E-Evidence: Datenschutz vs. Strafrecht
Die Europäische Kommission präsentierte ein neues Maßnahmenpaket zum Ausbau der Sicherheitsunion. Das Ziel ist es, Terrorismus und Straftaten, die im Internet stattfinden, weiter einzuschränken. Teil dieses Maßnahmenpaketes ist die E-Evidence-Verordnung (bzw. E-Evidence-Richtlinie). Lesen Sie hier, in welchem Status der Verhandlungen sich E-Evidence befindet, welche Änderungsanträge derzeit im Raum stehen und welche Probleme Datenschützerinnen und Datenschützer bei E-Evidence sehen.
Die internationale Zusammenarbeit der Justizbehörden
Die Justiz ist, wie viele andere Bereiche auch, national geregelt. Jeder EU-Mitgliedsstaat hat sein eigenes Strafrecht und seine eigenen Strafverfolgungsbehörden. Bei grenzüberschreitenden Straftaten kommt es derzeit zu sehr langen Bearbeitungszeiten, wenn es darum geht, Beweismittel in einem anderen Land sicherzustellen. Die EU-Innenminister (JI-Rat) unterstützen deshalb den großen Wunsch, die bisherigen Rechtshilfeverfahren (Mutual Legal Assistance Treaties, Abk.: MLAT) deutlich zu verkürzen.
Ein weiteres Problem besteht aufgrund der unterschiedlichen Rechtsbestimmungen in der EU und den USA. In der Europäischen Union besteht durch die Datenschutz-Grundverordnung (DSGVO) ein besonderer Datenschutz. In den USA hingegen besteht durch den CLOUD Act für die Strafverfolgungsbehörden eine erweiterte Zugriffsmöglichkeit auf Daten. Wegen der internationalen Verflechtung des Datenverkehrs und den global agierenden Cloud-Speicher-Anbietern kommt es durch die unterschiedliche Rechtspraxis zu Problemen.
Die Europäische Union und die Elektronische Beweismittel
Dass sich die Behörden besseren Zugang zu elektronischen Beweismitteln wünschen und dass Datenschützer dem konsequent entgegenhalten, ist ein altbekanntes Muster. Dennoch lohnt sich ein genauerer Blick auf die Situation innerhalb der EU.
Die zunehmende Digitalisierung im Alltag führt zu einer ständig wachsenden Zahl an Datenspuren. So sammeln nicht nur unsere Telefone Informationen über uns. Eine Vielzahl an smarten Geräten erstellt Informationen, die bei der Aufklärung von Verbrechen hilfreich sein können. Denken Sie zum Beispiel an elektronische Türschlösser, Überwachungskameras in Wohnräumen oder Smart-Home-Lautsprecher. Den Ermittlungsbehörden müssten von Jahr zu Jahr mehr Daten zur Verfügung stehen. Stattdessen heißt es, dass aufgrund von Verschlüsselung immer weniger Straftaten aufgeklärt werden können.
EU-E-Evidence: Die Grundgedanken
E-Evidence führt eine sogenannte Herausgabeanordnung ein. Sie kann von einem Mitgliedsstaat gestellt werden und muss dann in dem Mitgliedsstaat ausgeführt werden, indem die Beweise gespeichert sind. Man spricht dann von Anordnungsstaat und Vollstreckungsstaat.
Gemäß dieser Herausgabeanordnung können im Rahmen von Ermittlungen vier Kategorien von Daten angefordert werden:
- Subscriber Data: Identitäts- und Adressdaten von Kundinnen und Kunden, welche Dienste gebucht wurden und wie gezahlt wird, also Bestandsdaten.
- Access Data: Metadaten zur konkreten Inanspruchnahme eines Dienstes: Datum und Uhrzeit, IP-Adresse, User-ID.
- Transactional Data: Metadaten zur Art der Nutzung von Diensten: Absender und Empfänger von E-Mails, Geolokation der Endgeräte, genutzte Protokolle.
- Content Data: Gespeicherte Inhaltsdaten, also Text, Bild, Ton oder Video.
Betroffen – im Sinne von zur Herausgabe verpflichtet – wären in erster Linie Cloud-Speicher-Anbieter. Doch auch Telekommunikationsunternehmen und Soziale Netzwerke müssten dann auf Anfrage ausländischer Behörden Informationen von EU-Bürgerinnen und -Bürgern herausgeben. Noch offen ist, ob auch Finanzdienstleister durch E-Evidence zur Herausgabe von Daten gezwungen werden können.
Probleme mit dem Strafgesetz
Ein großes Problem bei der Zusammenarbeit im Rahmen von Ermittlungen innerhalb der Europäischen Union sind die 27 unterschiedlichen Strafrechte der Mitgliedsstaaten. Was in einem Land erlaubt ist, wird in einem anderen Land mit mehrjähriger Freiheitsstrafe geahndet. Unterschiede gibt es beispielsweise im Bereich von Schwangerschaftsabbrüchen, Holocaust-Leugnung und bei der Einstufung von Berufsgeheimnisträgerinnen und -trägern. Hier sind zwar verschiedene Einschränkungen vorgesehen, doch die aktuelle Fassung birgt dennoch große Risiken.
