor, dass, soweit die CCC nicht ausdrücklich etwas anderes vorsieht, «die Rechtshilfe den im Recht der ersuchten Vertragspartei oder in den anwendbaren Rechtshilfeverträgen vorgesehenen Bedingungen einschliesslich der Gründe, aus denen die ersuchte Vertragspartei die Zusammenarbeit ablehnen kann», unterliegt.
62 Gegen die direkte Sicherstellung als solche oder die Provideranfrage kann sich die betroffene Person nicht wehren; immerhin steht ihr gegen die Durchsuchung der Rechtsbehelf der Siegelung (Art. 248 StPO) offen, soweit sie ein Beschlagnahmeverbot (Art. 264 StPO) glaubhaft machen kann. Die Siegelung bewirkt, dass die Strafverfolgungsbehörden die Aufzeichnungen einstweilen nicht durchsuchen dürfen, bis das Zwangsmassnahmengericht über die Zulässigkeit der Datenerhebung und Durchsuchung befunden hat.
IV. Über Art. 32 CCC hinausgehende Beweissicherung nach dem Zugriffsprinzip
63 In Friktion zum Territorialitätsprinzip, das auf den Lagerungsort der Beweismittel und damit bei Daten auf den physischen Speicherort abstützt,
64 Gegenstand der Beurteilung war der Zugriff auf den Facebook-Account einer wegen qualifizierten Betäubungsmittelhandels beschuldigten Person, deren Zugangsdaten die Strafverfolgungsbehörden erhältlich gemacht hatten. Die Staatsanwaltschaft liess daraufhin das Facebook-Konto unter Verwendung der ermittelten Login-Daten sichten und beweisrelevante Chat-Nachrichten sicherstellen.
65 Die Praxis hat diese Rechtsprechung dankend aufgenommen. Sie ist nicht nur auf Facebook anwendbar, sondern auf eine Vielzahl von in- und ausländischen Diensten wie Host-Provider, Kommunikationsdienste, Cloud-Services, Anbieter von Datenoutsourcing, Chat-Foren, Plattformen zum Austausch von Dokumenten, Shopping-Portale und E-Mail-Dienst-Anbieter. Auch Kryptovermögen, das in einer Hot Wallet gehalten wird, kann in Anwendung dieser Rechtsprechung sichergestellt (d.h. üblicherweise auf ein Wallet der Strafverfolgungsbehörde transferiert) werden. Die bundesgerichtliche Rechtsprechung gewinnt auch immer mehr an Bedeutung. Der allgemeine Trend für elektronische Geräte lautet: Weg von individuellem Speicher hin zur Sicherung in der Cloud. Gerade Mobiltelefone werden heute von Nutzern für verschiedene Services oft nur noch als «Schlüssel» verwendet, wobei die betreffenden Daten nicht mehr auf dem physischen Gerät gespeichert sind. Wird entsprechend ein Mobiltelefon oder ein Tablet anlässlich einer Hausdurchsuchung oder einer polizeilichen Anhaltung sichergestellt und stellt sich dabei heraus, dass die Daten nicht auf dem Gerät, sondern in der Cloud gespeichert sind, oder finden sich Apps von Kommunikationsdiensten oder Web-E-Mail-Anbietern auf dem Gerät, können gestützt auf die bundesgerichtliche Rechtsprechung all diese Daten sichergestellt werden. Erleichtert wird dieses Vorgehen in der Praxis dadurch, dass Nutzerinnen und Nutzer aus Bequemlichkeitsgründen ihre Login-Daten zu Internetdiensten oft im Passwortmanager oder in einem Internet-Browser abspeichern oder aber für verschiedene Dienste dasselbe Passwort verwenden. Auch anlässlich von Hausdurchsuchungen bei Unternehmen trifft man zunehmend an, dass diese ihre Daten nicht mehr am Sitz bzw. Ort der Geschäftsführung selber hosten bzw. gespeichert haben, sondern dass sie die Datenverarbeitung und -aufbewahrung an externe Dienstleister outgesourced haben. In derartigen Situationen hilft der zitierte Bundesgerichtsentscheid ebenfalls, da er die Datensicherung auch in solchen Fällen erlaubt.
66 Implizit hat sich das Bundesgericht im zitierten Entscheid auf das sog. «Zugriffsprinzip» berufen.
67 Wird nun aber auf nicht öffentlich zugängliche, insbesondere passwort- oder durch sonstige Barrieren geschützte ausländische Quellen zugegriffen, wirkt sich das mit hoher Intensität auf das ausländische («digitale») Hoheitsgebiet aus. Verschiedentlich wird daher der Zugriff durch Ermittlungsbehörden auf Daten im Ausland als Eingriff in die Souveränität des betreffenden Staates gewertet;
68 Dieses Resultat ist unbefriedigend. Erstens gerade dann, wenn die Gefahr besteht, dass die Daten ohne sofortiges Tätigwerden verlustig gehen können. Es ist deshalb vorstellbar, in Ausnahmekonstellationen die vorläufige transnationale Sicherstellung von Daten bei Vorliegen von Kollusionsgefahr bzw. der Gefahr des Beweisverlusts zuzulassen, wenn selbst ein «Preservation Request» i.S.v. Art. 29 CCC zu spät erfolgen würde.
V. Folgen der Verletzung ausländischen Souveränitätsrechts
69 Werden die Befugnisse der CCC überschritten, die Rechtshilfe in Strafsachen durch den direkten Zugriff auf ausländische Datenträger umgangen und damit das Territorialitäts- bzw. Souveränitätsprinzip verletzt, so stellt sich die Frage der Unverwertbarkeit so erlangter Beweismittel. Die Umgehung des Rechtshilfewegs kann im inländischen Strafprozess grundsätzlich gerügt werden.
70 Kantonale Gerichte haben sich bislang für ein relatives Verwertungsverbot i.S.v. Art. 141 Abs. 2 StPO ausgesprochen, womit die betreffenden Beweise verwertet werden dürfen, soweit sie zur Aufklärung einer schweren Straftat erforderlich sind.
71 Letzteres ist insbesondere auf jene Fälle anwendbar, in denen nicht von Vornherein klar ist, wo die Daten gespeichert sind: Kann ein Speicherort im Inland nicht ausgeschlossen werden, so muss ein Zugriff zur Beweissicherung erlaubt sein; eine positive Kenntnis des Speicherorts ist nicht vorauszusetzen. «Allein die Möglichkeit eines Standorts im Ausland kann keine Rechtshilfeverpflichtung auslösen, zumal in diesen Fällen nicht bestimmbar ist, welches Land davon eigentlich betroffen sein wird.»
VI. Reformbedarf
72 Der Europarat erkannte die Notwendigkeit der Aufweichung territorialer Grundsätze aufgrund der technischen Entwicklung früh und erliess in Art. 32 CCC eine im Vergleich zu traditionellen Rechtshilfeübereinkommen fortschrittliche Regelung. Weitergehende verfolgte Ideen waren ebenso visionär wie aufgrund des doch stark verankerten Souveränitätsgedankens (noch) nicht mehrheitsfähig. Will die Staatengemeinschaft indes eine effektive Strafverfolgung, die auch im 21. Jahrhundert ihre Aufgaben wahrnehmen können soll, erscheint es nötig und sinnvoll, die Souveränität mit Bezug auf vernetzte Daten vollumfänglich aufzugeben. Denn es geht heute nicht mehr bloss um die grenzüberschreitende Kriminalität, die für nationale Strafverfolgungsbehörden seit jeher nur schwer greifbar gewesen ist, sondern auch reine Binnensachverhalte können als Folge der Beweismittelverlagerung über die Landesgrenzen hinaus bald nicht mehr, schon gar nicht mehr in einer angemessenen Kosten-Nutzen-Relation, aufgeklärt werden.
