Das Internet ist eine der wichtigsten Infrastrukturen der heutigen Zeit.1Die Nutzung des Internets zu kriminellen Zwecken wiederum wird als das Kriminalitätsproblem des 21. Jahrhunderts angesehen.2 Beim Internet Crime Complaint Center der USA gingen im Jahr 2011 über 300 000 Meldungen aus aller Welt ein.3 Und bei der schweizerischen Koordinationsstelle zur Bekämpfung der Internetkriminalität (Kobik) in Bern sind zwei Jahre später 9208 Fälle gemeldet worden. Das entspricht einer Zunahme von 11,7 Prozent im Vergleich zu 2012.4
Als Computer- und Internetkriminalität werden alle Straftaten erfasst, die unter Einbezug von Anlagen zur elektronischen Datenverarbeitung verübt werden.5 Sie lassen sich in zwei Gruppen unterteilen: Erstens Delikte, bei denen ein Computersystem oder Netzwerk das Angriffsziel ist. Zweitens klassische Straftaten, die auch – aber nicht nur – über das Internet begangen werden können.6 Hacking und Phishing einerseits sowie Kinderpornographie, Urheberrechtsverletzungen und extremistische Propaganda andererseits sind typische Beispiele dafür.
Hürden für extraterritoriale Ermittlungen
Ein rechtsfreier Raum ist das Internet aber nicht. Die Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung sowie die Verfolgung von Straftaten sind klassische Domänen des nationalen Rechts. Dieser Ansatz versagt allerdings bei der grenzüberschreitenden Kriminalität im Cyberspace. Die Gründe dafür sind tatsächlicher und rechtlicher Natur. Die Internetkriminalität erfolgt fast durchweg länderübergreifend. Bei der Strafverfolgung ist in solchen Fällen zu berücksichtigen, dass zwei oder mehr Hoheitssphären involviert sind: diejenige des ermittelnden Staats sowie diejenige des Staats, in dessen Territorium sich der Beschuldigte, der Internetdienstleister oder das Beweismittel befinden.
Für die Identifizierung der Täter bedienen sich die Strafverfolgungsbehörden vor allem elektronischer Daten wie der IP-Adressen der benutzten Geräte. Dabei handelt es sich um numerische Adressierungselemente, die jeweils nur einmal vergeben werden und auf die verwendeten Internetanschlüsse verweisen. Diese Daten sind in der Regel im Besitz ausländischer Internetdienstanbieter, sogenannter Internet-Service-Provider wie zum Beispiel Google, Facebook oder Youtube.
Daten gelöscht, bis Rechtshilfe greift
Sollen im Ausland liegende Daten erhoben werden, besteht das Problem, dass die Behörden ihre Ermittlungs- und Untersuchungshandlungen nach den traditionellen Grundsätzen der Strafverfolgung auf das eigene Hoheitsgebiet beschränken müssen. Die Beweise dürfen nicht direkt bei den ausländischen Providern angefordert werden, sondern sind auf dem Weg der Rechtshilfe einzuholen.
Rechtshilfeverfahren indes sind bürokratisch, langwierig – und bei Internetdelikten oft erfolglos. Denn die beweiserheblichen Daten können bei Verfahrensabschluss bereits gelöscht sein, weil viele Länder keine oder nur eine kurze Vorratsdatenspeicherung kennen.7
Bei der extraterritorialen Strafverfolgung der Internetdelinquenz stellt sich somit die juristische Frage, inwieweit ein Staat auch ausserhalb seines Hoheitsgebietes erstens das nationale Strafrecht mithilfe der Regeln des Strafanwendungsrechts für gültig erklären kann und zweitens entsprechende Untersuchungshandlungen vornehmen darf. Beides wird in vielen Fällen am Territorialitätsprinzip scheitern.
Territorialitätsprinzip als Schranke
Anders als im Cyberspace, der als virtueller Raum souveränitätsfrei ist, müssen die Staaten bei der Ausübung ihrer Jurisdiktion über physisch lokalisierbare Einrichtungen der Cyberinfrastruktur die staatliche Souveränität und die territoriale Integrität beachten.8 In welchem Umfang der einzelne Nationalstaat die Aktivitäten im Internet regulieren und sanktionieren darf, hängt somit vom Umfang seiner Kompetenz zum Erlass und Vollzug sowie der gerichtlichen Beurteilung von Gesetzen ab.
