E-Evidence: Kommt jetzt der internationale Daten-Supermarkt der Sicherheitsbehörden?

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: Während Waren im EU-Binnenmarkt frei fließen und digitale Dienstleistungen grenzüberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbehörden an den nationalen Grenzen. Eine Polizeibehörde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen möchte, muss sich bisher an die Behörden des Staates wenden, wo die Daten verarbeitet werden. Wie mit diesem Ersuchen der ausländischen Behörde umgegangen wird, richtet sich nach dem Recht des Staates, auf dessen Territorium die Server stehen. Die Prozeduren hierfür richten sich nach den jeweils anwendbaren internationalen Rechtshilfeabkommen.

Die entsprechenden Prüfungen sind zeitaufwendig und sie führen nicht immer dazu, dass die angeforderten Daten freigegeben werden. Deshalb wird aus Sicherheitskreisen schon seit langem gefordert, den Zugriff zu erleichtern. Idealerweise sollen die Behörden direkt auf die im Ausland gespeicherten Daten zugreifen können. Die Europäische Kommission hat am 18. April 2018 den Entwurf einer entsprechenden EU-Verordnung vorgelegt. Die „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ (E-Evidence-VO) soll den Behörden nun den grenzüberschreitenden Direktzugriff ermöglichen. 

Grundrechtseinschränkung im Schnelldurchgang ?

Seither beschäftigen sich das Europäische Parlament und der Ministerrat mit dem Entwurf. Das Europäische Parlament hat in der letzten Woche eine kritische Studie zum Kommissionsentwurf veröffentlicht.

Die österreichische Regierung hat kürzlich das ambitionierte Ziel verkündet, die Verhandlungen im Ministerrat bis zum 31. Dezember 2018 abzuschließen, wenn Österreich die Ratspräsidentschaft an Rumänien abtritt. 

Dieser gesetzgeberische Schnelldurchgang ist in mehrfacher Hinsicht brisant: Im Unterschied zu einer Richtlinie wäre eine EU-Verordnung direkt anwendbares Recht in den Mitgliedsstaaten und bedürfte keiner Umsetzung in nationales Recht. Sie bedeutet die Verordnung einen erheblichen Einschnitt in die Bürgerrechte, denn Herausgabeanordnungen müssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden, ohne dass eine Behörde oder ein Gericht des Sitzlandes geprüft hat, ob die Herausgabe auch nach nationalem Recht zulässig wäre.

Zum anderen sind aber die Rechtsordnungen der Mitgliedsstaaten nicht harmonisiert; sie unterscheiden sich im Hinblick auf die Strafbarkeit, die Höhe von Strafandrohungen und rechtsstaatliche Sicherungen. Die Europäische Kommission führt  sogar zwei Verfahren gegen die Verletzung der Rechtsstaatlichkeit gegen Polen und Ungarn. Die Einleitung eines entsprechenden Verfahrens gegen Rumänien wird gerade diskutiert, weil auch in diesem Land  nach dem Willen der Regierung die Unabhängigkeit der Gerichte eingeschränkt werden soll. 

Wenn die E-Evidence-Verordnung in der vorgeschlagenen Form beschlossen wird, müssten deutsche Anbieter elektronischer Dienstleistungen (etwa Cloud-Anbieter, Netzbetreiber, Social Media, Hosting- und Telekommunikationsunternehmen) Anordnungen der ausländischen Behörden folgen, ohne eine inhaltliche Prüfung vorzunehmen. Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, können so auch Gegenstand einer Herausgabeverpflichtung sein. 

Umfassender Anwendungsbereich

Anordnungen zur Herausgabe von Teilnehmer- und  Zugangsdaten können für jede Art von Straftaten  erlassen werden. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten,  die  im  Anordnungsstaat  mit  einer  Freiheitsstrafe  im Höchstmaß  von  mindestens  drei  Jahren  geahndet  werden, ist wenig geeignet, die Bedenken zu zerstreuen. Anders als es die Erläuterungen der Kommission zum E-Evidence-Paket nahelegen, handelt es sich bei den drei Jahren nicht um eine Mindeststrafe, sondern um eine Mindesthöchststrafe. Ein Blick in das deutsche Strafgesetzbuch zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder schwere Straftaten. So wird Abtreibung in Polen mit einer Freiheitsstrafe von bis zu drei Jahren bestraft.  Die Voraussetzung zur Herausgabe wäre damit erfüllt. 

Ein deutscher Anbieter müsste die E-Mails und die Verkehrsdaten an die polnische Strafverfolgungsbehörde herausgeben, soweit diese in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdienstes, bei dem der Arzt einen Account hat, könnte ggf. auch Adressat einer entsprechenden Herausgabeanordnung sein.

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen „Aufruhr“ ergangen war.

Nach dem Beschluss des OLG Schleswig erfüllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der von Spanien erlassene Europäische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO wären die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen, denn anders als beim Eurpäischen Haftbefehl ist hier keine Überprüfung durch ein Gericht desjenigen Staats vorgesehen, in dem die Anordnung vollstreckt werden soll.

Zumutungen für Provider

Völlig unzumutbar ist zudem die Situation für die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht überprüfen können. Nicht nur Gerichte und Staatsanwaltschaften, sondern jede vom Anordnungsstaat  bezeichneten zuständige  Behörde kann eine entsrechende Anordnung erlassen. Dies können auch Finanz-, Regulierungs- und Verkehrsbehörden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste sein. In den 28 EU-Staaten werden demnach sehr viele, möglicherweise mehr als tausend Behörden nach dem jeweiligen nationalen Recht die Befugnis erhalten, von den Unternehmen grenzüberschreitend die Herausgabe von Daten zu verlangen, vielfach ohne gerichtliche Bestätigung. Den Unternehmen ist es nicht einmal möglich, seriös zu prüfen, ob eine Behörde die entsprechende Befugnis besitzt, ja sogar, ob es sich überhaupt um eine Behörde handelt. Zwar sollen die jeweiligen Behörden eine entsprechende  Validierung durch Schreiben eines Gerichtes oder einer sonstigen Justizbehörde nachweisen. Dafür soll es jedoch ausreichen, wenn der Absender ein entsprechendes Dokument per Fax übermittelt. 

Ob das Fax und der darauf enthaltene Stempel einer Justizbehörde echt ist angesichts der sehr kurzen Fristsetzungen (in bestimmten Fällen sind die Unternehmen verpflichtet, die Daten innerhalb von sechs Stunden zu liefern!) kaum zu überprüfen, ja es ist nicht einmal sicher, ob das Schreiben überhaupt von einer Behörde stammt. Entsprechend groß ist die Gefahr, auf eine gefälschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu übermitteln. 

Bei Nichtbefolgung der Anordnung drohen ihm gleichwohl erhebliche finanzielle und strafrechtliche Konsequenzen. Der so bewirkten erheblichen Verletzung der Grundrechte des Betroffenen entspricht zudem ein erhebliches Haftungsrisiko für den Provider, unrechtmäßig Daten herausgegeben zu haben.

Keine Prüfung der Rechtmäßigkeit

Während bei der Europäischen Ermittlungsanordnung (EEA), einem anderen vor wenigen Jahren einigeführten Instrument, die Vollstreckung den Behörden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, soll die elektronische Herausgabeanordnung soll unmittelbar an den ausländischen Provider ergehen. Irgendeine inhaltliche Überprüfung durch ein inländisches Gericht oder eine inländische Justizbehörde ist in der E-Evidence-VO nicht vorgesehen. Damit werden zukünftig auch Daten an ausländische Stellen übermittelt, bei denen inländischen Behörden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen – etwa der Richtervorbehalt – werden umgangen, wenn das Recht des Anordnungsstaats solche nicht vorsieht. Schließlich würden Anforderungen, die etwa das Bundesverfassungsgericht aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gewährleistet.

Die Verantwortung für die Übermittlung unterliegt damit dem Unternehmen, an das sich die Anordnung richtet – letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eigeschränktem Umfang die Möglichkeit, die Rechtmäßigkeit der Anordnung zu überprüfen oder die Übermittlung der angeforderten Daten abzulehnen, wenn er der Ansicht ist,  dass ausschließlich  aus  den  in  der Anordnung enthaltenen Informationen  hervorgeht,  dass  sie „offenkundig“ gegen die Charta der Grundrechte der Europäischen Union verstößt oder offensichtlich  missbräuchlich ist. 

Kommt die Echtzeit-Überwachung?

Strittig ist, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-Überwachung („live interception“) in die E-Evidence-VO aufgenommen werden soll. Spätestens hier würden die zum Schutz des Telekommunikationsgeheimnisses bestehenden materiellen und prozessualen Garantien geschleift. Aber selbst wenn – wie zu erwarten – entsprechende Forderungen im Europäischen Parlament keine Mehrheit fänden, wäre die geplante Verordnung ein tiefer Eingriff in die europäischen und nationalen Grundrechte. Es wäre unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gründliche Debatte durchzuwinken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert