BGE 147 IV 424
 
43. Auszug aus dem Urteil der I. öffentlich-rechtlichen Abteilung i.S. Oberstaatsanwaltschaft des Kantons Zürich gegen Obergericht des Kantons Zürich, Zwangsmass- nahmengericht (Beschwerde in Strafsachen)
 
1B_132/2020 / 1B_184/2020 vom 18. Juni 2020
 
Regeste
Art. 269, Art. 269ter, Art. 280 lit. b StPO; Software-basierter Keylogger als Überwachungsgerät.
Mittels Keyloggern können einzig Tastatureingaben aufgezeichnet und ausgeleitet werden. Ganzheitliche Kommunikationsinhalte, wie dies bei GovWare (Art. 269ter StPO) möglich ist, können hingegen nicht abgefangen und weitergeleitet werden. Zudem wird, anders als bei GovWare, auch kein Informatikprogramm in ein Datenverarbeitungssystem eingeschleust (E. 5.2).
 
Sachverhalt


BGE 147 IV 424 (425):

A. Die Staatsanwaltschaft II, Cybercrime, des Kantons Zürich führt eine Strafuntersuchung gegen noch unbekannte Täterschaft (A.) wegen qualifizierter Widerhandlung gegen das Betäubungsmittelgesetz sowie qualifizierter Geldwäscherei (Aktion "B."), begangen von September 2018 bis März 2019. Sie wirft der unbekannten Täterschaft vor, unter anderem über das Profil "C." auf den Marktplätzen "D." und "E." im Netzwerk F. sowie von März 2019 bis Oktober 2019 über die Profile "G." auf den Darknet-Marktplätzen "H." und "I." sowie "J." über "K." sowie seit September 2018 über die

BGE 147 IV 424 (426):

E-Mail-Adresse "..." grosse Mengen an Kokain, Amphetamin und Methamphetamin sowie MDMA, Ecstasy und Ketamin an in der Schweiz wohnhafte Abnehmer gegen Bitcoins verkauft zu haben bzw. weiterhin zu verkaufen und seit unbekannter Zeit zu einem international agierenden Betäubungsmittelhändler-Netzwerk namens "L." (vormals "M.") zu gehören bzw. bis mindestens Mitte Oktober 2019 gehört zu haben.
Aus diversen angeordneten und vom Zwangsmassnahmengericht des Obergerichts des Kantons Zürich genehmigten geheimen Überwachungsmassnahmen (insbesondere aus der visuellen Überwachung des Innenraums des Wohnmobils von A. sowie der Überwachung der E-Mail-Adresse "...") geht gemäss der Staatsanwaltschaft hervor, dass A. mit seinen Mittätern, Lieferanten und Abnehmern schriftlich - insbesondere per E-Mail - kommuniziere, wobei die Kommunikation verschlüsselt sei, weshalb gestützt auf die angeordnete und genehmigte Überwachung nur Randdaten, jedoch keine unverschlüsselten Inhaltsdaten erhältlich gemacht werden könnten. Aus den angeordneten Überwachungsmassnahmen, insbesondere aus der visuellen Überwachung sowie dem Einsatz der verdeckten Ermittlung gehe weiter hervor, dass A. das Betriebssystem "N." verwende, welches sich auf einem oder mehreren USB-Sticks befinde und welches darauf ausgerichtet sei, die Anonymität des jeweiligen Benutzers zu wahren, indem das Betriebssystem dafür sorge, dass nicht die Festplatte des jeweiligen Computers benutzt werde, sondern einzig der Arbeitsspeicher, welcher beim Herunterfahren des Systems jeweils automatisch gelöscht werde, womit verhindert werde, dass Spuren bzw. Daten auf dem jeweiligen Computer hinterlassen würden.
Um weitere Erkenntnisse über den Umfang des Drogenhandels von A. sowie dessen bisherige oder allfällig neue Mitarbeiter und Betäubungsmittellieferanten und die Beziehungen der diversen Personen untereinander und deren Rolle im Drogenhandel zu klären, ist es gemäss Staatsanwaltschaft notwendig, an die Daten und zu diesem Zweck an die durch A. verwendeten Passwörter zu gelangen. Dafür sei die Aufzeichnung seiner Tastatureingaben an seinem Laptop notwendig, was durch einen sog. Keylogger bewerkstelligt werden könne.
Mit Verfügung vom 6. Februar 2020 ordnete die Staatsanwaltschaft die Überwachung aller Tastatureingaben von A. bei Verwendung des

