E-Evidence: EU-Gremien einigen sich auf internationalen Zugriff auf Cloud-Daten

Inhaltsverzeichnis

Nach anderthalbjährigem Streit über den Verordnungsentwurf der EU-Kommission für den grenzüberschreitenden Zugang zu elektronischen Beweismitteln ("E-Evidence") stieg am Dienstagabend weißer Rauch auf in Brüssel. Verhandlungsführer des EU-Parlaments, des Ministerrats und der Kommission gaben bekannt, ihre hartnäckigen Differenzen in mehreren grundlegenden Punkten der Initiative überbrückt zu haben, mit der Strafverfolger international einen einfacheren Zugriff auf Cloud-Daten erhalten sollen.

Bedingungen für Datenzugang

Kern des Vorhabens ist das neue Instrument einer "europäischen Vorlageanordung". Justizbehörden aus einem Mitgliedstaat soll es damit ermöglicht werden, etwa Bestandsdaten sowie Verbindungs- und Standortinformationen inklusive IP-Adressen sowie Inhaltsdaten beispielsweise von E-Mails oder Chats anzufordern. Dies soll unabhängig von deren Standort unmittelbar bei den Diensteanbietern möglich sein, die in der EU tätig sind beziehungsweise ihren Sitz oder eine Niederlassung in einem Mitgliedsstaat haben.

Einer der bis zuletzt umstrittensten Faktoren war der Informations- beziehungsweise Notifizierungsmechanismus. Dieser soll die Bedingungen festlegen, unter denen die Behörde, die den Zugangsantrag zu den begehrten Daten stellt, die zuständigen Ämter in den vollstreckenden Mitgliedstaaten informieren muss.

"Wohnsitzkriterium" – Behörden müssen nicht informiert werden

Die im EU-Rat vertretenen Regierungen wollten verhindern, dass dabei ein zu aufwendiges Verfahren den Zweck der Verordnung zunichtemachen würde. Die europäischen Abgeordneten und Organisationen der Zivilgesellschaft forderten dagegen Schutzmaßnahmen für Berufsgeheimnisträger wie Journalisten und Rechtsanwälte sowie auch für politische Aktivisten. Sie warnten, dass sonst das europäische Datenschutzrecht ausgehebelt und das bestehende internationale System der Rechtshilfe in Strafsachen beschädigt werde.

Die Mitgliedsstaaten konnten sich nun mit dem Ansatz des sogenannten "Wohnsitzkriteriums" durchsetzen. Dies bedeutet: Wenn die betroffenen Personen in dem EU-Land wohnen, das die Anordnung vollstreckt, müssen die Behörden des Vollstreckungsstaates, in dem ihre Daten gespeichert sind, nicht informiert werden. Eine Benachrichtigung ist auch nicht erforderlich, wenn die angeforderten Daten lediglich die Identifizierung einer Person ermöglichen.

Schutzbestimmung für sensible persönliche Informationen

Das Parlament schaffte es im Gegenzug, eine komplizierte Schutzbestimmung festzuschreiben: Bei Herausgabeanordnungen zu besonders sensiblen persönlichen Informationen wie Verbindungs-, Standort- und Inhaltsdaten muss demnach künftig auch der Mitgliedstaat zeitgleich über die Anordnung informiert werden, in dem der Diensteanbieter sitzt. Voraussetzung dafür soll aber sein, dass die gesuchte Person nicht ausschließlich im Ausstellungsstaat lebt und die Straftat nicht nur dort begangen wurde.

Die in Kenntnis gesetzte Behörde kann dann innerhalb vorgesehener Fristen – zehn Tage in Normal- und acht Stunden in Eilfällen – eine Anordnung auf Basis einer Liste von Gründen verweigern. Dies träfe etwa zu, wenn die Straftat, zu der ermittelt wird, im Land des Providers nicht als eine solche gilt. Ein weiterer Grund ist, wenn die Herausgabe der Daten die in der Charta und den EU-Verträgen verankerten Grundrechte wie etwa auf Privatheit oder Pressefreiheit verletzen würde. Die Daten müssen in dieser Zeit gesichert, dürfen aber erst nach Ablauf der Fristen herausgegeben werden.

Auch laufende Rechtsstaatsverfahren, wie sie aktuell etwa gegen Polen und Ungarn im Gange sind, sollen Grund zur Annahme einer derartigen Grundrechtsverletzung geben und zu einer Ablehnung führen können. Die Diensteanbieter selbst können die Ausstellungsbehörde sowie die zuständigen Ämter des Landes, in dem sie angesiedelt sind, auf kritische Anordnungen aufmerksam machen.

Garantierte Vertraulichkeit und Authentizität

Ein noch zu klärender Punkt ist, ob die vollstreckenden Mitgliedstaaten die Anordnung anfechten "können" oder "müssen", wenn ein oder mehrere Versagungsgründe festgestellt wurden. Das Parlament drängt hier auf eine Pflicht, da es sicherstellen möchte, dass die Schutzmaßnahmen angemessen angewandt werden.

Im Einklang mit der Datenschutz-Grundverordnung (DSGVO) muss die Anordnung zudem an den für die Datenverarbeitung Verantwortlichen gerichtet werden. Dabei handelt es sich um die Organisation, die entscheidet, warum und wie die Informationen verarbeitet werden. Nur in Ausnahmefällen sollen sich berechtigte Behörden direkt an die eigentliche datenverarbeitende Stelle wenden können. Zumindest prinzipiell haben sich die Gremien auch auf die Einrichtung einer gemeinsamen europäischen Austauschplattform geeinigt. Diese soll die Anordnungen ausstellen und dabei den Diensteanbietern deren Vertraulichkeit und Authentizität garantieren.

"Vorläufige" Einigung auf Druck der Ratspräsidentschaft

Die zunächst nur "vorläufige" Einigung entstand auf Druck der französischen Ratspräsidentschaft, die das Zepter Anfang Juli an Tschechien abgibt und das Dossier noch vom Tisch haben wollte. EU-Unterhändler müssen in den kommenden Wochen die noch ausstehenden Punkte des Gesetzespakets klären, bevor die finalen Texte für die Verordnung und eine zugehörige Richtlinie dann voraussichtlich im frühen Herbst im Parlament und vom Rat verabschiedet werden könnten.

Die parlamentarische Berichterstatterin Birgit Sippel (SPD) sprach von einem "Paradigmenwechsel in der Zusammenarbeit von Polizei und Justiz in der EU: Erstmals werden nationale Ermittlungsbehörden die Möglichkeit haben, Diensteanbieter in anderen EU-Mitgliedstaaten direkt zur Herausgabe oder Sicherung elektronischer Beweismittel aufzufordern, mit klaren Fristen und EU-weit einheitlichen Regeln." Bislang habe ein Zugriff zu lange gedauert. Die Abgeordneten hätten sich dafür stark gemacht, dass Risiken aufgrund der fehlenden Harmonisierung des Strafrechts abgemildert werden.

(bme)