Peter Schaar

E-Evidence: Das europäische Gegenstück zum CLOUD Act


MMR 2018, 705   Im Frühjahr 2018 hat der US-Kongress den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) beschlossen, der US-Ermittlungsbehörden den Zugriff auf Daten erlaubt, die auf ausländischen Servern gespeichert sind (Gausling, MMR 2018, 578). Mit dem neuen Gesetz wurde der beim Supreme Court anhängige Rechtsstreit zwischen dem US-Justizministerium und der Microsoft Corp. für erledigt erklärt, bei dem es um die Anordnung eines US-Gerichts ging, das die Herausgabe von in Irland gespeicherten personenbezogener Daten verlangte.

Obwohl das US-Gesetz massiv in die Souveränität der europäischen Staaten eingreift, war die Reaktion der EU-Kommission und der EU-Mitgliedstaaten seltsam zurückhaltend. Deshalb lag die Vermutung nahe, dass die EU eine vergleichbare Regelung anstrebt. Am 8.6.2017 hatte die zuständige Generaldirektion dem Rat der Justiz- und Innenminister ein ausdrücklich als "Non-Paper" gekennzeichnetes Arbeitsdokument der Kommissionsdienste vorgelegt, in dem Maßnahmen vorgeschlagen wurden, die den grenzüberschreitenden Zugriff auf elektronische Dokumente bei strafrechtlichen Ermittlungen verbessern sollen. Darauf aufbauend legte die EU-Kommission am 18. 4.2018 ein E-Evidence-Paket vor, bestehend aus einer VO über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (E-Evidence-VO) und einer ergänzenden RL für die Bestellung von Vertretern zu Zwecken der Beweiserhebung in Strafverfahren. Wie beim CLOUD Act geht es auch bei dieser Initiative darum, Behörden den grenzüberschreitenden Direktzugriff zu ermöglichen. Im Unterschied zum Non-Paper beschränkt sich das Gesetzgebungspaket (zunächst) auf den grenzüberschreitenden Zugriff innerhalb der EU.

Grundsatzentscheidung zum grenzüberschreitenden Datenzugriff

Parallel zu dem Gesetzgebungsprozess in der EU gibt es spätestens seit Mai 2018 Diskussionen auf höchster Ebene zwischen der EU und den USA über den gegenseitigen Direktzugriff von Strafverfolgungsbehörden. Vor diesem Hintergrund ist eigentlich klar, dass es bei dem E-Evidence-Paket um mehr geht als um die Erleichterung des Zugriffs für Strafverfolgungsbehörden innerhalb des EU-Binnenmarkts.

Eine Polizeibehörde, die bei ihren Ermittlungen - etwa in einer Betrugssache - auf in einem anderen Mitgliedstaat gespeicherte Daten zugreifen möchte, muss sich bisher an die Behörden des Staats wenden, in dem die Daten gespeichert sind. Wie mit diesem Ersuchen umgegangen wird, richtet sich nach dem Recht des Staats, auf dessen Territorium die Server stehen. Die Prozeduren hierfür richten sich (wie bei der Übermittlung an Drittstaaten) nach den jeweils anwendbaren internationalen Rechtshilfeabkommen. Die entsprechenden Prüfungen sind vielfach zeitaufwändig und sie führen nicht immer dazu, dass die angeforderten Daten freigegeben werden. Die E-Evidence-VO soll den Strafverfolgungsbehörden nun den grenzüberschreitenden Direktzugriff ermöglichen.

Dies ist in mehrfacher Hinsicht bedeutsam: Im Unterschied zu einer Richtlinie wäre eine EU-Verordnung direkt anwendbares Recht in den Mitgliedstaaten und bedürfte keiner Umsetzung in nationales Recht. Die VO bewirkt einen erheblichen Einschnitt in die Bürgerrechte, denn Herausgabeanordnungen müssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden. Zudem unterscheiden sich die nationalen Rechtsordnungen weiterhin im Hinblick auf die Strafbarkeit, die Höhe von Strafandrohungen und strafprozessuale Sicherungen.

Gravierende Grundrechtseinschränkung

Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, könnten so auch Gegenstand einer Herausgabeverpflichtung sein. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten anzufordern, die im Anordnungsstaat mit einer Freiheitsstrafe im Höchstmaß von mind. 3 Jahren geahndet werden, ist wenig geeignet, die Bedenken zu zerstreuen. Ein Blick in das StGB zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder andere schwere Straftaten.

So wird etwa Abtreibung in Polen mit einer Freiheitsstrafe von bis zu 3 Jahren bestraft. Die Voraussetzung zur Herausgabeverpflichtung wäre damit erfüllt. Ein deutscher Anbieter müsste die Daten an die polnische Strafverfolgungsbehörde herausgeben, die in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdiensts, bei dem der Arzt einen Account hat, könnte ggf. auch Adressat einer entsprechenden Anordnung sein.

