Zehn Tage für die Beschlagnahme von Cloud-Daten
In drei verschiedenen Abkommen wollen europäische Regierungen den schnellen Zugang zu "elektronischen Beweismitteln" erreichen. Es geht um die polizeiliche Kooperation mit Internetfirmen in den USA
Die Europäische Kommission will die polizeiliche Abfrage persönlicher Daten bei Internetfirmen drastisch erleichtern. Ermittlungsbehörden sollen sogenannte "elektronische Beweismittel" zur Strafverfolgung direkt bei den Internetfirmen abfragen dürfen.
Vor einem Jahr hat die Kommission hierzu eine "E-Evidence"-Verordnung mit zwei neuen Maßnahmen vorgeschlagen: Nach einer "Sicherungsanordnung" müssen die Firmen zunächst eine Kopie der begehrten Daten anlegen. Anschließend können die Behörden deren Übermittlung mit einer "Herausgabeanordnung" verlangen. Die Unternehmen müssten den Justizbehörden des Anordnungsstaates innerhalb von zehn Tagen antworten. Im "Notfall", wenn Leib und Leben einer Person bedroht ist, verkürzt sich die Frist auf sechs Stunden. Bei Nichterfüllung der Anordnungen können die Firmen mit bis zu zwei Prozent ihres Jahresumsatzes bestraft werden.
Die Regierungen der EU-Mitgliedstaaten haben sich im Rat auf eine vorläufige Fassung der Verordnung geeinigt. Sie umfasst Teilnehmerdaten (Name, Geburtsdatum, Postanschrift, Telefonnummer), Zugangsdaten (Datum und Uhrzeit der Nutzung, IP-Adresse), Transaktionsdaten (Sende- und Empfangsdaten, Standort des Geräts, verwendetes Protokoll) sowie Inhaltsdaten. Diese können Text, Sprache, Videos, Bilder und Tonaufzeichnungen enthalten.
Die Vorschrift soll für alle Anbieter gelten, die in EU-Mitgliedstaaten Kommunikationsdienste anbieten, auch für sogenannte "Kleinstprovider" oder Domainregistrare. Unternehmen aus Drittstaaten sollen in der Europäischen Union eine Kontaktstelle zur Entgegennahme der Anordnungen einrichten. Derzeit umfasst die Verordnung alle Straftaten, die mit einer Mindesthöchststrafe von drei Jahren belegt sind. Der Text wird nun im Gesetzgebungsprozess mit dem Parlament und der Kommission beraten.
"CLOUD Act"
Laut der Kommission werden "elektronische Beweismittel" in rund 85 % aller strafrechtlichen Ermittlungen benötigt. Die größten Diensteanbieter haben ihren Sitz jedoch in den USA. Über das EU-US-Rechtshilfeabkommen oder bilaterale Verfahren zur gegenseitigen Anerkennung können Informationen schon jetzt bei den Firmen angefragt werden. Auf freiwilliger Basis geben manche US-Firmen sogar Nutzerdaten heraus, für Inhaltsdaten dauert der internationale Rechtsweg aber bis zu zehn Monate. Angeblich machen die EU-Mitgliedstaaten deshalb nur in rund 4.000 Fällen pro Jahr von der Prozedur Gebrauch.
Mit einem neuen Vorstoß sollen auch die US-Firmen zur Befolgung der EU-Verordnung zu "elektronischen Beweismitteln" gezwungen werden. Auf diese Weise würden sich die europäischen Behörden den mühseligen Rechtsweg sparen. Möglich wäre dies über den "CLOUD Act", den die US-Regierung im vergangenen Jahr erlassen hat. Er verpflichtet die in den USA niedergelassenen Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten. Dies gilt jedoch nur für Anfragen von US-Behörden, denn Herausgabeanordnungen aus der Europäischen Union könnten zu Konflikten mit US-Vorschriften führen.
Der "CLOUD Act" enthält eine Klausel, wonach Drittstaaten mit der US-Regierung als "Partnerstaaten" ein völkerrechtlich bindendes Durchführungsabkommen schließen können. Auf diese Weise könnten auch US-amerikanische Strafverfolgungsbehörden die Herausgabe von Informationen, die in der Europäischen Union gespeichert sind, verlangen. Ein solches Partnerabkommen umfasst auch Inhaltsdaten. Das FBI dürfte dann bei kleinen und großen Internetdienstleistern in Deutschland vorstellig werden, während deutsche Landeskriminalämter beispielsweise in den USA online gesicherte Geräte-Backups abfragen können.
Die EU-Kommission will nun für den "CLOUD Act" ein Rahmenabkommen aushandeln, das für alle Mitgliedstaaten der Europäischen Union gilt. Ein entsprechendes Mandat wird auf dem Treffen der Innen- und Justizminister nächste Woche in Brüssel beschlossen. Erste Gespräche mit der US-Regierung will die Kommission dann im Juni 2019 beginnen. Dort soll auch geklärt werden, wie die Kooperation im Rahmen des "CLOUD Act" mit dem EU-Datenschutzrecht vereinbar wäre.
