Seite 3: Schnell mit erledigt: Zankapfel Whois-Zugriff

Inhaltsverzeichnis

Jahre hat man dieses eEvidenz-Zusatzprotokoll verhandelt. Vor gerade mal einem Jahr noch schnell auf den Zettel genommen hat man dann noch einen extra Paragraphen zu den bei Registrys vorhandenen nicht-öffentlichen Daten über die Inhaber von Domains.

Durch die Datenschutzgrundverordnung aus dem Netz verschwunden, fehlten wichtige Informationen bei der Ermittlung von Straftaten, jammern Strafverfolger seit einiger Zeit. Das neue Protokoll soll Abhilfe schaffen und erlaubt es der Polizei, direkt bei großen und kleinen Registrys anzuklopfen. Einen solchen Durchgriff gab es bislang noch in keinem internationalen Abkommen und bei der für die Domainbranche zuständigen Internet Corporation for Assigned Names and Numbers (ICANN) wird um eine Zugriffslösung gerade noch gestritten.

Genau das sei der Grund, sagt Seger auf Nachfrage von heise, dass man diese Klausel nicht verpflichtend gemacht hat. Strafverfolger müssen also hoffen, dass die Betreiber der Registrys mitspielen.

Beim Verband nationaler Top-Level-Domain Provider, CENTR, in Brüssel, war man etwas überrumpelt durch das Whois-Kapitel und sieht die Unterscheidung zwischen privaten Daten von Domaininhaber und denen von Anschlussnehmern im Telekom- oder Internetaccessbereich mit Skepsis. Zwar könnten die Registryprovider mit der Herausgabe als rein freiwillige Maßnahme gut leben, sagt Polina Malaja, CENTR Policy Expertin, doch dass technische Dienstleister letztlich entscheiden, ob Daten von Nutzern an Behörden in 66 Länder herausgegeben werden oder nicht, hält sie für problematisch. Die Rechte der betroffenen Nutzer angemessen zu schützen, bleibe letztlich Aufgabe des Staates als Grundrechtsgarant.

25 Prozent Datenschutz

Sehr lange wurde über den Datenschutz im Zusatzprotokoll verhandelt, versichert Seger. Insofern haben sich die Zeichen seit 2000 etwas verändert. Der Artikel 14 mache nun immerhin runde 25 Prozent des Zusatzprotokolls aus. Zweckbindung, Notwendigkeit und Verhältnismäßigkeit in Bezug auf die Datenabfragen werden angesprochen. Ein Auskunftsrecht für Betroffene, wenn sie denn davon Wind bekommen, welches Land Daten abgefragt hat, ist vorgesehen. Eine oder mehrere Aufsichtsbehörden sollen sich um Beschwerden kümmern und nachforschen können, welche Datentransfers stattgefunden haben.

Zugleich gibt es viel Uneindeutiges: Ja, wenn es das jeweilige nationale Gesetz vorsieht, sollen Nutzer über die Transfers informiert werden, aber nur, wenn der nachfragende Staat nicht um Stillhalten gebeten hat. Die Weitergabe vom Empfänger an einen dritten Staat muss dem Ursprungsland angezeigt werden. Sie ist aber dann auch an Staaten außerhalb des Vertragsgebietes möglich. Es bleibt zudem beim Grundsatz "eine Vertragspartei soll unter der Maßgabe dieses Protokolls nur dann den Datentransfers zu einer anderen Partei zurückweisen, wenn diese grob gegen die Datenschutzbedingungen verstößt und diese nach einer Mitteilung nicht abstellt".

Wie schon 2001 haben die Cybercrime-Jäger damit Datenschützer und Aktivisten nicht restlos überzeugt. Budapest-Konvention-Kritiker Breyer weist darauf hin, dass das eEvidence-Zusatzprotokoll laufende Arbeiten der EU zu diesem Thema überhole. Schon die EU-internen Pläne lehne er ganz entschieden ab. "Grenzüberschreitend soll direkt auf sensible Daten zugegriffen werden, unter Umgehung rechtsstaatlicher Sicherungen wie Richtervorbehalte oder Eingriffsschwellen. Dem Ausland künftig direkten Zugriff auf unsere Bestandsdaten, Verbindungsdaten, Standortdaten und Inhaltsdaten zu geben, ist ein blindes Vertrauen, das nicht gerechtfertigt ist", kritisiert er.

Auch der Europäische Datenschutzausschuss pocht auf die Einhaltung des EU Acquis. Auf eine Prüfung durch Richter, Staatsanwälte oder jedenfalls eine unabhängige Behörde dürfe, wenn überhaupt, nur im Notfall verzichtet werden. Zudem wäre es den Datenschützern lieber gewesen, wenn das Protokoll mehr eigene Standards konkret formuliert hätte, anstatt sich auf möglichst adäquate nationale Gesetze der Budapest-Mitglieder zu verlassen. Wie schwierig das mit der Adäquatheit ist, illustrieren die noch andauernden Verhandlungen etwa mit den USA als Folge des Schrems 2 Urteils.