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen "Aufruhr" ergangen war. Nach dem Beschluss des OLG Schleswig erfüllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der in Spanien erlassene Europäische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO wären die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen.

Während beim Europäischen Haftbefehl und bei der Europäischen Ermittlungsanordnung (EEA), die Vollstreckung den Behörden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, sollen elektronische Speicherungs- und Herausgabeanordnungen unmittelbar an den ausländischen Provider ergehen. Eine Überprüfung durch ein inländisches Gericht oder eine Justizbehörde ist nicht vorgesehen. Damit würden auch Daten an ausländische Stellen übermitteln zu sein, bei denen inländischen Behörden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen - etwa ein vorgesehener Richtervorbehalt - werden umgangen, wenn das Recht des Anordnungsstaats einen solchen nicht vorsieht. Schließlich würden Anforderungen, die etwa das BVerfG aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gewährleistet.

Zumutungen für Provider

Völlig unzumutbar würde zudem die Situation für die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht überprüfen können. Nicht nur Gerichte und Staatsanwaltschaften, sondern auch jede andere vom Anordnungsstaat bezeichnete zuständige Behörde könnte eine entsprechende Anordnung erlassen, etwa Finanz-, Regulierungs- und Verkehrsbehörden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste. In den EU-Staaten würden demnach sehr viele Behörden die Befugnis erhalten, grenzüberschreitend die Herausgabe von Daten zu verlangen. Den Unternehmen wäre es nicht einmal möglich, seriös zu prüfen, ob eine Behörde die entsprechende Befugnis besitzt, oder ob es sich überhaupt um eine Behörde handelt. Zwar sollen die jeweiligen Behörden eine Validierung durch Schreiben eines Gerichts oder einer sonstigen Justizbehörde nachweisen. Dafür soll es ausreichen, wenn der Absender ein entsprechendes Dokument per Fax übermittelt. Ob das Fax und der darauf enthaltene Stempel einer Justizbehörde echt ist, ist angesichts der sehr kurzen Fristsetzungen (in bestimmten Fällen innerhalb von sechs Stunden!) kaum zu überprüfen oder ob das Schreiben überhaupt von einer Behörde stammt. Entsprechend groß wäre die Gefahr, auf eine gefälschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu übermitteln. Bei Nichtbefolgung der Anordnung drohen den Verpflichteten erhebliche finanzielle und strafrechtliche Konsequenzen.

Die Verantwortung für die Übermittlung obliegt damit dem Unternehmen, an das sich die Anordnung richtet - letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eingeschränktem Umfang die Möglichkeit, die Rechtmäßigkeit der Anordnung zu überprüfen oder die Übermittlung der angeforderten Daten abzulehnen, wenn sie der Ansicht sind, dass die Anordnung "offenkundig" gegen die GRCh verstößt oder offensichtlich missbräuchlich ist.

Massive Kritik aus dem EP und von den Datenschutzbehörden

Seither beschäftigen sich das Europäische Parlament (EP) und der Ministerrat mit dem Entwurf. Das EP hat im September 2018 eine kritische Studie zum Kommissionsentwurf veröffentlicht und wird am 28.11.2018 hierzu eine öffentliche Anhörung durchführen.

Zudem hat der Europäische Datenschutzausschuss massive Kritik an den Kommissionsvorschlägen geübt. In seiner Stellungnahme v. 26.9.2018 kritisierte er, dass die Kommission es versäumt habe, die Notwendigkeit eines solchen neuen Instruments überzeugend zu begründen, zumal es verschiedene alternative Instrumente gäbe, die weniger tief in die Grundrechte eingriffen, insbesondere die Europäische Beweisanordnung oder verbesserte Rechtshilfeabkommen. Auch die Frage der unterschiedlichen strafrechtlichen und strafprozessualen Bestimmungen in den Mitgliedstaaten werde nicht hinreichend berücksichtigt. Schließlich sei der vorgesehene Direktzugriff ausländischer Behörden auf von Serviceanbietern gespeicherte Daten nicht rechtssicher zu realisieren, da die Unternehmen keine effektive Möglichkeit hätten, die Rechtmäßigkeit der Anordnungen zu beurteilen.

Strittig ist weiterhin, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-Überwachung (live interception) in die E-Evidence-VO aufgenommen werden soll. Selbst wenn - wie zu erwarten - entsprechende Forderungen im EP keine Mehrheit fänden, wäre die geplante VO ein tiefer Eingriff in die europäischen und nationalen Grundrechte. Es wäre unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gründliche Debatte durchzuwinken.

Die österreichische Regierung hält trotz dieser massiven Kritik an dem ambitionierten Ziel fest, die Verhandlungen über das E-Evidence-Paket im Ministerrat bis Ende 2018 abzuschließen, bevor Österreich die Ratspräsidentschaft an Rumänien abtritt.

Berlin, im November 2018

 

 

Peter Schaar

ist Vorsitzender der Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin und Bundesbeauftragter für den Datenschutz (BfDI) a.D.