73 Zugegebenermassen scheint es erfolgsversprechender zu sein, vorerst kleinere Brötchen zu backen: Erstens soll die Schweiz das 2. Zusatzprotokoll zur CCC, auch wenn es sich dabei nicht um den ganz grossen Wurf handelt, möglichst rasch unterzeichnen und ratifizieren. Zweitens wäre schon viel getan, wenn man im Kontext von Art. 32 lit. b CCC mit der Rechtswirklichkeit Schritt halten und nicht mehr nur an den Speicherort, sondern vielmehr (auch) an den Sitz der zugriffsberechtigten Person oder daran anknüpfen würde, dass ein Unternehmen seine Dienste im betreffenden Staat anbietet (vgl. vorstehend, N. 25). Drittens sollte sich die Schweiz um eine Assoziierung an das e-Evidence-System der EU bemühen (wenngleich dies politisch schwierig umzusetzen sein wird). Viertens sind die wiederkehrenden Diskussionen zu einem unilateralen Zugriff auf Daten im Ausland wiederaufzunehmen und einem Abschluss zuzuführen. Mindestens sollte inskünftig ein Zugriffsort im Inland als hinreichend erachtet werden, um den Datenzugriff nicht mehr als die Souveränität des Staates am Speicherort verletzend einstufen zu müssen.
Literaturverzeichnis
Abo Youssef Omar, Smartphone-User zwischen unbegrenzten Möglichkeiten und Überwachung, ZStrR 130 (2012), S. 92 ff.
Aepli Michael, Die strafprozessuale Sicherstellung von elektronisch gespeicherten Daten, Unter besonderer Berücksichtigung der Beweismittelbeschlagnahme am Beispiel des Kantons Zürich, Zürich 2004.
Bangerter Simon, Hausdurchsuchungen und Beschlagnahmen im Wettbewerbsrecht unter vergleichender Berücksichtigung der StPO, Zürich 2014.
Bär Wolfgang, Transnationaler Zugriff auf Computerdaten, ZIS 2 (2011), S. 53 ff., abrufbar unter https://www.zis-online.com/dat/artikel/2011_2_525.pdf, besucht am 17.10.2023.
Biaggini Elena, Strafrechtlicher Schutz des E-Mail-Verkehrs post mortem?, sui generis 2021, S. 321 ff., abrufbar unter https://doi.org/10.21257/sg.196, besucht am 17.10.2023.
Bonnici Jeanne Pia Mifsud et al., The European Legal Framework on Electronic Evidence: Complex and in Need of Reform, in: Biasiotti Maria Angela/Bonnici Jeanne Pia Mifsud/Cannataci Joe/Turchi Fabrizio (Hrsg.), Handling and Exchanging Electronic Evidence Across Europe, 2018, S. 189 ff., abrufbar unter https://link.springer.com/chapter/10.1007/978-3-319-74872-6_11, besucht am 17.10.2023.
Bottinelli Nicolas, L’obtention par l’autorité pénale des données informatiques situées à l’étranger, AJP 2016, S. 1327 ff.
Brodowski Dominik, Der «Grundsatz der Verfügbarkeit» von Daten zwischen Staat und Unternehmen, ZIS 8-9/2012, S. 474 ff., abrufbar unter https://zis-online.com/dat/artikel/2012_8-9_703.pdf, besucht am 17.10.2023.
Brodowski Dominik/Eisenmenger Florian, Zugriff auf Cloud-Speicher und Internetdienste durch Ermittlungsbehörden, Sachliche und zeitliche Reichweite der «kleinen Online-Durchsuchung» nach § 110 Abs. 3 StPO, ZD 2014, S. 119 ff.
Burgermeister Daniel, Beweiserhebung in der Cloud, Luzern 2015, abrufbar unter https://www.unilu.ch/fileadmin/fakultaeten/rf/institute/staak/MAS_Forensics/dok/Masterarbeiten_MAS_5/Burgermeister_Daniel.pdf, besucht am 17.10.2023.
