Decision of the Swiss Federal Court - Admissibility of Foreign-Collected Cybercrime Digital Evidence in Switzerland

Federal Supreme Court, Criminal Division I, judgment of November 6, 2024, in the matter of A. v. Public Prosecutor's Office of the Canton of Zug and B.B. – 6B_1353/2023

Art. 141 and 269 ff. StPO; Art. 32 lit. b of the Convention on Cybercrime (Cybercrime Convention): Admissibility of data collected abroad; Procedure for collecting peripheral data at home and abroad; Distinction between inventory data and peripheral data; Classification of IP logs.

The principle of in dubio pro reo means that it is up to the state to prove the guilt of the accused and, therefore, that evidence has been collected lawfully. Swiss law enforcement authorities must therefore also consider the legality of evidence collected abroad. When assessing the admissibility of evidence, it cannot be ignored whether the action taken by the authorities of the foreign state violates the (foreign) law applicable to the collection of evidence. A violation abroad constitutes a basis for a domestic prohibition on the use of evidence. The criminal prosecution authorities may request a written report from the competent foreign authority in order to clarify the legality of evidence gathered abroad. In principle, such information may be relied upon unless there are specific indications that cast doubt on its accuracy. In cases of doubt, the Swiss authorities must examine the legality of the foreign measure themselves. If there are justified doubts about the legality of the evidence gathering abroad, the (in)admissibility under Swiss law is not an issue if a foreign norm that corresponds to a Swiss provision has been violated. In such cases, it can be assumed that the violation of the law is equally serious in both legal systems and that the purpose of protection is defined in an equivalent manner. In the present case, analysis of Austrian law raised considerable doubts as to the legality of the evidence gathered by Austrian law enforcement authorities in the US (collection of access and traffic data without judicial authorization outside the scope of mutual legal assistance) and as to the accuracy of the official report obtained. The BÜPF distinguishes between information about inventory data that does not require approval and peripheral data that does require approval. If, in order to evaluate a suspicious IP address on the basis of the connection details obtained, it is first necessary to determine how often and at what times which persons or IP addresses were in contact with other IP addresses, this constitutes a collection or evaluation of peripheral data that requires approval. If no judicial authorization has been obtained, the findings obtained from this metadata may not be used (Art. 277 para. 2 StPO). This is not altered by the fact that, based on Art. 32 lit. b of the Cybercrime Convention, voluntary cross-border data access is generally permissible. Such access to peripheral data nevertheless constitutes a coercive measure under domestic law, which must comply with domestic requirements, i.e., in this case, Art. 273 of the Criminal Procedure Code. The protection of fundamental rights provided for domestically by means of a court order for coercive measures must also apply if the evidence is taken abroad. Because the (peripheral) data requested by the Austrian authorities in the USA must be approved by a judge under Swiss law and it can be assumed that Austrian law also regulates this issue in principle in an equivalent manner, but no judicial approval was obtained in the present case, Swiss law applicable to the question of admissibility results in the absolute inadmissibility of the data collected by the Austrian law enforcement authorities in the USA (Art. 277 para. 2 in conjunction with Art. 141 para. 1 StPO).

The collection of log files or IP history with connection details from an internal telecommunications network at a Swiss university also constitutes peripheral data that requires approval and cannot be used in the absence of approval by the coercive measures court. (Summary by the author of the commentary) .

*******

Bundesgericht, I. strafrechtliche Abteilung, Urteil vom 6.11.2024 i.S. A. gegen Staatsanwaltschaft des Kantons Zug und B.B. – 6B_1353/2023

Art. 141 und 269 ff. StPO; Art. 32 lit. b des Übereinkommens über die Cyberkriminalität (Cybercrime Convention): Verwertbarkeit von im Ausland erhobenen Daten; Vorgehen bei Erhebung von Randdaten im In- und Ausland; Abgrenzung Bestandes- und Randdaten; Qualifikation von IP-Logs.

