B u n d e s v e r w a l t u n g s g e r i c h t T r i b u n a l a d m i n i s t r a t i f f é d é r a l T r i b u n a l e a m m i n i s t r a t i v o f e d e r a l e T r i b u n a l a d m i n i s t r a t i v f e d e r a l
Abteilung I A-6807/2019
Urteil vom 4. März 2020 Besetzung
Richterin Christine Ackermann (Vorsitz), Richterin Claudia Pasqualetto Péquignot, Richter Jérôme Candrian, Gerichtsschreiber Marcel Zaugg.
Parteien
Kantonspolizei Aargau, c/o Hptm A._______, Tellistrasse 85, Postfach, 5001 Aarau 1, Beschwerdeführerin,
gegen
Dienst Überwachung Post- und Fernmeldeverkehr (ÜPF), Fellerstrasse 15, 3003 Bern, Vorinstanz.
Gegenstand
Relevanter Zeitpunkt nach Art. 38 VÜPF.
A-6807/2019 Seite 2 Sachverhalt: A. Im Zusammenhang mit einem Strafverfahren und zur Ermittlung der Iden- tität des Inserenten eines auf der Online-Plattform X._______ veröffentlich- ten Verkaufsangebots reichte die Kantonspolizei Aargau am 10. Juli 2019 beim Eidgenössischen Justiz- und Polizeidepartement (EJPD), Informatik Service Center ISC-EJPD, Dienst Überwachung Post- und Fernmeldever- kehr (nachfolgend: Dienst ÜPF), ein Auskunftsgesuch des Typs IR_8_IP (NAT) nach Art. 38 der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs vom 15. November 2017 (VÜPF, SR 780.11) zuhan- den der Mitwirkungspflichtigen Y._______ ein. Dieser Auskunftstyp betrifft die Identifikation der Benutzerschaft bei nicht eindeutig zugeteilten Inter- net-Protocol-Adressen (IP-Adressen). Im Gesuch angegeben wurden die Quell-IP-Adresse, die Quell-Portnummer, der Verbindungstyp (Transmis- sion Control Protocol [TCP]) sowie der Zeitpunkt nach Datum und Uhrzeit. Die Zeitangabe bezog sich dabei auf den Zeitpunkt der Veröffentlichung des Inserats auf der erwähnten Online-Plattform. Gleichentags beantwortete Y._______ das Gesuch mit "Benutzer nicht ge- funden / Pas de client". B. Mit E-Mail vom 11. Juli 2019 beanstandete die Kantonspolizei Aargau beim Dienst ÜPF die Antwort von Y._______ und ersuchte diesen, die Angele- genheit mit Y._______ zu besprechen. C. Auf entsprechende Anfrage des Dienstes ÜPF nahm Y._______ mit E-Mail vom 11. Juli 2019 Stellung. Darin führte sie im Wesentlichen aus, sie pro- tokolliere den Zeitpunkt, in dem sich der Benutzer mit der Webseite X._______ verbinde. Wenn ihr der (spätere) Zeitpunkt, in welchem der Tä- ter das Inserat publiziere, mitgeteilt werde, könne dies dazu führen, dass sie keinen Benutzer finde. Diese Stellungnahme leitete der Dienst ÜPF gleichentags an die Kantonspolizei Aargau weiter. D. Am 19. Juli 2019 erkundigte sich die Kantonspolizei Aargau beim Dienst ÜPF nach dem Stand der Dinge, woraufhin dieser gleichentags mitteilte, das Vorgehen von Y._______ sei gesetzeskonform.
A-6807/2019 Seite 3 E. Die Kantonspolizei Aargau erklärte sich daraufhin mit E-Mail vom 22. Juli 2019 mit dieser Beurteilung nicht einverstanden. X._______ gebe die Quell-IP-Adresse und die Quell-Portnummer zum Zeitpunkt der Veröffent- lichung des Inserats bekannt. Nur diese Zeitangabe sei relevant. Y._______ protokolliere nach eigenen Angaben lediglich den Zeitpunkt der erstmaligen Verbindung mit einer Webseite. Sie müsse jedoch jeden Zeit- punkt mit den korrekten Angaben aufzeichnen. Unter zusätzlicher Angabe der Ziel-IP-Adresse und der Ziel-Portnummer ersuchte die Kantonspolizei Aargau den Dienst ÜPF sodann um nochmalige Abklärung und teilte mit, sie erwarte von Y._______ eine rechtzeitige Antwort auf ihre Anfrage. F. Nachdem der Dienst ÜPF in seiner gleichentags erstatteten Antwort an sei- nen bisherigen Ausführungen festhielt, ersuchte die Kantonspolizei Aargau um Erlass einer anfechtbaren Verfügung. G. Mit Verfügung vom 15. November 2019 stellte der Dienst ÜPF fest, dass sich Y._______ nach Art. 38 VÜPF gesetzeskonform verhalten habe, in- dem sie lediglich den Beginn der TCP-Session gespeichert habe. H. Gegen diese Verfügung des Dienstes ÜPF (nachfolgend: Vorinstanz) vom 15. November 2019 erhebt die Kantonspolizei Aargau (nachfolgend: Be- schwerdeführerin) mit Eingabe vom 20. Dezember 2019 Beschwerde beim Bundesverwaltungsgericht und stellt die folgenden Rechtsbegehren: "1. Die angefochtene Verfügung des Dienstes ÜPF sei vollumfänglich aufzuheben und festzulegen, dass beim Auskunftstyp IR_8_IP (NAT) nach Art. 38 VÜPF die Fern- meldedienstanbieter für jedes TCP-Datenpaket, bzw. jeden Zeitpunkt die benötigten Randdaten (Zeitstempel, öffentliche Quell-IP-Adresse, Quell-Portnummer, etc.) speichern, um eine Identifikation der Täterschaft nach Art. 38 VÜPF zu ermöglichen. 2. Eventualiter sei die angefochtene Verfügung des Dienstes ÜPF vollumfänglich auf- zuheben und festzulegen, dass die Fernmeldedienstanbieter die benötigten Rand- daten mindestens für den Anfang, das Ende und alle 60 Sekunden jeder TCP-Ses- sion zu speichern haben. 3. Subeventualiter sei die angefochtene Verfügung des Dienstes ÜPF vollumfänglich aufzuheben und festzulegen, dass die Fernmeldedienstanbieter die benötigten
A-6807/2019 Seite 4 Randdaten mindestens für den Anfang und das Ende einer TCP-Session zu spei- chern haben. 4. Unter Kosten- und Entschädigungsfolgen." I. In ihrer Vernehmlassung vom 30. April 2020 schliesst die Vorinstanz auf Abweisung der Beschwerde. In verfahrensrechtlicher Hinsicht beantragt sie eine mündliche Befragung zur Erläuterung des technischen Sachver- halts mit Vertretern von ihr, der Beschwerdeführerin und von Y._______. J. Die Beschwerdeführerin hält in ihrer Replik vom 28. Mai 2020 an ihren An- trägen und Ausführungen fest. Für den Fall einer mündlichen Befragung beantragt sie den Beizug eines unabhängigen Gutachters. K. Die Vorinstanz bekräftigt in ihrer Duplik vom 7. September 2020 ihre bis- herigen Standpunkte. L. Auf die weitergehenden Ausführungen der Parteien und die sich bei den Akten befindlichen Schriftstücke wird – soweit entscheidrelevant – in den nachfolgenden Erwägungen eingegangen.
