Urteil: Bundesgericht legalisiert Chatkontrolle durch Instagram und andere Plattformen

Bild: Chatkontrolle (KI-generiert)

Mit BGer 6B_219/2022 vom 15. Mai 2024 hat das schweizerische Bundesgericht die Verwertung von Beweismitteln aus der Chatkontrolle bei Instagram für zulässig erklärt. Angaben über ein mutmasslich verbotenes Video waren aus der privaten Massenüberwachung von Facebook bzw. Meta über die USA in die Schweiz gelangt und wurden in einem Strafverfahren verwendet.

Das Bundesgericht erklärt einerseits, die Chatkontrolle sei aufgrund der Nutzungsbedingungen und Datenschutzrichtlinien von Instagram hinreichend erkennbar gewesen. Der betroffene Nutzer habe seine Einwilligung in die Überwachung erteilt.

Das Bundesgericht erklärt andererseits, die Nutzung von Onlinediensten einer europäischen Anbieterin, die sich in amerikanischem Besitz befindet, sei «risikobehaftet» und man könne nicht darauf vertrauen, dass keine Daten in die USA gelangen können.

Ausgangslage: Chatkontrolle bei Instagram

Der Beschwerdeführer hatte bei Instagram von Meta (damals noch Facebook) eine Videodatei mit verbotenen Inhalten («Videodatei, die tatsächliche sexuelle Handlungen einer Erwachsenen mit einem Minderjährigen zum Inhalt hat») in einem Chat an zwei Personen verschickt.

Die Videodatei wurde von Instagram aufgrund der dortigen Chatkontrolle «von einem Algorithmus […] als potentiell illegal erfasst», was über die USA zu einer Meldung beim Bundesamt für Polizei (Fedpol) führte:

«Dies erfolgte, weil der durchgeführte automatische Abgleich der den versandten Dateien zugehörigen sogenannten Hashwerte […] mit Hashwerten von Dateien mit bekannterweise illegalen Inhalten eine Übereinstimmung des Werts der Videodatei mit dem Wert einer illegalen Datei ergab. Instagram leitete daher einen sogenannten CyberTipline Report an das [National Center for Missing and Exploited Children] NCMEC weiter, das den ungefähren Standort des Nutzers eruierte und anschliessend die Informationen wegen Verdachts der Verbreitung von Kinderpornografie der Schweizer Bundeskriminalpolizei zukommen liess. Letztere stellte den Beschwerdeführer als Anschlussinhaber der erhobenen Telefonnummer fest und informierte die zuständigen kantonalen Strafverfolgungsbehörden, die im Rahmen einer Hausdurchsuchung das fragliche Video auf dem Mobiltelefon des Beschwerdeführers sicherstellen konnten […].»

Wieso das verbotene Video auf dem Smartphone sichergestellt werden konnte, ergibt sich nicht aus dem Urteil. Viele beschuldigte Personen glauben fälschlicherweise, sie müssten der Polizei den Zugang zu ihrem Smartphone und damit ihrem gesamten digitalen Leben geben.

Das schweizerische Datenschutzrecht, noch gemäss dem alten Datenschutzgesetz (aDSG), war ohne Weiteres anwendbar.

Ferner war das Vorliegen von Personendaten unbestritten, auch in Bezug auf die erfasste IP-Adresse und die erfasste Telefonnummer (mit Hervorhebung):

«Die Angaben beziehen sich auf das Nutzerprofil des Beschwerdeführers auf Instagram und sein auf dieser Plattform gezeigtes Verhalten und weisen insofern einen Personenbezug auf. Die betroffene Person […] ist dabei hinreichend bestimmt, geht seine Identität doch aus [seinem] Instagram-Nutzerprofil […] unmittelbar hervor. Darüberhinaus wäre (und war) seine Person mit zumutbarem Aufwand auch mittels technischer Hilfsmittel, d.h. mittels Abfragen anhand der erhobenen IP-Adresse und Telefonnummer, bestimmbar […]. Aus diesem letztgenannten Grund qualifizieren überdies die IP-Adresse und Telefonnummer ihrerseits, nebst dem dokumentierten Nutzerverhalten (dem Versenden der Videodatei), als Personendaten im Gesetzessinne […].»

Einwilligung in die Chatkontrolle: Erkennbarkeit aufgrund der Rechtstexte von Instagram

Im Strafverfahren hatte zuletzt das Obergericht des Kantons Aargau argumentiert, der Beschwerdeführer habe in die Überwachung bei Instagram eingewilligt:

«Die Vorinstanz erachtet die private Erhebung der die Videodatei betreffenden Informationen aufgrund einer Einwilligung des Beschwerdeführers als rechtmässig im Sinne des aDSG sowie ZGB und deshalb sowohl die erhobenen Informationen wie auch die sich darauf stützenden Folgebeweise, d.h. die Verdachtsmeldung und die letztlich auf dem Mobiltelefon sichergestellte Videoaufnahme, als strafprozessual zu seinem Nachteil verwertbar […].»

Der Beschwerdeführer bestritt nicht eine freiwillige Einwilligung in die Nutzungsbedingungen und Datenschutzrichtlinien von Instagram. Der Beschwerdeführer behauptete auch nicht, die Nutzungsbedingungen und Datenschutzrichtlinien von Instagram seien «derart aussergewöhnlich bzw. geschäftsfremd, dass mit ihnen nicht zu rechnen sei.»

Hingegen kritisierte der Beschwerdeführer die fehlende Erkennbarkeit der Chatkontrolle (mit Hervorhebungen):

«Die Kritik des Beschwerdeführers beschlägt einzig den Schluss der Vorinstanz, die Nutzungsbedingungen und die Datenschutzrichtlinien enthielten detaillierte Angaben zum Umfang der Erhebung von Daten und zur Weitergabe derselben an Dritte, weshalb für den Beschwerdeführer die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung ohne Weiteres, und somit hinreichend, erkennbar gewesen sei […]. Zu diesem Schluss gelangt die Vorinstanz unter Verweis auf verschiedene, in den Nutzungsbedingungen und der Datenschutzrichtlinie von Instagram und der Datenrichtlinie von Facebook offengelegte Angaben, die sie wiedergibt.»

Und weiter:

«Im Wesentlichen hebt sie dabei hervor, dass Instagram eine Vielzahl von Informationen über den Nutzer und von ihm verwendete elektronische Geräte sammle, z.B. von ihm bereitgestellte Inhalte, genutzte Funktionen, durchgeführte Handlungen sowie eindeutige Identifikatoren, Geräte-ID etc., dass Instagram über Teams und Systeme zur Bekämpfung von Missbrauch und Verstössen gegen die Nutzungsbedingungen und Richtlinien sowie schädlichem und betrügerischem Verhalten verfüge, dass das Unternehmen zur Gewährleistung der Sicherheit auf der Plattform auf Informationen des Nutzers zugreife, sie aufbewahre und gegebenenfalls mit Dritten teile, dass Strafverfolgungsbehörden explizit als solche Dritte genannt würden, dass Verdachtsfälle von sexueller Ausbeutung von Kindern gemäss geltendem Recht dem NCMEC gemeldet würden und dieses die Angelegenheiten an Strafverfolgungsbehörden in der ganzen Welt weiterleite, und dass Instagram die ihm zur Verfügung stehenden Daten erhebe, verwende und teile, wie es zur Einhaltung der Facebook- sowie Instagram-Nutzungsbedingungen und seiner rechtlichen Pflichten erforderlich sei, die Datenbearbeitung gemäss der Einwilligung des Nutzers erfolge und diese jederzeit widerrufen werden könne […].»

Das Bundesgericht lässt die Kritik an der fehlenden Erkennbarkeit nicht gelten, unter anderem (mit Hervorhebungen):

«Laut den verbindlichen Feststellungen der Vorinstanz wies Instagram potentielle Nutzer ausdrücklich darauf hin, dass Verdachtsfälle von sexueller Ausbeutung von Kindern gemäss geltendem Recht dem NCMEC gemeldet würden. Es erscheint wenig lebensnah und ist auszuschliessen, dass Nutzer einer Internetplattform annehmen würden, sie könnten mit einer Willensäusserung, etwa dem Widerruf ihrer Einwilligung zur Datenbearbeitung, gesetzliche Pflichten des Plattformbetreibers übersteuern und diesen so veranlassen, Informationen entgegen einer ihm obliegenden Pflicht nicht weiterzuleiten, damit Gesetz zu brechen und sich allenfalls gar dem Risiko einer rechtlichen Verantwortlichkeit auszusetzen.»

Und auch:

«Der Umstand, dass [der Beschwerdeführer] die konkreten (technischen) Kontrollmassnahmen aus den Angaben von Instagram nicht ersehen konnte, namentlich das Abgleichen von Hashwerten, das entgegen seiner Ansicht keine ‹Real Time›-Durchforstung des gesamten Datenverkehrs darstellt, sondern sich auf die Abfrage abstrakter Kennwerte ohne Möglichkeit des Rückschlusses auf den Dateiinhalt beschränkt […], ändert hieran nichts. In Übereinstimmung mit der Vorinstanz ist die Einwilligung des Beschwerdeführers in die zur Diskussion stehende Datenbearbeitung als auf hinreichend zur Kenntnis gebrachten und für ihn genügend erkennbaren Angaben beruhend zu qualifizieren. Seine Kritik ist unbegründet. »

Daten-Export in die USA: Zulässigkeit durch amerikanischen Tech-Konzern im Hintergrund

Das Bundesgericht lässt auch die Kritik einer unzulässigen grenzüberschreitenden Datenbekanntgabe in die USA nicht gelten, in diesem Fall durch die direkt verantwortliche Facebook- bzw. Meta-Gesellschaft in Irland (mit Hervorhebungen):

«Bei der damaligen Facebook Inc. bzw. heutigen Meta Platforms Inc., welche das soziale Netzwerk Instagram bereitstellt, handelt es sich um einen weltbekannten US-amerikanischen Internetkonzern. Es darf als notorisch und daher auch dem Beschwerdeführer bekannt vorausgesetzt werden, dass Facebook Inc. bzw. Meta Platforms Inc. in den USA beheimatet ist und von dort aus ihrer Unternehmenstätigkeit nachgeht. Vor diesem Hintergrund darf ebenso angenommen werden, dass einem Nutzer des erkennbar von diesem Konzern betriebenen sozialen Netzwerks Instagram, wie es der Beschwerdeführer war, klar sein musste, Informationen betreffend seine via dieses Netzwerk geteilten Inhalte könnten in die USA gelangen, gerade etwa im Rahmen der in den Nutzungsbedingungen und Datenschutzrichtlinien offengelegten und erläuterten Sicherheitsmassnahmen, in welchen nicht zuletzt das in den USA domizilierte NCMEC explizit genannt ist […].»

Und auch:

«Der vom Beschwerdeführer erwähnte Umstand, dass in den bei Kontoeröffnung vorgelegenen Dokumenten eine Tochtergesellschaft des Facebook- bzw. Meta-Konzerns mit Sitz in Irland, die damalige Facebook Ireland Ltd. und heutige Meta Platforms Ireland Ltd., als Vertragspartnerin und Datenverantwortliche angegeben sei, ändert an diesem Wissen um die enge Verbindung des Mutterkonzerns zu den USA nichts. Wenn der Beschwerdeführer mit dem entsprechenden Wissen den Instagram-Dienst verwendet und Inhalte mittels desselben verschickt, hat er eine Bekanntgabe von damit einhergehenden Informationen in die USA sich selbst zuzuschreiben, und nicht einem Drittakteur, dem er Inhalte anheimgegeben hätte im berechtigten Vertrauen darauf, diese würden in der Schweiz / in Europa bleiben und jedenfalls nicht in die USA gelangen.»

Und schliesslich zu Art. 6 aDSG:

«Auf die von ihm angeführte Vorschrift von Art. 6 aDSG kann er sich unter diesen Umständen nicht berufen. Die Norm richtet sich an Akteure, die mit der Bearbeitung von Informationen anderer Personen befasst sind, und schützt nicht Personen vor ihrem eigenen, allenfalls risikobehafteten Umgang mit sie selbst betreffenden Daten […]. Dass die Vorinstanz eine Prüfung nach Art. 6 aDSG unterlässt, ist ihr bei dieser Sachlage nicht vorzuwerfen. Eine weitere Beurteilung unter dem Gesichtspunkt von Art. 6 aDSG und Behandlung der diesbezüglichen Vorbringen des Beschwerdeführers erübrigen sich. Die Beschwerde ist auch in diesem Punkt unbegründet.»

Wer den Onlinedienst einer europäischen Anbieterin nutzt, die zu einem amerikanischen Tech-Konzern gehört, darf – so das Bundesgericht – nicht darauf vertrauen, dass keine Daten in die USA gelangen können. Wer in Europa einen solchen «amerikanischen» Onlinedienst nutzt, muss sich vom Bundesgericht sogar einen «risikobehafteten Umgang mit […] Daten» vorwerfen lassen.

Die Tatsache, dass europäische Anbieter – in diesem Fall Facebook bzw. Meta – der europäischen Datenschutz-Grundverordnung (DSGVO) unterliegen, war für das Bundesgericht anscheinend kein Thema. Das Bundesgericht erwähnt die entsprechende Kritik …

«Die Vorinstanz beachte ausserdem nicht, dass die Übermittlung der Nutzerdaten über Irland in die USA unzulässig sei, weil die USA bzw. die dortige Empfängerin, die heutige Meta Platforms Inc., ehemals Facebook Inc., kein angemessenes Datenschutzniveau garantierten. Das habe ausdrücklich bereits der Gerichtshof der Europäischen Union in seinem Urteil C-311/18 vom 16. Juli 2020 festgestellt. Die Erhebung der die Videodatei betreffenden Informationen sei daher selbst bei gültiger Einwilligung rechtswidrig gewesen.»

… geht im Urteil aber – soweit ersichtlich – mit keinem Wort darauf ein.

Fazit: Ziel­orientiertes Urteil mit erheblichen Aus­wirkungen

Das Urteil bezieht sich auf das alte Datenschutzgesetz, das noch keine allgemeine Informationspflicht kannte. Das Urteil dürfte dennoch erhebliche Auswirkungen auf die Bearbeitung von Personendaten gemäss dem geltenden geltenden «neuen» Datenschutzgesetz und auf die private Massenüberwachung von schweizerischen Nutzern haben, unter anderem:

  • Das Bundesgericht setzt für die erforderliche Erkennbarkeit (heute: Art. 6 Abs. 3 DSG) tiefe Hürden, wenn die umfangreichen und für Laien schwer verständlichen Nutzungsbedingungen und sonstigen Rechtstexte von Instagram den Massstab darstellen.
  • Das Bundesgericht geht davon aus, dass bei Vertragspartnern in Europa mit einer bekannten engen Verbindung zu einer Muttergesellschaft in den USA klar sein muss, dass Daten in die USA gelangen können und sieht einen «risikobehafteten Umgang mit […] Daten» in diesem Zusammenhang.
  • Das Bundesgericht ermöglicht die anlasslose und verdachtsunabhängige Echtzeit-Massenüberwachung von Kommunikationsinhalten durch Onlinedienste mit (angeblicher) Einwilligung der Nutzer. Dabei verkennt das Bundesgericht die tatsächliche Natur der Echtzeit-Chatkontrolle, wenn es behauptet, es läge «keine ‹Real Time›-Durchforstung des gesamten Datenverkehrs» vor, sondern die Chatkontrolle sei «auf die Abfrage abstrakter Kennwerte ohne Möglichkeit des Rückschlusses auf den Dateiinhalt beschränkt».

Strafbehörden dürften in der Schweiz eine automatisierte Echtzeit-Überwachung der Chat-Inhalte aller Nutzer einer Plattform wie Instagram nicht selbst vornehmen, selbst wenn sie technisch dazu in der Lage wären. Es würde sich um eine unzulässige automatisierte Beweisausforschung («Fishing Expedition») handeln, da es keine strafprozessuale Grundlage gäbe und das Vorgehen auch nicht verhältnismässig wäre. Inwiefern diese Rechtslage durch eine (angebliche) Einwilligung gemäss DSG gegenüber Facebook bzw. Meta ausgehebelt werden können soll, ist nicht nachvollziehbar.

Das Bundesgericht bezieht sich in seinem Urteil auf Instagram bzw. Facebook und Meta, doch muss das Urteil genauso für andere Plattformen – nicht nur für amerikanische Plattformen und nicht nur für Messaging- und Social Media-Plattformen – gelten.

Mit dem Urteil könnten auch schweizerische Unternehmen wie insbesondere die staatsnahe Swisscom auf die Idee kommen, auf Wunsch der Politik eine freiwillige Chatkontrolle mit (angeblicher) Einwilligung der Nutzer einzuführen.

Das Urteil wirkt zielorientiert. Wenn das Bundesgericht der Kritik des Beschwerdeführers gefolgt wäre, hätte in der Schweiz keine Strafverfolgung mehr aufgrund von Meldungen durch das private National Center for Missing and Exploited Children (NCMEC) in den USA stattfinden können. Gleichzeitig legalisiert das Bundesgericht die Chatkontrolle mit (angeblicher) Einwilligung im Allgemeinen.

Die meisten Fälle aufgrund von Meldungen des NCMEC sind – strafprozessual gesehen – Bagatellfälle oder betreffen gar keine strafbaren Inhalte.

Im vorliegenden Fall ging es um eine einzige Videodatei und die Bestrafung lag mit einer bedingten Geldstrafe von 40 Tagessätzen an der unteren Grenze der Strafbarkeit. Wieso es unter diesen Umständen zu einer Landesverweisung kam, also kein Härtefall vorlag, ist vermutlich mit der besonders strengen Rechtsprechung im Kanton Aargau zu erklären.

Viele Meldungen des NCMEC betreffen von Anfang an gar keine strafbaren Inhalte. So erhielt das Bundesamt für Polizei im Jahr 2020 vom NCMEC 7’852 Meldungen, die aber nur zu 1’166 Rapporten an die Kantone führten.

(Via Anwaltskollege Konrad Jeker bei strafprozess.ch. Vielen Dank!)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.