Der Grundsatz in dubio pro reo bedeutet, dass es Sache des Staates ist, die Schuld des Angeklagten zu beweisen, und damit auch, dass Beweise rechtmässig erhoben worden sind. Die schweizerischen Strafverfolgungsbehörden haben sich daher auch mit der Rechtmässigkeit im Ausland vorgenommener Beweiserhebungen zu befassen. Bei der Beurteilung der Verwertbarkeit von Beweisen kann nicht unbeachtet bleiben, ob die von den Behörden des ausländischen Staates durchgeführte Handlung gegen das (für die Beweiserhebung zur Anwendung gelangende ausländische) Recht verstösst. Ein Verstoss im Ausland bildet einen Anknüpfungspunkt für ein inländisches Beweisverwertungsverbot. Die Strafverfolgungsbehörden können zur Klärung der Rechtmässigkeit einer im Ausland durchgeführten Beweiserhebung bei der zuständigen ausländischen Stelle einen schriftlichen Bericht einholen. Grundsätzlich darf auf eine solche Auskunft abgestellt werden, sofern keine konkreten Hinweise vorliegen, die deren Richtigkeit infrage stellen. In Zweifelsfällen müssen die schweizerischen Behörden die Rechtmässigkeit der ausländischen Massnahme selbst näher prüfen. Ergeben sich berechtigte Zweifel an der Rechtmässigkeit der Beweiserhebung im Ausland, so stellt sich für die (Un-)Verwertbarkeit nach schweizerischem Recht dann kein Problem, wenn gegen eine ausländische Norm verstossen wurde, die mit einer entsprechenden schweizerischen Vorschrift übereinstimmt. In solchen Fällen kann davon ausgegangen werden, dass der Rechtsverstoss in beiden Rechtsordnungen gleich schwer wiegt und der Schutzzweck äquivalent definiert wird. Im vorliegenden Fall ergaben sich aus der Analyse des österreichischen Rechts erhebliche Zweifel an der Rechtmässigkeit der durch österreichische Strafverfolgungsbehörden in den USA erhobenen Beweise (Erhebung von Zugangs- und Verkehrsdaten ohne richterliche Genehmigung ausserhalb der Rechtshilfe) sowie an der Richtigkeit des eingeholten Amtsberichts. Das BÜPF unterscheidet zwischen genehmigungsfreien Auskünften über Bestandesdaten und bewilligungspflichtigen Randdaten. Muss zur Evaluation einer verdächtigen IP-Adresse anhand der erhaltenen Verbindungsdetails zunächst ermittelt werden, wie oft und zu welchen Zeiten welche Personen bzw. IP-Adressen mit anderen IP-Adressen in Kontakt standen, handelt es sich um eine bewilligungspflichtige Randdatenerhebung bzw. -auswertung. Liegt keine richterliche Genehmigung vor, dürfen die aus diesen Randdaten gewonnenen Erkenntnisse nicht verwertet werden (Art. 277 Abs. 2 StPO). Daran vermag auch der Umstand nichts zu ändern, dass gestützt auf Art. 32 lit. b der Cybercrime-Convention ein freiwilliger grenzüberschreitender Datenzugriff grundsätzlich zulässig ist. Ein solcher Zugriff auf Randdaten stellt innerstaatlich trotzdem eine Zwangsmassnahme dar, die den innerstaatlichen Vorgaben, d.h. vorliegend Art. 273 StPO, zu genügen hat. Der inländisch vorgesehene Grundrechtsschutz durch eine zwangsmassnahmengerichtliche Genehmigung muss auch dann gelten, wenn die Beweisabnahme im Ausland erfolgt. Weil die von den österreichischen Behörden in den USA angefragten (Rand-)Daten nach schweizerischem Recht richterlich bewilligt werden müssen und davon auszugehen ist, dass auch das österreichische Recht diese Frage im Grundsatz äquivalent regelt, vorliegend jedoch keine richterliche Bewilligung eingeholt wurde, ergibt sich aus dem für die Frage der Verwertbarkeit anwendbaren schweizerischen Recht die absolute Unverwertbarkeit der von den österreichischen Strafverfolgungsbehörden in den USA erhobenen Daten (Art. 277 Abs. 2 i.V.m. Art. 141 Abs. 1 StPO).

Auch bei der Erhebung von Log-Dateien bzw. einer IP-History mit Verbindungsdetails aus einem internen Fernmeldenetz bei einer schweizerischen Hochschule handelt es sich um bewilligungspflichtige Randdaten, die mangels Genehmigung durch das Zwangsmassnahmengericht nicht verwertbar sind. (Regeste des Anmerkungsverfassers).

*******

Art. 141 et 269 ss CPP ; art. 32 let. b de la convention sur la cybercriminalité : possibilité d’exploiter des données collectées à l’étranger ; procédure applicable à la collecte de données secondaires en Suisse et à l’étranger ; distinction entre les renseignements sur les services de télécommunication et les données secondaires ; qualification des journalisations IP.

Le principe In dubio pro reo emporte qu’il appartient à l’État de prouver la culpabilité du prévenu et, par conséquent, d’établir que les preuves ont été administrées de manière licite. Aussi les autorités suisses de poursuite pénale doivent-elles également se pencher sur la conformité au droit des preuves recueillies à l’étranger. Afin de déterminer si un moyen de preuve est exploitable, il est indispensable d’examiner si les actes de procédure exécutés par les autorités d’un pays étranger ont ou non violé la loi (étrangère) qui régit l’administration dudit moyen de preuve. Une violation du droit commise à l’étranger fournit un motif potentiel d’interdiction d’exploiter en Suisse la preuve considérée. Les autorités suisses de poursuite pénale peuvent demander un rapport écrit à l’autorité étrangère compétente afin de pouvoir trancher la question de la licéité d’une mesure d’instruction effectuée à l’étranger. En règle générale, il est admissible de se fonder sur un tel rapport écrit. Il en va autrement lorsque des indices concrets ébranlent son exactitude. Dans ce cas, les autorités suisses doivent vérifier elles-mêmes la conformité de la mesure étrangère au droit. En présence de doutes justifiés quant à la licéité de l’administration des preuves à l’étranger, la question de la possibilité ou non d’exploiter le moyen de preuve conformément au droit suisse ne pose pas de problème si la disposition étrangère violée trouve une norme correspondante en droit suisse. En pareille hypothèse, il convient de considérer que la violation du droit présente une gravité égale dans les deux ordres juridiques et que l’objectif de protection y est défini de manière équivalente. En l’espèce, l’analyse droit autrichien a fait naître des doutes importants quant à la licéité des preuves recueillies aux États-Unis par les autorités autrichiennes de poursuite pénale (collecte de données d’accès et de communication sans autorisation judiciaire, en marge de l’entraide judiciaire) et quant à l’exactitude du rapport officiel requis. La loi fédérale sur la surveillance de la correspondance par poste et télécommunication fait la distinction entre les renseignements sur les services de télécommunication, dont l’obtention n’est pas soumise à autorisation, et les données secondaires, dont la collecte requiert une autorisation. Lorsque l’évaluation d’une adresse IP suspecte sur la base des éléments de connexion obtenus impose de déterminer préalablement à quelle fréquence et à quels moments quelles personnes ou quelles adresses IP ont été en contact avec d’autres adresses IP, la démarche ressortit à la collecte et à l’exploitation de données secondaires et nécessite ainsi une autorisation. En l’absence d’autorisation judiciaire, les informations obtenues à partir de ces données secondaires sont inexploitables (art. 277 al. 2 CPP). Le fait que l’art. 32 let. b de la convention sur la cybercriminalité permet en principe un accès transfrontalier volontaire à de telles données secondaires ne change rien au constat. Selon le droit interne, la collecte de données secondaires constitue en effet une mesure de contrainte qui doit satisfaire aux exigences nationales, en l’occurrence celles que pose l’art. 273 CPP. La protection des droits fondamentaux instaurée au niveau national par l’exigence d’une autorisation du tribunal des mesures de contrainte doit valoir de la même manière lorsque des moyens de preuve ont été administrés à l’étranger. Parce que l’obtention des données (secondaires) collectées par les autorités autrichiennes aux États-Unis doit faire l’objet en droit suisse d’une autorisation judiciaire et qu’il faut partir de l’idée que le droit autrichien règle la question de façon équivalente dans son principe, qu’une telle autorisation n’a toutefois pas été sollicitée en l’espèce, il s’ensuit que les données précitées sont absolument inexploitables, conformément au droit suisse applicable (art. 277 al. 2 cum art. 141 al. 1 CPP).

Un fichier de journalisations IP ou un historique IP qui contient des détails de connexion provenant d’un réseau de télécommunication interne d’une haute école suisse appartient également à la catégorie des données accessoires dont l’obtention est soumise à autorisation. À défaut d’autorisation du tribunal des mesures de contrainte, ces éléments sont inexploitables. (Résumé de l’auteur du commentaire)

*******

Art. 141 e 269 segg. CPP: art. 32 lett. b della Convenzione sulla cibercriminalità (Cybercrime Convention): utilizzabilità di dati raccolti all’estero; procedura nel caso di rilevamento di metadati in Svizzera e all’estero; delimitazione tra informazioni relative agli utenti e metadati; qualificazione dei log IP.

Il principio in dubio pro reo significa che è compito dello Stato provare la colpevolezza dell’accusato e quindi anche che le prove sono state assunte legalmente. Le autorità di perseguimento penale svizzere devono pertanto occuparsi anche della legalità delle assunzioni di prove effettuate all’estero. Nel valutare l’utilizzabilità delle prove non può essere ignorato se l’atto compiuto dalle autorità dello Stato estero violi il diritto (straniero applicabile all’assunzione delle prove). Una violazione all’estero costituisce il presupposto per un divieto di utilizzazione delle prove a livello svizzero. Per chiarire la legalità delle prove raccolte all’estero, le autorità di perseguimento penale possono chiedere un rapporto scritto all’autorità estera competente. In linea di principio è possibile basarsi su tali informazioni a condizione che non vi siano indicazioni concrete che ne mettano in dubbio la correttezza. In caso di dubbio, le autorità svizzere devono esse stesse esaminare in maniera più approfondita la legalità della misura estera. Se sorgono legittimi dubbi sulla legalità dell’assunzione delle prove all’estero, non si pone alcun problema per quanto concerne l’utilizzabilità / la non utilizzabilità secondo il diritto svizzero, qualora sia stata violata una norma estera conforme a una corrispondente prescrizione svizzera. In simili casi si può presumere che la violazione della legge abbia pari gravità in entrambi gli ordinamenti giuridici e che lo scopo di protezione venga definito in maniera equivalente. Nel caso in esame, dall’analisi del diritto austriaco sono emersi notevoli dubbi sulla legalità delle prove raccolte dalle autorità di perseguimento penale austriache negli Stati Uniti (rilevamento di dati di accesso e traffico senza autorizzazione giudiziaria al di fuori dell’assistenza giudiziaria) e sulla correttezza del rapporto ufficiale richiesto. La LSCPT opera una distinzione tra le informazioni sui dati relative agli utenti non soggetti ad approvazione e i metadati soggetti ad autorizzazione. Se per valutare un indirizzo IP sospetto sulla base dei dettagli di connessione ricevuti occorre innanzitutto determinare con quale frequenza e in quale momento quali persone o indirizzi IP sono entrati in contatto con altri indirizzi IP, si tratta di una raccolta e un’analisi di metadati soggetta ad autorizzazione. In assenza di un’approvazione del giudice, le informazioni ottenute da questi metadati non possono essere utilizzate (art. 277 cpv. 2 CPP). Non cambia nulla a tale riguardo neppure il fatto che in base all’art. 32 lett. b della Convenzione sulla cibercriminalità un accesso volontario ai dati a livello transfrontaliero sia in linea di principio consentito. Un tale accesso ai metadati costituisce comunque, a livello nazionale, un provvedimento coercitivo, che deve soddisfare le prescrizioni nazionali, ossia nel presente caso l’art. 273 CPP. La protezione dei diritti fondamentali prevista in Svizzera mediante l’approvazione del giudice dei provvedimenti coercitivi deve valere anche se l’assunzione delle prove avviene all’estero. Poiché, secondo il diritto svizzero, i (meta)dati richiesti dalle autorità austriache negli Stati Uniti devono essere autorizzati dal giudice e si deve presumere che anche il diritto austriaco disciplini in linea di principio tale questione in maniera equivalente, senza tuttavia che nel presente caso sia stata richiesta alcuna autorizzazione del giudice, dal diritto svizzero applicabile alla questione dell’utilizzabilità risulta l’inutilizzabilità assoluta dei dati raccolti dalle autorità di perseguimento penale austriache negli Stati Uniti (art. 277 cpv. 2 in combinato disposto con l’art. 141 cpv. 1 CPP).

Anche nel caso della raccolta di file di log risp. di un istoriato IP con i dettagli di connessione da una rete di telecomunicazione interna presso una scuola universitaria svizzera si tratta di metadati soggetti ad autorizzazione che non sono utilizzabili senza l’approvazione da parte del giudice dei provvedimenti coercitivi. (Regesto dell’autore dell’annotazione)

*******

We thank the members of the Swiss Criminalistic Association for this update.