Capus Nadja, Strafrecht und Souveränität: Das Erfordernis der beidseitigen Strafbarkeit in der internationalen Rechtshilfe in Strafsachen, Basel 2010.
Cartner Anna/Schweingruber Sandra, Strafbehörden dürfen googeln, AJP 2021, S. 990 ff.
De Busser Els, Open Source Data and Criminal Investigations: Anything You Publish Can and Will Be Used Against You, Groningen Journal of International Law 2/2 (2014): Privacy in International Law, S. 90 ff., abrufbar unter https://www.researchgate.net/publication/328962642_Open_Source_Data_and_Criminal_Investigations_Anything_You_Publish_Can_and_Will_Be_Used_Against_You, besucht am 17.10.2023.
Dombrowski Nadine, Extraterritoriale Strafrechtsanwendung im Internet, Potsdam 2011/2012.
Donatsch Andreas/Lieber Viktor/Summers Sarah/Wohlers Wolfgang (Hrsg.), Schulthess Kommentar zur Schweizerischen Strafprozessordnung, 3. Aufl., Zürich 2020 (zit. SK-Bearbeiter/in, Art. … StPO N. …).
Eckert Martin, Digitale Daten als Wirtschaftsgut: digitale Daten als Sache, SJZ 112 (2016), S. 245 ff.
Forster Marc, Marksteine der Bundesgerichtspraxis zur strafprozessualen Überwachung des digitalen Fernmeldeverkehrs, in: Gschwend Lukas/Hettich Peter/Müller-Chen Markus/Schindler Benjamin/Wildhaber Isabelle (Hrsg.), Recht im digitalen Zeitalter, Festgabe Schweizerischer Juristentag 2015 in St. Gallen, Zürich/St. Gallen 2015, S. 613 ff.
Fröhlich-Bleuler Gianni, Eigentum an Daten?, Jusletter 6.3.2017.
Geiser Thomas/Wolf Stephan (Hrsg.), Basler Kommentar zum Zivilgesetzbuch II, Art. 457-977 ZGB, Art. 1-61 SchlT ZGB, 7. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. ... ZGB N. …).
Gercke Björn, Straftaten und Strafverfolgung im Internet, GA 2012, S. 474 ff.
Glassey Ludwiczak Maria, Mesures de surveillance suisses et résultats obtenus à l’étranger, Remarques à propos de l’ATF 146 IV 36, forumpoenale 5 (2020), S. 410 ff.
Gless Sabine, Beweisverbote in Fällen mit Auslandsbezug, JR 2008, S. 317 ff.
Graf Damian K. (Hrsg.), Annotierter Kommentar zum Schweizerischen Strafgesetzbuch, Bern 2020 (zit. AK-Bearbeiter/in, Art. … StGB N. …).
Graf Damian K., Praxishandbuch zur Siegelung, StPO inklusive revidierter Bestimmungen – VStrR – IRSG – MStP, Bern 2022 (zit. Praxishandbuch).
Graf Damian K., Strafverfolgung 2.0: Direkter Zugriff auf im Ausland gespeicherte Daten?, Jusletter IT 21.9.2017 (zit. Strafverfolgung 2.0).
Graf Jürgen-Peter (Hrsg.), BeckOK StPO mit RiStBV und MiStra, 47. Edition, München, Stand: 1.1.2023 (zit. BeckOK-Bearbeiter/in, § … StPO N. …).
Grassle Christian/Hiéramente Mayeul, Praxisprobleme bei der IT-Durchsuchung, CB 2019, S. 191 ff.
Grave Carsten/Barth Christoph, Von «Dawn Raids» zu «eRaids», Zu den Befugnissen der Europäischen Kommission bei der Durchsuchung elektronischer Daten, EuZW 2013, S. 360 ff.
Hansjakob Thomas, Die Erhebung von Daten des Internetverkehrs – Bemerkungen zu BGer 6B_656/2015 vom 16.12.2016, forumpoenale 4 (2017), S. 252 ff.
Heimgartner Stefan, Die internationale Dimension von Internetstraffällen, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 117 ff. (zit. Internationale Dimension).