BGE 147 IV 424 (427):

sich auf einem oder mehreren seiner USB-Sticks befindlichen Betriebssystems "N." auf einem Laptop mittels Keylogger an. Gleichentags beantragte sie beim Zwangsmassnahmengericht die Genehmigung dieser Anordnung. Mit Verfügung vom 10. Februar 2020 verweigerte Letzteres die Bewilligung für die technische Überwachung mittels Keylogger. Dagegen gelangte die Oberstaatsanwaltschaft des Kantons Zürich am 12. März 2020 mit Beschwerde in Strafsachen an das Bundesgericht (1B_132/2020).
B. Am 24. März 2020 ersuchte die Staatsanwaltschaft im Rahmen der Aktion "B." das Zwangsmassnahmengericht um Verlängerung diverser technischer Überwachungen und der Überwachung des Post- und Fernmeldeverkehrs (Echtzeitüberwachung) sowie um Verlängerung der vom Zwangsmassnahmengericht mit Entscheid vom 10. Februar 2020 nicht genehmigten Überwachung mittels Keyloger. Das Zwangsmassnahmengericht genehmigte mit Verfügung vom 26. März 2020 die Verlängerung der akustischen Überwachung, der optischen Überwachung im Sitzbereich sowie der Standortidentifikation des Wohnmobils von A., hingegen verweigerte es die Genehmigung der optischen Überwachung mittels Keylogger. Dagegen erhob die Oberstaatsanwaltschaft mit Eingabe vom 9. April 2020 Beschwerde in Strafsachen an das Bundesgericht (1B_184/2020).
Das Bundesgericht heisst die Beschwerden gut.
(Zusammenfassung)
 
Aus den Erwägungen:
3. Vorliegend ist unbestritten, dass der für die Anordnung einer geheimen Überwachungsmassnahme dringende Tatverdacht einer Katalogtat vorliegt (im Sinne von Art. 269 Abs. 1 lit. a-b und Abs. 2 lit. a und f i.V.m. Art. 281 Abs. 4 StPO), nämlich von qualifizierter Widerhandlung gegen das Betäubungsmittelgesetz (Art. 19 Abs. 2 BetmG [SR 812.121]) und qualifizierter Geldwäscherei (Art. 305bis Ziff. 2 StGB). Der Tatverdacht kann sich grundsätzlich auch gegen noch unbekannte Täterschaft richten (vgl. BGE 137 IV 340 E. 6.2-6.5 S. 350 f.). Auch die Subsidiarität der Überwachungsmassnahme (Art. 269 Abs. 1 lit. c StPO) wird von der Beschwerdeführerin ausreichend und überzeugend dargetan. Sie hat nachvollziehbar ausgeführt, es kämen keine anderen Untersuchungsmassnahmen in Frage, um an die Passwörter zu gelangen. Die Installation einer leistungsstarken Kamera oder der Einsatz eines konventionellen

BGE 147 IV 424 (428):

mechanischen Keyloggers seien keine erfolgsversprechenden Alternativen bzw. kämen aus taktischen Gründen nicht in Betracht. Eine Videoüberwachung setze ideale Licht- und Sichtverhältnisse - wie sie im nicht öffentlichen bzw. im nicht allgemein zugänglichen Wohnmobil nicht vorhanden seien - und eine leistungsstarke Kamera voraus und wäre überdies, wie auch ein konventioneller Keylogger, von Auge wahrnehmbar. Damit sind die Voraussetzungen von Art. 269 StPO grundsätzlich erfüllt. Umstritten ist vorliegend hingegen, ob der von der Beschwerdeführerin angeordnete software-basierte Keylogger ein Überwachungsgerät im Sinne von Art. 280 lit. b StPO darstellt, was die Vorinstanz verneinte.
 
