Strafverfolgung in der Cloud: UN wollen grundrechtssichere Lösung zum internationalen Datenzugriff

Der UN-Beauftragte für Datenschutz bringt eine "Internationale Datenzugriffsbehörde" mit unabhängigen Richtern ins Spiel, die über grenzüberschreitende Anfragen von Sicherheitsbehörden entscheiden soll. Die EU arbeitet an einer Pflicht zur Datenherausgabe

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Großrechner
Lesezeit: 5 Min.
Inhaltsverzeichnis

Während der Supreme Court der USA über der Frage brütet, ob Microsoft der US-Regierung private Daten aus anderen Ländern frei Haus liefern muss, und die EU-Kommission an Normen zur grenzüberschreitenden "digitalen Beweissicherung" arbeitet, liegt auf der Ebene der Vereinten Nationen seit Kurzem schon ein Kompromisspapier auf dem Tisch. Der UN-Sonderbeauftragte für Datenschutz, Joseph Cannataci, schlägt darin einen "kosteneffektiven und privatsphärenfreundlichen Mechanismus" vor, über den Staaten zur Verfolgung schwerer Straftaten einschließlich Terrorismus Zugang zu persönlichen Daten in fremden Territorien erlangen könnten.

Kern der Initiative des maltesischen Rechtsprofessors ist eine "Internationale Datenzugriffsbehörde", die über grenzüberschreitende Anfragen von Sicherheitsbehörden aus den beteiligten Staaten entscheiden und gegebenenfalls einen entsprechenden Beschluss in Form eines "International Data Access Warrant" (IDAW) ausstellen soll. Wesentliche Komponente der Einrichtung ist laut dem Papier eine gerichtsähnliche Kammer mit drei bis fünf unabhängigen Richtern, die von den Vertragsparteien entsandt werden. Ihr zur Seite stehen soll ein Internationales Komitee von Menschenrechtsverteidigern, wie es der US-Kongress ähnlich beim geheim tagenden Überwachungsgericht FISC eingeführt hat.

Eine Berufungsinstanz in Form eines speziellen Tribunals ist ebenfalls vorgesehen. Ziel ist es, ein angemessenes Rahmenwerk für grenzüberschreitende Datenzugriffe zu etablieren, das der Rechtsstaatlichkeit verpflichtet ist und im Einklang steht mit internationalen Menschenrechtsprinzipien. Die nationale Souveränität und Rechtsprechung soll damit nicht unterlaufen, aber quasi in das internationale Rechtsinstitut ausgelagert werden, um im Einklang mit den praktischen Anforderungen von Ermittlern und Geheimdiensten rascher einen rechtssicheren Beschluss erzielen zu können.

Das Richterpanel werde online über abgesicherte Videokonferenzen sehr schnell und theoretisch rund um die Uhr über einen Antrag entscheiden können, heißt es in dem zuletzt Mitte Februar bei einer Expertenkonferenz auf Malta behandelten Vorschlag. Die Kammer werde ähnlich arbeiten wie erfolgreich tätige Streitbeilegungsgremien im Rahmen etwa der Weltorganisation für geistiges Eigentum (WIPO) und in Fragen von Top Level Domains (TLDs). Das Verfahren soll Anfragen über bestehende gegenseitige Rechtshilfeabkommen ergänzen, die sich oft über Monate oder gar Jahre hinziehen.

Der internationale Zugriffsbeschluss erleichtere es auch Unternehmen, mit Ersuchen nach Daten von ausländischen Sicherheitsbehörden umzugehen, wirbt Cannataci für das Konzept. Legten diese einen IDAW vor, könnten die Firmen sicher sein, dass mit einer solchen Durchsuchungsanordnung die Grundrechte der Betroffenen ausreichend geschützt würden und auch das Recht des Staates beachtet werde, in dem das Rechenzentrum stehe.

Insgesamt will der Sonderbeauftragte mit dem Vorhaben die staatliche Überwachung einhegen. Einschlägige bestehende und neue technische Systeme müssten eine "Menschenrechtsfolgeabschätzung" durchlaufen, automatisierte Scoring-Entscheidungen etwa bei No-Fly-Listen dürfte es nicht mehr geben. Staaten soll es zudem untersagt werden, Dienste- oder Hardwareanbieter dazu zu verdonnern, Sicherheitstechniken wie Verschlüsselung zu schwächen.

Die EU-Kommission will derweil voraussichtlich Ende März eine eigene Gesetzesinitiative starten, mit der Strafverfolger "elektronische Beweismittel" von Providern besser und länger sichern können sollen. Die Rede ist vor allem von Bestandsdaten wie Name und Anschrift oder möglicherweise Zugangskennungen und Passwörtern, aber voraussichtlich geht es allgemein um den Zugriff auf Daten in der Cloud. Der EU-Rat hatte die Brüsseler Regierungsinstitution im Juni 2016 aufgefordert, ein entsprechendes Instrumentarium auf den Weg zu bringen.

Laut einem Reuters-Bericht neigt die Kommission dazu, auf einen Kurs ähnlich dem der US-Regierung umzusteuern. Die Rede ist von einer Pflicht für Online-Anbieter mit einer Niederlassung in der EU, Daten ihrer Nutzer auch dann auf Grundlage eines Gerichtsbeschlusses herausgeben zu müssen, wenn diese in Drittstaaten gespeichert sind. Bisher sollte es nur darum gehen, Ermittlern den Zugang zu Informationen zu erleichtern, die in anderen EU-Ländern liegen. Vera Jourová habe sich inzwischen aber der Ansicht von Strafverfolgern angeschlossen, dass die gängigen Mechanismen über Rechtshilfeabkommen "sehr langsam und ineffizient" seien.

Wie heise online aus Brüsseler Kreisen erfuhr, streiten sich die Generaldirektionen für Inneres und Justiz der Kommission aber wohl noch über die Ausrichtung des Gesetzesvorschlags. Ausgemacht sei noch nichts, ein Entwurf liege noch nicht auf dem Tisch, ist zu vernehmen.

Im Microsoft-Fall hatte sich die Brüsseler Regierungseinrichtung noch zögerlich auf die Seite des Softwareriesen geschlagen. EU-Parlamentarier kamen fraktionsübergreifend zum Schluss, dass mit der Anerkennung des US-Durchsuchungsbefehls eine ganze Reihe internationaler Vereinbarungen über den Haufen geworfen und ein Verstoß gegen die Grundrechte der EU-Bürger gutgeheißen würde. US-Datenschutzaktivisten warnten vor einem globalen "Freifahrtschein" für alle nationalen Gerichtsbarkeiten. Sollte der Oberste Gerichtshof die Ansicht des US-Justizministeriums teilen, könnte jedes auch noch so autoritäre Land mit einem nationalen Beschluss "überall auf der Welt gespeicherte Daten abfragen". (jk)