Die Jurisdiktion eines Staates erstreckt sich zunächst auf alle natürlichen und juristischen Personen sowie auf Objekte innerhalb seines Territoriums (Territorialitätsprinzip). Nach diesem völkerrechtlichen Grundsatz ist auch der räumliche Geltungsbereich des nationalen Strafrechts begrenzt. Es ist das Recht anzuwenden, das am Tatort gilt.9 Daraus folgt, dass ein Staat seine Strafgerichtsbarkeit auch dann ausüben kann, wenn entweder die Folgen einer strafbaren Handlung, die auf seinem Hoheitsgebiet begangen wurde, einen anderen Staat betreffen (subjektive Territorialität) oder die Tat, die ihren Ursprung im Ausland hat, substantielle Auswirkungen auf das Inland zeitigt (objektive Territorialität).10
Das Territorialitätsprinzip ist restriktiv auszulegen, um die Zuständigkeit der nationalen Strafverfolgungsbehörden nicht zu überdehnen. Andernfalls bestünde aufgrund der zahlreichen Anknüpfungspunkte ein erhebliches Problem bezüglich der Rechtssicherheit. Es wäre kaum mehr möglich, Strafbarkeitsrisiken vorherzusehen, insbesondere, wenn ein Verhalten nach der Heimatrechtsordnung als rechtmässig bewertet und in einer anderen Rechtsordnung sanktioniert wird. Eine solch «globale Erfolgsverursachung» im Internet hätte zur Folge, dass sich weltweit die strengste nationale Strafrechtsordnung durchsetzen würde.
In der Praxis kann die Strafverfolgung von Internetdelikten aufgrund der Beschränkung auf die staatliche Territorialität unter Gleichbehandlung aller Handlungs- und Erfolgsorte einer Tat zu Jurisdiktionskonflikten führen. Sie sind auf zwischenstaatlicher Ebene nach den bestehenden Kollisionsregeln zu lösen.11 Vor diesem Hintergrund spielen völkerrechtliche Verträge wie die Cybercrime Convention, die der Abwehr von grenzüberschreitender Internetkriminalität dient, sowie die europäischen Cybercrime-Konferenzen, die einheitliche Gesetzesgrundlagen in der Europäischen Union schaffen sollen, eine wichtige Rolle bei der Strafverfolgung im virtuellen Raum.
Multilaterale Abkommen als Lösungsansatz
Das «Übereinkommen des Europarates über die Cyberkriminalität»12 trat für die Schweiz am 1. Januar 2012 in Kraft. In Anlehnung an den englischen Originaltitel (Convention on Cybercrime) ist hier von der Cybercrime Convention (CCC) die Rede.13 Sie steht auch Staaten zum Beitritt offen, die nicht Mitglied des Europarats sind; bis anhin haben allerdings nur sechs nichteuropäische Länder diese Möglichkeit genutzt.14 Die Cybercrime Convention ist das erste multilaterale Abkommen, das sich mit der Computer- und Internetkriminalität auseinandersetzt.15
Kapitel I enthält Begriffsdefinitionen. In Kapitel II sind Massnahmen vorgesehen, die auf nationaler Ebene im Bereich des materiellen Rechts und des Strafverfahrensrechts zu treffen sind. Mit einem gemeinsamen Mindeststandard soll das Internetstrafrecht der Vertragsstaaten harmonisiert werden. Bestimmte Delikte sind einheitlich unter Strafe zu stellen. Für die Frage der territorial begrenzten Strafverfolgung von Internetdelikten interessieren vor allem die verfahrensrechtlichen Vorgaben zur Sicherung, Herausgabe, Durchsuchung, Beschlagnahme und Erhebung ermittlungsrelevanter Computerdaten. Die Behörden sollen rasch auf elektronische Daten zugreifen können, damit diese im Verlauf des Verfahrens nicht verfälscht oder vernichtet werden können. Zudem findet sich eine Bestimmung zur nationalen Gerichtsbarkeit. Kapitel III behandelt die internationale Zusammenarbeit sowie die Amts- und Rechtshilfe der Vertragsparteien im Bereich von Computer- und Internetstraftaten. Die gemeinsame Strafverfolgung soll schnell, wirksam und umfassend ablaufen.
Zusammenarbeit innerhalb der Europäischen Union
Die horizontale Kooperation wird zunehmend ergänzt durch eine vertikale Koordination.16 So bildet das European Cybercrime Center, das von der Europäischen Kommission gegründet wurde, eine weitere Stufe der Zusammenarbeit, wenngleich nur auf der Ebene der Europäischen Union. Das innerhalb von Europol angesiedelte Zentrum hat im Januar 2013 in Den Haag seine Arbeit aufgenommen. Zu seinen Aufgaben gehört es, Daten von verschiedenen Behörden, frei zugänglichen Quellen, der Privatwirtschaft und von akademischen Kreisen zusammenzutragen, um mit diesem Beweismaterial die Ermittlungen innerhalb der EU zu unterstützen. Zudem soll die Ausbildung von Strafverfolgern koordiniert und sollen Anfragen von Polizei, Staatsanwaltschaften und Gerichten zu speziellen technischen und forensischen Problemen beantwortet werden.
Vorgehenskaskade in der Strafverfolgung
Im Hinblick auf den Konflikt zwischen globaler Internetkriminalität und staatlicher Territorialität sind vor allem drei Bestimmungen der Cybercrime Convention von Interesse: Art. 18, 22 und 32 CCC.17 Diese Regeln bieten den Behörden eine «Vorgehenskaskade». Hierfür ist zwischen Bestandes- und Verkehrsdaten zu differenzieren: Bestandes- beziehungsweise Kundendaten sind alle Informationen, die eine Identifikation des Kunden eines Providers erlauben (zum Beispiel Namen, Telefon- und Zugangsnummern, Anschrift, E-Mail-Adressen sowie Angaben betreffend Rechnungsstellung, Zahlung oder genutzter Kommunikationsdienste.18 Verkehrs- beziehungsweise Verbindungsdaten hingegen sind Angaben zum Aufbau und Inhalt einer Verbindung (zum Beispiel IP-Adressen oder inhaltsbezogene Informationen).19 Unerheblich ist, auf welchem Medium die Daten gespeichert sind; erfasst werden sowohl die Datenträger als auch die darauf befindlichen Informationen.20
Möchten die Strafverfolgungsorgane eines Vertragsstaates nur an Bestandesdaten von ausländischen Providern kommen, ist eine Anordnung der Herausgabe gemäss Art. 18 CCC zu prüfen. Nach Abs. 1 sollen die Vertragsstaaten sicherstellen, dass ihre zuständigen Behörden anordnen können, dass eine Person in ihrem Hoheitsgebiet bestimmte Computerdaten, die sich in ihrem Besitz oder unter ihrer Kontrolle befinden, vorzulegen hat (lit. a) und dass ein Internetdienstleister, der seine Dienste im Hoheitsgebiet der Vertragspartei anbietet, Bestandesdaten in Zusammenhang mit diesen Diensten, die sich in seinem Besitz oder seiner Kontrolle befinden, vorlegen muss (lit. b).
Das bedeutet für die Strafverfolgung in der Schweiz, dass die zuständigen Behörden nicht nur inländische, sondern auch einen ausländischen Provider direkt und ohne Rechtshilfeverfahren auf der Grundlage der StPO zur Herausgabe der beweiserheblichen Daten auffordern können, sofern er seine Dienste in der Schweiz anbietet.21
Die Anordnung der Herausgabe erfolgt nach innerstaatlichem Recht, das heisst in der Schweiz nach der StPO. Insoweit kommen ein Editionsbefehl (Art. 265 StPO) oder eine Auskunftsanordnung (Art. 273 StPO) in Betracht. Da es sich bei elektronischen Daten nicht um Gegenstände handelt, sofern sie nicht auf einem USB-Stick, einer CD oder einer Diskette verkörpert sind, wird in der Regel mittels Auskunftsbegehren vorzugehen sein. Hierfür ist die Genehmigung des zuständigen Zwangsmassnahmengerichts erforderlich (Art. 273 Abs. 2, 274 StPO).
Grenzüberschreitender Zugriff auf Daten
Sollen Verkehrsdaten ausländischer Provider ohne Rechtshilfeverfahren eingeholt werden, findet Art. 18 CCC keine Anwendung. Aber es ist ein grenzüberschreitender Zugriff auf gespeicherte Computerdaten gemäss Art. 32 CCC denkbar. Eine Vertragspartei darf danach entweder auf öffentlich zugängliche Computerdaten zugreifen, ungeachtet dessen, wo die Daten geografisch verortet sind (lit. a). Oder sie kann auf Computerdaten, die sich im Hoheitsgebiet einer anderen Vertragspartei befinden, mittels eines Computersystems in ihrem Hoheitsgebiet zugreifen oder diese Daten empfangen, wenn sie die freiwillige Zustimmung der Person einholt, die befugt ist, diese Daten an sie weiterzugeben (lit. b). Die erste Variante bezieht sich auf öffentlich zugängliche Seiten (zum Beispiel Homepages oder öffentliche Profile auf Social-Media-Plattformen), während die zweite Variante nicht öffentliche Daten erfasst (zum Beispiel passwortgeschützte Inhalte in E-Mail-Accounts).
Notwendigkeit einer Zustimmung des Kunden
Unklar ist in diesem Zusammenhang, ob allein der Inhaber oder auch der Provider eines E-Mail-Kontos berechtigt ist, in den Zugriff auf nicht öffentliche Daten einzuwilligen. Das hängt von den konkreten Umständen, der Art der Person und dem anwendbaren Recht ab.22 Grundsätzlich ist die Zustimmung vom Kontoinhaber zu erteilen. Ob zudem der Diensteanbieter berechtigt ist, die nicht öffentlichen Daten auch ohne dessen Einwilligung herauszugeben, beurteilt sich nach der geltenden Rechtslage, das heisst nach dem privatrechtlichen Vertrag zwischen Nutzer und Anbieter sowie den zugrunde liegenden AGB.23 Die AGB der grossen Provider sehen vor, dass sie im Rahmen von Strafuntersuchungen berechtigt sind, Informationen offenzulegen, wenn sie hierzu aufgrund gesetzlicher Bestimmungen oder behördlicher Anordnungen verpflichtet sind.
Fraglich ist zudem, wie die freiwillige Zustimmung zu erfolgen hat. Nach einer Ansicht in der Literatur liegt Freiwilligkeit bereits vor, wenn aus der Anfrage der Behörden hervorgeht, dass der Provider nicht zur Herausgabe verpflichtet ist.24 Diese Sichtweise erscheint zu weit. Von einer freiwilligen Zustimmung kann nur ausgegangen werden, wenn der Betroffene um die konkreten Umstände des Untersuchungsverfahrens weiss. Das bedingt eine Aufklärung über die Zielperson, den Tatverdacht und die erwarteten Beweise durch die Strafverfolgungsbehörden. Denn es kann nur in einen Sachverhalt eingewilligt werden, dessen Einzelheiten man zumindest in groben Zügen kennt.
Sind auch die Voraussetzungen von Art. 32 CCC nicht erfüllt, muss der ordentliche Rechtshilfeweg beschritten werden. Zur Begründung der Gerichtsbarkeit ist Art. 22 CCC heranzuziehen. Diese Norm enthält Mindestvorgaben, unter welchen Voraussetzungen ein Vertragsstaat die Anwendbarkeit seines nationalen Strafrechts begründen muss. Nicht geregelt wird hingegen, wann ausländisches Strafrecht zur Anwendung kommt.
Abs. 1 hält fest, dass ein Staat für ein in der Konvention aufgeführtes Delikt (vgl. Art. 2–11 CCC) zuständig ist, wenn die Tat auf seinem Hoheitsgebiet begangen wurde. Die neben dem Territorialitätsprinzip erwähnten Zuständigkeitsprinzipien können allerdings von den Vertragsstaaten gemäss Abs. 2 ausgeschlossen werden. Und gemäss Abs. 4 bleiben alle im nationalen Recht verankerten Strafanwendungsgrundsätze anwendbar. Die Zuständigkeitsregeln der Cybercrime Convention haben folglich eher Empfehlungscharakter. Im Falle einer Jurisdiktionskonkurrenz kommt Abs. 5 zum Tragen, wonach die betroffenen Staaten die Gerichtsbarkeit gemeinsam im Wege eines fakultativen Konsultationsverfahrens bestimmen. Nach diesem Kompetenzverteilungsprinzip25 gilt statt des einseitigen nationalstaatlichen Strafanwendungsrechts das vereinbarte internationale Strafrecht.
Die Cybercrime Convention bietet damit im Bereich der Jurisdiktionskonflikte keine wirksamen internationalen Zuständigkeitsregelungen, sondern hierarchisiert nur unverbindlich mögliche Strafanwendungsgrundsätze.26 Die eigentliche Sachfrage bleibt offen. In der Literatur wird daher für eine «pragmatische Interpretation» der Cybercrime Convention und eine «praxistaugliche Auslegung» des Territorialitätsprinzips plädiert, um den Zugriff auf im Ausland liegende Daten zu erleichtern.27 Diesem Vorschlag ist mit einer gewissen Skepsis zu begegnen. Für eine effektive Bekämpfung der Computerkriminalität bedarf es zwar eines schnellen Zugangs auch zu Beweismitteln im Ausland. Doch dürfen die historischen Strafanwendungsgrundsätze und völkerrechtlichen Verträge aus Gründen der Rechtssicherheit und der einzelstaatlichen Integrität nicht einseitig durch die schweizerischen Strafverfolgungsbehörden umgangen werden.
Solidarität statt Souveränität der Staaten
Eine auf Staatsgrenzen beschränkte Strafverfolgung führt bei einer Delinquenz ohne Ländergrenzen nicht zum Erfolg. Gefragt sind globale Lösungen zur Bekämpfung der transnationalen Internetkriminalität: Ein erster Ansatz ist die Cybercrime Convention. Das Territorialitätsprinzip wird durch dieses Übereinkommen teilweise ausgehebelt; insoweit gilt statt der nationalstaatlichen Souveränität eine zwischenstaatliche Solidarität. Weltweit einheitliche Zuständigkeitsregelungen oder international anerkannte Institutionen (etwa ein International Court for Cybercrime nach Vorbild des Internationalen Strafgerichtshofs) könnten weitere Schritte auf diesem Weg sein.
1 Thomas Fischermann / Götz Hamann, «Die Zeit» vom 8.9.2011, S. 27.
2 Liane Wörner, ZIS 2012, 458 m.w.H.
3 Annina Baltisser, Datenbeschädigung und Malware im Schweizer Strafrecht, 2013, S. 41.
4 KOBIK, Jahresbericht 2013, S. 7.
5 Während die Computerkriminalität (computer crime) alle Straftaten meint, bei denen Informations- und Kommunikationstechniken als Tatmittel oder Tatobjekt eine Rolle spielen, stellt die Netzwerk- bzw. Internetkriminalität (cyber crime) einen auf Datennetz- bzw. Internetdelikte verengten Bereich der Computerkriminalität dar. Die Terminologie ist jedoch nicht einheitlich; vgl. Baltisser, a.a.O., S. 44 f. m.w.H.; Christian Spannbrucker, Convention on Cybercrime, 2004, S. 8 f.
6 Baltisser, a.a.O., S. 44 m.w.N.
7 Sandra Schweingruber, Jusletter vom 10.11.2014, Rz. 5.
8 Christian Schaller, Internationale Sicherheit und Völkerrecht im Cyberspace, 2014, S. 7.
9 Das schweizerische Strafrecht findet nur dann uneingeschränkt Anwendung, wenn die strafbare Handlung in der Schweiz begangen wurde (Art. 3 Abs. 1 StGB). Der Begehungsort wird durch das Ubiquitätsprinzip konkretisiert. Danach gelten Straftaten als im Inland verübt, wenn entweder der Ort der Tatausführung oder der Ort des Erfolgseintritts in der Schweiz liegt (Art. 8 Abs. 1 StGB).
10 Schaller, a.a.O., S. 8
11 Schaller, a.a.O., S. 8 m.w.N.
12 Das Übereinkommen (in den Amtssprachen Englisch und Französisch) wurde am 23.11.2001
in Budapest abgeschlossen und ist seit 1.7.2004 in Kraft.
13 Die Schweiz hat 2003 gemeinsam mit Deutschland und Österreich eine Version in deutscher Sprache mit dem Titel «Übereinkommen über die Computerkriminalität» erarbeitet, weicht aber aufgrund des mittlerweile gebräuchlichen Begriffs von der gemeinsamen Fassung ab und spricht vom «Übereinkommen über die Cyberkriminalität» (SR 0.311.43).
14 Derzeit haben 42 Staaten die Konvention ratifiziert, neben den meisten europäischen Ländern auch Australien, Dominikanische Republik, Japan, Mauritius, Panama und USA.
15 Botschaft Übereinkommen über Cyberkriminalität vom 18.6.2010, BBl 2010, S. 4697, 4698.
16 Dominik Brodowski, Cybersicherheit durch Cyber-Strafrecht?, in: HansJürgen Lange / Astrid Bötticher (Hrsg.), Cyber-Sicherheit, 2014, S. 249, 267.
17 Ausführlich dazu Schweingruber, a.a.O., Rz. 10 ff.
18 Siehe die Legaldefinition in Art. 18 Abs. 3 CCC.
19 Vgl. Council of Europe, Explanatory Report to the Convention on Cybercrime, 2001, Ziff. 178 f.
20 Spannbrucker, a.a.O., S. 169, 218.
21 Schweingruber, a.a.O., Rz. 24 ff.
22 Council of Europe, a.a.O., Ziff. 294.
23 Schweingruber, a.a.O., Rz. 16.
24 Schweingruber, Jusletter 10.11.2014, Rz. 20.
25 Liane Wörner, ZIS 2012, 458, 464 m.w.H.
26 Svetlana Paramonova, Internationales Strafrecht im Cyberspace, 2013, S. 266.
27 Schweingruber, a.a.O., Abstract
und Rz. 6.