Erwägung 4
4.1 Die Vorinstanz begründete ihren Nichtbewilligungsentscheid damit, dass sich die von der Staatsanwaltschaft angeordnete Massnahme des Keyloggers nicht in Anwendung von Art. 280 f. StPO rechtfertigen bzw. darunter subsumieren lasse. Ein derartiger Eingriff in ein Datenverarbeitungssystem werde durch die Art. 280 f. StPO nicht gerechtfertigt. Stattdessen sei mit Art. 269ter StPO hierfür eine gesetzliche Grundlage geschaffen worden, wobei aber offengelassen werden könne, ob die vorliegend angeordnete Massnahme tatsächlich unter diesen Artikel subsumiert werden könne. Denn es sei fraglich, ob die Installation der Software dazu dienen solle, den Inhalt von Kommunikation und die Randdaten des Fernmeldeverkehrs abzufangen und auszuleiten, zumal die Staatsanwaltschaft dazu keine Ausführungen mache. In der Literatur würden Keylogger zwar unter Art. 280 lit. b StPO subsumiert. Diese würden aber als Geräte bezeichnet. Vorliegend handle es sich indessen um die Installation einer Software und nicht die eines Geräts. Sodann äussere sich die Literatur auch nicht zur Rechtfertigungsproblematik des Eindringens in ein Datenverarbeitungssystem (Art. 143bis StGB) durch einen Keylogger. Aus diesen Gründen sei die Genehmigung für die technische Überwachung mittels software-basiertem Keylogger nicht zu erteilen.
4.2 Die Beschwerdeführerin rügt, die Vorinstanz habe sich in ihrer Nichtgenehmigung der Überwachung nicht mit dem Argument auseinandergesetzt, wonach nicht die Beschaffenheit, sondern die Art und Weise der Einsetzung eines Überwachungsinstruments für dessen Qualifikation als Gerät im Sinne von Art. 280 StPO ausschlaggebend sei. Die Wirkweise der von ihr angeordneten Installation des software-basierten Keyloggers sei absolut identisch mit derjenigen

BGE 147 IV 424 (429):

eines mechanischen Keyloggers, weshalb Ersterer ebenfalls unter Art. 280 lit. b StPO zu subsumieren sei. Im Übrigen beschränke sich die Funktion des Keyloggers analog der mechanischen Variante darauf, sämtliche Tastatureingaben aufzuzeichnen und auszuleiten, wobei das Update analog der mechanischen Variante vor Ort auf den fraglichen USB-Stick angebracht werden müsse und seine Wirkung direkt im Betriebssystem "N." entfalte. Schliesslich erfülle die Installation des Updates auf dem USB-Stick entgegen der Auffassung der Vorinstanz auch den Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem nach Art. 143bis StGB nicht. Beim USB-Stick handle es sich weder um ein Datenverarbeitungssystem noch hätten für die Installation des Updates Zugangsschranken wie Verschlüsselungen oder Passwörter ausgeschaltet oder überwunden werden müssen. Da sich die Funktion des Keyloggers auf das Aufzeichnen und Ausleiten aller Tastatureingaben beschränke und folglich das Abfangen und Ausleiten von Kommunikationsinhalten oder Randdaten des Fernmeldeverkehrs gar nicht möglich sei, sei auch Art. 269ter StPO nicht einschlägig und die Genehmigung hätte gestützt auf Art. 280 lit. b StPO erteilt werden müssen.
 
Erwägung 5
5.1 Beim Keylogger handelt es sich um eine Soft- oder Hardware, die in der Lage ist, die Tastatureingaben eines Users auf dem Rechner zu protokollieren, um so insbesondere die Eingabe von Passwörtern aufzeichnen bzw. ermitteln zu können. In der Literatur wird praktisch einhellig die Auffassung vertreten, dass Keylogger unter Art. 280 lit. b StPO zu subsumieren sind (vgl. EUGSTER/KATZENSTEIN, in: Basler Kommentar, Schweizerische Strafprozessordnung, Jugendstrafprozessordnung, 2. Aufl. 2014, N. 28 zu Art. 280 StPO; RIEDO/FIOLKA/NIGGLI, Strafprozessrecht sowie Rechtshilfe in Strafsachen, 2011, N. 2067; SCHMID/JOSITSCH, Schweizerische Strafprozessordnung [StPO] [nachfolgend: Praxiskommentar], 3. Aufl. 2018, N. 9 zu Art. 280 StPO, wohl auch THOMAS HANSJAKOB, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und BÜPF, 2018, N. 413). HANSJAKOB hielt 2014 noch fest, es gehe seiner Ansicht nach zu weit, wenn man wie SCHMID (vgl. SCHMID/JOSITSCH, Praxiskommentar, a.a.O., N. 9 zu Art. 280 StPO) auch Keylogger unter Art. 280 lit. b StPO subsumiere, da lit. b das Aufzeichnen von Vorgängen, die Gegenstand einer Beobachtung sein können, meine (vgl. HANSJAKOB, Schweizerische Strafprozessordnung, 2. Aufl. 2014, N. 15 zu Art. 280 StPO). 2017 hielt er

BGE 147 IV 424 (430):

indessen fest, dass eine Bewilligung zum Einsatz technischer Überwachungsgeräte nach Art. 280 f. StPO benötige, wer GovWare für Keylogging nutzen wolle (vgl. HANSJAKOB, Überwachungsrecht der Schweiz, Kommentar zu Art. 269 ff. StPO und BÜPF, 2018, N. 413).
In der erwähnten Literatur wird dabei nicht zwischen mechanischen bzw. physischen und software-basierten Keyloggern unterschieden. Einzig SCHMID spricht teilweise von "Geräten zur Messung von Funkwellen von Computern ausserhalb von Wohnungen, sogenanntes W-Land-Scannen oder Keylogger", die unter Art. 280 lit. b StPO fallen würden (vgl. SCHMID/JOSITSCH, Praxiskommentar, a.a.O., N. 9 zu Art. 280 StPO). Demgegenüber spricht er im Handbuch des schweizerischen Strafprozessrechts nur von der "Messung von Funkwellen von Computern ausserhalb von Wohnungen, sogenanntes W-Land-Scannen oder Keylogger" und verzichtet auf den Begriff des Geräts (vgl. SCHMID/JOSITSCH, Handbuch des schweizerischen Strafprozessrechts, 3. Aufl. 2017, N. 1166). Die Behauptung der Vorinstanz, in der Literatur würden nur Geräte unter Art. 280 lit. b StPO subsumiert und es werde nicht von einer zu installierenden Software gesprochen, trifft folglich nicht zu.
Eine wie von der Vorinstanz vorgenommene Unterscheidung zwischen einem mechanischen, d.h. einem eigentlichen "Gerät" und einem software-basierten Keylogger ergibt denn auch keinen Sinn. Zwar spricht Art. 280 lit. b StPO tatsächlich von Überwachungsgeräten, worunter gemäss dem üblichen Sprachgebrauch grundsätzlich ein physischer bzw. mechanischer Gegenstand verstanden wird. Allerdings führt die Beschwerdeführerin zu Recht aus, nicht die Beschaffenheit des Keyloggers sei vorliegend ausschlaggebend für dessen Qualifikation als Gerät im Sinne von Art. 280 StPO, sondern die Art und Weise der Einsetzung. Soweit die Wirkweise des software-basierten Keyloggers, wie von der Beschwerdeführerin vorgebracht, absolut identisch ist und nicht über jene eines mechanischen Keyloggers hinausgeht, kann es nicht darauf ankommen, ob ein (kleiner) physischer Gegenstand (inkl. Softwarekomponente), der zwischen der Tastatur und dem Rechner zu montieren ist, sämtliche Tastatureingaben aufzeichnet oder ob die Eingaben gestützt auf eine Software gelesen werden, die sich vorliegend via Upload auf dem USB-Stick zwischen das Betriebssystem und die Tastatur schaltet. Sinn und Zweck der beiden Keyloggers ist derselbe und eine künstliche Unterscheidung einzig aufgrund der unterschiedlichen Beschaffenheit bzw. Installation rechtfertigt sich nicht. Der

BGE 147 IV 424 (431):

