Elektronische Beweise: EU-Kommission will Zugriff auf Daten in der Cloud deutlich erleichtern
Europäische Polizei- und Justizbehörden sollen bald schier weltweit direkt bei Diensteanbietern elektronische Beweismittel wie E-Mails oder in der Cloud gespeicherte Dokumente anfordern können, in Notfällen binnen sechs Stunden.
Die EU-Kommission hat am Dienstag in Straßburg ein umfangreiches neues Anti-Terror-Paket vorgestellt. Laut einem darin enthaltenen Gesetzentwurf sollen Strafverfolger und Justizbehörden "elektronische Beweismittel" bei Providern einfacher und länger sicherstellen können. Die Rede ist von Bestandsdaten wie Name und Anschrift oder möglicherweise Zugangskennungen und Passwörtern sowie E-Mails, SMS und Chatnachrichten, aber letztlich geht es allgemein um den Zugriff auch auf Inhaltsdaten einschließlich Fotos oder Videos in der Cloud. Eine Echtzeitüberwachung von Telekommunikation ist damit nicht abgedeckt.
Kern des Vorschlags ist eine "europäische Vorlageanordung". Justizbehörden aus einem Mitgliedstaat soll es damit ermöglicht werden, E-Beweismittel unabhängig vom Standort der jeweiligen Daten unmittelbar bei Diensteanbietern anzufordern, die in der EU tätig sind beziehungsweise ihren Sitz oder eine Niederlassung in einem Mitgliedsstaat haben. Betroffene Provider müssten dann innerhalb von zehn Tagen auf den Antrag antworten. In Notfällen soll die Frist auf nur sechs Stunden verkürzt werden können.
Zugriffszeiten deutlich verringert
EU- Justizkommissarin Věra Jourová betonte, dass damit die Zugriffszeiten auf Daten deutlich beschleunigt würden. Die Tschechin sprach von einer "echten Revolution" bei der justiziellen Zusammenarbeit. Derzeit betrage die Frist bei einer europäischen Ermittlungsanordnung 120 Tage und bei einem internationalen Rechtshilfeverfahren zehn Monate. Strafverfolger hätten damit fast täglich Probleme, da sie solche Beweismittel in 85 Prozent der Ermittlungen benötigten.
Justizstellen sollen einen Diensteanbieter in der EU zudem verpflichten können, bestimmte Daten aufzubewahren, damit die Behörden diese Informationen zu einem späteren Zeitpunkt im Wege der Rechtshilfe, einer Ermittlungsanordnung oder einer Vorlageanordnung anfordern können. Beide Instrumente sind nur für Strafverfahren vorgesehen.
Grundrechte wĂĽrden gewahrt
Die Maßnahmen seien verhältnismäßig, meinte Jourová. So richteten sie sich vor allem gegen schwere Verbrechen wie Terrorismus, Kinderpornografie oder Cybercrime. Die Grundrechte würden gewahrt. So müsse etwa ein Richter "besonders sensible Daten" freigeben. Provider sollen die Möglichkeit erhalten, Anordnungen gerichtlich überprüfen zu lassen, etwa wenn ein "offensichtlicher Verstoß" gegen die Grundrechtecharta vorliegt oder sie in Konflikt mit nationalen Bestimmungen geraten könnten.
Um Anbieter einzubeziehen, die ihren Sitz in einem Drittland haben, ihre Dienste aber auch in der EU zur Verfügung stellen, müssen diese laut dem Vorhaben einen gesetzlichen Vertreter in der Gemeinschaft benennen. Dieser soll "für die Einhaltung und Vollstreckung von Beschlüssen und Anordnungen der zuständigen Behörden der Mitgliedstaaten verantwortlich" sein.
Bilaterale Abkommen mit den USA?
Zuvor hatte der US-Kongress einen "Cloud Act" verabschiedet und damit seinerseits neue Regeln dafür aufgestellt, wie die Kooperation zwischen US-Strafverfolgungsbehörden und ausländischen Partnern und damit der Zugriff auf Daten ablaufen soll, die sich auf Servern außerhalb des eigenen Territoriums befinden. Demnach können etwa bilaterale Abkommen getroffen werden, die die jeweiligen Ermittler ermächtigen, ihre Anfragen direkt an die Cloud-Anbieter zu stellen.
Links liegen lässt die Kommission eine Initiative des UN-Sonderbeauftragten für Datenschutz, Joseph Cannataci. Dieser hatte einen "kosteneffektiven und privatsphärenfreundlichen Mechanismus" ins Spiel gebracht, über den Staaten zur Verfolgung schwerer Straftaten einschließlich Terrorismus Zugang zu persönlichen Daten in fremden Territorien erlangen könnten. Der Rechtsprofessor will damit eine "Internationale Datenzugriffsbehörde" etablieren, die über grenzüberschreitende Anfragen von Sicherheitsbehörden aus den beteiligten Staaten entscheiden soll.
Finanzinformationen und FingerabdrĂĽcke
Über einen anderen Richtlinienentwurf will die EU-Kommission Ermittlern und "Vermögensabschöpfungsstellen" einen raschen Zugang zu Finanzinformationen ermöglichen, wenn dies zur Bekämpfung schwerer Straftaten nötig ist. Über die direkte Einsicht in nationale zentrale Register sollen sie etwa feststellen können, bei welchen Banken ein Verdächtiger über Konten verfügt. Geplant ist auch ein besserer Informationsaustauch mit zentralen Meldestellen für Geldwäsche-Verdachtsanzeigen.
Teil des Pakets ist zudem ein Gesetzentwurf, wonach die Mitgliedsstaaten künftig Fingerabdrücke und weitere biometrische Daten in offizielle Dokumente wie Personalausweise aufnehmen müssten. Damit soll die Fälschungssicherheit der Papiere erhöht werden. Nicht konforme Ausweise will die Kommission "relativ rasch" auslaufen lassen und zwar "entweder mit Ablauf ihrer Gültigkeit oder spätestens innerhalb von fünf Jahren".
In Deutschland besteht bislang nur die Pflicht, das Gesichtsbild des Inhabers auf dem elektronischen Personalausweis digital zu speichern. Die Abgabe von zwei FingerabdrĂĽcken auf dem RFID-Chip des Dokuments ist bislang freiwillig. Im Reisepass mĂĽssen dagegen auch diese biometrischen Merkmale bereits seit 2007 verpflichtend gespeichert werden. Der gesamte Korb geht nun ins EU-Parlament und den EU-Rat, die noch zustimmen mĂĽssen. (axk)