Auch ohne E-Evidence gab es bereits Konflikte in den genannten Bereichen. Vor allem im Hinblick auf Mitgliedsstaaten, die Probleme mit der Rechtsstaatlichkeit haben (Polen und Ungarn) ist die Schaffung neuer, mächtiger Rechtsmittel eine brisante Angelegenheit. Es besteht die Gefahr, dass Gerichte aus diesen Ländern Journalisten, Aktivistinnen und Oppositionelle in anderen Ländern verfolgen.
Probleme mit der Prüfung der Rechtmäßigkeit
In der aktuellen Fassung der E-Evidence wird der Ablauf einer Herausgabeanordnung so beschrieben, dass die Prüfung der Rechtmäßigkeit der Anordnung von dem Unternehmen (Cloud-Provider, Telekommunikations-Anbieter, Soziales Netzwerk) vorgenommen wird, das die Anordnung erhält. Damit würden diese privatwirtschaftlichen Unternehmen dazu gezwungen werden, Aufgaben zu erledigen, die eigentlich staatlichen Stellen vorbehalten sind.
Das EU-Parlament sieht hier einen ganz anderen Weg: Die Herausgabeverordnung soll zunächst im Vollstreckungsstaat dahingehend geprüft werden, ob es sich um eine politisch motivierte Ermittlung handelt. Würde man das Verfahren dahingehend ändern, könnten so auch Grundrechte wie die freie Meinungsäußerung und die Pressefreiheit wirkungsvoll vor Repressalien aus dem Ausland geschützt werden.
Dazu Tom Jenissen, Digitale Gesellschaft e.V.
Der Schutz von Berufsgeheimnisträgerinnen und -trägern, insbesondere Journalistinnen und Journalisten ist unzureichend ausgestaltet. Selbst wenn das Parlament sich durchsetzen sollte, werden keine europäischen Mindeststandards für die Herausgabe von derartigen Daten eingeführt. Stattdessen ist ein kompliziertes System verschiedener Schutzniveaus vorgesehen, die von den Rechtssystemen der Vollstreckungsstaaten und/oder der Länder, in denen die betroffene Person ansässig ist, abhängig und dessen Praxistauglichkeit äußerst zweifelhaft ist.
Der Vorschlag des EU-Parlaments könnte ermöglichen, die Geheimnisse von Berufsgeheimnisträgerinnen und -trägern und Personen mit Immunität zu schützen. Beides wird im aktuellen Entwurf der Kommission nicht berücksichtigt. Das Parlament schlägt außerdem eine Plattform zur Abwicklung des Datenaustauschs zu Strafverfolgungszwecken vor. Diese könnte die Schnittstelle zwischen den Behörden der Mitgliedsstaaten sein.
Zur Prüfung der Rechtmäßigkeit soll auch eine Benachrichtigungspflicht hinzukommen. Hier sieht das EU-Parlament Nachholbedarf, denn eine solche Pflicht ist derzeit nicht vorgesehen. Doch um in einem Rechtsstreit Waffengleichheit zu schaffen und den verdächtigten Personen die Möglichkeit zu geben, sich zu verteidigen, müssen diese darüber informiert werden, dass persönliche Informationen und Dateien angefordert wurden.
Sergey Lagodinsky, Mitglied des Europäischen Parlaments (Bündnis 90/Die Grünen) fasst die Situation in einem Fachgespräch so zusammen:
Die Leute denken, das ist nur ein kleines Detail im Strafverfahren. [Aber] hier geht es um Daten und darum, wie einfach es für einen Staatsanwalt aus dem Ausland, den Sie nicht einmal kennen, und in einem Verfahren, das Sie nicht einmal kennen, wäre, Ihre Daten automatisch zu erhalten, ohne dass die Behörden Ihres Heimatlandes auch nur einen Blick darauf werfen oder etwas dagegen unternehmen könnten.
E-Evidence: Verordnung oder Richtlinie?
Die EU-Kommission hat E-Evidence ursprünglich als Richtlinie geplant. Das Parlament fordert nun, dass daraus eine Verordnung wird. Das hätte den Vorteil, dass die Mitgliedsstaaten bei der Umsetzung keinen Spielraum haben.
E-Evidence liegt sowohl als Richtlinie als auch als Verordnung vor und kann eingesehen werden.
Der nächste Schritt sind die sogenannten „Trilog“-Verhandlungen zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission, in denen die endgültige Fassung ausgearbeitet wird. Den Status des Verfahrens kann man hier einsehen.
Das müssen Sie jetzt wissen
Derzeit befindet sich E-Evidence noch im Entwurfsstatus. Das Parlament hat nun die Möglichkeit, in mehreren Verhandlungsrunden seine Forderungen durchzusetzen. EU-Bürgerrechtler sind optimistisch, dass die Wahrung von Grundrechten in den nächsten Versionen berücksichtigt werden wird. Doch um sicherzugehen sollten Sie unbedingt überprüfen, ob Ihre Daten in der Cloud ausreichend geschützt sind, sprich mit Ende-zu-Ende-Verschlüsselung.
Auch auf nationaler Ebene sollen die Strafverfolgungsbehörden erweiterte Zugriffsrechte auf Cloud-Daten bekommen. So legte die Bundesregierung kürzlich einen Entwurf für das Gesetz zur Fortentwicklung der Strafprozessordnung und anderer Vorschriften vor. Alle Details dazu erfahren Sie in dem Artikel In aller Heimlichkeit auf Netzpolitik.org.