E-Evidence-Verordnung als weltweites Datenabfrage-Monster?

Die Herausgabe von Daten soll nicht mehr davon abhängig sein, ob die verfolgte Tat dort, wo die Daten liegen, überhaupt strafbar ist

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 7. November 2018 eine Entschließung zur E-Evidence-Verordnung veröffentlicht, die dazu dienen soll, dass Ermittlungsbehörden ohne förmliches Rechtshilfeverfahren weltweit direkten Zugriff Kommunikationsdaten erhalten und diese alle Anbieter von Telekommunikations- und Internetdienstleistungen sowohl in anderen Mitgliedstaaten der EU als auch in Staaten außerhalb der EU (Drittstaaten) unmittelbar zur Herausgabe von Bestands-, Zugangs-, Transaktions- und Inhaltsdaten verpflichten können.

Die von der EU-Kommission vorgeschlagenen neuen Vorschriften sollen es Polizei- und Justizbehörden erleichtern auf elektronische Beweismittel wie E-Mails oder in der Cloud gespeicherte Dokumente zugreifen zu können, welche sie für Ermittlungen sowie die strafrechtliche Verfolgung und Verurteilung von Straftätern und Terroristen glauben zu benötigen.

Die neuen Vorschriften sollen es den Strafverfolgungsbehörden der EU-Mitgliedstaaten erleichtern, im Internet Ermittlungen durchzuführen und entsprechenden Indizien grenzüberschreitend nachzugehen. Gleichzeitig sollen die neuen Vorschriften jedoch sicherstellen, dass die einschlägigen Rechte und Freiheiten aller Beteiligten gewahrt bleiben.

Die EU-Kommission hatte diese Vorschläge in einer Pressemitteilung aus Brüssel am 17. April 2018 erstmals für die allgemeine Öffentlichkeit kommuniziert. Mit dem gleichen Datum wurde der Text der Vorschläge in Straßburg veröffentlicht. Die Brisanz dieser Vorschläge blieb über den Sommer der breiteren Öffentlichkeit weitestgehend verborgen.

Begründung für die vorgeschlagenen Maßnahmen

Die Kommission geht davon aus, dass heutzutage alle Straftäter und Terroristen Textnachrichten, E-Mails und Apps zur Kommunikation benutzen. Bei mehr als der Hälfte aller strafrechtlichen Ermittlungen müsse früher oder später ein grenzüberschreitender Antrag auf Übermittlung elektronischer Beweismittel gestellt werden, über die ein Diensteanbieter mit Sitz in einem anderen Mitgliedstaat oder außerhalb der EU verfüge. Für die Übermittlung solcher Daten bedürfe es justizieller Zusammenarbeit und gegenseitiger Rechtshilfe.

Die entsprechenden Verfahren seien gegenwärtig viel zu langsam und zu umständlich. Heutzutage könnten fast zwei Drittel der Straftaten, bei denen in einem anderen Land elektronische Beweismittel vorlägen, nicht ordnungsgemäß untersucht oder strafrechtlich verfolgt werden. Dies läge insbesondere daran, dass die Sammlung der Beweise zu lange dauere oder die unterschiedlichen Rechtsrahmen dies verhinderten. Mit den neuen Vorschriften wolle die EU-Kommission die Beschaffung elektronischer Beweismittel vereinfachen und beschleunigen.

Der Niederländer Franciscus Cornelis Gerardus Maria "Frans" Timmermans, Erster Vizepräsident der EU-Kommission und EU-Kommissar für Bessere Rechtssetzung, interinstitutionelle Beziehungen, Rechtsstaatlichkeit und Grundrechtecharta erklärte zu dem Kommissionsvorschlag:

Elektronische Beweismittel werden in Strafverfahren immer wichtiger. Wir dürfen nicht zulassen, dass Straftäter und Terroristen die heutigen elektronischen Kommunikationstechnologien einsetzen, um Straftaten zu vertuschen und sich der Justiz zu entziehen. Es darf keine Schlupfwinkel für Straftäter und Terroristen in Europa geben, weder online noch offline. Die heutigen Vorschläge sehen die Schaffung neuer Instrumente vor, die es nicht nur den zuständigen Behörden ermöglichen, elektronische Beweise rasch und effizient grenzüberschreitend zu sammeln, sondern die auch solide Vorkehrungen zur Wahrung der Rechte und Freiheiten aller Betroffenen enthalten.

(Frans Timmermans)

Änderungen der Rahmenbedingungen für internationale Internetdienstleister

Da Ermittler künftig einfacher an elektronische Beweise kommen sollen, wenn der Dienst in einem Mitgliedstaat der EU angeboten wird und dies unabhängig davon, wo ein Anbieter seinen Sitz hat und wo die Daten tatsächlich gespeichert werden, will man die Anbieter von Kommunikationsdiensten wie Chatprogrammen oder E-Mails zunächst dazu verpflichten, einen gesetzlichen Vertreter innerhalb der EU zu benennen.

Mit Hilfe der direkten Ansprache des gesetzlichen Vertreters sollen die Ermittler dann ohne Rechtshilfeersuchen direkt die gesuchten Daten anfordern können. Zwar soll ein Richter muss die Anfrage befürworten müssen. Ob er die Möglichkeit hat, das Vorgehen abzulehnen, wenn der verfolgte Tatbestand im Land des Anbieters und seines Serverstandortes nicht strafbar ist, scheint derzeit zumindest umstritten.

Zeitdruck bei der Datenübermittlung

In Artikel 8 der Vorschläge die europäische Ermittlungs- (European Production and Preservation Order Certificate / EPOC) sowie die europäische Sicherungsanordnung (European Preservation Order Certificate / EPOC-PR) eingeführt, dessen Ausführung im folgenden Artikel näher beschrieben wird. So beträgt die Deadline für die Beantwortung der Anfragen der Strafverfolgungsbehörden üblicherweise zehn Tage. Sie kann in dringenden Fällen allerdings auf sechs Stunden verkürzt werden.

Mögliche Probleme aufgrund einer Zeitverschiebung zwischen den globalen Serverstandorten sollten aufgrund des gesetzlichen Vertreters innerhalb der EU nicht bestehen. Die für die Datenabfrage vorgesehenen Formulare sind den Vorschlägen der EU-Kommission als Annex I, beziehungsweise Annex II beigefügt.

Einwände des Verbands der Internetwirtschaft - eco

Eco gibt zu bedenken, dass es einem globalen Diensteanbieter durchaus Probleme bereiten könnte, die Berechtigung einer Anordnung zur Datenherausgabe oder Datensicherung einzuschätzen. Die große Zahl an Ermittlungsbehörden, die bei einem Umsetzen der Vorschläge EU-Kommission laut Artikel Herausgabe- oder Sicherungsanordnungen erlassen könnten, sind für einen Diensteanbieter schier unüberschaubar.

Alleine in Deutschland gebe es 117 Staatsanwaltschaften, 638 Amtsgerichte und 115 Landgerichte. Daneben gebe es noch zahlreiche Fachgerichte. Selbst das viel kleinere Österreich verfügt über 20 (Ober-)Staatsanwaltschaften, 114 Bezirks- und 18 Landesgerichte. Die unterschiedliche Organisation der Justiz in den einzelnen Ländern sorgt dafür, dass ein Diensteanbieter kaum abschätzen kann, welche Behörden oder Personen wirklich autorisiert sind, die Daten anzufordern.

Ob das verfolgte Delikt am Serverstandort strafbar ist, ist nicht relevant

Neben dem in der Praxis bestehenden Problem, dass die große Zahl der möglicherweise berechtigten Strafverfolgungsbehörden im globalen Maßstab für einen Diensteanbieter kaum mit der notwendigen Sicherheit überprüft werden kann und sich somit das Risiko nicht von der Hand weisen lässt, dass die Daten an Nicht-Berechtigte übermittelt werden, dürfte auch die Tatsache für Verwirrung sorgen, dass für ein Tatbestand nur im Nachfrageland eine Strafbarkeit zu bestehen braucht.

Ob diese am Standort des Dienstleisters auch besteht, scheint nicht relevant zu sein. Das könnte zum Beispiel ein in Deutschland erlaubter Schwangerschaftsabbruch oder eine politische Meinungsäußerung sein, wenn diese im ersuchenden Staat strafbewehrt ist. Die angefragten Provider sehen sich im Falle der Umsetzung der Vorschläge der EU-Kommission nicht mehr den Justizbehörden des eigenen Staates gegenüber, sondern müssen sich in der Praxis mit den Behörden des anordnenden Staates auseinandersetzen und den Betroffenen steht möglicherweise nur ein Rechtsbehelf im ersuchenden Mitgliedsstaat offen, dessen Rechtsordnung ihnen in der Regel jedoch in den meisten Fällen weitgehend fremd sein dürfte. Dies gilt insbesondere dann, wenn die Anforderungen von Staaten außerhalb der EU kommen sollten.