Das Bundesverwaltungsgericht zieht in Erwägung: 1. 1.1 Gemäss Art. 31 des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 (VGG, SR 173.32) beurteilt das Bundesverwaltungsgericht Beschwerden gegen Verfügungen nach Art. 5 des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968 (VwVG, SR 172.021), sofern eine Vorinstanz im Sinne von Art. 33 VGG entschieden hat und keine Ausnahme nach Art. 32 VGG gegeben ist. Die angefochtene Verfügung ist ein zulässiges Anfechtungsobjekt und stammt von einer Behörde im Sinne von Art. 33 Bst. d VGG; eine Aus- nahme im erwähnten Sinn liegt nicht vor. Das Bundesverwaltungsgericht ist somit für die Beurteilung der vorliegenden Beschwerde zuständig (vgl. auch Art. 42 des Bundesgesetzes betreffend die Überwachung des
A-6807/2019 Seite 5 Post- und Fernmeldeverkehrs vom 18. März 2016 [BÜPF, SR 780.1], wo- nach Verfügungen der Vorinstanz der Beschwerde nach den allgemeinen Bestimmungen über die Bundesverwaltungsrechtspflege unterliegen). 1.2 Das Verfahren vor dem Bundesverwaltungsgericht richtet sich nach dem VwVG, soweit das VGG nichts anderes vorsieht (Art. 37 VGG). 1.3 1.3.1 Zur Beschwerde ist nach Art. 48 Abs. 1 VwVG berechtigt, wer am Verfahren vor der Vorinstanz teilgenommen oder keine Möglichkeit zur Teil- nahme erhalten hat (Bst. a), durch die angefochtene Verfügung besonders berührt ist (Bst. b) und ein schutzwürdiges Interesse an deren Aufhebung oder Änderung hat (Bst. c). Es ist ein aktuelles und praktisches Interesse an der Überprüfung des Ent- scheids erforderlich. Ein solches liegt vor, wenn mit der Gutheissung der Beschwerde ein Nachteil abgewendet werden kann und die Beschwerde- führende insofern einen praktischen Nutzen aus der Aufhebung oder Än- derung der angefochtenen Verfügung zu ziehen vermag. Die tatsächliche oder rechtliche Situation muss durch den Ausgang des Verfahrens noch beeinflusst werden können. Das schutzwürdige Interesse muss daher nicht nur bei der Beschwerdeerhebung, sondern auch noch im Zeitpunkt der Ur- teilsfällung aktuell und praktisch sein. In Ausnahmefällen kann jedoch auf das Erfordernis der Aktualität des Interesses verzichtet werden, wenn sich die aufgeworfenen Fragen unter gleichen oder ähnlichen Umständen je- derzeit wieder stellen könnten, eine rechtzeitige Überprüfung im Einzelfall kaum je möglich wäre und die Beantwortung wegen deren grundsätzlicher Bedeutung im öffentlichen Interesse liegt (BGE 141 II 14 E. 4.4 und 137 I 23 E. 1.3.1; BVGE 2013/56 E. 1.3.1; Urteil des BVGer A-4263/2017 E. 1.2.3.1; KÖLZ/HÄNER/BERTSCHI, Verwaltungsverfahren und Verwal- tungsrechtspflege des Bundes, 3. Aufl. 2013, Rz. 944; MARANTELLI/HUBER, in: Waldmann/Weissenberger [Hrsg.], Praxiskommentar VwVG, 2. Aufl. 2016, Art. 48 Rz. 15). 1.3.2 Die Beschwerdeführerin hat am vorinstanzlichen Verfahren teilge- nommen und ist als Adressatin der angefochtenen Verfügung, in welcher festgestellt wurde, dass das von ihr im Zusammenhang mit einem erfolglo- sen Auskunftsgesuch nach Art. 38 VÜPF als rechtswidrig gerügte Verhal- ten von Y._______ als gesetzeskonform anzusehen sei, grundsätzlich so- wohl formell als auch materiell beschwert. Hintergrund der angefochtenen
A-6807/2019 Seite 6 Verfügung bildete das von der Beschwerdeführerin bei der Vorinstanz ein- gereichte Auskunftsgesuch vom 10. Juli 2019, mit dessen Beantwortung durch Y._______ die Beschwerdeführerin nicht einverstanden war. Wie die Beschwerdeführerin in ihrer Beschwerde selbst vorbringt, ist davon auszu- gehen, dass Y._______ über die zur Beantwortung des Auskunftsgesuchs vom 10. Juli 2019 relevanten Daten inzwischen nicht mehr verfügt, zumal sich das Gesuch auf ein Ereignis vom 24. Januar 2019 bezieht und Y._______ die Randdaten über die Zuteilung und Übersetzung von IP-Ad- ressen und Portnummern, um u.a. die Auskünfte gemäss Art. 38 VÜPF er- teilen zu können, nur sechs Monate aufbewahren muss bzw. diese nach Ablauf dieser Frist gar zu vernichten hat, sofern kein anderer Erlass vor- sieht, dass diese Daten länger aufbewahrt werden müssen oder dürfen (vgl. Art. 21 Abs. 2 und 3 VÜPF). Betreffend die mit Gesuch vom 10. Juli 2019 verlangte Auskunft besteht insofern kein praktisches und aktuelles Rechtsschutzinteresse mehr, da diese von vornherein nicht mehr erhältlich gemacht werden kann. Aufgrund der erwähnten Aufbewahrungsfrist von le- diglich sechs Monaten ist eine rechtzeitige Überprüfung einer Auskunft je- doch kaum je möglich. Sodann könnte sich die Frage der Rechtmässigkeit des von der Beschwerdeführerin gerügten Verhaltens jederzeit unter glei- chen oder ähnlichen Umständen wieder stellen. Da die Klärung dieser Frage schliesslich auch im öffentlichen Interesse liegt, ist die Beschwerde- legitimation der Beschwerdeführerin aufgrund des Ausgeführten trotzdem zu bejahen. Im Kern ging es im vorinstanzlichen Verfahren denn auch nicht primär um das Auskunftsgesuch vom 10. Juli 2019, sondern vielmehr um die Klärung einer grundsätzlichen Frage im Hinblick auf künftige Auskunfts- gesuche. 1.4 Streitgegenstand im Verfahren vor dem Bundesverwaltungsgericht ist das durch die Verfügung geregelte Rechtsverhältnis, soweit dieses ange- fochten wird. Er wird einerseits bestimmt durch den Gegenstand der ange- fochtenen Verfügung (Anfechtungsgegenstand), andererseits durch die Parteibegehren. Das Anfechtungsobjekt bildet den Rahmen, welcher den möglichen Umfang des Streitgegenstandes begrenzt. Gegenstand des Be- schwerdeverfahrens kann nur sein, was Gegenstand des erstinstanzlichen Verfahrens war oder nach richtiger Gesetzesauslegung hätte sein sollen. Gegenstände, über welche die erste Instanz nicht entschieden hat und über welche sie nicht entscheiden musste, darf die zweite Instanz grund- sätzlich nicht beurteilen (MOSER/BEUSCH/KNEUBÜHLER, Prozessieren vor dem Bundesverwaltungsgericht, 2. Aufl. 2013, Rz. 2.8 f., 2.208 und 2.213, je mit Hinweisen).
A-6807/2019 Seite 7 Im Dispositiv der angefochtenen Verfügung stellte die Vorinstanz fest, dass sich Y._______ nach Art. 38 VÜPF gesetzeskonform verhalten habe, in- dem sie lediglich den Beginn der TCP-Session gespeichert habe. Die Be- schwerdeführerin beantragt nun in ihrer Beschwerde, die benötigten Rand- daten seien darüberhinausgehend auch zu weiteren Zeitpunkten zu spei- chern. Daraus könnte man fälschlicherweise schliessen, Streitgegenstand bilde einzig die Frage, zu welchen Zeitpunkten jeweils eine Speicherung der nach Art. 38 VÜPF relevanten Randdaten vorzunehmen sei. Art. 38 VÜPF behandelt jedoch gemäss Titel die Frage der "Identifikation der Be- nutzerschaft bei nicht eindeutig zugeteilten IP-Adressen (NAT)" und wie sich sowohl den Erwägungen der angefochtenen Verfügung als auch den Ausführungen in der Beschwerdeschrift entnehmen lässt, umfasst der Streitgegenstand demgemäss in zentraler Weise namentlich auch die Frage, für welche Zeitpunkte eine Fernmeldedienstanbieterin (nachfol- gend: FDA) die Benutzerschaft einer nicht eindeutig zugeteilten IP-Adresse identifizieren können muss. Die verschiedenen Ansichten der Parteien zur Datenspeicherung gründen denn auch auf der unterschiedlichen Beant- wortung dieser Frage. 1.5 Auf die im Übrigen frist- und formgerecht eingereichte Beschwerde (vgl. Art. 50 Abs. 1 und Art. 52 VwVG) ist unter Berücksichtigung der vorstehen- den Präzisierung einzutreten. 2. Das Bundesverwaltungsgericht überprüft die angefochtene Verfügung auf Rechtsverletzungen, einschliesslich unrichtiger oder unvollständiger Fest- stellung des rechterheblichen Sachverhalts und Rechtsfehler bei der Aus- übung des Ermessens (Art. 49 Bst. a und b VwVG). Zudem prüft es die Verfügung auf Angemessenheit hin (Art. 49 Bst. c VwVG). Es wendet das Recht von Amtes wegen an und ist an die Begründung der Parteien nicht gebunden (Art. 62 Abs. 4 VwVG). 3. 3.1 Besteht der Verdacht, dass eine Straftat über das Internet begangen worden ist, so sind die FDA verpflichtet, der Vorinstanz alle Angaben zu liefern, welche die Identifikation der Täterschaft ermöglichen (Art. 22 Abs. 1 BÜPF). Der Bundesrat bestimmt, welche Angaben die FDA zum Zweck der Identifikation während der Dauer der Kundenbeziehung sowie während 6 Monaten nach deren Beendigung aufbewahren und liefern müssen. Er legt fest, dass die FDA bestimmte dieser Daten zum Zweck der Identifikation
A-6807/2019
Seite 8
nur während 6 Monaten aufbewahren und liefern müssen. Die FDA müs-
sen der Vorinstanz weitergehende Angaben liefern, über die sie verfügen
(Art. 22 Abs. 2 BÜPF). Nach Art. 31 Abs. 1 BÜPF bestimmt der Bundesrat
näher, welche Auskünfte die FDA erteilen und welche Überwachungstypen
sie durchführen müssen. Er legt für jeden Auskunfts- und Überwachungs-
typ fest, welche Daten geliefert werden müssen.
3.2 Gestützt darauf definierte der Bundesrat verschiedene Auskunftstypen
und regelte in der VÜPF für jeden Auskunftstyp die zu liefernden Daten und
die im Auskunftsgesuch zu machenden Angaben. Der vorliegend interes-
sierende Auskunftstyp IR_8_IP (NAT) zur Identifikation der Benutzerschaft
bei nicht eindeutig zugeteilten IP-Adressen (NAT) ist in Art. 38 VÜPF gere-
gelt und lautet wie folgt:
1
Der Auskunftstyp IR_8_IP (NAT) umfasst die folgenden Angaben über den identifizier-
ten Teilnehmenden, falls diesem zum fraglichen Zeitpunkt eine IP-Adresse nicht eindeu-
tig zugeteilt war (NAT):
fikator) des Netzzugangsdienstes.
2
Das Auskunftsgesuch enthält die Angaben über den NAT-Übersetzungsvorgang zum
Zweck der Identifikation:
a. die öffentliche Quell-IP-Adresse;
b. falls für die Identifikation notwendig, die öffentliche Quell-Portnummer;
c. falls für die Identifikation notwendig, die öffentliche Ziel-IP-Adresse;
d. falls für die Identifikation notwendig, die Ziel-Portnummer;
e. falls für die Identifikation notwendig, den Typ des Transportprotokolls;
f. den Zeitpunkt nach Datum und Uhrzeit.
3.3 Zum besseren Verständnis dieses Auskunftstyps und im Hinblick auf
die nachfolgend zu klärenden Streitpunkte erscheint es zweckmässig, ei-
nige technische Aspekte bei der Kommunikation über das Internet kurz dar-
zulegen.
3.3.1 Das Internet ist ein Netzwerk von Rechnernetzwerken, durch das
weltweit Daten ausgetauscht werden. Grundsätzlich kann jeder Computer
mit jedem anderen verbunden werden und in Kommunikation treten. Dabei
findet der Datenaustausch über technisch normierte Internetprotokolle
statt. Deren Kern bilden das Transmission Control Protocol (TCP) und das
Internet Protocol (IP). Wird im Internet eine Datei ausgetauscht, so wird
A-6807/2019 Seite 9 diese beim Sender in einzelne Datenpakete zerlegt und beim Empfänger wieder zusammengesetzt. Diese Funktionen werden durch das TCP über- nommen. Das IP ist verantwortlich für die Auslieferung der Datenpakete an den Empfänger. Durch die IP-Adresse wird jeder an das Internet ange- schlossene Computer identifiziert. Immer wenn im Internet Daten abgefragt werden, so zum Beispiel beim Aufrufen einer Webseite, übermittelt der Computer des Benutzers seine Anfrage verbunden mit der ihm zugewiese- nen IP-Adresse (vgl. BGE 136 II 508 E. 3.3; Urteil des BGer 4C.9/2002 vom 23. Juli 2002 E. 4; Urteil des BVGer A-3144/2008 vom 27. Mai 2009 E. 2.2.2; THOMAS HANSJAKOB, Überwachungsrecht der Schweiz, Kommen- tar zu Art. 269 ff. StPO und zum BÜPF, 2018, Rz. 184 ff.; ANNINA BALTIS- SER, Datenbeschädigung und Maleware im Schweizer Strafrecht, Der Tat- bestand des Art. 144bis StGB im Vergleich mit den Vorgaben der Cyber- crime Convention und der deutschen Regelung, 2013, S. 5 f.: ROLF H. WE- BER, Internet-Governance – ein Überblick, digma 2014, S. 94). 3.3.2 IP-Adressen können eindeutig zugeteilt sein, so dass zu einem be- liebigen Zeitpunkt maximal ein Teilnehmender mit dieser Adresse im Inter- net auftritt. Dies trifft zum einen auf die statischen IP-Adressen und zum anderen auf die eindeutig zugeteilten dynamischen IP-Adressen zu (Erläu- ternder Bericht zur Totalrevision der VÜPF [nachfolgend: ErlB VÜPF], S. 41; abrufbar unter < www.li.admin.ch/de/themen/das-buepf >). Wird ei- nem Rechner eine IP-Adresse fest zugewiesen, spricht man von einer sta- tischen IP-Adresse. Wählt sich ein Benutzer über einen Internet-Zu- gangsanbieter (Provider) ins Internet ein, erhält er jedoch meist eine dyna- mische IP-Adresse. Dabei wird seinem Computer bei jeder Verbindungs- aufnahme neu irgendeine freie Adresse aus dem Pool des Providers zuge- wiesen. Die dynamische Adressierung wurde wegen der Knappheit der IP- Adressen entwickelt. Weil nach diesem System eine IP-Adresse nur für eine kurze Zeit einem Teilnehmer zugeteilt und nach dem Nutzungsvor- gang wieder an einen anderen Teilnehmer vergeben wird, erfolgt die Iden- tifikation des betreffenden Rechners durch diese IP-Adresse auch nur für die Zeit des einzelnen Nutzungsvorgangs. Wer zu einem bestimmten Zeit- punkt mit einer bestimmten IP-Adresse unterwegs war, muss bei der dyna- mischen Zuteilung deshalb vom Provider in einer Datenbank ermittelt wer- den (BGE 136 II 508 E. 3.3; THOMAS HANSJAKOB, a.a.O., Rz. 193 ff. und 1638). Die Identifikation der Benutzerschaft bei – hier nicht näher interes- sierenden, der Vollständigkeit halber aber erwähnten – eindeutig zugeteil- ten IP-Adressen ist in Art. 37 VÜPF normiert.
A-6807/2019 Seite 10 3.3.3 Der mit den am 1. März 2018 in Kraft getretenen Revisionen des BÜPF und der VÜPF neu eingeführte Auskunftstyp gemäss Art. 38 VÜPF regelt nun ein spezifisches Problem der Teilnehmeridentifikation im Falle von nicht eindeutig zugeteilten IP-Adressen (vgl. ErlB VÜPF, S. 41). Dabei kommt die sogenannte Network Address Translation (NAT) auf Ebene der Anbieterin (auch Carrier-grade NAT oder cgNAT genannt; nachfolgend wird in Übereinstimmung mit Art. 38 VÜPF lediglich von NAT gesprochen) zum Einsatz. Durch diese Technologie können sich bis zu viele Tausend Benut- zer und Benutzerinnen die gleiche öffentliche IP-Adresse teilen und mit die- ser zur gleichen Zeit im Internet auftreten. Dies führt dazu, dass eine IP- Adresse, die auf eine bestimmte Internetseite zugreift, nicht mehr auf ein- fache Weise einem bestimmten Nutzer zugeordnet werden kann. Bei der NAT-Technologie werden den Teilnehmenden im Netz der Zugangsanbie- terin private IP-Adressen zugeteilt, die nur innerhalb des Netzes der Zu- gangsanbieterin gültig sind. Diese werden bei Zugriffen ins Internet an den Netzgrenzen der Zugangsanbieterin zum Internet in eine gemeinsame öf- fentliche Quell-IP-Adresse übersetzt, die so von vielen Teilnehmenden ge- teilt wird. Die Unterscheidung der einzelnen Internetverbindungen erfolgt mittels Portnummern. Die Adressübersetzung muss für jedes eingehende und ausgehende IP-Paket durchgeführt werden. Bei nicht deterministi- schen Verfahren führt das Gerät (Router) Zuordnungstabellen und spei- chert für jede Internetverbindung den Zeitstempel, die Quelle und das Ziel der Verbindung (jeweils IP-Adresse und Portnummer), die zugehörige pri- vate IP-Adresse und Portnummer des Teilnehmenden sowie die Art des Transportprotokolls. Bei deterministischen NAT-Verfahren werden Adres- sen und Portnummern mit einem Algorithmus übersetzt und können später wieder zurückgerechnet werden, womit die Notwendigkeit der Speicherung der IP-Adressen und Portnummern der einzelnen Verbindungsziele durch die Zugangsanbieterin zum Zwecke der Teilnehmeridentifikation entfällt. Bei NAT-Verfahren werden die Quell-Portnummern und die übersetzten Portnummern zyklisch wieder frei gegeben und neu zugeteilt. Daraus ergibt sich ein enorm dynamischer Ablauf, der erhebliche Datenmengen generiert (vgl. ErlB VÜPF, S. 41 ff.; THOMAS HANSJAKOB, a.a.O., Rz. 201). 4. Vorliegend strittig und nachfolgend zu klären ist, für welche Zeitpunkte eine FDA nach Art. 38 VÜPF die Benutzerschaft einer nicht eindeutig zugeteil- ten IP-Adresse identifizieren und die Angaben nach Art. 38 Abs. 1 VÜPF liefern können muss (nachfolgend E. 4.4) sowie zu welchem Zeitpunkt sie die hierfür relevanten Daten zu speichern hat (nachfolgend E. 4.5).
