Tag Archives: Strafverfolgung

Vorsicht Grenzüberschreitung – Direkter Datenzugriff gefährdet Grundrechte!

Digitale Globalisierung und nationales Recht stehen in einem zunehmenden Spannungsverhältnis. Nirgends zeigt sich dies so deutlich wie bei der Strafverfolgung. Strafverfolgungsbehörden verlangen in strafrechtlichen Ermittlungen in immer mehr Fällen Zugang zu personenbezogenen Daten, die außerhalb ihrer nationalen Grenzen gespeichert sind. Dies kann angesichts der Tatsache, dass beliebige Datenmengen per Mausklick auf Server in anderen Kontinenten transferiert werden können, eigentlich niemanden verwundern.

Natürlich hat es Fälle, in denen die Strafverfolgung eine grenzüberschreitende Kooperation erforderlich machte, schon früher gegeben. Eine traditionelle Regelung zur Lösung grenzüberschreitender Datenanfragen in Strafsachen bieten die zwischen Staaten geschlossene Rechtshilfevereinbarungen (Mutual Legal Assistance Treaties, MLAT). Sie legen entsprechende Verfahren fest, wie mit Rechtshilfeersuchen aus dem Ausland umzugehen ist. So können die nationalen Behörden überprüfen, inwieweit etwa eine Datenübermittlung zur Durchführung eines Strafverfahrens in Einklang mit dem nationalen Recht steht. Dieses System wird jedoch von der steigenden Häufigkeit und Komplexität grenzüberschreitender Datenanforderungen überfordert. Infolgedessen gibt es erhebliche Verzögerungen bei der Verarbeitung von Anfragen.

Vor diesem Hintergrund fordern nationale Behörden und Gerichte in zunehmendem Maße von Unternehmen die Herausgabe von Daten, die sie außerhalb des eigenen Territoriums speichern. So verlangte ein belgisches Gericht von Microsoft die Herausgabe von Skype-Daten. Eine brasilianische Behörde forderte von Yahoo! die Herausgabe von Internet-Informationen über bestimmte Nutzer und chinesische Behörden verlangen von Internet-Anbietern vielfach die Herausgabe auf ausländischen Servern gespeicherter Daten. Aktuell erregt vor allem ein Fall Aufsehen, bei dem ein Bundesgericht im Bundesstaat New York die Firma Microsoft zur Herausgabe von E-Mails verpflichtet hat, die auf einem Server in Irland gespeichert sind. Der strittige Fall wird demnächst voraussichtlich vom US Supreme Court entschieden.

In derartigen Fällen stellt sich regelmäßig die Frage, inwieweit Grundrechte und andere, im Strafrecht enthaltene Schutzvorschriften verletzt werden. Gerade beim Strafrecht bestehen auf internationaler Ebene gewaltige Unterschiede. Eine Handlung, die in einem Staat strafbar ist, mag woanders erlaubt sein (etwa an die in Deutschland strafbaren Meinungsdelikte, die in den USA unter dem Motto „Freedom of Speech“ akzeptiert werden). Gleiches gilt für das Strafprozessrecht: Wann ein Richter entscheiden muss, welche Vorgaben für Beschlagnahmen und Durchsuchungen gelten, in welchen Fällen Beweisverwertungsverbote und Zeugnisverweigerungsrechte bestehen, unterscheidet sich von Land zu Land.

Soweit es sich bei den angeforderten Informationen um personenbezogene Daten handelt, sind die Grundrechte auf Wahrung der Privatsphäre und auf Datenschutz (Art. 7 und 8 der EU-Grundrechtecharta) direkt betroffen. Nach europäischem Rechtsverständnis ist die Herausgabe personenbezogener Daten an ausländische Behörden nur zulässig, wenn hierfür eine entsprechende Rechtsgrundlage im EU-Recht oder im Recht der Mitgliedstaaten besteht. Art. 48 der im Mai 2018 wirksam werdenden Datenschutzgrundverordnung (DSGVO) unterstreicht diesen Rechtsgrundsatz: Behördliche oder gerichtliche Anordnungen von Staaten außerhalb der EU dürfen nur dann anerkannt werden, wenn sie auf einer internationalen Übereinkunft wie einem Rechtshilfeabkommen beruhen.

Aber auch innerhalb der EU ist der Umgang mit grenzüberschreitenden Datenanforderungen von Strafverfolgungsbehörden anderer Mitgliedstaaten alles andere als unkompliziert. Zwar gibt es hier inzwischen das Instrument der Europäischen Beweisanordnung – EBA, welche die Erlangung von Beweismitteln aus einem anderen Mitgliedstaat erleichtert. Doch erlaubt auch die EBA nicht den direkten Zugriff auf in einem anderen Mitgliedstaat gespeicherte Daten.

Artikel 29 Gruppe nimmt zu E-Evidence Stellung

Vor diesem Hintergrund hat die Europäische Kommission unter der Überschrift „e-Evidence“ verschiedene Initiativen gestartet, die den grenzüberschreitenden Datenzugriff erleichtern sollen. Die Art. 29-Arbeitsgruppe, in der die Datenschutzbehörden der EU zusammenarbeiten, hat nun eine lesenswerte Stellungnahme zu den entsprechenden Vorschlägen veröffentlicht.

Die amtlichen Datenschützer weisen darauf hin, dass der Zugriff der Strafverfolgungsbehörden auf personenbezogene Daten in die durch die Grundrechtecharta garantierten Grundrechte eingreift. Jede Beschränkung dieser Grundrechte müsse deren Kern respektieren und zudem dem Verhältnismäßigkeitsgrundsatz entsprechen. In der Stellungnahme wird ausführlich dargelegt, dass die bisher vorgelegten Vorschläge diesen Anforderungen nicht gerecht werden. Kritisiert wird etwa die Möglichkeit, dass sich der grenzüberschreitende Zugriff nicht auf die Verfolgung schwerer Straftaten beschränken sollen. Zudem bemängelt die Art. 29 Gruppe, dass die bislang vorgelegten Vorschläge zu e-Evidence keine Vorgaben zur Gewährleistung der Transparenz bei grenzüberschreitenden Datenanfragen und keine Verpflichtungen zur (nachträglichen) Benachrichtigung der Betroffenen enthalten.

Als besonders problematisch sehen es die Datenschutzbeauftragten an, dass grenzüberschreitende Datenanforderungen von Behörden der Mitgliedstaaten Daten umfassen sollen, die außerhalb der EU gespeichert sind. Sollte die EU eine entsprechende Regelung treffen, würde dies im Umkehrschluss bedeuten, dass letztlich auch entsprechende unilaterale Vorgaben anderer Staaten, etwa der USA akzeptiert werden müssten. Sie fordern, dass Datenanforderungen zwischen Drittstatten und der EU weiterhin nur auf Basis internationaler Rechtshilfeabkommen nachgekommen werden soll. Dies schließt natürlich nicht aus, dass auch beim Datenaustausch über die EU-Außengrenzen hinaus die entsprechenden Prozeduren verbessert und beschleunigte Entscheidungen herbeigeführt werden.

Löchriger Datenschutz-Schirm

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es  garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.

Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen  – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes  gewonnen habe.

Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass  EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare  Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines  einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige  – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.

Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass  sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden  gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften  –  etwa des Foreign Intelligence Surveillance Act (FISA) –  erfolgen.

Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen  Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen.  Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.

Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht.  Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.

Mit freundlichen Grüßen

Peter Schaar