Heimgartner Stefan, Strafprozessuale Beschlagnahme, Wesen, Arten und Wirkungen, Zürich 2011 (zit. Strafprozessuale Beschlagnahme).
Hess-Odoni Urs, Die Herrschaftsrechte an Daten, Jusletter 17.5.2004.
Hiatt Keith, Open Source Evidence on Trial, 125 Yale Law Journal Forum (2016), S. 323 ff., abrufbar unter https://www.yalelawjournal.org/pdf/Hiatt_PDF_zxz3ufoz.pdf, besucht am 17.10.2023.
Hürlimann Daniel/Zech Herbert, Rechte an Daten, sui-generis 2016, S. 89 ff., abrufbar unter https://doi.org/10.21257/sg.27, besucht am 17.10.2023.
Karagiannis Christos/Vergidis Kostas, Digital Evidence and Cloud Forensics: Contemporary Legal Challenges and the Power of Disposal, Information 12 (2021), 181, S. 1 ff., abrufbar unter https://www.mdpi.com/2078-2489/12/5/181, besucht am 17.10.2023.
Knauer Christoph/Kudlich Hans/Schneider Hartmut (Hrsg.), Münchener Kommentar zur Strafprozessordnung, Band 1: §§ 1-150 StPO, 2. Aufl., München 2022 (zit. MK-Bearbeiter/in, § … StPO N. …).
Kohler Patrick, Rechte an Sachdaten, sic! 2020, S. 412 ff.
Largiadèr Albert, Vorladungen ins Ausland nur Einladungen?, forumpoenale 5 (2014), S. 293 f.
Marberth-Kubicki Annette, in: Auer-Reinsdorff Astrid/Conrad Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016.
Moreillon Laurent/Parein-Reymond Aude, Petit commentaire du Code de procédure pénale, 2. Aufl., Basel 2016.
Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar zum Strafrecht II, 4. Aufl., Basel 2019 (zit. BSK-Bearbeiter/in, Art. … StGB N. …).
Niggli Marcel Alexander/Heer Marianne/Wiprächtiger Hans (Hrsg.), Basler Kommentar zur Strafprozessordnung/Jugendstrafprozessordnung, 3. Aufl., Basel 2023 (zit. BSK-Bearbeiter/in, Art. … StPO N. …).
Obenhaus Nils, Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, S. 651 ff.
Osula Anna-Maria, Remote search and seizure in domestic criminal procedure: Estonian case study, International Journal of Law and Information Technology 24 (2016), S. 343 ff.
Pfeffer Kristin, Die Regulierung des (grenzüberschreitenden) Zugangs zu elektronischen Beweismitteln, abrufbar unter https://eucrim.eu/articles/die-regulierung-des-grenzuberschreitenden-zugangs-zu-elektronischen-beweismitteln/, besucht am 17.10.2023.
Riedi Claudio, Auslandsbeweise und ihre Verwertung im schweizerischen Strafverfahren, Zürich 2018.
Roth Simon, Die grenzüberschreitende Edition von IP-Adressen und Bestandesdaten im Strafprozess, Direkter Zugriff oder Rechtshilfe?, Jusletter 17.8.2015.
Ryser Dominic, «Computer Forensics», Eine neue Herausforderung für das Strafprozessrecht, in: Schwarzenegger Christian/Arter Oliver/Jörg Florian (Hrsg.), Internet-Recht und Strafrecht, Bern 2005, S. 553 ff.
Sampson Fraser, Intelligence evidence: Using open source intelligence (OSINT) in criminal proceedings, The Police Journal 90(1) 2017, S. 55 ff.
Schmid Alain/Schmidt Kirsten Johanna/Zech Herbert (Hrsg.), Rechte an Daten – zum Stand der Diskussion, sic! 11/2018, S. 627 ff.
Schmid Niklaus, Strafprozessuale Fragen im Zusammenhang mit Computerdelikten und neuen Informationstechnologien im allgemeinen, ZStrR 111 (1993), S. 81 ff.
