Auch US-Firmen betroffen: EU diskutiert Direktzugriff auf sämtliche Telekommunikation

Eine geplante Verordnung zur polizeilichen Ermittlung in Cloud-Daten soll nun doch den direkten Zugriff beinhalten. Dies beträfe Bestands-, Verkehrs- und Inhaltsdaten. Betroffen wären alle Firmen, die in der Europäischen Union „interpersonelle Kommunikationsdienste“ anbieten. Die österreichische Ratspräsidentschaft will eine Einigung bis Jahresende.

Der US-Justizminister Jeff Sessions und die Heimatschutz-Vizeministerin Claire Grady beim EU-US-Treffen in Sofia. Die Europäische Union will mit den USA die Teilnahme am „CLOUD Act“ verhandeln. – Alle Rechte vorbehalten Bulgarische Ratspräsidentschaft

Die Europäische Union strebt die Erweiterung eines geplanten Rechtsaktes an, um direkt auf Daten bei Internetdienstleistern zugreifen zu können. Dies geht aus einem Dokument hervor, das die bulgarische Ratspräsidentschaft an die Vertretungen der Mitgliedstaaten verteilt hat. Die Regelung richtet sich insbesondere an US-Firmen. Die EU-Justizminister sollen möglichst schnell grünes Licht geben, um entsprechende Verhandlungen mit der US-Regierung zu beginnen. Außerdem sollen sie darüber beraten, ob der Rechtsakt auch für abgehörte Telefonate gelten könnte.

Im April hatte die Europäische Kommission eine Verordnung vorgeschlagen, um den Zugang zu sogenannten „elektronischen Beweismitteln“ zu vereinfachen. Die Justizbehörde eines Mitgliedstaats könnte demnach eine Herausgabeanordnung für Inhaltsdaten, Verkehrsdaten und Bestandsdaten erlassen, der innerhalb von zehn Tagen entsprochen werden muss. Im „Notfall“ verkürzt sich die Frist auf sechs Stunden. Ähnlich dem deutschen „Quick Freeze“ erhalten die betroffenen Internetdienstleister vorher eine „Sicherungsanordnung“, damit die verlangten Daten nicht gelöscht werden.

Auch Zugangsdaten würden herausverlangt

Die Sicherungs- und Herausgabeanordnungen beträfen alle Firmen, die im Hoheitsgebiet von EU-Mitgliedstaaten „interpersonelle Kommunikationsdienste“ anbieten. Gemeint sind neben Cloud-Speichern auch Internet-Telefonie, Messenger, E-Mail-Dienste und Online-Marktplätze. Außerdem soll die Regelung für soziale Netzwerke wie Twitter und Facebook gelten. Schließlich sollen auch Anbieter von „Internetinfrastruktur“ sowie Domainregistrare unter eine entsprechende Verordnung fallen.

Als Bestandsdaten müssten die Firmen neben Personendaten alle bekannten Mail-Adressen und Telefonnummern sowie Dokumente und Fotos, die bei der Identitätsüberprüfung genutzt wurden, herausgeben. Ebenfalls verlangt werden können SIM-Kartennummern und Kreditkarteninformationen. Auch Zugangsdaten (etwa PIN- und PUK-Nummern oder Passwörter) werden als Bestandsdaten definiert. Als Verkehrsdaten werden unter anderem aus- und eingehende Verbindungsdaten erhoben, außerdem die Verbindungszeit und –dauer, IP-Adressen, genutzte Browser oder die „Kaufhistorie“ bei Online-Einkäufen. Zu den Inhaltsdaten zählen schließlich komplette Sicherungen von Mailbox-Dateien, Online-Speichern oder Voicemail-Mitschnitte. Auch online gesicherte Geräte-Backups wären von einem Herausgabeverlangen betroffen.

Herausgabe von Daten für „jede Art von Straftaten“

Ähnlich den bereits verfügbaren EU-Verfahren zur Rechtshilfe (etwa dem Europäischen Haftbefehl oder der Europäischen Ermittlungsanordnung) würde eine Verordnung zu „elektronischen Beweismitteln“ auf dem Prinzip der gegenseitigen Anerkennung basieren. Sie dürfte nur dann in strafrechtlichen Ermittlungen genutzt werden, wenn in beiden Staaten eine ähnliche Maßnahme für dieselbe Straftat zur Verfügung steht.

Laut dem Entwurf soll die Herausgabe der Telekommunikationsdaten einem abgestuften Verfahren folgen. Anordnungen zur Herausgabe von Teilnehmer- und Zugangsdaten dürften demnach für „jede Art von Straftaten“ erlassen werden, Anordnungen zur Herausgabe von Transaktions- und Inhaltsdaten jedoch nur für Straftaten mit einer Freiheitsstrafe von mindestens drei Jahren.

Direktzugriff mit „Option D“

Im Verordnungsentwurf für die Sicherungs- und Herausgabeanordnung hatte die Kommission mehrere Optionen vorgestellt und gegeneinander abgewogen. Durchgesetzt hat sich schließlich ein Rechtshilfeverfahren, an das die Firmen mit bestimmten Fristen gebunden sind. Ein Direktzugriff („Option D“) ging der Kommission zu weit und wäre in Bezug auf US-Firmen juristisch zunächst nicht durchsetzbar. Jedoch versprach die Kommission, über „Maßnahmen zum direkten Zugang und zum Zugang zu Datenbanken, die Bestandteil von Option D sind“, weiter zu reflektieren.

Der Verordnungsentwurf bleibt dazu unkonkret, nun gibt die bulgarische Ratspräsidentschaft die Richtung vor. Demnach könnte außer dem Direktzugriff auch das Abhören in Echtzeit („real-time interception of data“) in die Verordnung gehievt werden. Die europäischen ErmittlerInnen müssten hierzu mit allen Werkzeuge ausgestattet werden, „die auch ihren US-Kollegen zur Verfügung stehen“. Allerdings sind sich die Delegationen der Mitgliedstaaten in dieser Frage uneins: Laut dem Brüsseler Informationsdienst Euractiv hätten sich „Minister aus Belgien, Portugal, Zypern, Frankreich, Griechenland, Italien und Estland“ für das Abfangen von Kommunikationsdaten in Echtzeit ausgesprochen.

Der betroffene Staat, auf dessen Hoheitsgebiet sich ein solcher Server befindet, müsste jedoch über eine solche Maßnahme informiert werden. Weiterhin ist unklar, wie mit Daten umgegangen werden soll, deren Speicherort oder Hoster unbekannt ist. Einem Papier der Kommission zufolge könnten dann „Möglichkeiten des Zugangs“ genutzt werden, mit denen Behörden der Mitgliedstaaten bereits jetzt auf die betroffenen Server zugreifen und Daten „direkt von dem Computersystemen“ kopieren können.

Durchführungsabkommen für gesamte EU

Die Vereinigten Staaten würden einem Direktzugriff auf ihrem Hoheitsgebiet vermutlich nur zustimmen, wenn auch US-Behörden in der Europäischen Union eine solche Maßnahme zugestanden würde. Die geplante Verordnung zu „elektronischen Beweismitteln“ kann insofern als Antwort auf den jüngst in den USA erlassenen „CLOUD Act“ („Clarifying Lawful Overseas Use of Data (CLOUD) Act“) verstanden werden, der dort niedergelassene Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten zwingt.

Der „CLOUD Act“ enthält eine Klausel, wonach einzelne EU-Mitgliedstaaten mit der US-Regierung als „Partnerstaaten“ ein Durchführungsabkommen schließen können. Die europäischen Behörden wären den US-Behörden in Bezug auf Anordnungen zur Herausgabe „elektronischer Beweismittel“ gleichgestellt. Anstatt mühseliger Verhandlungen jedes einzelnen EU-Mitgliedstaates soll nun der Rat ein solches Durchführungsabkommen mit der US-Regierung für die gesamte Europäische Union aushandeln. Großbritannien führt bereits Gespräche für ein eigenes, bilaterales Abkommen nach dem Brexit.

Österreich will Einigung bis Jahresende

Vor zwei Wochen stand das Thema auf der Agenda des EU-US-Ministertreffens in Sofia, an dem neben dem österreichischen Innenminister Herbert Kickl der US-Justizminister Jeff Sessions und die Heimatschutz-Vizeministerin Claire Grady teilnahmen. Österreich wird in der zweiten Jahreshälfte die Ratspräsidentschaft übernehmen und will die Verordnung zu „elektronischen Beweismitteln“ als Priorität behandeln. Eine erste Einigung soll im Oktober erzielt werden, der Rechtsakt schließlich bis Jahresende unterschriftsreif verhandelt sein.

Am Montag berieten darüber die EU-Justizminister in Luxemburg. Das bulgarische Diskussionspapier wurde dort ohne Einspruch beschlossen, nun braucht es eine starke Verhandlungsposition gegenüber den Vereinigten Staaten. Die Debatte zur grenzüberschreitenden Herausgabe „elektronischer Beweismittel“ soll deshalb möglichst offen geführt werden, um in der Angelegenheit ein „klares Signal“ für die Entschlossenheit der Europäischen Union und ihrer Mitgliedstaaten auszusenden.

11 Ergänzungen

  1. Wie definiert man Totalitarismus?
    Der Direktzugriff auf sämtliche Telekommunikation ist heute wohl ein unverzichtbarer Teil davon.

  2. [Wir haben diesen Kommentar samt Namen gelöscht, weil er rassistische und sexistische Beleidigungen enthalten und nichts zur Debatte beigetragen hat. Hier unsere Kommentarregeln. Die Moderation.]

  3. Und sich im gleichen Atemzug über China und Rußland aufregen. Was für eine Bigotterie der Politiker-»Elite«. Aber auch die Bürger, die mehrheitlich diese Bundesregierung gewählt haben und die mehrheitlich die EU so toll finden (vornehmlich, weil sie kein Geld für »Malle« umtauschen und keine Roaming-Gebühren mehr zahlen müssen), sind genauso bigott oder einfach nur dumm. Ich zumindest habe meine Hoffnung aufgegeben. Wäre nicht die ganze Welt mittlerweile so verrückt, wäre ich vermutlich schon längst weg. So muß ich weiter den Verfall beobachten und leider unter ihm auch leiden.

  4. Darf man dann überhaupt noch was? Ich will nicht das jeder weis was ich alles bei E-bay kaufe oder das meine emotionalen Kommentare auf die Goldwaage gelegt werden. Im Netz sind die Menschen anders, wie kann man da alles wörtlich nehmen? Dieses System verkommt immer mehr zu einer Dystopie wie im Film Equilibrium. Emotionen sind zukünftig wahrscheinlich verboten. Dann bekenne ich mich schon mal jetzt. Ja ich bin Sinnestäter und ich lebe nach meinem Gefühl und das wird sich auch niemals ändern!

    1. Ich oute mich auch: Ich bin ebenfalls ein Sinnestäter und werde niemals widerrufen. So stehe ich nun hier und kann nicht anders.

  5. Das sind unwichtige Themen. Flüchtlinge und Islam, darüber muss geredet werden.

    Herzlichst
    Ihr Überwachungssuperintendent

    1. Der Überwachungsstaat dient auch den Flüchtlingen. Damit die nicht vom IS bedroht werden. Kennen die von Assad auch nicht anders.

  6. Mit dem CLOUD-Act sind die Amis die Vorreiter, die haben der „EU“ eindeutig gesagt, dass es nichts zu diskutieren gibt. Letztlich werden weder Kriminelle noch sonstwelche Privatpersonen gesucht, sondern es geht um großangelegte Spionage der Amis gegen den „Rest“ der Welt. Weder neu noch orginell. Sollen sie ihre Datenmüllhalden doch nach Belieben auffüllen und umschichten, vielleicht kommt tatsächlich was Sinnvolles raus.

  7. Wenn ich das richtig verstehe wird mit diesem „Einmal-alles-von-allen-bitte und die Passwörter für Mobiles aber zackzack“ die Vorratsdatenspeicherung obsolet. Es ist doch nicht ernsthaft davon auszugehen ist, dass jemals jemand rechtzeitig über die Speicherung informiert wird und das prüfbar wäre, ob gespeichertes oder korreliertes nach der Verteilung auf tausende Datenbanken wieder gelöscht wird. Da lässt sich mit der Zeit was hübsches ansammeln.

    Ein -Verdacht-sstraftatbestand von 3 Jahren für die Herausgabe aller verfügbaren Daten? Was für eine Hürde.
    Die Übergabe von bekannten Zugangsdaten für alle Delikte? Letzteres als auch dann schon bei simplen Beleidigungen? Ja, bravo.
    Wenn das die Politik demokratischer Institutionen sein soll, wozu brauchen wir dann noch die mundgerüchlichen Totalitaristen in Faschingskostümen?

  8. Die „DSGVO“ „schützt“ mich vor keinem realen Übel.
    Auch die agressiven Datenschutz-Trolle können keines benennen…
    Dass der Staat nicht auf meine Daten zugreifen kann, DAS schützt mich!

    Was soll das jetzt heißen, will die EU z.B. der Deutschen Polizei auch Zugriff auf Kundendaten bei Domainhostern und Webspace-Hostern erzwingen?
    Ich meine z.B. MEINE Indentität.
    Denn ein WhoIs-Schutz beim Domainhoster soll ja z.B. genau das verhindern.
    Oder aber auch Daten eines Webspace, an die man nicht als Besucher rankommt. Also abgesehen von Daten die nicht auf der Webseite verlinkt sind, oder einfach der Einfachheit wegen gerne von der Polizei direkt im FTP betrachtet und kopiert würden, auch die Datenbank eines Scriptes wie WordPress.
    Da sind ja Besucherkonten, deren Email-Adressen etc. drin..

    Im Titel steht ja „sämtliche „Telekommunikation“, im Text dann nur „Cloud“-Daten.

    Was die reinen Cloud-Anbieter angeht, die könnten ja eine Ende-zu-Ende-Verschlüsselung einbauen.

    Z.B. in die Drop-Box-Software die man auf dem PC, Smartphone etc. installiert.
    Das kann man denen ja schlecht verbieten, aber kein Staat der EU hat dann noch die Möglichkeit mit den Daten etwas anzufangen…
    Nicht mal mit den Zugangsdaten des Kontos könnte man damit was anfangen, wenn man für die Verschlüsselung ein extra Kennwort braucht.

    Wovor fürchten sich die Großen eigentlich, einfach mal NEIN zu sagen?!?
    Ich würde öffentlich jubeln, würde Mark Zuckerberg und Co. sich mit Mittelfinger-Geste fotografieren und darunter Bezug auf diese Forderungen nimmt, und sagt „Fuck EU“…

    Als Unternehmen kann man auch Geschäfte mit EU-Firmen machen, ohne hier eine Niederlassung zu haben über die man sich erpressen lasen kann.
    Kann Werbeplätze auch Deutschen Firmen anbieten, und die machen sich nicht strafbar wenn sie mit einem solchen „Outlaw“ solche Geschäfte machen…

    Das bedeutet dann wohl dass diese Anbieter gewzungen sind den Behörden in der EU Zugraiff auf Daten ALLER Kunden zu geben. Also auch der von z.B. US-Bürgern.

    Wenn also die Russen oder Türken auch so ein Gesetz erlassen, dann bekommen Putin, Erdogan, der KGB, MIT etc. auch Zugriff auf Daten Deutscher Kunden?!?
    Gleiches Recht für alle.
    Das würde Ich so auch der EU klar machen.

    Und die Herausgabe von „Zugangsdaten“ bedeutet dann auch, dass die Behörde nicht nur eine Webseite schließen kann, sondern evtl. auch noch Beweise unterjubeln?!?

    Eine russische Behörde verschafft sich Zugriff auf eine Dt. Seite homosexueller Art, evtl. auch beim Domainhoster, und macht die Dicht, löscht die Domain etc.. Oder man jubelt vorher etwas Kinderporograpfie unter, und „Jemand“ meldet es anonym der Dt. Behörde.

    Nun sollten Webhoster im Ausland (GoDaddy macht ja seit kurzem sogar Werbung in Deutschland) ganz offensiv damit werben keine Daten an Behörden in der EU herauszugeben.
    Ja, sie könnten das sogar in TV-Werbung in Deutschland machen. Evtl. nicht lange, aber das wäre eine Ansage.
    Ja, ganz provokant könnten in verschiedenen Spots verschiedene EU-Länder in Szene wo die Beamten scharf auf die Daten sind, verunglimpfend dargestellt werden.

    Deutsche Behörden könnten sich also auch Zugriff auf die Identität eines US-Bürgers verschaffen, nur weil der sein Verfassungsmäßiges Recht auf „Nazi-Kram“ wahrnimmt.
    Eine Webseite betreibt, eine Vereinsseite mit allen Nutzern in der Datebank etc..
    Und dann wird geheim Anklage erhoben, und wenn die mal zufällig auch nur über die EU einen FLug haben und hier zwischenlanden, Zack, Festnahme…
    Ich wünsche mir echt mal so einen Fall, und dann die ernst vermittelte Drohung (dafür wäre Trump gut ;-] ) mit militärischer Befreiung, wenn der Bürger nicht frei gelassen wird…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.