A-6807/2019 Seite 11 4.1 Die Beschwerdeführerin ist der Auffassung, eine FDA müsse die Be- nutzerschaft zu jedem Zeitpunkt identifizieren können. Auch wenn der Zeit- punkt der strafbaren Handlung mehrere Minuten nach dem Start der Ver- bindung (TCP-Session) erfolge, müsse sichergestellt sein, dass die FDA diese noch einem Kunden zuordnen könne. Dies gelte auch bei wechseln- den Quellports innerhalb einer TCP-Session. Für solche Fälle müssten die FDA ihr Vorgehen gemäss den gestellten Rechtsbegehren anpassen. Es bestehe keine rechtliche Grundlage dafür, die Identifikation lediglich auf den Start einer unter Umständen stundenlangen TCP-Session einzu- schränken. Es seien lediglich die Randdaten zu speichern, nicht die In- haltsdaten. Es werde von einer FDA nicht verlangt, den Nutzdatenverkehr zu entschlüsseln und beispielsweise abzuklären, wann sich eine Person bei einem Internetdienst mit dem individuellen Benutzernamen und Pass- wort anmelde ("Login"). Es sei lediglich nachvollziehbar zu protokollieren, welchem Kunden welcher Quell-Port und welche IP-Adresse zu welcher Zeit zugewiesen worden sei. Diese Informationen müssten in jedem Fall vorhanden sein, da die FDA diese Angaben benötigen würden, um den einkommenden NAT-Internetverkehr zum richtigen Kunden weiterzuleiten. Aus dem Wortlaut von Art. 38 Abs. 2 VÜPF gehe hervor, dass die anfra- gende Behörde den relevanten Zeitpunkt bestimme, sofern sie über die anderen dazu notwendigen Angaben verfüge. Auch im ErlB VÜPF seien keine Hinweise auf Eingrenzungen enthalten. Es werde darauf hingewie- sen, dass ein hinreichend genauer Zeitpunkt bzw. Zeitintervall angegeben werden müsse. Auch sei die Rede vom "gesuchten" Zeitpunkt, welcher durch die Strafverfolgungsbehörde im Auskunftsgesuch angegeben werde. Bei der systematischen Auslegung von Art. 38 VÜPF sei zunächst zu be- rücksichtigen, dass eine normale Abklärung einer IP-Adresse nach Art. 37 VÜPF lediglich Fr. 9.00 koste, während die Strafverfolgungsbehörden bei NAT-IP-Adressen nach Art. 38 VÜPF Fr. 200.– pro Anfrage zu bezahlen hätten. Aus dem Preisunterschied werde klar, dass von den FDA mehr er- wartet werde, als lediglich einen Zeitpunkt nach freier Wahl der Vorinstanz zu protokollieren. Sodann sei die Einschränkung des fraglichen Zeitpunkts bei Art. 38 VÜPF vom Gesetzgeber nicht versehentlich vergessen worden. Das zeige der Vergleich mit den Überwachungstypen der rückwirkenden Überwachung. Gemäss Art. 60 Bst. a VÜPF (betreffend rückwirkende Überwachung von Randdaten bei Netzzugangsdiensten) müsse die FDA u.a. das Datum und die Uhrzeit des Beginns und gegebenenfalls des En- des oder die Dauer der Sitzung festhalten. Auch bei der rückwirkenden Überwachung von Randdaten eines Telefonie- und Multimediadienstes nach Art. 61 Bst. a VÜPF werde der Beginn und gegebenenfalls das Ende
A-6807/2019 Seite 12 verlangt. Diese Unterscheidung sei zweckmässig, da Art. 60 und 61 VÜPF der rückwirkenden Überwachung und Art. 38 VÜPF der Identifikation eines Teilnehmers diene. Bei den rückwirkenden Überwachungen werde der zu protokollierende Zeitpunkt spezifiziert, bei der Identifikation des Teilneh- mers nach Art. 38 VÜPF jedoch bewusst nicht. Das sei möglich, weil in Art. 26 Abs. 5 BÜPF nach Randdaten für die Überwachung des Fernmel- deverkehrs und in Art. 22 Abs. 2 BÜPF nach Randdaten für die Identifika- tion des Teilnehmers unterschieden werde. Auch das VÜPF unterscheide zwischen den Randdaten, welche für die rückwirkende Überwachung und welche zum Zwecke der Identifikation der Täterschaft bei Straftaten über das Internet aufbewahrt würden. Art. 31 Abs. 1 BÜPF ermögliche dem Bun- desrat, für jeden einzelnen Auskunfts- und Überwachungstyp die zu liefern- den Daten zu bestimmen. In Art. 21 Abs. 2 Bst. b VÜPF werde festgehalten, dass die FDA die Randdaten über die Zuteilung und Übersetzung von IP- Adressen und Portnummern speichern und liefern müssen, um die Aus- künfte gemäss Art. 37, 38 und 39 VÜPF erteilen zu können. Dass die FDA nicht alle Portnummern oder Zeitpunkte protokollieren müssten, lasse sich dieser Norm nicht entnehmen. In systematischer Hinsicht sei schliesslich auch auf Art. 39 VÜPF hinzuweisen. Diese Auskunft verlange die Lieferung der Quell-IP-Adresse und der Quell-Portnummer vor und nach dem NAT- Übersetzungsvorgang. Das Auskunftsgesuch enthalte nach Art. 39 Abs. 2 VÜPF die Quell-IP-Adresse nach oder vor dem NAT-Übersetzungsvor- gang, die Quell-Portnummer nach oder vor dem NAT-Übersetzungsvor- gang, den Typ des Transportprotokolls, den Zeitpunkt des NAT-Überset- zungsvorgangs und unter Umständen die öffentliche Ziel-IP-Adresse oder Ziel-Portnummer. Daraus folge, dass die FDA diese Angaben für jeden NAT-Übersetzungsvorgang, sprich für jedes Datenpaket, liefern müssten. Eine Beschränkung des NAT-Übersetzungsvorgangs auf den Start einer TCP-Session sei bei Art. 39 VÜPF nicht vorgesehen, da es den ganzen Auskunftstyp obsolet machen würde. Unter dem Gesichtspunkt der teleo- logischen Auslegung sei zu beachten, dass es nicht im Sinne des Gesetz- gebers sei, wenn bei Internet-Straftaten Täter privilegiert würden, weil FDA NAT-Randdaten nicht vollständig speichern würden. Die grundsätzlich zu- lässigen Überwachungen, die zur Aufklärung von Straftaten notwendig seien, sollten nicht durch den Einsatz neuer Technologien verhindert wer- den. Die Abklärung von nicht eindeutig zugeteilten IP-Adressen in Form von NAT sei ausdrücklich neu geschaffen worden. Dabei sei dem Gesetz- geber bewusst gewesen, dass die FDA erhebliche Datenmengen spei- chern und die Effizienz der Suchvorgänge sicherstellen müssten.
A-6807/2019 Seite 13 4.2 Die Vorinstanz hingegen ist der Ansicht, eine FDA müsse nicht in der Lage sein, den gesuchten Teilnehmenden zu jedem Zeitpunkt identifizieren zu können. Es liege in der Verantwortung der auskunftsersuchenden Be- hörde, die notwendigen Anfragekriterien in Erfahrung zu bringen, wozu auch die zeitlichen Angaben zum Beginn der relevanten TCP-Session ge- hörten. Dies könne dem Wortlaut von Art. 38 VÜPF entnommen werden. Der Ausdruck "Angaben über den NAT-Übersetzungsvorgang zum Zweck der Identifikation" sei im Zusammenhang mit der jeweiligen Implementie- rung der FDA zu interpretieren. Damit sei insbesondere nicht die einzelne Adressübersetzungsoperation pro TCP-Paket gemeint. Bei TCP-Verbin- dungen werde ein Eintrag in der NAT-Übersetzungstabelle zu Beginn der TCP-Verbindung angelegt. Dieser Eintrag bleibe dann für die gesamte TCP-Verbindung gültig. Es genüge daher, die Angaben zu Beginn einer TCP-Session zu speichern. Alle nachfolgenden Datenpakete, welche über diese TCP-Verbindung gesendet und empfangen würden, würden die glei- chen IP-Adressen und Portnummern dieser TCP-Verbindung benutzen und seien dadurch identifizierbar. Mit der möglichst genauen Zeitangabe zum Beginn einer TCP-Session und den weiteren Anfrageparametern nach Art. 38 Abs. 2 VÜPF sei die Benutzerschaft identifizierbar. Eine weiterge- hende Datenspeicherung, wie von der Beschwerdeführerin verlangt, sei unverhältnismässig und hätte die Überwälzung neuer Pflichten sowie eine Erweiterung der Überwachungsmöglichkeiten zur Folge. Eine FDA sei le- diglich verpflichtet, jene Informationen zu speichern, die es ihr ermögliche, die Auskunftsgesuche nach Art. 38 VÜPF zu beantworten. Welche Anga- ben dies genau seien, hänge von der jeweiligen Implementierung der ein- zelnen FDA ab. Art. 38 VÜPF spreche vom "fraglichen Zeitpunkt" und beziehe sich somit auf den in der Anfrage angegebenen Zeitpunkt. Im ErlB VÜPF werde in Bezug auf den im Gesuch anzugebenden Zeitpunkt die Formulierung "Lo- gin-Ereignis" verwendet. Genauer sei jedoch die französische Fassung, welche von "évènements de connexion" (Verbindungsereignisse) spreche. Es werde in jedem Fall nicht vorgeschrieben, dass sowohl der Anfang als auch das Ende oder weitere Ereignisse einer Session gespeichert werden müssten. Es werde von einer FDA nicht verlangt, den Datenstrom zu ana- lysieren und Randdaten zu weiteren Ereignissen während einer Session zu speichern. Aufgrund der meist eingesetzten Verschlüsselung sei eine Analyse des Datenstroms gar nicht möglich. Die Zeitangabe im Gesuch habe sich auf den Zeitpunkt der Veröffentlichung eines Inserats auf X._______ bezogen. Nach dem Gesagten sei es für Y._______ bezüglich dieses Zeitpunkts unmöglich gewesen, den Teilnehmer zu identifizieren.