Schomburg Wolfgang/Lagodny Otto (Hrsg.), Internationale Rechtshilfe in Strafsachen, Beck’scher Kurz-Kommentar, 6. Aufl., München 2020 (zit. Schomburg/Lagodny-Bearbeiter/in).
Schweingruber Sandra, Cybercrime-Strafverfolgung im Konflikt mit dem Territorialitätsprinzip, Jusletter 10.11.2014.
Seger Alexander, «Grenzüberschreitender» Zugriff auf Daten im Rahmen der Budapest Konvention über Computerkriminalität, Praxisbericht zum Stand der Arbeiten des Europarats, Zeitschrift für öffentliches Recht 73 (2018), S. 71 ff.
Seitz Nicolai, Transborder Search: A New Perspective in Law Enforcement?, Yale Journal of Law & Technology 2004-2005, S. 24 ff., abrufbar unter https://yjolt.org/transborder-search-new-perspective-law-enforcement, besucht am 17.10.2023.
Singelnstein Tobias, Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmassnahmen – Telekommunikation, Web 2.0, Datenbeschlagnahme, polizeiliche Datenverarbeitung & Co., NStZ 2012, S. 593 ff.
Svantesson Dan, Preliminary Report: Law Enforcement Cross-Border Access to Data, 12.11.2016, abrufbar unter https://ssrn.com/abstract=2874238, besucht am 17.10.2023.
Unseld Lea, Internationale Rechtshilfe im Steuerrecht, Akzessorische Rechtshilfe, Auslieferung und Vollstreckungshilfe bei Fiskaldelikten, Zürich 2011.
Velasco Cristos, Cybercrime jurisdiction: past, present, future, ERA Forum (2015) 16, S. 331 ff., abrufbar unter https://rm.coe.int/16806b8a7a, besucht am 17.10.2023.
Wabnitz Heinz-Bernd/Janovsky Thomas (Hrsg.), Handbuch des Wirtschafts- und Steuerstrafrechts, 4. Aufl., München 2014 (zit. Wabnitz/Janovsky-Bearbeiter/in).
Walden Ian, Accessing Data in the Cloud: The Long Arm of the Law Enforcement Agent, Queen Mary School of Law Legal Studies Research Paper No. 7 (2011), abrufbar unter https://papers.ssrn.com/abstract=1781067, besucht am 17.10.2023.
Walder Stephan, Grenzüberschreitende Datenerhebung: Ist und Soll, Kriminalistik 8-9/2019, S. 540 ff.
Weber Amalie M., The Council of Europe’s Convention on Cybercrime, Berkeley Technology Law Journal 18 (2003), S. 425 ff., abrufbar unter https://lawcat.berkeley.edu/record/1118718, besucht am 17.10.2023.
Wicker Magda, Durchsuchung in der Cloud, Nutzung von Cloud-Speichern und der strafprozessuale Zugriff deutscher Ermittlungsbehörden, MMR 2013, S. 765 ff.
Zerbes Ingeborg/El-Ghazi Mohamad, Zugriff auf Computer: Von der gegenständlichen zur virtuellen Durchsuchung, NStZ 2015, S. 425 ff.
Materialienverzeichnis
Botschaft des Bundesrates an die Bundesversammlung zu einem Bundesgesetz über internationale Rechtshilfe in Strafsachen und einem Bundesbeschluss über Vorbehalte zum Europäischen Auslieferungsübereinkommen vom 8.3.1976, BBl 1976 II 444 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1976/2_444_430_443/de, besucht am 17.10.2023.
Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität vom 18.6.2010, BBl 2010 4697 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2010/813/de, besucht am 17.10.2023.
Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27.2.2013, BBl 2013 2683 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2013/512/de, besucht am 17.10.2023.
Botschaft zur Vereinheitlichung des Strafprozessrechts vom 21.12.2005, BBl 2006 1085 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2006/124/de, besucht am 17.10.2023.