Budapest-Konvention
Zusätzlich zur geplanten Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen sowie der Teilnahme am "CLOUD Act" verhandelt auch der Europarat über die schnelle Herausgabe "elektronischer Beweismittel". In 2001 haben die Mitglieder des Europarates das Budapester Übereinkommen über Computerkriminalität (Budapest-Konvention) verabschiedet. Sie regelt die Verfolgung grenzüberschreitender Kriminalität im Internet.
Außer den Europaratsmitgliedern haben auch Länder wie Australien, Kanada, die USA und Japan die Budapest-Konvention unterzeichnet. Die rund 50 beteiligten Regierungen arbeiten derzeit an einem Zweiten Zusatzprotokoll für vereinfachte Rechtshilfeverfahren sowie zur garantierten Kooperation der Internetfirmen.
Auch im Rahmen der Budapest-Konvention müssen die Anbieter direkt mit den Behörden kooperieren. Allerdings sollen nach derzeitigem Stand keine Inhaltsdaten herausverlangt werden, die Abfrage soll lediglich Nutzerdaten umfassen. Wie bei der "E-Evidence"-Verordnung ist jedoch geplant, dass die Firmen eine Sicherungsanordnung für die Daten befolgen müssen. Anschließend können die Behörden den gewohnten Rechtsweg beschreiten. Möglich wäre aber auch, die Firmen zur engeren Kooperation in Notfällen zu verpflichten.
Bis Dezember 2019 soll eine Arbeitsgruppe einen Entwurf für das Zusatzprotokoll ausarbeiten. Weil einige der Regelungen Unionsrecht betreffen, will auch hier die EU-Kommission stellvertretend für alle EU-Mitgliedstaaten verhandeln, ein Mandat dafür wird ebenfalls nächste Woche auf dem JI-Rat behandelt. Unklar ist, ob sich die nationalen Experten der Mitgliedstaaten dann weiterhin an den Verhandlungen zum Zweiten Zusatzprotokoll beteiligen können. Die Bundesregierung hat hierzu eine Mitarbeiterin des Bundesjustizministeriums entsandt.
Beiderseitige Strafbarkeit nicht notwendig
Die "E-Evidence"-Verordnung sieht vor, dass nur der Anordnungsstaat einen Straftatbestand prüft und anschließend einen richterlichen Beschluss erlässt. Eine beiderseitige Strafbarkeit muss nicht vorliegen. Die Rechtmäßigkeit einer Herausgabeanordnung würde also nach derzeitigem Stand ausschließlich von den privaten Firmen geprüft. Zu den strittigen Fragen gehört deshalb ein verbindliches Notifizierungsverfahren. Es soll sicherstellen, dass wenigstens derjenige Staat, auf dessen Hoheitsgebiet die betroffenen Internetfirmen ihre Kontaktstelle führen, über eine Herausgabeanordnung informiert wird.
Angeblich gelang es der Bundesregierung zu erreichen, dass im Entwurf der "E-Evidence"-Verordnung eine solche Notifizierung erfolgen muss. Diese wäre jedoch nur für die Preisgabe von sensiblen Inhaltsdaten vorgeschrieben, nicht für Verkehrs- oder Bestandsdaten. Der benachrichtigte Vollstreckungsstaat kann der Maßnahme auch nicht widersprechen oder sie verhindern, sondern lediglich "Bedenken erheben". Auf diese Weise sollen Journalisten, Abgeordnete oder andere Berufsgeheimnisträger vor der Ausforschung geschützt werden.
Für den Grundrechteschutz wäre es aber wichtiger, jenen Staat zu informieren, auf dessen Hoheitsgebiet sich die von einer Anordnung Betroffenen aufhalten oder deren Staatsangehörigkeit sie besitzen. Dies ist jedoch nicht vorgesehen.
Die Bundesregierung hofft, im Trilog mit dem Parlament und der Kommission Verbesserungen zu erreichen. So soll das Notifikationsverfahren eine "echte Widerspruchmöglichkeit" erhalten, außerdem soll ein drohender Grundrechteverstoß als "berechtigter Einwand" gelten. Das deutsche Justizministerium will die "E-Evidence"-Verordnung außerdem nur für schwere Straftaten mit einer Strafe ab fünf Jahren Freiheitsentzug gelten lassen. Aussichtsreich ist das nicht, da sich die meisten Regierungen bereits gegen weitere Verschärfungen ausgesprochen haben. Allerdings könnte das Parlament in den strittigen Fragen Einspruch erheben.
In einer anderen Frage konnte sich die Bundesregierung ebenfalls nicht durchsetzen. So hatten sich die deutschen Delegierten in Brüssel dafür ausgesprochen, im Rahmen der "E-Evidence"-Verordnung auch den "Direktzugriff" auf Daten in der Cloud europaweit einheitlich zu regeln. Dies ginge nur, wenn die Behörden über eine Schnittstelle auf die Server zugreifen dürften. Das Justizministerium beschreibt dies als "Datenzugriffe, die ohne Hilfeleistung durch die Provider möglich sind". Der Kommission ging dies jedoch zu weit. Weil über einen solchen Vorstoß vermutlich keine Einigung erzielt werden kann, wurde der deutsche Vorschlag aus dem Verordnungsentwurf gestrichen.