Mit drei verschiedenen Abkommen will die EU den Sicherheitsbehörden die polizeiliche Abfrage persönlicher Daten bei Internetfirmen in den USA erleichtern. In Zukunft sollen Ermittlungsbehörden sogenannte “elektronische Beweismittel” zur Strafverfolgung direkt abfragen dürfen.
Vor einem Jahr hat die EU-Kommission hierzu eine “E-Evidence”-Verordnung mit zwei neuen Maßnahmen vorgeschlagen: Nach einer “Sicherungsanordnung” müssen die Firmen zunächst eine Kopie der begehrten Daten anlegen. Anschließend können die Behörden deren Übermittlung mit einer “Herausgabeanordnung” verlangen. Die Unternehmen müssten den Justizbehörden des Anordnungsstaates innerhalb von zehn Tagen antworten. Im “Notfall”, wenn Leib und Leben einer Person bedroht ist, verkürzt sich die Frist auf sechs Stunden. Bei Nichterfüllung der Anordnungen können die Firmen mit bis zu zwei Prozent ihres Jahresumsatzes bestraft werden.
Die Regierungen der EU-Mitgliedstaaten haben sich im Rat auf eine vorläufige Fassung der Verordnung geeinigt. Sie umfasst Teilnehmerdaten (Name, Geburtsdatum, Postanschrift, Telefonnummer), Zugangsdaten (Datum und Uhrzeit der Nutzung, IP-Adresse), Transaktionsdaten (Sende- und Empfangsdaten, Standort des Geräts, verwendetes Protokoll) sowie Inhaltsdaten. Diese können Text, Sprache, Videos, Bilder und Tonaufzeichnungen enthalten.
Die Vorschrift soll für alle Anbieter gelten, die in EU-Mitgliedstaaten Kommunikationsdienste anbieten, auch für sogenannte “Kleinstprovider” oder Domainregistrare. Unternehmen aus Drittstaaten sollen in der Europäischen Union eine Kontaktstelle zur Entgegennahme der Anordnungen einrichten. Derzeit umfasst die Verordnung alle Straftaten, die mit einer Mindesthöchststrafe von drei Jahren belegt sind. Der Text wird nun im Gesetzgebungsprozess mit dem Parlament und der Kommission beraten.
Nach Aussagen der EU-Kommission werden “elektronische Beweismittel” in rund 85% aller strafrechtlichen Ermittlungen benötigt. Jedoch haben die größten Diensteanbieter ihren Sitz in den USA. Über das EU-US-Rechtshilfeabkommen oder bilaterale Verfahren zur gegenseitigen Anerkennung können Informationen schon jetzt bei den Firmen angefragt werden. Manche US-Firmen geben sogar auf freiwilliger Basis die Nutzerdaten heraus. Bei Inhaltsdaten kann der Internationale Rechtsweg bis zu 10 Monate dauern. Aus diesem Grund wird bisher nur in rund 4.000 Fällen von dieser Möglichkeit durch Strafverfolgungsbehörden der EU Gebrauch gemacht.
Mit einem neuen Vorstoß sollen auch die US-Firmen zur Befolgung der EU-Verordnung zu “elektronischen Beweismitteln” gezwungen werden. Auf diese Weise würden sich die europäischen Behörden den mühseligen Rechtsweg sparen. Möglich wäre dies über den “CLOUD Act”, den die US-Regierung im vergangenen Jahr erlassen hat. Er verpflichtet die in den USA niedergelassenen Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten. Dies gilt jedoch nur für Anfragen von US-Behörden, denn Herausgabeanordnungen aus der Europäischen Union könnten zu Konflikten mit US-Vorschriften führen.
Der “CLOUD Act” enthält eine Klausel, wonach Drittstaaten mit der US-Regierung als “Partnerstaaten” ein völkerrechtlich bindendes Durchführungsabkommen schließen können. Auf diese Weise könnten auch US-amerikanische Strafverfolgungsbehörden die Herausgabe von Informationen, die in der Europäischen Union gespeichert sind, verlangen. Ein solches Partnerabkommen umfasst auch Inhaltsdaten. Das FBI dürfte dann bei kleinen und großen Internetdienstleistern in Deutschland vorstellig werden, während deutsche Landeskriminalämter beispielsweise in den USA online gesicherte Geräte-Backups abfragen können.
Über ein Rahmenabkommen für den Cloud-Act will die EU-Kommission, daß dieses für alle EU-Staaten gilt. Eine Ermächtigung wird auf dem Treffen der Innen- und Justizminister nächste Woche in Brüssel beschlossen. Erste Gespräche mit den USA sollen dann im Juni 2019 beginnen. Dabei sollen dann geklärt werden, ob der “Cloud-Act” mit dem EU-Datenschutz vereinbar wäre.
Budapest-Konvention
Zusätzlich zur geplanten Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen sowie der Teilnahme am “CLOUD Act” verhandelt auch der Europarat über die schnelle Herausgabe “elektronischer Beweismittel”. In 2001 haben die Mitglieder des Europarates das Budapester Übereinkommen über Computerkriminalität (Budapest-Konvention) verabschiedet. Sie regelt die Verfolgung grenzüberschreitender Kriminalität im Internet.
Außer den Europaratsmitgliedern haben auch Länder wie Australien, Kanada, die USA und Japan die Budapest-Konvention unterzeichnet. Die rund 50 beteiligten Regierungen arbeiten derzeit an einem Zweiten Zusatzprotokoll für vereinfachte Rechtshilfeverfahren sowie zur garantierten Kooperation der Internetfirmen.
Auch im Rahmen der Budapest-Konvention müssen die Anbieter direkt mit den Behörden kooperieren. Allerdings sollen nach derzeitigem Stand keine Inhaltsdaten herausverlangt werden, die Abfrage soll lediglich Nutzerdaten umfassen. Wie bei der “E-Evidence”-Verordnung ist jedoch geplant, dass die Firmen eine Sicherungsanordnung für die Daten befolgen müssen. Anschließend können die Behörden den gewohnten Rechtsweg beschreiten. Möglich wäre aber auch, die Firmen zur engeren Kooperation in Notfällen zu verpflichten.
Bei der “E-Evidence”-Verordnung ist nur eine richterliche Prüfung durch den Antragsstaat notwendig. Eine beiderseitige Strafbarkeit muss nicht vorliegen. Die Rechtmäßigkeit einer Herausgabeanordnung würde also nach derzeitigem Stand ausschließlich von den privaten Firmen geprüft. Zu den strittigen Fragen gehört deshalb ein verbindliches Notifizierungsverfahren. Es soll sicherstellen, dass wenigstens derjenige Staat, auf dessen Hoheitsgebiet die betroffenen Internetfirmen ihre Kontaktstelle führen, über eine Herausgabeanordnung informiert wird.
