Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

E-Evidence
Lisa

Lisa Figas | Marketing Manager

@meet_lisa

E-Evidence: Datenschutz vs. Strafrecht

Die Europäische Kommission präsentierte ein neues Maßnahmenpaket zum Ausbau der Sicherheitsunion. Das Ziel ist es, Terrorismus und Straftaten, die im Internet stattfinden, weiter einzuschränken. Teil dieses Maßnahmenpaketes ist die E-Evidence-Verordnung (bzw. E-Evidence-Richtlinie). Lesen Sie hier, in welchem Status der Verhandlungen sich E-Evidence befindet, welche Änderungsanträge derzeit im Raum stehen und welche Probleme Datenschützerinnen und Datenschützer bei E-Evidence sehen.

Die internationale Zusammenarbeit der Justizbehörden

Die Justiz ist, wie viele andere Bereiche auch, national geregelt. Jeder EU-Mitgliedsstaat hat sein eigenes Strafrecht und seine eigenen Strafverfolgungsbehörden. Bei grenzüberschreitenden Straftaten kommt es derzeit zu sehr langen Bearbeitungszeiten, wenn es darum geht, Beweismittel in einem anderen Land sicherzustellen. Die EU-Innenminister (JI-Rat) unterstützen deshalb den großen Wunsch, die bisherigen Rechtshilfeverfahren (Mutual Legal Assistance Treaties, Abk.: MLAT) deutlich zu verkürzen.

Ein weiteres Problem besteht aufgrund der unterschiedlichen Rechtsbestimmungen in der EU und den USA. In der Europäischen Union besteht durch die Datenschutz-Grundverordnung (DSGVO) ein besonderer Datenschutz. In den USA hingegen besteht durch den CLOUD Act für die Strafverfolgungsbehörden eine erweiterte Zugriffsmöglichkeit auf Daten. Wegen der internationalen Verflechtung des Datenverkehrs und den global agierenden Cloud-Speicher-Anbietern kommt es durch die unterschiedliche Rechtspraxis zu Problemen.

Die Europäische Union und die Elektronische Beweismittel

Dass sich die Behörden besseren Zugang zu elektronischen Beweismitteln wünschen und dass Datenschützer dem konsequent entgegenhalten, ist ein altbekanntes Muster. Dennoch lohnt sich ein genauerer Blick auf die Situation innerhalb der EU.

Die zunehmende Digitalisierung im Alltag führt zu einer ständig wachsenden Zahl an Datenspuren. So sammeln nicht nur unsere Telefone Informationen über uns. Eine Vielzahl an smarten Geräten erstellt Informationen, die bei der Aufklärung von Verbrechen hilfreich sein können. Denken Sie zum Beispiel an elektronische Türschlösser, Überwachungskameras in Wohnräumen oder Smart-Home-Lautsprecher. Den Ermittlungsbehörden müssten von Jahr zu Jahr mehr Daten zur Verfügung stehen. Stattdessen heißt es, dass aufgrund von Verschlüsselung immer weniger Straftaten aufgeklärt werden können.

EU-E-Evidence: Die Grundgedanken

E-Evidence führt eine sogenannte Herausgabeanordnung ein. Sie kann von einem Mitgliedsstaat gestellt werden und muss dann in dem Mitgliedsstaat ausgeführt werden, indem die Beweise gespeichert sind. Man spricht dann von Anordnungsstaat und Vollstreckungsstaat.

E-Evidence: Beschreibung des Ablaufs einer Herausgabeanordnung die von Mitgliedsstaat A an Mitgliedsstaat B übermittelt wird.

Gemäß dieser Herausgabeanordnung können im Rahmen von Ermittlungen vier Kategorien von Daten angefordert werden:

  • Subscriber Data: Identitäts- und Adressdaten von Kundinnen und Kunden, welche Dienste gebucht wurden und wie gezahlt wird, also Bestandsdaten.
  • Access Data: Metadaten zur konkreten Inanspruchnahme eines Dienstes: Datum und Uhrzeit, IP-Adresse, User-ID.
  • Transactional Data: Metadaten zur Art der Nutzung von Diensten: Absender und Empfänger von E-Mails, Geolokation der Endgeräte, genutzte Protokolle.
  • Content Data: Gespeicherte Inhaltsdaten, also Text, Bild, Ton oder Video.

Betroffen – im Sinne von zur Herausgabe verpflichtet – wären in erster Linie Cloud-Speicher-Anbieter. Doch auch Telekommunikationsunternehmen und Soziale Netzwerke müssten dann auf Anfrage ausländischer Behörden Informationen von EU-Bürgerinnen und -Bürgern herausgeben. Noch offen ist, ob auch Finanzdienstleister durch E-Evidence zur Herausgabe von Daten gezwungen werden können.

Probleme mit dem Strafgesetz

Ein großes Problem bei der Zusammenarbeit im Rahmen von Ermittlungen innerhalb der Europäischen Union sind die 27 unterschiedlichen Strafrechte der Mitgliedsstaaten. Was in einem Land erlaubt ist, wird in einem anderen Land mit mehrjähriger Freiheitsstrafe geahndet. Unterschiede gibt es beispielsweise im Bereich von Schwangerschaftsabbrüchen, Holocaust-Leugnung und bei der Einstufung von Berufsgeheimnisträgerinnen und -trägern. Hier sind zwar verschiedene Einschränkungen vorgesehen, doch die aktuelle Fassung birgt dennoch große Risiken.

Auch ohne E-Evidence gab es bereits Konflikte in den genannten Bereichen. Vor allem im Hinblick auf Mitgliedsstaaten, die Probleme mit der Rechtsstaatlichkeit haben (Polen und Ungarn) ist die Schaffung neuer, mächtiger Rechtsmittel eine brisante Angelegenheit. Es besteht die Gefahr, dass Gerichte aus diesen Ländern Journalisten, Aktivistinnen und Oppositionelle in anderen Ländern verfolgen.

Probleme mit der Prüfung der Rechtmäßigkeit

In der aktuellen Fassung der E-Evidence wird der Ablauf einer Herausgabeanordnung so beschrieben, dass die Prüfung der Rechtmäßigkeit der Anordnung von dem Unternehmen (Cloud-Provider, Telekommunikations-Anbieter, Soziales Netzwerk) vorgenommen wird, das die Anordnung erhält. Damit würden diese privatwirtschaftlichen Unternehmen dazu gezwungen werden, Aufgaben zu erledigen, die eigentlich staatlichen Stellen vorbehalten sind.

Das EU-Parlament sieht hier einen ganz anderen Weg: Die Herausgabeverordnung soll zunächst im Vollstreckungsstaat dahingehend geprüft werden, ob es sich um eine politisch motivierte Ermittlung handelt. Würde man das Verfahren dahingehend ändern, könnten so auch Grundrechte wie die freie Meinungsäußerung und die Pressefreiheit wirkungsvoll vor Repressalien aus dem Ausland geschützt werden.

Dazu Tom Jenissen, Digitale Gesellschaft e.V.

Der Schutz von Berufsgeheimnisträgerinnen und -trägern, insbesondere Journalistinnen und Journalisten ist unzureichend ausgestaltet. Selbst wenn das Parlament sich durchsetzen sollte, werden keine europäischen Mindeststandards für die Herausgabe von derartigen Daten eingeführt. Stattdessen ist ein kompliziertes System verschiedener Schutzniveaus vorgesehen, die von den Rechtssystemen der Vollstreckungsstaaten und/oder der Länder, in denen die betroffene Person ansässig ist, abhängig und dessen Praxistauglichkeit äußerst zweifelhaft ist.

Der Vorschlag des EU-Parlaments könnte ermöglichen, die Geheimnisse von Berufsgeheimnisträgerinnen und -trägern und Personen mit Immunität zu schützen. Beides wird im aktuellen Entwurf der Kommission nicht berücksichtigt. Das Parlament schlägt außerdem eine Plattform zur Abwicklung des Datenaustauschs zu Strafverfolgungszwecken vor. Diese könnte die Schnittstelle zwischen den Behörden der Mitgliedsstaaten sein.

Zur Prüfung der Rechtmäßigkeit soll auch eine Benachrichtigungspflicht hinzukommen. Hier sieht das EU-Parlament Nachholbedarf, denn eine solche Pflicht ist derzeit nicht vorgesehen. Doch um in einem Rechtsstreit Waffengleichheit zu schaffen und den verdächtigten Personen die Möglichkeit zu geben, sich zu verteidigen, müssen diese darüber informiert werden, dass persönliche Informationen und Dateien angefordert wurden.

Sergey Lagodinsky, Mitglied des Europäischen Parlaments (Bündnis 90/Die Grünen) fasst die Situation in einem Fachgespräch so zusammen:

Die Leute denken, das ist nur ein kleines Detail im Strafverfahren. [Aber] hier geht es um Daten und darum, wie einfach es für einen Staatsanwalt aus dem Ausland, den Sie nicht einmal kennen, und in einem Verfahren, das Sie nicht einmal kennen, wäre, Ihre Daten automatisch zu erhalten, ohne dass die Behörden Ihres Heimatlandes auch nur einen Blick darauf werfen oder etwas dagegen unternehmen könnten.

E-Evidence: Verordnung oder Richtlinie?

Die EU-Kommission hat E-Evidence ursprünglich als Richtlinie geplant. Das Parlament fordert nun, dass daraus eine Verordnung wird. Das hätte den Vorteil, dass die Mitgliedsstaaten bei der Umsetzung keinen Spielraum haben.

E-Evidence liegt sowohl als Richtlinie als auch als Verordnung vor und kann eingesehen werden.

Der nächste Schritt sind die sogenannten „Trilog“-Verhandlungen zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission, in denen die endgültige Fassung ausgearbeitet wird. Den Status des Verfahrens kann man hier einsehen.

Das müssen Sie jetzt wissen

Derzeit befindet sich E-Evidence noch im Entwurfsstatus. Das Parlament hat nun die Möglichkeit, in mehreren Verhandlungsrunden seine Forderungen durchzusetzen. EU-Bürgerrechtler sind optimistisch, dass die Wahrung von Grundrechten in den nächsten Versionen berücksichtigt werden wird. Doch um sicherzugehen sollten Sie unbedingt überprüfen, ob Ihre Daten in der Cloud ausreichend geschützt sind, sprich mit Ende-zu-Ende-Verschlüsselung.

Auch auf nationaler Ebene sollen die Strafverfolgungsbehörden erweiterte Zugriffsrechte auf Cloud-Daten bekommen. So legte die Bundesregierung kürzlich einen Entwurf für das Gesetz zur Fortentwicklung der Strafprozessordnung und anderer Vorschriften vor. Alle Details dazu erfahren Sie in dem Artikel In aller Heimlichkeit auf Netzpolitik.org.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.