EU-MinisterInnen für grenzüberschreitende Beschlagnahme von Cloud-Daten [Update]

Die Europäische Union will die Herausgabe sogenannter elektronischer Beweismittel durch Internetanbieter erleichtern. Dabei geht es um direkte Abfragen von Bestandsdaten durch europäische Polizei- und Geheimdienstbehörden bei den Firmen. Damit wollen die Behörden den umständlichen Rechtsweg insbesondere in den USA vermeiden.

Vereinfachte Rechtshilfeersuchen könnten die Herausgabe elektronischer Daten in der Cloud grenzüberschreitend erleichtern. Dies beträfe auch die EU-US-Kooperation. CC-BY-SA 3.0 Brocken Inaglory

Europäische Sicherheitsbehörden können in sogenannten Notfallauskünften („emergency disclosures“) in Terrorismusangelegenheiten oder bei bevorstehenden schweren Straftaten direkte Anfragen bei Internetanbietern in den Vereinigten Staaten stellen. Entsprechende Herausgabeverlangen sind im US-Patriot Act geregelt. Die Telekommunikationsanbieter können die Anfragen auf freiwilliger Basis beantworten, aber auch ignorieren.

Erfolgen Direktanfragen von Strafverfolgungsbehörden nicht zur Abwehr einer unmittelbar bevorstehenden Gefahr, sondern zur „Erforschung des strafprozessualen Sachverhalts“, laufen sie häufig ins Leere. Die US-amerikanischen Diensteanbieter verlangen dann oft, aber nicht immer, ein Rechtshilfeersuchen der Staatsanwaltschaft oder die Vorlage eines Gerichtsbeschlusses.

Zusatzprotokoll zur Budapest-Konvention

Die Angelegenheit soll auf dem nächsten EU-US-Ministertreffen am 15. und 16. Juni unter dem Punkt „Kooperation im Bereich der Justiz“ besprochen werden. Die US-Delegation hat bereits deutlich gemacht, dass sich eine Vereinbarung mit der Europäischen Union an einer derzeit mit Großbritannien verhandelten Regelung orientieren könnte. Auch der sogenannten EU-US-Cyberdialog will die Herausgabe elektronischer Beweismittel behandeln, das nächste Treffen findet vermutlich im Dezember statt.

Vermutlich wird das schnellere Verfahren auch über ein zweites Zusatzprotokoll zum Übereinkommen über Computerkriminalität des Europarats ermöglicht. Bis 2019 soll das Cybercrime-Komitee des Europarates einen Entwurf erarbeiten. Als regelungsbedürftig gelten Rechtshilfeersuchen zur Herausgabe elektronischer Daten in der Cloud, die Zusammenarbeit von Internetanbietern mit Behörden sowie der grenzüberschreitende Datenzugriff durch Polizeibehörden.

Bald EU-weite Beschlagnahme von Cloud-Daten erlaubt?

Zusätzlich sollen innerhalb der Europäischen Union Verfahren entwickelt werden, um Rechtshilfe zu vereinfachen. Einen guten Überblick gibt hierzu ein „technisches Dokument“ der Kommission, das auf einem gleichzeitig versandten „Non Paper“ basiert. Am 8. und 9. Juni steht das Thema in Luxemburg auf der Agenda der Innen- und JustizministerInnen. Unter dem Titel „Strafjustiz im Cyberspace“ behandeln die MinisterInnen außerdem Maßnahmen zum Umgehen von Verschlüsselung und zur Vorratsdatenspeicherung.

Die Herausgabe elektronischer Beweismittel firmiert auf Ebene der Europäischen Union unter dem Schlagwort „e-evidence“. Entsprechende Maßnahmen hatte der Rat im Juni 2016 unter dem Titel „Improving Criminal Justice in Cyberspace“ als Schlussfolgerungen veröffentlicht. Darin hatten die Staats- und Regierungschefs die Kommission um Vorschläge zur Verbesserung der internationalen Zusammenarbeit bei „strafrechtlichen Ermittlungen im Cyberspace“ gebeten.

Die Bundesregierung unterstützt das Vorhaben und schlägt vor, die Europäische Ermittlungsanordnung um ein Zusatzprotokoll zur „grenzüberschreitenden Sicherung elektronischer Daten ohne technische Hilfe“ zu ergänzen. Die EU-Richtlinie wurde vor drei Jahren verabschiedet und musste von den Mitgliedstaaten bis vor zwei Wochen umgesetzt werden. Sie regelt unter anderem die Möglichkeit, in einem anderen Land das Abhören von Telekommunikation oder den Einsatz von Trojanern anzuordnen. Der „Vollstreckungsstaat“ muss dieser Anordnung folgen.

Unverzügliche Benachrichtigung über „Zielperson der Überwachung“

Eine ähnliche Regelung soll dem Bundesinnenministerium zufolge nun für die „direkte“ Sicherung von elektronischen Daten gelten. Mögliche Eckpunkte hatte das Bundeskriminalamt im März 2016 auf der Konferenz „Crossing Borders: Jurisdiction in Cyberspace“ in Amsterdam vorgestellt. Demnach dürften die ermittelnden Behörden Daten auch im Eilverfahren „beschlagnahmen“.

Zunächst würde aber nur der Diensteanbieter verpflichtet, die Daten zu sichern und etwaige Löschfristen auszusetzen. Der ermittelnde Mitgliedstaat muss dann den betroffenen Mitgliedstaat unverzüglich über Maßnahmen gegen die „Zielperson der Überwachung“ unterrichten (die sogenannte Notifikation), der betroffene Staat kann gegebenenfalls widersprechen. Dies käme etwa in Betracht, wenn das eigene Strafprozessrecht das zugrundeliegende Delikt nicht kennt oder eigene Ermittlungen gefährdet würden.

Entwicklung von Schnittstellen zur Ausleitung

Neben dem deutschen Vorschlag prüft die Europäische Kommission weitere „Formen des unmittelbaren Zugangs zu elektronischen Beweismitteln“. Konkrete Vorschläge sind für den Sommer dieses Jahres angekündigt, ein erster Überblick findet sich im Zwischenbericht aus dem Dezember 2016. Ein weiterer Vorschlag ist, ein Internetportal einzurichten, mit dem sich die Ermittlungsbehörden und Staatsanwaltschaften im „Anordnungsstaat“ und „Vollstreckungsstaat“ vernetzen.

Dabei geht es ebenfalls um die technischen Verfahren zur grenzüberschreitenden Ausleitung der Daten. Die Generaldirektion Justiz und Verbraucherschutz der Europäischen Kommission will hierzu Forschungsprojekte zur Erlangung elektronischer Beweismittel finanzieren. Auch das European Telecom Standards Institute (ETSI) entwickelt technische und rechtliche Spezifikationen für solche Schnittstellen. Außerdem werden Verfahren gesucht, um den physischen Speicherort von Daten zu bestimmen.

Update: Am 8. Juni hat die Kommission die im Artikel beschriebenen Vorschläge konkretisiert. Dabei geht es sowohl um Maßnahmen innerhalb der Europäischen Union als auch mit den Vereinigten Staaten. Außerdem heißt es, dass „in Irland ansässige Anbieter“ bereits Bestandsdaten herausgeben. Tags darauf hat das Cybercrime-Komitee des Europarats beschlossen, mit Verhandlungen zum neuen Zusatzprotokoll im September zu beginnen.

Eine Ergänzung

  1. Danke für die aktuellen Informationen. Unter dem Aspekt, daß es Leuten technisch möglich ist, willkürlich verheerende Schäden überall auf der Welt anzurichten, so sie es denn wollen, bin ich froh über jeden Fortschritt, der in der Bekämpfung dieser Möglichkeiten gemacht werden. Andererseits hält sich auch hartnäckig die Befürchtung, daß angesichts deren Dringlichkeit das Kind mit dem Bade ausgeschüttet werden könne. Nirgendwo finde ich etwas darüber, wie die Dinge im Zuge der Vernetzung von Ermittlungsbehörden (und worauf oder wen diese auch immer zugreifen) qualitativ gehandhabt werden sollen – sprich: wie die unbescholtenen Menschen (nach meiner persönlichen Einschätzung etwa 99,8 % der Weltbevölkerung) aus der ganzen Fahndung herausgehalten werden könnten. Dies scheint eine NOCH schwieriger zu bewerkstelligende Vorgehensweise in der Kriminalitätsbekämpfung zu sein als die Maßnahmen, die derzeit angestrebt werden. Ich ahne, daß unsere libertäre Gesetzgebung dem zumindest zeitweise unterlegen sein wird. Das alarmiert und beunruhigt mich sehr, zumal sich die unguten Ereignisse zu überschlagen scheinen. Mir wäre es lieber, wenn die bittere Wahrheit von den entsprechenden Stellen kommuniziert würde, damit wir wissen, womit wir es zu tun haben, und damit wir es auch mittragen können, wenn wir es für richtig halten. Sonst zerfällt doch alles nur in Glaubens- und Spekulationsfraktionen, was aufgrund der sich zunehmend ausbreitenden Ungewißheit eben keine positiven Sekundär-Effekte hervorbringen kann, und die Gesellschaft als solche sich zersetzt. Oder denke ich das etwa falsch?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.