Unterlagen der Bundesanwaltschaft aus der Strafuntersuchung zum Datenabfluss bei der IT-Dienstleisterin Xplain dürfen nicht an die für die Administrativuntersuchung eingesetzte Anwaltskanzlei weitergegeben werden. Dies hat die Beschwerdekammer des Bundesstrafgerichts entschieden.
Cyberkriminelle hatten die Firma Xplain mit Sitz in Interlaken BE im Frühjahr 2023 gehackt und von einem Firmen-Server grössere Datenmengen gestohlen, wie watson publik machte. In der Folge wurden unter anderem Daten des Bundesamts für Polizei (Fedpol) und des Bundesamts für Zoll und Grenzschutz (BAZG) im Darknet zugänglich gemacht. Und zwar auf der Leak-Site der russischsprachigen Ransomware-Bande Play, die wiederholt in der Schweiz zugeschlagen hat.
Xplain legte im Oktober 2023 Beschwerde ein gegen eine Verfügung der Bundesanwaltschaft (BA), gemäss welcher die Genfer Anwaltskanzlei Einsicht in sämtliche Informationen und Erkenntnisse der Strafuntersuchung erhalten sollte. Das Bundesstrafgericht hat diese Beschwerde in einem am Freitag veröffentlichten Beschluss vom Dezember gutgeheissen.
Der Bundesrat hatte die Durchführung einer Administrativuntersuchung im August angeordnet, womit das eidgenössische Finanzdepartement (EFD) die Anwaltskanzlei beauftragte. Die Beschwerdekammer kommt zum Schluss, dass es sich vorliegend nicht um ein Verwaltungsverfahren handle, das mit einer Verfügung abgeschlossen werde.
Vielmehr dürfe die beauftragte Kanzlei im Rahmen ihres Auftrages lediglich Weisungen erteilen, und ihre Untersuchung richte sich explizit nicht gegen bestimmte Personen. Als Abschluss werde das Anwaltsbüro einen Bericht vorlegen, der keine direkte rechtliche Wirkung habe. Eine Akteneinsicht sei aufgrund der gesetzlichen Grundlagen nicht zulässig.
Auch könne die BA entgegen ihrer Ansicht nicht steuern, wie die Kanzlei die Unterlagen verwende. Die Leitung der Administrativuntersuchung liege nicht in ihren Händen und die BA habe nicht die Kompetenz, Befragungen zu verhindern oder zu verzögern.
(dsc/sda)