Bundesamt für Justiz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens zum erläuternden Bericht und zum Vorentwurf über die Änderung des Schweizerischen Strafgesetzbuches und des Rechtshilfegesetzes, Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität, Bern, 10.4.2010, abrufbar unter https://www.bj.admin.ch/bj/de/home/sicherheit/gesetzgebung/archiv/cybercrime-europarat.html, besucht am 17.10.2023.
Europäische Union, Common Position of 27 May 1999 adopted by the Council on the basis of Article 34 of the Treaty on European Union, on negotiations relating to the Draft Convention on Cyber Crime held in the Council of Europe, Official Journal of the European Communities, L 142/1 vom 5.6.1999, abrufbar unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:1999:142:0001:0002:EN:PDF, besucht am 17.10.2023.
Europarat, Cybercrime Convention Committee (T-CY), The Budapest Convention on Cybercrime: benefits and impact in practice, Strassburg, 13.7.2020, abrufbar unter https://rm.coe.int/t-cy-2020-16-bc-benefits-rep-provisional/16809ef6ac, besucht am 17.10.2023 (zit. T-CY, Benefits).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Guidance Note # 3, Transborder access to data (Article 32), Strassburg, 3.12.2014, abrufbar unter https://www.ccdcoe.org/uploads/2019/09/CoE-141203-Guidance-Note-on-Transbprder-access-to-data.pdf, besucht am 17.10.2023 (zit. T-CY Guidance Note # 3).
Europarat, Cybercrime Convention Committee (T-CY), Ad-hoc Sub-group on Jurisdiction and Transborder Access to Data, Transborder Access and jurisdiction: What are the options?, Strassburg, 6.12.2012, abrufbar unter https://rm.coe.int/16802e79e8, besucht am 17.10.2023 (zit. T-CY, Transborder Access).
Europarat, Cybercrime Convention Committee (T-CY), T-CY Cloud Evidence Group, Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY, Final report, Strassburg, 16.9.2016, abrufbar unter https://rm.coe.int/16806a495e, besucht am 17.10.2023 (zit. T-CY, Cloud).
Europarat, Cybercrime Convention Committee (T-CY), T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime, Strassburg, 3.12.2014, abrufbar unter https://rm.coe.int/16802e726c, besucht am 17.10.2023 (zit. T-CY, Assessment Report).
Europarat, Draft Explanatory Memorandum Regarding on Draft Recommendation No. R (95) Concerning Problems of Criminal Procedural Law Connected with Information Technology vom 31.7.1995 (zit. Explanatory Memorandum).
Europarat, Economic Crime Division, Project on Cybercrime, Cloud Computing and cybercrime investigations: Territoriality vs. the power of disposal?, Discussion Paper, Strassburg, 31.8.2010, abrufbar unter https://rm.coe.int/16802fa3df, besucht am 17.10.2023 (zit. Economic Crime Division).
Europarat, Explanatory Report to the Convention on Cybercrime, Budapest, 23.11.2001, abrufbar unter https://rm.coe.int/16800cce5b, besucht am 17.10.2023 (zit. Explanatory Report).
United Nations, Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes, Consolidated negotiating document on the general provisions and the provisions on criminalization and on procedural measures and law enforcement of a comprehensive international convention on countering the use of information and communications technologies for criminal purposes vom 21.1.2023, abrufbar unter https://www.unodc.org/documents/Cybercrime/AdHocCommittee/4th_Session/Documents/CND_21.01.2023_-_Copy.pdf, besucht am 17.10.2023 (zit. United Nations, Consolidated Negotiating Document).
United Nations, Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, Note by the Secretary-General vom 24.6.2013, UN Doc A/68/98, abrufbar unter https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/371/66/PDF/N1337166.pdf, besucht am 17.10.2023 (zit. Developments).
United Nations Office on Drugs and Crime (UNODC), Comprehensive Study on Cybercrime, Draft February 2013, abrufbar unter https://www.unodc.org/documents/organized-crime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_STUDY_210213.pdf, besucht am 17.10.2023 (zit. UNODC).