Leitfaden für Behördenanfragen

Um die gesetzlichen (z.B. Datenschutz) und vertraglichen (z.B. Geheimhaltungspflicht) Ansprüche der Kunden zu wahren, geben Hosting-Anbieter Kundeninformationen oder Kundeninhalte grundsätzlich nur auf schriftliche Verfügung heraus. Bei informellen Anfragen (z.B. einfache polizeiliche Anfragen, mündlich/per E-Mail) verlangen sie eine schriftliche und unterzeichnete Verfügung der zuständigen Behörde. Als «Verfügung» gilt jede Anordnung einer Behörde im Einzelfall, die sich auf öffentliches Recht des Bundes, des Kantons oder der Gemeinde stützt und z.B. Rechte oder Pflichten begründet, ändert oder aufhebt (z.B. Editionsverfügung der Staatsanwaltschaft, Entscheid eines Schweizer Gerichts). Dabei kommt es auf den verfügenden Inhalt des Schreibens an, nicht auf dessen Bezeichnung. Bei einfachen polizeilichen bzw. mündlichen Anfragen zur Herausgabe von Kundeninformationen oder Kundeninhalten, verlangt der Anbieter eine entsprechende Verfügung der Staatsanwaltschaft. Dem Anbieter dürfen die Kosten einer Verfügung nicht auferlegt werden. Im Rechtsmittelweg können hingegen Kosten anfallen.

In der Anordnung ersichtlich sein müssen die anfragende Behörde und die rechtliche Grundlage, auf welche sich die Behörde stützt. Als «Behörde» gilt jede in der Schweiz ansässige Institution, die eine ihr übertragene öffentlich-rechtliche Aufgabe des Bundes, der Kantone oder der Gemeinden erfüllt und mit entsprechender Verfügungskompetenz ausgestattet ist (z.B. Staatsanwaltschaften, Gerichte, Zollverwaltung, Steuerverwaltungen etc.). Kompetenzen zu Behördenanfragen können sich aus einer Vielzahl von Erlassen ergeben. Es ist grundsätzlich nicht Aufgabe des Hosting-Anbieters, die Verfügungskompetenz der Behörde zu überprüfen.

Je nach gesetzlicher Geheimnispflicht gelten einschränkende Regeln für die zuständigen Behörden, z.B. im Bereich des Fernmeldegeheimnisses oder bei Anfragen aus dem Ausland: Sofern die Anfrage Informationen betrifft, die unter das Fernmeldegeheimnis (Art. 43 FMG i.V.m. Art. 321ter StGB) fallen, muss die Anfrage über den Dienst Überwachung Post- und Fernmeldeverkehr (Dienst ÜPF) erfolgen (Art. 26 Abs. 2 VÜPF). Hat der Anbieter Zweifel darüber, ob die Anfrage das Fernmeldegeheimnis betrifft, gibt der Dienst ÜPF gerne Auskunft.

Um sich nicht selber einem strafrechtlichen Risiko wegen verbotenen Nachrichtendienstes (Art. 271 StGB) auszusetzen, leistet der Hosting-Anbieter direkten Anfragen aus dem Ausland grundsätzlich keine Folge und verweist die anfragende Stelle auf den internationalen Amts- bzw. Rechtshilfeweg. Die ausländische Behörde hat die Hilfe einer Schweizer Behörde in Anspruch zu nehmen. Letztere kann gegenüber dem Schweizer Anbieter eine schriftliche Verfügung erlassen. In Ausnahmefällen können ausländische Behörden Anfragen direkt an Schweizer Hosting-Anbieter richten (gestützt auf Art. 32 lit. b des Übereinkommens über die Cyberkriminalität). Die direkte Herausgabe von Bestandes- und Randdaten ins Ausland ist allerdings rechtlich nicht durchsetzbar ausserhalb des internationalen Amts- bzw. Rechtshilfewegs. Eine freiwillige direkte Herausgabe ist nur zulässig, sofern der Hosting-Anbieter dazu aufgrund einer vertraglichen Ermächtigung durch den Kunden befugt ist.

Behördliche Anfragen müssen die vom Hosting-Anbieter verlangten Massnahmen klar beschreiben und müssen verhältnismässig, d.h. konkret eingegrenzt sein (z.B. Auskunft hinsichtlich konkreter Fragen, Herausgabe und Offenlegung von Informationen oder Daten hinsichtlich konkret bestimmter Halterdaten oder spezifizierten Inhalten sowie bezogen auf einen bestimmten Kunden, Domainnamen, klar abgegrenzte Inhalte, Zeitabschnitte etc.). Es ist nicht Aufgabe der Anbieter, die von einer Anfrage betroffenen Daten zu selektionieren. Die Anfrage muss so präzise formuliert sein, dass der Anbieter die betroffenen Informationen zweifelsfrei und ohne eigene Selektion aussondern kann. Anbieter verlangen bei missverständlichen Formulierungen eine Präzisierung durch die anfragende Behörde. Zur Vermeidung von Missverständnissen und Effizienzsteigerung auf beiden Seiten, können sich Behörden und Anbieter zur Klärung von Unklarheiten einer schriftlichen Anfrage/Verfügung auch mündlich (z.B. telefonisch) verständigen. Es ist jedoch nicht Aufgabe der Anbieter, unklare Anfragen selber zu interpretieren. Andernfalls laufen Hosting-Anbieter Gefahr, gegenüber ihren Kunden oder betroffenen Dritten schadenersatzpflichtig zu werden.

Hosting-Anbieter sind wie Registrare, Privacy Dienstanbieter und andere Internet Service Provider lediglich technische Dienstleister ihrer Kunden. Für Inhalte ihrer Kunden (z.B. Webseiten, Domainnamen-Registrierungen) sind sie weder zivil- noch strafrechtlich verantwortlich, sofern sie sich nicht aktiv an den beanstandeten Handlungen ihrer Kunden beteiligen. Halterdaten von Domainnamen und Betreiberdaten von Webseiten sind teils öffentlich einsehbar (z.B. Whois, Impressum). Die Hosting-Anbieter informieren anfragende Behörden über ihre Rolle als Dienstleister und weisen sie soweit sinnvoll auf öffentlich zugängliche Informationsquellen zu den Halterdaten ihrer Kunden hin. 

Falls Hosting-Anbieter Inhalte oder Daten liefern müssen, vereinbaren sie mit der anfragenden Behörde bzw. dem anfragenden Gericht die technischen Modalitäten für eine den Umständen angemessene und geeignete, d.h. sichere Datenübertragung. Die Anbieter berücksichtigen dabei den aktuellen Stand der Technik, die Sensitivität und den Umfang der Daten. Informationen, die aus anderen öffentlichen Quellen frei einsehbar sind (z.B. Halterdaten aus Whois, Impressum) können Behördenvertretern per E-Mail zugestellt werden, sofern die schriftliche Anfrage den Anforderungen dieses Leitfadens entspricht. Nicht öffentlich einsehbare Kundeninhalte sollen verschlüsselt und über einen zugriffsgeschützten Zugang zur Verfügung gestellt werden.

Für die Erteilung von Auskünften und die Überwachung im Fernmeldebereich gelten standardisierte Verfahren nach BÜPF und die speziellen Anweisungen des Dienstes ÜPF.

Falls die anfragende Behörde ein Mitteilungsverbot verhängt, informiert der Hosting-Anbieter den Kunden weder über die Behördenanfrage noch über die ergriffenen Massnahmen (Verbot des tipping off). Jede Änderung der Kundenbeziehung ist zu vermeiden, die auf die behördliche Massnahme schliessen liesse. Es ist Sache der anfragenden Behörde, ein entsprechendes Mitteilungsverbot schriftlich zu erlassen. Trotz Mitteilungsverbot ist es möglich, dass der betroffene Kunde Zugriffe/Änderungen an seinem Profil bemerkt und von sich aus auf entsprechende Massnahmen schliessen kann.

Mangels anderweitiger Anordnungen der involvierten Behörden bleiben die vertraglichen Regelungen zwischen dem Hosting-Anbieter und dem Kunden unberührt. Aufträge von Kunden sind weiterhin auszuführen. Vermutet der Hosting-Anbieter widerrechtliche Aktivitäten oder Inhalte des Kunden, kann er die eigenen Leistungen in eigenem Ermessen (vorübergehend) einstellen oder Inhalte von Kunden sperren, soweit er dazu gemäss den eigenen vertraglichen Regelungen (z.B. Allgemeine Geschäftsbedingungen, «AGB») ermächtigt ist. Allfällige Anordnungen seitens der Behörden zu Verfügungsbeschränkungen (z.B. Sperren von Unterseiten, Zugriffssperren für Kundenkonti) müssen den Grundsätzen dieses Leitfadens folgen. Im Falle eines Mitteilungsverbotes spricht der Anbieter sich mit der anordnenden Behörde vorgängig ab, falls er die Kundenbeziehung auflösen möchte.

Die Kostentragung richtet sich nach den jeweiligen Rechtsgrundlagen der Behördenanfrage. Für aufwendige Massnahmen spricht der Hosting-Anbieter die Kostenregelung proaktiv und möglichst vorgängig mit der Behörde ab. Der Anbieter dokumentiert die zu erwartenden oder bereits entstandenen Kosten. Nicht in jedem Fall kann der Anbieter die Kosten in Rechnung stellen.