A-6807/2019 Seite 14 Y._______ führe eine Suche nach Art. 38 VÜPF im Prinzip durch einen "Exact Match" durch mit dem Zeitpunkt des Beginns der TCP-Session, wo- bei mit einer Marge von bis zu einer Minute gesucht werde. Entspreche der angegebene Zeitpunkt nun einem Ereignis, welches längere Zeit nach Be- ginn der TCP-Session geschehen sei, könne die Suche erfolglos bleiben. Nichtdestotrotz habe die FDA ihre Pflichten erfüllt. Gemäss ErlB VÜPF müssten sich die Strafverfolgungsbehörden bewusst sein, dass es beim Auskunftstyp IR_8_IP (NAT) möglich sei, dass es zu keinem Ergebnis oder zu mehrdeutigen Ergebnissen kommen könne. Eine FDA könne aus objek- tiv technischen Gründen nicht jedes strafrechtlich relevante Ereignis bzw. nicht jeden beliebigen Zeitpunkt während einer Internet-Sitzung abklären. Auskünfte nach Art. 38 VÜPF würden im Vergleich zu solchen nach Art. 37 VÜPF aufgrund der enormen Datenmenge einen höheren Arbeitsaufwand generieren und seien daher teurer. Aus der fehlenden Einschränkung des Zeitpunkts in Art. 38 VÜPF könne sodann nicht der Umkehrschluss gezo- gen werden, eine FDA müsse sämtliche Angaben nach Art. 38 VÜPF für jedes Verbindungsereignis speichern. Vielmehr bedürfe es für die Bearbei- tung und Aufbewahrung von Inhaltsdaten einer expliziten gesetzlichen Grundlage. Eine solche liege nur für die Randdaten und Daten zur Identifi- kation vor. Die Kopfdaten der TCP-Pakete und die Applikationsdaten wür- den nicht dazugehören. Eine Speicherung der Randdaten nach Art. 38 VÜPF zu sämtlichen Verbindungsereignissen bzw. zu jeder 60. Sekunde einer TCP-Session sei somit mangels gesetzlicher Grundlage widerrecht- lich. Zu Art. 39 VÜPF sei anzumerken, dass sich dieser auf ganz bestimmte Szenarien des NAT beziehe, nämlich auf solche, die nicht von der Zu- gangsanbieterin vorgenommen würden, sondern beispielsweise von Tran- sit- oder Serveranbieterinnen. Damit solle das sogenannte Backtracking – das Nachverfolgen einer IP-Verbindung bis zur Zugangsanbieterin, bei der dann ein Auskunftsgesuch nach Art. 38 VÜPF gestellt werden könne – er- möglicht werden. Daraus könne man nicht folgern, dass die Angaben für jeden einzelnen NAT-Übersetzungsvorgang jedes Datenpakets gespei- chert werden müssten. 4.3 Die Ausführungen der Parteien zur technischen Funktionsweise des In- ternets und der NAT-Technologie stimmen grundsätzlich überein und ent- sprechen dem in Erwägung 3.3 Dargelegten. Einzig in einem Punkt gehen die Parteien offensichtlich von unterschiedlichen technischen Gegebenhei- ten aus. Den Anträgen der Beschwerdeführerin liegt die Annahme zu- grunde, dass die Quell-Portnummer und damit die NAT-Übersetzung wäh-
A-6807/2019 Seite 15 rend einer TCP-Session für jedes TCP-Datenpaket ändern kann. Aus die- sem Grund sind ihrer Ansicht nach die für eine spätere Identifikation der Benutzerschaft erforderlichen Randdaten für jedes TCP-Datenpaket zu speichern. Demgegenüber bleibt nach der Auffassung der Vorinstanz die NAT-Übersetzung während einer TCP-Session unverändert, so dass eine Speicherung der Randdaten jeweils zu Beginn einer TCP-Session aus- reicht, um sämtliche während einer TCP-Session gesendeten und empfan- genen Datenpakete zu identifizieren. Welche dieser beiden Ansichten tat- sächlich zutrifft oder ob es allenfalls auf die konkrete Implementierung im Einzelfall ankommt und insofern beide Varianten zutreffend sein können, kann – wie nachfolgend noch zu zeigen sein wird – vorliegend offengelas- sen werden. Eine mündliche Befragung zur Erläuterung des technischen Sachverhalts – allenfalls unter Beizug eines unabhängigen Gutachters – erübrigt sich deshalb. Der entsprechende Verfahrensantrag der Vorinstanz ist folglich abzuweisen. 4.4 Strittig ist der relevante Zeitpunkt, für welchen eine FDA die Angaben nach Art. 38 Abs. 1 VÜPF liefern können muss. Die Konkretisierung einer Norm im Hinblick auf einzelne Lebenssachverhalte als Teil der Gesetzes- anwendung geschieht durch Auslegung. Deren Ziel ist die Ermittlung des Sinngehalts der Bestimmung. Ausgangspunkt jeder Auslegung ist der Wortlaut (grammatikalische Auslegung). Die grammatikalische Auslegung stellt auf Wortlaut, Wortsinn und Sprachgebrauch ab, wobei die Formulie- rungen in den Amtssprachen Deutsch, Französisch und Italienisch gleich- wertig sind (vgl. Art. 14 Abs. 1 Satz 2 des Bundesgesetzes über die Samm- lungen des Bundesrechts und das Bundesblatt vom 18. Juni 2004 [Publi- kationsgesetz, PublG, SR 170.512]). Vom klaren, eindeutigen und unmiss- verständlichen Wortlaut darf nur ausnahmsweise abgewichen werden, so etwa dann, wenn triftige Gründe dafür vorliegen, dass der Wortlaut nicht den wahren Sinn der Norm wiedergibt. Solche Gründe können sich aus der Entstehungsgeschichte der Bestimmung, aus ihrem Sinn und Zweck oder aus dem Zusammenhang mit anderen Vorschriften ergeben. Ist der Text nicht klar und sind verschiedene Interpretationen möglich, muss nach sei- ner wahren Tragweite gesucht werden (ratio legis), unter Berücksichtigung aller Auslegungselemente (sog. Methodenpluralismus). Dabei ist nament- lich auf die Entstehungsgeschichte (historisches Element), den Zweck der Norm (teleologisches Element), die ihr zugrunde liegenden Wertungen und ihre Bedeutung im Kontext mit anderen Bestimmungen (systematisches Element) und die gegenwärtigen tatsächlichen Gegebenheiten und herr- schenden Wertvorstellungen (zeitgemässes Element) abzustellen. Bleiben bei nicht klarem Wortlaut letztlich mehrere Auslegungen möglich, so ist
A-6807/2019 Seite 16 jene zu wählen, die der Verfassung am besten entspricht (vgl. BGE 142 I 135 E. 1.1.1, 128 I 34 E. 3b und 125 II 206 E. 4a; HÄFELIN/MÜLLER/UHL- MANN, Allgemeines Verwaltungsrecht, 7. Aufl. 2016 Rz. 175 ff.). Die Geset- zesmaterialien sind nicht unmittelbar entscheidend, dienen aber als Hilfs- mittel, um den Sinn der Norm zu erkennen. Bei der Auslegung neuerer Bestimmungen kommt den Materialien eine besondere Bedeutung zu, weil veränderte Umstände oder ein gewandeltes Rechtsverständnis eine an- dere Lösung weniger rasch nahelegen (vgl. BGE 141 II 262 E. 4.2 m.w.H.). 4.4.1 4.4.1.1 Art. 38 Abs. 1 VÜPF definiert den relevanten Zeitpunkt, für welchen eine FDA die Benutzerschaft identifizieren und die in Art. 38 Abs. 1 VÜPF erwähnten Angaben liefern können muss, nicht, sondern spricht in der deutschen Fassung lediglich vom "fraglichen Zeitpunkt". Diese Formulie- rung stimmt mit der italienischen Fassung ("momento in questione") über- ein. Damit wird auf den im Auskunftsgesuch angegebenen Zeitpunkt Bezug genommen. Davon gehen denn auch die Parteien aus. Die französische Fassung von Art. 38 Abs. 1 VÜPF enthält hingegen überhaupt keine Anga- ben zum Zeitpunkt ("Le type de renseignements IR_8_IP [NAT] a pour objet les indications ci-après à des fins d’identification dans le cas d’une adresse IP qui n’est pas attribuée de manière univoque [traduction d’adresses de réseau]"). Massgebend kann somit auch nach der französischen Fassung nur der Zeitpunkt gemäss Auskunftsgesuch sein. 4.4.1.2 Es stellt sich folglich die Frage, welcher Zeitpunkt im Auskunftsge- such anzugeben ist. Die im Auskunftsgesuch zu machenden Angaben sind in Art. 38 Abs. 2 VÜPF geregelt. Anzugeben ist nach Bst. f auch der vorlie- gend interessierende Zeitpunkt. Art. 38 Abs. 2 Bst. f VÜPF lautet in den drei Amtssprachen Deutsch, Französisch und Italienisch wie folgt: " Das Auskunftsgesuch enthält die Angaben über den NAT-Übersetzungsvorgang zum Zweck der Identifikation: f. den Zeitpunkt nach Datum und Uhrzeit." "La demande de renseignements contient, à des fins d’identification, les indications ci- après concernant la procédure de traduction d’adresses de réseau: f. le moment sur lequel porte la requête, avec précision de la date et de l’heure." "La domanda di informazioni contiene indicazioni sulla procedura di traduzione NAT ai fini dell’identificazione:
A-6807/2019 Seite 17 f. il momento a cui si riferisce, con data e ora." Der Wortlaut von Art. 38 Abs. 2 VÜPF deckt sich nicht mit der Auffassung der Vorinstanz. Keiner der drei Sprachfassungen lässt sich entnehmen, dass als Zeitpunkt der Beginn einer TCP-Session (oder eines anderen Ver- bindungstyps) angegeben werden müsste. Zunächst ist von den "Angaben über den NAT-Übersetzungsvorgang zum Zweck der Identifikation" die Rede. Wie bereits ausgeführt (vgl. vorstehend E. 3.3.3) muss die Adress- übersetzung für jedes eingehende und ausgehende Datenpaket durchge- führt werden. Ein NAT-Übersetzungsvorgang erfolgt somit nicht einzig zu Beginn einer TCP-Session, sondern bei allen ein- und ausgehenden Da- tenpaketen während einer TCP-Session, somit beispielsweise auch beim Aufschalten eines Inserates auf einer Internetplattform. Das spricht dafür, dass nicht zwingend der Zeitpunkt des Beginns einer TCP-Session ange- geben werden muss, sondern auch die Angabe eines späteren Zeitpunkts einer TCP-Session, zu welchem die weiteren Parameter gemäss Art. 38 Abs. 2 VÜPF festgestellt werden konnten, möglich ist. Dass mit der er- wähnten Formulierung nicht in diesem Sinne die einzelne Adressüberset- zungsoperation pro TCP-Paket gemeint sein soll, sondern nur die erstma- lige Übersetzung zu Beginn einer TCP-Session, wie dies die Vorinstanz behauptet, lässt sich dem Wortlaut nicht entnehmen. In diesem Fall wäre vielmehr zu erwarten gewesen, dass der Verordnungsgeber durch klare Formulierung den NAT-Übersetzungsvorgang näher spezifiziert und bei- spielsweise vom "ersten NAT-Übersetzungsvorgang einer Verbindung" oder vom "NAT-Übersetzungsvorgang beim Start einer Verbindung" ge- sprochen hätte. Oder es wäre der – vor diesem Hintergrund wesentliche – Begriff des "Beginns" erwähnt worden, wie es bei Art. 60 Bst. a VÜPF ("das Datum und die Uhrzeit des Beginns [...] der Sitzung") der Fall ist. Eine sol- che Einschränkung geht aus dem Wortlaut jedoch nicht hervor. Während in der deutschen Fassung in Bst. f lediglich vom "Zeitpunkt" die Rede ist, sind die beiden anderen Sprachfassungen diesbezüglich konkre- ter und sprechen vom "moment sur lequel porte la requête" bzw. vom "mo- mento a cui si riferisce". Diese Formulierungen sprechen dafür, dass die um Auskunft ersuchende Behörde in ihrem Gesuch den relevanten Zeit- punkt, für welchen die Auskunft zu erteilen ist, definiert und dass insofern im Auskunftsgesuch grundsätzlich ein beliebiger Zeitpunkt angegeben wer- den kann. 4.4.1.3 Nicht gefolgt werden kann der Ansicht der Vorinstanz, wonach der Wortlaut im Zusammenhang mit der jeweiligen Implementierung der FDA
A-6807/2019 Seite 18 zu interpretieren sei. Dies würde dazu führen, dass je nach technischer Implementierung einer FDA dem Wortlaut von Art. 38 VÜPF eine unter- schiedliche Bedeutung zukommen würde, was bereits unter dem Gesichts- punkt der Rechtsgleichheit nicht angeht. Zudem dürfte den Strafverfol- gungsbehörden die konkrete technische Implementierung einer FDA kaum bekannt sein. Würde der im Auskunftsgesuch anzugebende Zeitpunkt je nach konkreter technischer Implementierung bei der FDA variieren, so wäre es für die Strafverfolgungsbehörden nur erschwert möglich (oder al- lenfalls sogar unmöglich), einen korrekten Zeitpunkt anzugeben. 4.4.1.4 Der Wortlaut von Art. 38 VÜPF spricht nach dem Gesagten insge- samt für die Ansicht der Beschwerdeführerin, wonach die anfragende Be- hörde den Zeitpunkt, für welchen Auskunft zu erteilen ist, definiert und eine FDA in der Lage sein muss, die Benutzerschaft zu jedem Zeitpunkt, für welchen die übrigen Angaben gemäss Art. 38 Abs. 2 VÜPF vorhanden sind, identifizieren zu können. 4.4.2 4.4.2.1 Der Auskunftstyp gemäss Art. 38 VÜPF wurde erst mit den am
A-6807/2019 Seite 19 27. Februar 2013 zum BÜPF, BBl 2013 2685). Wie bereits erwähnt (vgl. vorstehend E. 3.3.3), wurde in diesem Sinne der Auskunftstyp nach Art. 38 VÜPF mit den Revisionen der BÜPF und VÜPF neu eingeführt. Dadurch soll die Benutzerschaft bzw. derjenige, der eine strafbare Handlung über das Internet begangen hat, nicht nur bei eindeutig zugeteilten IP-Adressen (Auskunftstyp gemäss Art. 37 VÜPF) identifiziert werden können, sondern auch bei Verwendung der ab etwa 2014 neu eingesetzten NAT-Technolo- gie (vgl. THOMAS HANSJAKOB, a.a.O., Rz. 201), bei welcher die IP-Adressen nicht mehr eindeutig zugeteilt sind. Mit Art. 38 VÜPF sollte insofern eine aufgrund der technologischen Entwicklung entstandene Lücke geschlos- sen werden. Straftäter sollen nicht aufgrund der Verwendung neuer Tech- nologien unerkannt bleiben können. Ziel war es also, die Täterschaft unab- hängig von der verwendeten Technologie in gleicher Weise identifizieren zu können. Bei statischen IP-Adressen, die einem Rechner fest zugewie- sen sind, kann die Benutzerschaft ohne Weiteres unter Angabe eines be- liebigen Zeitpunkts durch die FDA identifiziert werden. Dasselbe muss für die eindeutig zugeteilten dynamischen IP-Adressen gelten, bei welchen wie bei den statischen IP-Adressen zu einem beliebigen Zeitpunkt maximal ein Teilnehmender mit dieser Adresse im Internet auftritt (vgl. vorstehend E. 3.3.2). Beide Arten eindeutig zugeteilter IP-Adressen werden denn auch in gleicher Weise vom Auskunftstyp nach Art. 37 VÜPF erfasst, wobei in Bezug auf die im Gesuch zu machenden Angaben kein Unterschied be- steht. Das spricht dafür, dass die Benutzerschaft auch bei Verwendung ei- ner nicht eindeutig zugeteilten IP-Adresse mit Angabe eines beliebigen Zeitpunkts, in welchem er im Internet auftritt, durch die FDA identifiziert werden können muss und nicht nur mit Angabe des Beginns einer TCP- Session (oder eines anderen Verbindungstyps). Andernfalls könnte ein Teil strafbarer Handlungen nicht in gleicher Weise aufgeklärt werden wie dies bei der Verwendung einer eindeutig zugeteilten IP-Adresse der Fall wäre und Straftäter könnten unerkannt bleiben. In Bezug auf den im Auskunfts- gesuch anzugebenden Zeitpunkt ist der Wortlaut von Art. 38 Abs. 2 Bst. f VÜPF denn auch in allen drei Sprachfassungen identisch mit dem Wortlaut von Art. 37 Abs. 2 Bst. b VÜPF. 4.4.2.3 Geht es um die Aufklärung von Straftaten, steht selbstredend die strafbare Handlung im Zentrum. Es stellt sich für die Strafverfolgungsbe- hörden die Frage, wer die strafbare Handlung über das Internet begangen hat. Dabei interessiert gerade der Zeitpunkt der Tatbegehung, welcher un- bestritten vom Zeitpunkt des Beginns einer TCP-Session abweichen kann. Es ist daher mit Blick auf diesen Zweck bzw. das öffentliche Interesse, näm-
A-6807/2019 Seite 20 lich die Aufklärung von Straftaten, nicht leicht ersichtlich, weshalb im Aus- kunftsgesuch als einziger relevanter Zeitpunkt zur Identifizierung der Be- nutzerschaft der Zeitpunkt des Beginns der TCP-Session anzugeben wäre, ohne dass dies explizit so in Art. 38 VÜPF erwähnt wird. Vielmehr spricht der Zweck der Norm dafür, dass der Zeitpunkt der strafbaren Handlung, welcher grundsätzlich ein beliebiger sein kann, anzugeben ist. 4.4.2.4 Im ErlB VÜPF wird zum im Gesuch anzugebenden Zeitpunkt zu- nächst festgehalten, dass statt eines fixen Zeitpunkts auch ein Zeitintervall angegeben werden könne, insbesondere um mögliche Ungenauigkeiten der Systemuhren zu kompensieren. Die Zeitangabe müsse hinreichend ge- nau und das Zeitintervall möglichst kurz sein, um falsch-positive Treffer zu vermeiden (ErlB VÜPF, S. 43). Grund hierfür ist der hochdynamische Ab- lauf des NAT, bei welchem die Quell-Portnummern und die übersetzten Portnummern zyklisch wieder frei gegeben und neu zugeteilt werden. Dies führt dazu, dass bereits kleine Ungenauigkeiten bei der Zeitangabe falsch- positive Ergebnisse zur Folge haben können oder dass die Suche ergeb- nislos verlaufen kann. Um dies zu vermeiden, werden möglichst vollstän- dige und präzise Angaben benötigt (vgl. ErlB VÜP, S. 44). Daraus lässt sich für die vorliegend relevante Fragestellung allerdings nichts ableiten. Es kann aber festgehalten werden, dass – wie die Vorinstanz vorbringt – sich die Strafverfolgungsbehörden bewusst sein müssen, dass es beim Aus- kunftstyp nach Art. 38 VÜPF durchaus möglich ist, dass es zu keinem Er- gebnis kommt. Dies ist insbesondere dann der Fall, wenn nicht alle erfor- derlichen Parameter in der Anfrage angegeben werden. Häufig speichern die Zielserver nämlich keine Quell-Portnummern und keine exakten Zeit- stempel (vgl. ErlB VÜPF, S. 44). 4.4.2.5 Des Weiteren wird im ErlB VÜPF das Vorgehen bei einer Auskunft nach Art. 38 VÜPF zur Veranschaulichung beispielhaft anhand eines Be- nutzerkontos näher dargelegt. Gemäss den Ausführungen der Vorinstanz in der angefochtenen Verfügung bestehe nämlich ein häufiges Szenario in der Ermittlung der Benutzerschaft, die sich in ein bestimmtes E-Mail-Konto eingeloggt habe. Nach den Ausführungen im ErlB VÜPF sei in einem ers- ten Schritt, welcher nicht Teil des Auskunftstyps sei, die IP-History für das gesuchte Benutzerkonto bei der Betreiberin des Internet-Dienstes (z.B. Blog-Betreiber, Webmail oder soziales Netzwerk) zu beschaffen, um die Verbindungsdetails der fraglichen "Login-Ereignisse" zu bestimmen. Als Resultat erhalte die Strafverfolgungsbehörde ein Verbindungsprotokoll mit allen Angaben zur Bestimmung der Internetzugänge, von wo aus die Zu- griffe auf das gesuchte Benutzerkonto erfolgt seien. In einem zweiten
A-6807/2019 Seite 21 Schritt sei dann ein Auskunftsgesuch an die Internetzugangsanbieterin mit Angabe der Verbindungsdetails eines konkreten "Login-Ereignisses", das im ersten Schritt bestimmt worden sei, zu stellen, um den Teilnehmenden zu identifizieren. Anhand der Angaben im Auskunftsgesuch suche die Zu- gangsanbieterin in den bei ihr gespeicherten NAT-Übersetzungsdaten die private IP-Adresse und Portnummer, die dem gesuchten Teilnehmenden "zum gesuchten Zeitpunkt" zugeordnet gewesen seien. Schliesslich sei in einem dritten Schritt, welcher wiederum nicht Teil des Auskunftstyps sei, ein weiteres Auskunftsgesuch (IR_4_NA) zu stellen, um anhand des im zweiten Schritt gefundenen Teilnehmer- bzw. Dienstidentifikators die ent- sprechenden Personendaten des Teilnehmenden abzufragen (ErlB VÜPF, S. 43 f.). Diesen und auch den weiteren Ausführungen im ErlB VÜPF lässt sich nicht entnehmen, dass im Auskunftsgesuch als Zeitpunkt der Beginn der TCP- Session (oder eines anderen Verbindungstyps) anzugeben wäre. An keiner Stelle ist vom Beginn einer Verbindung als relevanten Zeitpunkt die Rede. Abgesehen davon, dass in Bezug auf den Wortlaut der Gesetzestext massgebend ist und nicht die in den Materialien verwendeten Formulierun- gen, sprechen sowohl die deutsche als auch die italienische Fassung des ErlB VÜPF von "Login-Ereignissen" bzw. von "connessione del login", wo- mit der Zugriff auf das Benutzerkonto gemeint ist. Es ist unbestritten, dass dieser Zeitpunkt nicht mit dem Beginn einer TCP-Session übereinstimmen muss. Sodann wird auch in beiden Fassungen vom "gesuchten Zeitpunkt" bzw. vom "momento ricercato" gesprochen, was wiederum darauf schlies- sen lässt, dass der relevante Zeitpunkt von der ersuchenden Behörde im Auskunftsgesuch definiert wird. Die Vorinstanz erachtet die französische Fassung des ErlB VÜPF für genauer. Diese spreche nicht von "Login-Er- eignissen", sondern von "évènements de connexion". Entgegen der An- sicht der Vorinstanz kann daraus aber nicht geschlossen werden, dass ge- mäss dieser Fassung als relevanter Zeitpunkt tatsächlich das erste Verbin- dungsereignis einer Session gelten soll. Einerseits ist die Bezeichnung "évènements de connexion" diesbezüglich keinesfalls eindeutig. Sodann wird in der französischen Fassung bei der Aufführung der einzelnen Anga- ben gemäss Art. 38 Abs. 2 VÜPF bei Bst. f vom "moment de la traduction" gesprochen (vgl. ErlB VÜPF, S. 41 der französischen Fassung). Wie be- reits dargelegt (vgl. vorstehend E. 3.3.3), muss die Adressübersetzung für jedes eingehende und ausgehende Datenpaket durchgeführt werden. Eine Übersetzung erfolgt somit nicht nur zu Beginn einer TCP-Session, sondern bei allen ein- und ausgehenden Datenpaketen während einer TCP-Ses- sion.
A-6807/2019 Seite 22 Insgesamt kann auch dem ErlB VÜPF nicht entnommen werden, dass im Auskunftsgesuch der Beginn einer TCP-Session (oder eines anderen Ver- bindungstyps) angegeben werden müsste bzw. eine FDA die Benutzer- schaft nur für den Zeitpunkt des Beginns einer TCP-Session identifizieren können müsste. Vielmehr sprechen die Ausführungen im ErlB VÜPF dafür, dass eine FDA in der Lage sein muss, die Benutzerschaft zu jedem Zeit- punkt, für welchen die Angaben gemäss Art. 38 Abs. 2 VÜPF vorhanden sind, identifizieren zu können. 4.4.2.6 Zusammengefasst ergibt sich, dass auch die historisch-teleologi- sche Auslegung für die Ansicht der Beschwerdeführerin spricht. 4.4.3 4.4.3.1 Aus der systematischen Stellung von Art. 38 VÜPF im 4. Abschnitt "Auskunftstypen für Netzzugangsdienste" des 3. Kapitels "Fernmeldever- kehr" der Verordnung lässt sich für die vorliegend relevante Fragestellung nichts ableiten. Es wurde sodann bereits ausgeführt, dass der Benutzer einer eindeutig zugeteilten IP-Adresse (Auskunftstyp gemäss Art. 37 VÜPF) unter Angabe eines beliebigen Zeitpunkts, in welchem er mit dieser Adresse im Internet auftritt, durch die FDA identifiziert werden können muss. Berücksichtigt man, dass der Auskunftstyp nach Art. 38 VÜPF neu eingeführt wurde, um in Ergänzung des Auskunftstyps nach Art. 37 VÜPF aufgrund der technologischen Entwicklung entstandene Lücken zu schlies- sen, so spricht dieser Umstand in systematischer Hinsicht dafür, dass dies in gleicher Weise auch bei Verwendung einer nicht eindeutig zugeteilten IP-Adresse gelten muss (vgl. vorstehend E. 4.4.2.2). Das Verhältnis von Art. 38 VÜPF zu Art. 37 VÜPF spricht somit für die Ansicht der Beschwer- deführerin. 4.4.3.2 Die Beschwerdeführerin beruft sich im Rahmen der systematischen Auslegung auf verschiedene weitere Bestimmungen in der VÜPF sowie auf die Verordnung über die Gebühren und Entschädigungen für die Überwa- chung des Post- und Fernmeldeverkehrs vom 15. November 2017 (GebV- ÜPF, SR 780.115.1). Wie es sich damit verhält, kann jedoch offengelassen werden. Die Vorinstanz beschränkt sich auf die Bestreitung der von der Beschwerdeführerin vorgebrachten Argumente, legt ihrerseits aber weder in der angefochtenen Verfügung noch in den Rechtsschriften dar, inwiefern aus der systematischen Auslegung etwas für ihren eigenen Standpunkt ab- zuleiten wäre. Dies ist für das Bundesverwaltungsgericht denn auch nicht ersichtlich. Selbst wenn also der Vorinstanz folgend die Argumentationen
A-6807/2019 Seite 23 der Beschwerdeführerin zurückzuweisen wären, so vermöchte dies nach dem zuvor Ausgeführten nichts daran zu ändern, dass nebst der gramma- tikalischen und historisch-teleologischen auch die systematische Ausle- gung für die Ansicht der Beschwerdeführerin spricht. 4.4.4 Insgesamt ergibt die Auslegung, dass der relevante Zeitpunkt, für welchen die FDA Auskunft zu erteilen haben, durch die anfragende Be- hörde in ihrem Auskunftsgesuch definiert wird und die FDA in der Lage sein müssen, die Benutzerschaft zu jedem Zeitpunkt, für welchen die übrigen Angaben gemäss Art. 38 Abs. 2 VÜPF vorhanden sind, identifizieren zu können. Davon scheint auch die Lehre auszugehen, ohne sich allerdings mit dieser Frage näher auseinanderzusetzen. So führt THOMAS HANSJAKOB zu Art. 22 BÜPF aus, dass bei der Verwendung von dynamischen IP-Ad- ressen von der FDA, welche die Zuteilung jeder IP-Adresse an die Kunden "zu jedem Zeitpunkt" in einer Datenbank protokolliere, ermittelt werden müsse, wer "zu einem bestimmten Zeitpunkt" mit einer bestimmten IP-Ad- resse unterwegs gewesen sei. Die FDA seien verpflichtet, alle Angaben zu liefern, welche die Identifikation der Täterschaft ermögliche. Sie müssten diejenigen Daten liefern, über welche sie verfügten. Das werde in der Regel eine IP-Adresse sein, allenfalls die zusätzliche Angabe darüber, wem diese IP-Adresse "zu einem bestimmten Zeitpunkt" zugeteilt gewesen sei (vgl. THOMAS HANSJAKOB, a.a.O., Rz. 1638 und 1643). Dabei unterscheidet THOMAS HANSJAKOB nicht zwischen eindeutig und nicht eindeutig zugeteil- ten dynamischen IP-Adressen, obwohl ihm diese Unterscheidung durch- aus bewusst war (vgl. THOMAS HANSJAKOB, a.a.O., Rz. 201). Seine Aus- führungen scheinen sich insofern auf beide Arten zu beziehen. Damit erweist sich die Beschwerde in diesem Streitpunkt als begründet. 4.5 Was sodann die strittige Frage des Zeitpunkts der Datenspeicherung anbelangt, so ist Folgendes festzuhalten. 4.5.1 Aus dem Umstand, dass die FDA die Identifikation der Benutzer- schaft für jeden Zeitpunkt vornehmen können müssen, kann entgegen der Ansicht der Beschwerdeführerin nicht gefolgert werden, dass die FDA ver- pflichtet wären, die relevanten Randdaten zur Identifikation zwingend für jedes TCP-Datenpaket bzw. für jeden Zeitpunkt zu speichern. Zwar wäre dies die logische Folge, wenn es sich in technischer Hinsicht entsprechend den Vorbringen der Beschwerdeführerin so verhalten würde, dass sich die NAT-Übersetzung bei jedem TCP-Datenpaket ändert. Entscheidend ist je- doch, dass weder das BÜPF noch die VÜPF den FDA in Bezug auf den
A-6807/2019 Seite 24 Überwachungstyp nach Art. 38 VÜPF vorschreiben, zu welchem Zeitpunkt sie welche Daten und in welchem Umfang zu speichern haben. Art. 21 Abs. 2 VÜPF bestimmt lediglich, dass die FDA die Randdaten über die Zu- teilung und Übersetzung von IP-Adressen und Portnummern während sechs Monaten aufzubewahren und zu liefern haben, "um die Auskünfte gemäss den Artikeln 37, 38 und 39 erteilen zu können". Vorgeschrieben wird damit nur das Ziel, nämlich die Auskunftserteilung zum Zweck der Identifikation, nicht aber der (detaillierte) Weg. Es ist den FDA überlassen, wie sie sicherstellen, dass sie die Auskünfte nach Art. 38 VÜPF erteilen können. Dies erscheint in Anbetracht der technischen Komplexität und Möglichkeiten (vgl. z.B. die Differenz zwischen deterministischen und nicht deterministischen NAT-Verfahren in E. 3.3.3) sachgerecht. Für eine Anord- nung, wie sie die Beschwerdeführerin in ihren Rechtsbegehren verlangt, besteht somit keine Rechtsgrundlage, weshalb die Beschwerde insoweit abzuweisen ist. Allerdings kann auch nicht gesagt werden, dass eine FDA mit der Speicherung der Randdaten zu Beginn einer TCP-Session bereits ihre Pflichten erfüllt hätte, selbst wenn in Übereinstimmung mit den Vor- bringen der Vorinstanz die NAT-Übersetzung während einer TCP-Session für jedes Datenpaket dieselbe bleibt. Massgebend ist einzig, dass die FDA in der Lage sein müssen, die Benutzerschaft zu jedem verlangten Zeitpunkt zu identifizieren und die Angaben gemäss Art. 38 Abs. 1 VÜPF zu liefern, sofern ihr die ersuchende Behörde die Angaben gemäss Art. 38 Abs. 2 VÜPF für diesen Zeitpunkt bekannt gibt. Im Ergebnis bleibt deshalb festzu- stellen, dass betreffend den Auskunftstyp IR_8_IP (NAT) nach Art. 38 VÜPF eine FDA die Randdaten über die Zuteilung und Übersetzung von IP-Adressen und Portnummern (vgl. Art. 21 Abs. 2 Bst. b VÜPF) in einer Weise zu speichern hat, die es ihr ermöglicht, die Benutzerschaft zu jedem verlangten Zeitpunkt zu identifizieren und die Angaben gemäss Art. 38 Abs. 1 VÜPF zu liefern, sofern ihr die ersuchende Behörde die Angaben gemäss Art. 38 Abs. 2 VÜPF für den gesuchten Zeitpunkt bekannt gibt. 4.5.2 Bei diesem Ergebnis erweisen sich auch die weiteren Einwände der Vorinstanz als unbegründet. So wird nach dem Ausgeführten von den FDA nicht verlangt, den Datenstrom zu analysieren oder Inhaltsdaten zu spei- chern. Die FDA haben einzig gestützt auf Art. 21 Abs. 2 VÜPF die Randda- ten über die Zuteilung und Übersetzung von IP-Adressen und Portnum- mern in einer Weise zu speichern, die es ihnen mit ihrem Suchsystem er- möglicht, die Benutzerschaft auch bei Anwendung der NAT-Technologie zu einem von den Strafverfolgungsbehörden verlangten Zeitpunkt – sofern für diesen die übrigen Angaben nach Art. 38 Abs. 2 VÜPF bekannt gegeben
A-6807/2019 Seite 25 werden – zu identifizieren. Es kann deshalb weder von einer fehlenden ge- setzlichen Grundlage noch von einer Überwälzung neuer Pflichten oder ei- ner Erweiterung der Überwachungsmöglichkeiten die Rede sein. Auch kann der damit verbundene Aufwand für die FDA nicht als unverhältnis- mässig angesehen werden. Der Gesetzgeber verlangt von den FDA, dass sie alles in ihrer Macht Stehende unternehmen, um die Identifikation von Straftätern zu ermöglichen (vgl. Botschaft vom 27. Februar 2013 zum BÜPF, BBl 2013 2736). Die erwähnten Pflichten wurden denn auch explizit gesetzlich verankert. Dabei war man sich bewusst, dass die FDA erhebli- che Datenmengen speichern und die Effizienz ihrer Suchvorgänge sicher- stellen müssen (ErlB VÜPF, S. 44). 5. Zusammengefasst ergibt sich, dass die Beschwerde im Sinne der Erwä- gungen teilweise gutzuheissen und die angefochtene Verfügung aufzuhe- ben ist. Es ist festzustellen, dass betreffend den Auskunftstyp IR_8_IP (NAT) nach Art. 38 VÜPF eine FDA die Randdaten über die Zuteilung und Übersetzung von IP-Adressen und Portnummern in einer Weise zu spei- chern hat, die es ihr ermöglicht, die Benutzerschaft zu jedem verlangten Zeitpunkt zu identifizieren und die Angaben gemäss Art. 38 Abs. 1 VÜPF zu liefern, sofern ihr die ersuchende Behörde die Angaben gemäss Art. 38 Abs. 2 VÜPF für den gesuchten Zeitpunkt bekannt gibt. Im Übrigen ist die Beschwerde abzuweisen. Ebenfalls abzuweisen ist der prozessuale Antrag der Vorinstanz auf Durchführung einer mündlichen Befragung zur Erläute- rung des technischen Sachverhalts. 6. Es bleibt über die Kosten- und Entschädigungsfolgen zu befinden. 6.1 Die Verfahrenskosten hat in der Regel die unterliegende Partei zu tra- gen; unterliegt sie nur teilweise, so werden sie ermässigt. Ausnahmsweise können sie erlassen werden (Art. 63 Abs. 1 VwVG). Keine Verfahrenskos- ten werden Vorinstanzen oder beschwerdeführenden und unterliegenden Bundesbehörden auferlegt; anderen als Bundesbehörden, die Beschwerde führen und unterliegen, werden Verfahrenskosten auferlegt, soweit sich der Streit um vermögensrechtliche Interessen von Körperschaften oder auto- nomen Anstalten dreht (Art. 63 Abs. 2 VwVG). Dem Verfahrensausgang entsprechend gilt die Beschwerdeführerin als teil- weise unterliegend und hätte daher grundsätzlich einen Teil der Verfah- renskosten zu tragen. Da es sich bei ihr jedoch um eine kantonale Behörde
A-6807/2019 Seite 26 handelt und die vorliegende Streitigkeit keine vermögensrechtlichen Inte- ressen betrifft, sind ihr keine Verfahrenskosten aufzuerlegen. Der von ihr bezahlte Kostenvorschuss von Fr. 2'000.– ist ihr daher nach Eintritt der Rechtskraft des vorliegenden Urteils zurückzuerstatten. Die Vorinstanz als Bundesbehörde hat ebenfalls keine Verfahrenskosten zu tragen. 6.2 Keinen Anspruch auf Parteientschädigung haben Bundesbehörden und, in der Regel, andere Behörden, die als Parteien auftreten (Art. 7 Abs. 3 VGKE). Diese fehlende Anspruchsberechtigung stellt das zwingende Korrelat zur fehlenden Kostenpflicht dar (Art. 63 Abs. 2 VwVG; vgl. MO- SER/BEUSCH/KNEUBÜHLER, a.a.O., Rz. 4.66). Entsprechend haben weder die Vorinstanz noch die Beschwerdeführerin Anspruch auf eine Parteient- schädigung.
Demnach erkennt das Bundesverwaltungsgericht: 1. Die Beschwerde wird im Sinne der Erwägungen teilweise gutgeheissen und die angefochtene Verfügung vom 15. November 2019 aufgehoben. Es wird festgestellt, dass betreffend den Auskunftstyp IR_8_IP (NAT) nach Art. 38 VÜPF eine Fernmeldedienstanbieterin die Randdaten über die Zu- teilung und Übersetzung von IP-Adressen und Portnummern in einer Weise zu speichern hat, die es ihr ermöglicht, die Benutzerschaft zu jedem verlangten Zeitpunkt zu identifizieren und die Angaben gemäss Art. 38 Abs. 1 VÜPF zu liefern, sofern ihr die ersuchende Behörde die Angaben gemäss Art. 38 Abs. 2 VÜPF für den gesuchten Zeitpunkt bekannt gibt. Im Übrigen wird die Beschwerde abgewiesen. 2. Der prozessuale Antrag der Vorinstanz auf Durchführung einer mündlichen Befragung zur Erläuterung des technischen Sachverhalts wird abgewie- sen. 3. Es werden keine Verfahrenskosten erhoben. Der geleistete Kostenvor- schuss von Fr. 2'000.– wird der Beschwerdeführerin nach Eintritt der Rechtskraft des vorliegenden Urteils zurückerstattet. Hierzu hat sie dem Bundesverwaltungsgericht ihre Post- oder Bankverbindung mitzuteilen.
A-6807/2019 Seite 27 4. Es wird keine Parteientschädigung zugesprochen. 5. Dieses Urteil geht an: – die Beschwerdeführerin (Gerichtsurkunde) – die Vorinstanz (Einschreiben) – das Generalsekretariat EJPD (Gerichtsurkunde)
Die vorsitzende Richterin: Der Gerichtsschreiber: Christine Ackermann Marcel Zaugg
Rechtsmittelbelehrung: Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bun- desgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Ange- legenheiten geführt werden (Art. 82 ff., 90 ff. und 100 BGG). Die Frist ist gewahrt, wenn die Beschwerde spätestens am letzten Tag der Frist beim Bundesgericht eingereicht oder zu dessen Handen der Schweizerischen Post oder einer schweizerischen diplomatischen oder konsularischen Ver- tretung übergeben worden ist (Art. 48 Abs. 1 BGG). Die Rechtsschrift hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Un- terschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie die beschwerdeführende Partei in Händen hat, beizulegen (Art. 42 BGG). Versand: