Geplante EU-Verordnung gefährdet die Grundrechte der Bürger

Inhaltsverzeichnis

Stellen Sie sich vor, Sie befürworten in Facebook-Kommentaren politische Aktionen einer regierungskritischen Organisation in Ungarn. Eine Staatsanwaltschaft in Budapest ermittelt gegen diese Bürgerrechtler und alle Sympathisanten. Schon sind Sie im Visier der Ermittler. Geht es nach der EU-Kommission, soll die ungarische Behörde nun das Recht erhalten, ohne Ihr Wissen von Facebook Ihren Klarnamen und die Verkehrsdaten Ihres Facebook-Accounts zu erhalten – und zwar binnen Stunden.

Im Schatten der umstrittenen Urheberrechtsreform bahnte sich nahezu unbemerkt von der Öffentlichkeit ein Gesetzespaket seinen Weg durch die EU-Institutionen, das genau ein solches Szenario ermöglichen würde: die E-Evidence-Verordnung. Dieses Paket birgt – ausgehend vom momentanen Entwurfsstand – jede Menge Konfliktpotenzial, denn es enthält massive Eingriffsmöglichkeiten aller EU-Mitgliedsstaaten in die Grundrechte der EU-Bürger. Doch außer in Fachzirkeln findet eine Debatte darüber kaum statt.

Grenzüberschreitend digitale Beweise sichern

Das Vorhaben zielt laut EU-Kommission darauf ab, dass digitale Beweise unkomplizierter und schneller als bislang zu sichern sind. Die bisherigen Regelungen – beispielsweise Rechtshilfeabkommen der Staaten untereinander – geraten demnach „immer stärker unter Druck, denn es gibt immer mehr Bedarf an raschem grenzüberschreitendem Zugang zu elektronischen Beweismitteln.“ Man wolle nun „Kooperationsverfahren an das digitale Zeitalter anpassen, der Justiz und der Strafverfolgung Instrumente für den Umgang mit den heutigen Kommunikationsmethoden von Straftätern an die Hand geben und gegen moderne Formen der Kriminalität vorgehen“.

Genau genommen geht es um den Entwurf einer „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“, kurz E-Evidence-VO-E (das letzte „E“ steht für Entwurf). Diese EU-Verordnung soll nach dem Willen der Kommission und des Rats flankiert werden von einer ergänzenden „Richtlinie zur Festlegung einheitlicher Regeln für die Bestellung von Vertretern zu Zwecken der Beweiserhebung in Strafverfahren“. Die Verordnung wäre – anders als eine EU-Richtlinie – unmittelbar nachdem sie in Kraft tritt, ein Gesetz, das nationale Gesetze überstimmt.

Keine Kontrolle durch Behörden

Dem Verordnungsentwurf zufolge soll künftig jeder Staatsanwaltschaft und jedem Gericht innerhalb der EU ein standardisiertes Abfrageverfahren zur Verfügung stehen. Dieses Verfahren darf bei jeder strafrechtlichen Ermittlung eingesetzt werden. Adressat eines Datenauskunftsersuchens kann jeder Online-Dienst und jeder Provider sein, der seinen Sitz in der EU hat oder aber hier nur seine Dienste anbietet.

Die Ermittlungsbehörde hat damit grundsätzlich Anspruch auf Herausgabe von Bestandsdaten wie Postadresse, Telefonnummer und Rechnungen. Ermittelt sie wegen des Verdachts auf eine Straftat, auf die drei Jahre Haft oder mehr steht, darf sie außerdem Metadaten wie Kommunikationszeitpunkte, Mail- oder Chat-Partner und gespeicherte Standorte verlangen. Besonders brisant: Auch Inhaltsdaten wie Texte und Bilder dürfen abgefragt werden.

Der Entwurf sieht keinerlei behördliche Kontrolle im sogenannten „Vollstreckungsstaat“ vor. Die Ermittlungsbehörde richtet ihr Anliegen direkt an den datenhaltenden Online-Dienst, und dieser muss innerhalb von 10 Tagen reagieren. In eilbedürftigen Verfahren ist diese Frist sogar auf sechs Stunden verkürzt. Für die Herausgabe von höchst privaten Inhaltsdaten sieht der Entwurf immerhin einen Richtervorbehalt vor – allerdings nur bei der ermittelnden Behörde, nicht aber im Vollstreckungsstaat.

Bußgelder bei Nicht-Herausgabe der Daten

Es gilt ein zweistufiges Verfahren: In einem ersten raschen Schritt erlässt die Ermittlungsbehörde eine zertifizierte „Europäische Sicherungsanordnung (EPOC-PR). Diese verpflichtet den Provider oder Online-Dienst zum „Quick Freeze“, also zur sofortigen Sicherung aller Daten der Zielperson für 60 Tage. Erhärtet sich der Verdacht, schickt die Behörde eine ebenfalls zertifizierte „Europäische Herausgabeanordnung“ (EPOC), um an die eingefrorenen Daten zu gelangen.

Kommt das adressierte Online-Unternehmen den Auskunftsbegehren nicht fristgerecht nach, drohen ihm Strafen. Im Entwurf heißt es bislang lediglich: „Die vorgesehenen finanziellen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“ Der EU-Rat hat inzwischen vorgeschlagen, ähnliche Bußgeldhöhen wie in der DSGVO zu verabschieden: Bis zu zwei Prozent des globalen Jahresumsatzes müssten Facebook, Google und andere Großkonzerne somit berappen, wenn sie einer Anordnung nicht Folge leisten. Die Strafen könnten dann schnell in die Milliarden gehen. Doch auch für kleinere E-Mail- oder Cloud-Speicher-Anbieter könnte es richtig kostspielig werden.

Unterschiedliche Strafgesetze

Die Initiative zur E-Evidence-VO entsprang – wie so viele neue Sicherheitsgesetze – einem gewissen Aktionismus nach einigen islamistisch motivierten Terroranschlägen in der EU. Die Staatenvertreter im Europäischen Rat beschlossen im Juni 2017, ein Maßnahmenpaket zur Terrorbekämpfung zu empfehlen. Unter anderem war darin der Satz zu lesen: „Der Europäische Rat ist der Auffassung, dass ein effektiver Zugang zu elektronischen Beweismitteln für die Bekämpfung von schwerer Kriminalität und Terrorismus unabdingbar ist und dass die Verfügbarkeit von Daten vorbehaltlich geeigneter Garantien sichergestellt werden sollte.“

Diese Aussage hat die EU-Kommission, die als einzige EU-Institution Gesetze auf den Weg bringen kann, als Auftrag angenommen. Sie erarbeitete umgehend einen Richtlinien- und Verordnungsvorschlag. Beide Entwürfe stellte sie am 17. April 2018 vor. Die Entwürfe hatten nun allerdings schon nicht mehr die Terrorbekämpfung im Fokus, sondern richteten sich gegen jede Form von strafbaren Handlungen, also beispielsweise auch Betrug und Äußerungsdelikte. Bürgerrechtsorganisationen sowie Lobby-Verbände aus der Wirtschaft kritisierten das geplante Paket in den darauffolgenden Monaten scharf und wiesen auf jede Menge Ungereimtheiten hin.

»Dies führt in der Praxis zu einer weitgehenden Rechtlosigkeit der Betroffenen.«
Deutscher Richterbund

Im Zentrum der Kritik steht das „Herkunftslandprinzip“: Die abfragende Ermittlungsbehörde bewertet mögliche Straftaten selbstredend nach den inländischen Gesetzen. Doch die Strafgesetze der 28 EU-Mitgliedsstaaten unterscheiden sich erheblich. Was in einem Staat strafbar ist, muss es noch lange nicht in dem Staat sein, in dem der abzufragende Online-Dienst seinen Firmensitz hat. Datenschützer bemängeln die geplante Abkehr vom Prinzip der doppelten Strafbarkeit, nach dem die Tat in beiden Staaten strafbar sein muss. Das gilt etwa bei Auslieferungsanträgen.

Beispiel Abtreibungsverbot

Während beispielsweise Abtreibungen in Deutschland mit Einschränkungen zulässig sind, drohen in Polen oder auf Malta schwere Strafen. Frauen, die einen Schwangerschaftsabbruch durchführen lassen, werden auf Malta mit bis zu drei Jahren Haft bestraft, Ärzte, die dabei helfen, sogar mit bis zu vier Jahren, außerdem mit einem lebenslangen Berufsverbot.

Führt nun beispielsweise eine maltesische Ärztin, die heimlich Frauen bei Abtreibungen unterstützt, ihr E-Mail-Konto beim deutschen Provider GMX, wird dieser nach derzeitiger Lage keine Inhaltsdaten an eine maltesische Ermittlungsbehörde übermitteln, weil die Beratung nach deutschem Recht nicht strafbar ist. Würde die E-Evidence-VO gelten, müsste GMX der Herausgabeanordnung Folge leisten, weil das Strafmaß von drei Jahren, das zur Herausgabe von Inhaltsdaten gilt, auf Malta erreicht ist.

In einer Stellungnahme kritisierte der Deutsche Richterbund insbesondere, dass eine richterliche Prüfung der Herausgabeanordnung nur im Staat der abfragenden Behörde geplant ist. Nach Ansicht des Verbands geht die EU-Kommission von falschen Voraussetzungen aus. Sie meine, dass „der Grundrechtsschutz der Betroffenen durch das vorherige Einschalten einer Justizbehörde beim Erlass der Anordnung gewährleistet werde. Dieses Gericht – im Falle einer EPOC-PR eine Staatsanwaltschaft – prüft jedoch ausschließlich nach nationalem Recht und unter Beachtung der dürftigen europarechtlichen Vorgaben der Verordnung zur Notwendigkeit und Verhältnismäßigkeit der Maßnahme.“

Die richterliche Prüfung einer EPOC im Vollstreckungsmitgliedstaat „könnte nur dann entfallen, wenn die materiell-rechtlichen Voraussetzungen für deren Erlass weitgehend harmonisiert sind.“ Damit meint der Richterbund eine Angleichung der verschiedenen Strafrechtsnormen in den Mitgliedsstaaten. Doch eine solche ist weder vorgesehen noch politisch gewollt. Im Gegenteil: Einige osteuropäische Staaten, etwa Polen und Ungarn, entfernen sich mit Rechtsreformen immer weiter von westeuropäischen Werten, etwa der Presse- und Meinungsfreiheit.

Rechtlosigkeit der Betroffenen

In diesem Konstrukt kommt den Daten haltenden Unternehmen eine große Verantwortung zu: Sie sollen unter großem Zeitdruck in jedem Einzelfall prüfen, ob behördliche Anordnungen von ausländischen Ermittlungsbehörden formell und juristisch korrekt sind. Weil keine inländische Behörde sie dabei unterstützt, sind sie dabei auf sich allein gestellt. Sie sollen laut der flankierenden EU-Richtlinie ständig ansprechbare Ansprechpartner benennen.

Der deutsche Provider-Verband eco reagierte empört: „Das sind Forderungen, die nicht einmal große Anbieter mit einer eigenen Rechtsabteilung problemlos erfüllen könnten. Für die vielen kleinen und mittleren Provider in Deutschland und Europa ist das schlichtweg ein Ding der Unmöglichkeit“, erklärte Oliver Süme, eco-Vorstandsvorsitzender und Präsident des europäischen Provider-Verbands EuroISPA. Völlig ungeklärt sei die Frage der Haftung im Falle zu Unrecht erhobener beziehungsweise herausgegebener Daten. „Die Wahrnehmung und Verantwortung hoheitlicher Aufgaben darf nicht auf Privatunternehmen abgewälzt werden. Das ist in einem Rechtsstaat absolut inakzeptabel.“

Datenabfrage soll geheim bleiben

Es ist nicht nur so, dass im Vollstreckungsstaat keine Behörde Kenntnis von der erteilten EPOC-Anordnung erhalten soll – auch der Verdächtigte, dessen Daten herausgegeben werden sollen, erfährt dem Entwurf zufolge nichts davon. Nur wenn der angefragte Provider oder Online-Dienst sich weigert, die Anordnung umzusetzen, muss die anordnende Stelle eine Behörde im Vollstreckungsstaat einschalten. Der Betroffene kann erst im Ausstellungsmitgliedstaat Rechtsmittel einlegen, nachdem er von der dortigen Ermittlungsbehörde nach Abschluss der Ermittlungen von der Maßnahme erfährt. Der Deutsche Richterbund urteilte drastisch: „Dies führt in der Praxis zu einer weitgehenden Rechtlosigkeit der Betroffenen.“

Gemessen an den strengen Bestimmungen, die in Deutschland für Datenabfragen von Polizei und Ermittlungsbehörden gelten, wäre die E-Evidence-VO ein enormer Eingriff in die Datenschutz- und Persönlichkeitsrechte der Bürger. Derzeit darf die Polizei ohne richterliche Unterstützung lediglich Bestandsdaten erfragen. Die Abfrage von Verkehrsdaten (beispielsweise zur Account-Nutzung) ist nur Staatsanwaltschaften mit richterlichem Beschluss gestattet.

Noch höher liegen die Hürden für die Herausgabe von Inhaltsdaten. Hier greifen die Regeln zur Telekommunikationsüberwachung (TKÜ). Ohne richterliche Anordnung geht da nichts, auch wenn es sich nicht um eine Live-Überwachung (Quellen-TKÜ) handelt. Alle diese Schranken würden mit der E-Evidence-VO fallen, und zwar sowohl für deutsche als auch alle Behörden aus dem EU-Ausland.

Europäischer Rat ignoriert Bedenken

Im Dezember 2018 stand – wie im gesetzgeberischen Prozess der EU üblich – die Stellungnahme des Europäischen Rats zum Kommissionsvorschlag an. Der Rat besteht aus Regierungsvertretern der EU-Mitgliedsstaaten. Auf ihn prasselten zuvor kritische Stellungnahmen ein, unter anderem vom Chaos Computer Club und der Bürgerrechtsorganisation European Digital Rights und Privacy International (EDRI).

Auch die Bundesregierung bezog unmissverständlich Stellung gegen den Kommissionsentwurf. Wenige Tage vor der Abstimmung hatte Bundesjustizministerin Katarina Barley (SPD) zusammen mit sieben Amtskollegen anderer Staaten einen Brandbrief an EU-Justizkommissarin (PDF) Vera Jourova geschickt. Der Tenor: So geht es gar nicht, die E-Evidence-VO benötigt unbedingt mehr Ausgewogenheit zugunsten der Grundrechte aller EU-Bürger. Nur diese acht Staaten haben gegen das Projekt E-Evidence gestimmt.

Der Rat hat die Bedenken am 7. Dezember 2018 mehrheitlich ignoriert und an manchen Stellen des Entwurfs unter Federführung des österreichischen Justizministers Josef Moser sogar Verschärfungen vorgeschlagen. Moser gab sich überzeugt: „Mit der Neuregelung werden die derzeitigen aufwendigen Verfahren durch schnelle, effiziente Instrumente für die Erhebung und den Austausch elektronischer Beweismittel ersetzt. Dies trägt dazu bei, unsere Bürgerinnen und Bürger zu schützen, ohne ihre Rechte und Freiheiten zu beschneiden.“

EU-Parlament will kritisch prüfen

Gemäß des Gesetzgebungsverfahrens wanderte der verschärfte Kompromiss danach zum EU-Parlament, das ebenfalls zustimmen muss. Behandelt wird er dort naturgemäß vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Als zuständige Berichterstatterin fungiert die deutsche Sozialdemokratin Birgit Sippel (S&D-Fraktion). Sippel kündigte umgehend an, in Sachen E-Evidence-VO kritischer zu sein: „Was auf den ersten Blick sinnvoll erscheinen mag, birgt auch eine ganze Reihe von Risiken. Mit Blick auf den Schutz der Grundrechte, auf Privatsphäre und Datenschutz und mit Blick auf Verfahrensrechte gibt es massive Zweifel an der Rechtmäßigkeit des Verordnungsvorschlags.“

Sie habe „als parlamentarische Verhandlungsführerin, gemeinsam mit meinen Kolleg_innen der anderen Fraktionen, entschieden, das Dossier – anders als der Rat – nicht im Eilverfahren vor dem Ende der Legislaturperiode 2014–2019 durchzupeitschen, sondern es gründlich zu prüfen.“ Inzwischen hat der LIBE-Ausschuss eine Reihe von Sachverständigen-Anhörungen hinter sich und seine kritische Position in sieben Arbeitsdokumenten veröffentlicht.

„Diese Arbeitsdokumente werden in der neuen Legislaturperiode 2019–2024 als Grundlage des Berichts des Europäischen Parlaments zu den E-Evidence-Vorschlägen dienen“, erläuterte Sippel, die damit kräftig auf die Bremse tritt. Unterstützung erhält sie nach der Europawahl von einer neuen Kollegin im LIBE-Ausschuss: Die ehemalige Justizministerin Barley wird in diesem Gremium künftig ebenfalls vertreten sein. Nach derzeitigem Stand ist vor Herbst 2019 nicht mit einem Bericht des LIBE-Ausschusses zu rechnen.

Neuer Player USA

Während das wohl harte Ringen um einen Kompromiss zwischen Kommission, Rat und Parlament im Trilog-Verfahren noch nicht einmal begonnen hat, droht weiteres Unheil für die Grundrechte von EU-Bürgern. Dem Europäischen Rat genügt es nicht, die E-Evidence-Regeln nur innereuropäisch zu denken. Seit März drängt er darauf, Verhandlungen mit den USA aufzunehmen. Am 6. Juni dieses Jahres nun hat er die EU-Kommission offiziell damit beauftragt, „im Namen der EU ein Abkommen mit den Vereinigten Staaten über einen leichteren Zugang zu elektronischen Beweismitteln für die justizielle Zusammenarbeit in Strafsachen auszuhandeln“. Sprich: Bevor die E-Evidence-VO überhaupt ausverhandelt ist, soll sie bereits auf die USA erweitert werden.

Dazu muss man wissen: Als Vorbild für die Verordnung gilt das US-Gesetz „CLOUD Act“, das 2018 in Kraft getreten ist. Cloud steht hier für „Clarifying Lawful Overseas Use of Data“. Nach dem Cloud Act dürfen US-amerikanische Ermittlungsbehörden direkt auf die Kundendaten von privaten Unternehmen zugreifen – egal, ob die Daten in den USA gespeichert sind. So darf beispielsweise das FBI bei Microsoft Daten von US-Bürgern abfragen, auch wenn deren Daten im Microsoft-Rechenzentrum im EU-Staat Irland gespeichert sind.

Der Cloud Act geht an einigen Stellen noch weit über die E-Evidence-VO hinaus. Er ermöglicht Ermittlungsbehörden sogar das Mitschneiden von Daten in Echtzeit – also die Quellen-TKÜ – ohne richterliche Anordnung. Offensichtlich schreckt das den Europäischen Rat nicht ab. Ana Birchall, rumänische stellvertretende Ministerpräsidentin und Justizministerin, stellte für den Rat klar: „Ein Großteil der Daten, die benötigt werden, um Kriminelle aufzuspüren, ist in den Vereinigten Staaten oder bei US-Unternehmen gespeichert. Daher ist ein Abkommen zwischen der EU und den USA, das unseren Strafverfolgungsbehörden erlaubt, rascher auf elektronische Beweismittel zuzugreifen, immens wichtig.“

Kollateralschäden für die Presse- und Meinungsfreiheit befürchtet

Wie kritisch selbst die Bundesregierung die Verhandlungen sieht, belegt ein Hintergrundpapier aus dem Bundesjustizministerium (PDF), das netzpolitik.org Anfang Juli geleakt hat. Die Regierung fürchtet demnach große Kollateralschäden für die Presse- und Meinungsfreiheit. Anhand von konkreten Beispielen erläutert das Ministerium, wie die E-Evidence-VO außerdem Grundrechte von politischen Aktivisten – etwa den Klimaschützern von „Fridays for Future“ – gefährden würde.

In Bezug auf die Verhandlungen zwischen EU-Kommission und US-Regierung hegt das Ministerium große Bedenken, dass – anders als in der E-Evidence-VO vorgesehen – sogar die Quellen-TKÜ Bestandteil des Abkommens werden könnte: „Der US-Cloud-Act bezieht die Abfrage von Echtzeitdaten ein. Vom Anwendungsbereich der EPOC-VO in der Fassung der Allgemeinen Ausrichtung des JI-Rates vom Dezember 2018 sind sie dagegen ausgeschlossen. Gegen die Einbeziehung von Echtzeitmaßnahmen in das Abkommen bestehen gravierende Bedenken.“

Es ist völlig offen, was der Europäische Rat tatsächlich mit diesem Verhandlungsmandat für die Kommission erreichen will. Er betonte, dass er in die Vorbereitung und Durchführung der Verhandlungen eng eingebunden werden möchte. Eine Berichterstattung ans Parlament sieht er aber nicht vor. Laut netzpolitik.org hieß es von beteiligten Diplomaten, das Mandat schließe einen Zugriff für die Echtzeitüberwachung nicht aus. Der Rat könnte hier Fakten schaffen, noch bevor sich das EU-Parlament – ausgebremst wegen des Legislaturwechsels – auf eine Position zur E-Evidence-VO festgelegt hat.

Dieser Artikel stammt aus c't 16/2019. (hob)