Auffassung der Vorinstanz, wonach der software-basierte Keylogger nicht unter Art. 280 lit. b StPO subsumiert werden könne, kann daher nicht gefolgt werden; sie verletzt Bundesrecht.
5.2 Soweit die Vorinstanz weiter ausführte, Art. 280 StPO rechtfertige einen derartigen Eingriff in ein Datenverarbeitungssystem, wie er durch die Installation des software-basierten Keyloggers stattfinde, nicht, denn für diesen Zweck sei Art. 269ter StPO geschaffen worden, kann ihr ebenfalls nicht gefolgt werden. Wie erwähnt handelt es sich sowohl bei Art. 280 StPO als auch bei Art. 269ter StPO um geheime Überwachungsmassnahmen (vgl. nicht publ. E. 2). Indessen ermöglicht eine unter Art. 269ter StPO zu subsumierende GovWare den Zugriff auf den kompletten Gesprächsinhalt des laufenden Telekommunikationsvorgangs auf dem überwachten Gerät (vgl. nicht publ. E. 2.2). Die Wirkweise des Keyloggers beschränkt sich demgegenüber, wie von der Beschwerdeführerin berechtigterweise ausgeführt, auf das Aufzeichnen und Ausleiten der Tastatureingaben der überwachten Person. Es ist mittels Keylogger nicht möglich, ganzheitliche Kommunikationsinhalte oder Randdaten des Fernmeldeverkehrs abzufangen und auszuleiten, sondern es kann einzig festgestellt werden, was eine Person in ihre Tastatur eingibt. Damit wird aber keine Kommunikation im Wortsinn, d.h. eine Verständigung untereinander bzw. ein zwischenmenschlicher Austausch protokolliert. Aus diesem Grund kann ein Keylogger auch nicht unter Art. 269ter StPO subsumiert werden.
Darüber hinaus wird mit dem auf einen USB-Stick hochgeladenen software-basierten Keylogger auch nicht ein Informatikprogramm in ein Datenverarbeitungssystem eingeschleust. Wie die Beschwerdeführerin zu Recht darauf hingewiesen hat, handelt es sich nämlich bei USB-Sticks nicht um Verarbeitungssysteme (vgl. PHILIPPE WEISSENBERGER, in: Basler Kommentar, Strafrecht, Bd. II, 4. Aufl. 2019, N. 10 zu Art. 143bis StGB), weshalb Art. 269ter StPO auch insofern nicht zur Anwendung gelangen kann. Die diesbezüglichen Ausführungen der Vorinstanz zu Art. 143bis StGB sind folglich unbehelflich.
Im Übrigen wäre jedoch die Überwachung mittels Keylogger selbst dann zu genehmigen, wenn davon auszugehen wäre, dass tatsächlich Art. 269ter StPO vorliegend die zutreffende rechtliche Grundlage bilden würde. Denn die Voraussetzungen zur Anordnung einer Überwachung mit technischen Überwachungsgeräten gemäss

BGE 147 IV 424 (432):

Art. 280 StPO und der Anordnung eines Einsatzes von besonderen Informatikprogrammen zur Überwachung des Fernmeldeverkehrs gemäss Art. 269ter StPO sind weitgehend identisch. Einzig hinsichtlich der verlangten Katalogtat verweisen die beiden geheimen Überwachungsmassnahmen auf unterschiedliche Artikel. Während bei Art. 280 StPO eine Katalogtat nach Art. 269 Abs. 2 StPO ausreicht, ist für die Anordnung einer Massnahme nach Art. 269ter StPO eine Katalogtat nach dem engeren Katalog von Art. 286 Abs. 2 StPO erforderlich (vgl. Art. 269ter Abs. 1 lit. b StPO). Vorliegend ist diese Unterscheidung indessen nicht von Bedeutung, da dem Beschwerdeführer mit Art. 19 Abs. 2 BetmG und Art. 305bis Ziff. 2 StGB Delikte vorgeworfen werden, die in beiden Katalogen aufgeführt sind. Schliesslich verlangt Art. 269ter Abs. 1 lit. c StPO eine "verschärfte Subsidiarität". Während bei Art. 280 i.V.m. Art. 281 und Art. 269 Abs. 1 lit. c StPO ausreicht, dass die bisherigen Untersuchungshandlungen erfolglos geblieben sind, ist nach Art. 269ter Abs. 1 lit. c StPO erforderlich, dass bisherigen Massnahmen zur Überwachung des Fernmeldeverkehrs nach Art. 269 StPO der Erfolg versagt war. Wie den Akten entnommen werden kann, hat die Staatsanwaltschaft vorliegend Echtzeitüberwachung angeordnet, welche bisher erfolglos geblieben ist, weshalb auch diese Voraussetzung erfüllt wäre.
5.4 Die Beschwerdeführerin hat schliesslich in ihrer Beschwerde vom 9. April 2020 nachvollziehbar dargelegt, weshalb die technische Überwachung mittels Keylogger einstweilen bis zum 1. Juli 2020 zu verlängern sei. Ihre Ausführungen, wonach sich der Tatverdacht gegen A. während der Überwachungsperiode weiter erhärtet habe, sind überzeugend. Sie begründet sodann klar, dass Passwörter erfahrungsgemäss regelmässig geändert würden und für das Entsperren von passwortgeschützten Geräten, Daten oder Applikationen stets das aktuelle Passwort benötigt werde. Dieses Passwort werde man nur anhand von Eingaben, die A. zeitlich nahe an seiner Verhaftung getätigt haben werde, erhältlich machen können. Da der Zeitpunkt der Verhaftung gegenwärtig noch offen ist, ist die technische Überwachung mittels Keylogger einstweilen, wie von der Beschwerdeführerin beantragt, bis zum 1. Juli 2020 zu verlängern.