E-Evidence: Viele US-Dienste geben Nutzerdaten freiwillig heraus
Apple, Facebook, Google & Co. kommen Auskunftsersuchen europäischer Strafverfolger zu Bestands- und Verkehrsdaten auch ohne Pflicht bereits häufig nach.
Eine von Europol durchgeführte Studie zeigt, dass europäische Ermittler auch ohne die geplante EU-Verordnung für den internationalen Zugriff auf elektronische Beweismittel in der Cloud im Kampf gegen das Verbrechen nicht nackt dastehen. Demnach haben größere US-Diensteanbieter Anträge von Strafverfolgungsbehörden aus der EU auf die Herausgabe von Bestands- und Verkehrsdaten in 66 Prozent der Fälle freiwillig erfüllt. Schwieriger sieht es allein bei Inhaltsdaten aus, wo das vergleichsweise neue Instrument der europäischen Ermittlungsanordnung aber noch kaum genutzt wird.
Deutschland stellt die meisten Anträge auf Datenübermittlung
Für die Untersuchung im Rahmen des E-Evidence-Projekts "Sirius" hat die Polizeibehörde im August und September eine gut sechswöchige Umfrage bei Justiz- und Ermittlungsämtern in der gesamten EU durchgeführt. Sie erhielt daraufhin über 150 anonym gehaltene Antworten. Auf Justizseite beteiligten sich nur Vertreter aus Estland, Luxemburg, Malta und Rumänien nicht an der Sondierung. Ferner werteten Europol-Forscher Transparenzberichte für 2018 der zwölf US-Plattformen Airbnb, Apple, Automattic, Cloudflare, Dropbox, Facebook, Google, LinkedIn, Microsoft, Oath alias Verizon Media, Snapchat und Twitter aus und führten mit neun davon auch zusätzliche Interviews durch.
Mit knapp 70.000 Anfragen im Jahr 2018 führt Deutschland die Liste der Datenersuchen stellenden Mitgliedsstaaten deutlich an und kommt hier auf eine Quote von 38 Prozent. Es folgen Frankreich und Großbritannien mit je etwas über 30.000 Anträgen auf Einsicht in Bestands- und Verkehrsdaten, während Spanien und Italien mit um die 10.000 deutlich zurückliegen. Der Löwenanteil der Anfragen richtete sich mit 53.841 an Facebook, Google sollte in 47.011 und Apple in 43.480 Fällen Auskunft geben. An vierter Stelle folgt Microsoft mit knapp 23.000 Ersuchen aus der EU.
Verdacht auf missbräuchliche "Notfallanfragen" aus Großbritannien
Die höchste Erfolgsrate mit 84 Prozent weist Belgien aus, das aber nur für 1,7 Prozent der Anträge verantwortlich ist. Unter den großen Anfragern schnitt Großbritannien mit 78 Prozent erfüllten Ersuchen am besten ab. Deutschland liegt mit 65 Prozent erhaltener Auskünfte knapp unter dem europäischem Durchschnitt.
Die jetzt veröffentlichte Studie zeigt auch auf, welche Staaten die meisten "Notfallanfragen" an die Anbieter geschickt haben. Diese beziehen sich auf Fälle, in denen Leben bedroht sind oder Personen leiblichen Schaden erleiden könnten, sowie auf Gefahren für die innere Sicherheit eines Staates oder für kritische Infrastrukturen sowie auf sexuellen Kindesmissbrauch. Die Betroffenen sollen hier möglichst binnen weniger Minuten oder Stunden Auskunft geben. Großbritannien nutzte dieses Instrument 2018 über 6100 mal und ist damit für rund 68 Prozent aller solcher Ersuchen verantwortlich. Auf Netzpolitik.org wird daher vermutet, dass die Briten von diesem Werkzeug missbräuchlich Gebrauch machten.
Ersuchen erfĂĽllen oft nicht formale Anforderungen
Die einbezogenen Firmen weisen nach eigenen Angaben Ersuchen regelmäßig zurück, wenn diese ungültige Kennungen erhalten wie falsche oder fehlerhafte E-Mail-Adressen, Telefonnummern, URLs oder Benutzernamen. Sie beanstanden übermäßig breit angelegte Anfragen, die sich auf umfangreiche Datenkategorien beziehungsweise eine große Zahl von Nutzern beziehen. Oft seien die formalen Anforderungen nicht erfüllt oder es fehlten Verweise auf die erforderlichen Rechtsgrundlagen. Manche erfragten Daten habe man gar nicht, wenn Mitglieder etwa kein Profilbild von sich online stellten.
Über 60 Prozent der befragten Strafverfolgungsbehörden zeigten sich trotzdem insgesamt zufrieden mit der Auskunftspraxis ausländischer Internetportale. 62 Prozent gaben an, dass sie auf direkte Anforderungen und freiwillige Antworten setzten. 12,4 Prozent probierten es mit offiziellen Rechtshilfeersuchen auf Basis einschlägiger Abkommen, mit denen sich auch Inhaltsdaten wie E-Mails, Messenger-Kommunikation, Fotos oder Audio- und Videodateien abfragen lassen und eine Auskunftspflicht besteht. Dieses Verfahren dauert Berichten zufolge durchschnittlich rund zehn Monate, sodass die Hälfte der Teilnehmer damit unzufrieden ist. Die EU-Kommission will dieses Problem mit ihrem umstrittenen E-Evidence-Entwurf adressieren.
Standorte, Verbindungen und Identität wichtiger als Inhalte
Gegenwärtig sehen europäische Strafverfolger aber nur zu etwas über 15 Prozent Inhaltsdaten als wichtigste Kategorie für ihre Ermittlungen an. Deutlich wichtiger schätzen sie zu 42,4 Prozent Verbindungs- und Standortdaten sowie zu 38,4 Prozent "Basisinformationen" wie Name oder Anschrift von Nutzern. Auf eine europäische Ermittlungsanordnung setzten nur 10,2 Prozent, obwohl auch dieser Ansatz grenzüberschreitende Strafverfolgung deutlich erleichtern soll. Die Antwortfrist beträgt hier maximal 120 Tage.
35 Prozent der befragten Behördenvertreter beklagten, dass die Firmen sehr unterschiedliche Prozesse haben und ihre Richtlinien zur Datenherausgabe nicht standardisiert sind. In einigen Fällen müsse man "sehr spezifisches Vokabular" benutzen wie "Snaps, Tweets oder Stories". 22 Prozent erachten es als schwierig, die genauen Datenkategorien zu bezeichnen, die erfragt werden können. 15,8 Prozent fällt es schwer, klare objektive Leitlinien für Auskunftsverfahren zu finden, 11,3 Prozent vermissen ausgewiesene Ansprechpartner bei den Unternehmen.
Je unter sechs Prozent der Teilnehmer monierten, dass Verfahrensinformationen nur auf Englisch verfügbar, Antworten nicht einfach verständlich seien und Anbieter oft ihre Formate wechselten. Dazu kommt das Bedauern, selbst über zu wenig technische Ressourcen zu verfügen. (tiw)