Elektronische Beweismittel: EU-Staaten drohen Online-Diensten mit hohen Strafen

Betreiber von Internet-Diensten müssen Daten ihrer Nutzer bald innerhalb von sechs Stunden herausgeben, an Behörden aller EU-Staaten. Sonst drohen ihnen Strafen von bis zu zwei Prozent ihres globalen Umsatzes. Das sieht ein Verordnungsentwurf vor, auf den sich die EU-Staaten geeinigt haben. Wir veröffentlichen das Dokument.

Polizist mit Handy
Wenn die Polizei in dein Handy kuckt: Einsatz in Paris CC-BY-NC-ND 2.0 Serge klk

Ermittler in Europa wollen schnelleren Zugriff auf elektronische Beweismittel, auch über Ländergrenzen hinweg. Eine Mehrheit der EU-Staaten einigte sich diese Woche auf eine gemeinsame Position. Die Verordnung weitet die Befugnisse von Ermittlern in ganz Europa drastisch aus. Die gemeinsame Ratsposition soll schon am Freitag in Brüssel vom Rat der Justizminister beschlossen werden.

Die Behörden eines Landes dürfen laut Entwurf in strafrechtlichen Ermittlungen in fast ganz Europa Zugriffsanordnungen an Netzbetreiber und Anbieter schicken. Dienste-Anbieter werden damit zur Herausgabe von Verbindungsdaten oder sogar Inhalten von privaten Nachrichten verpflichtet. Facebook muss dann etwa WhatsApp-Metadaten von Verdächtigen herausgeben. Der Gesetzesvorschlag der EU-Kommission im April sorgte bereits damals für Besorgnis, er schiebe die Verantwortung zum Schutz von Grundrechten von Staaten zu Firmen.

Die Vorschläge sollen viel rascher und einfacher als bisher Zugriff auf Cloud-Daten erlauben. Bislang gibt es dafür die Europäische Ermittlungsanordnung von 2014, die einen Zeitrahmen von 120 Tagen vorsieht, sowie Rechtshilfeabkommen.

Der neue Gesetzesvorschlag wird bisher nicht breit in der Öffentlichkeit diskutiert. In Brüssel ist es unter dem etwas sperrigen Namen „e-Evidence“ bekannt. Als Vorbild dient der Cloud Act in den USA, der dort den Behörden weitreichende Möglichkeit zur digitalen Durchsuchung liefert. Der nun in Europa geschaffene Rechtsrahmen bereitet aus Sicht der Kommission ein transatlantisches Abkommen zum wechselseitigen Zugriff von Ermittlern mit den USA vor.

Milliardenstrafen bei Weigerung

Die Mitgliedsstaaten verschärfen den Vorschlag der Kommission zu e-Evidence in einigen Punkten. Für Betreiber von Online-Diensten ärgerlich sind die hohen Strafandrohungen: Bei Nichterfüllung der Anordnungen können Anbieter mit bis zu zwei Prozent ihre globalen Jahresumsatzes bestraft werden, heißt es in der Ratsposition. Für eine Firma wie Google oder Microsoft, die Daten von Millionen Menschen hosten, könnte eine Strafe in die Milliardenhöhe gehen. Von der Verordnung sind aber auch kleine Firmen und nicht-kommerzielle Anbieter betroffen, die sich weder hohe Strafen noch Anwälte leisten können.

Der Vorschlag des Rates ignoriert Kritik von Datenschützern, aber auch Warnungen aus Regierungskreisen. Ein Streitpunkt: Ermittler eines Staates könnten künftig in vielen Fällen auf eigene Faust agieren, ohne den Behörden im Staat des Providers oder der durchsuchten Person die Chance zum Einspruch zu geben. Wer ins Visier der Behörden eines EU-Staates gerät, etwa Staaten mit deutlich schwächerem Rechtsstaat wie Polen oder Rumänien, ist deren Rechtssystem ausgeliefert.

Das weckt erhebliche Bedenken. Ein Anbieter müsste zudem binnen kurzer Zeit entscheiden, ob er die Daten herausgeben oder rechtlich gegen die Anordnung vorgehen will. Das legt Grundrechtsschutz in die Hand einer privaten Firma, kritisierte Peter Schneiderhan vom Deutschen Richterbund bei einer Anhörung im EU-Parlament. „Als Staatsanwalt wehre ich mich ganz stark dagegen, dass es ein Rechtsinstrument gibt, dessen Vollstreckung nicht von mir abhängt, sondern von einem Provider.“

Deutschland pocht auf Grundrechtsschutz

Die Vorschläge sind selbst unter EU-Staaten umstritten. Bundesjustizministerin Katarina Barley (SPD) und Amtskollegen aus sieben weiteren Staten schickten vor wenigen Tagen einen Brief an EU-Justizkommissarin Vera Jourova. Darin pochen sie darauf, dass Behörden eines Staates in begründeten Fällen die Möglichkeit zum Widerspruch haben müssten. Der Gesetzesvorschlag brauche Schutzklauseln für Grundrechte. Der Brief stieß allerdings auf taube Ohren: Im Rat fanden die vorliegenden Vorschläge trotzdem eine Mehrheit.

Bürgerrechtler und Juristen sehen weitere Schwächen. Der Vorschlag erlaubt den Zugriff für alle Straftatbestände, für die eine Haftstrafe von mehr als drei Jahren gilt. Allerdings trifft das in einigen EU-Ländern auch auf Dinge zu, die anderswo erlaubt sind. Kritiker der Vorschläge verweisen etwa auf Polen, wo Abtreibungen mit hohen Haftstrafen bedroht werden. Anders als ähnliche Gesetze beinhalten die Vorschläge nämlich keine „double-criminality“-Klausel. Eine solche ließe Anordnungen nur zu, wenn etwas in beiden Staaten ein Straftatbestand ist.

Fraglich ist auch, ob die Vorschläge überhaupt rechtskonform sind. Die Zusammenarbeit der Staaten bei Justizangelegenheiten ist in den EU-Verträgen geregelt. Von Zusammenarbeit könne aber keine Rede sein, wenn in Zugriffs-Anordnungen nur noch ein Land involviert sei, sagte der Jurist Ian Mitchell vom Rat der Anwaltschaften der Europäischen Gemeinschaft bei einer Diskussionsrunde in Brüssel.

EU-Parlament bremst Behördenwünsche

Die umstrittenen Vorschläge der Kommission und der EU-Staaten müssen noch eine Hürde passieren: Im Europaparlament gibt es nämlich einige Skepsis. Die Berichterstatterin des Parlaments ist die deutsche Abgeordnete Birgit Sippel, eine SPD-Parteikollegin von Barley. Sie will behutsam handeln und für das Parlament einen starken Gegenentwurf zu den Vorschlägen von Kommission und Rat vorlegen.

Sippel machte bei der Anhörung im Parlament deutlich, dass sie mehrere offene Fragen bei den Vorschlägen hat. „Bei der Beschleunigung der Kooperation müssen wir darauf achten, keine neuen Möglichkeiten zu schaffen, die unsere Grundwerte unterlaufen“, sagte Sippel. Ihr liberale Kollegin Sophie in ´t Veld drückte es drastischer aus. Die Ausweitung der Behördenbefugnisse führe Anstrengungen zum besseren Schutz privater Daten ad absurdum: „Dann können wir uns die ganze Datenschutzgrundverordnung gleich schenken.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

22 Ergänzungen

  1. Prima, was der sukzessiven Verstaatlichung des ja privaten Internets einmal mehr Vorschub leistet und vor allem „marktbereinigend“ wirken dürfte, denn gerade kleine und Kleinstanbieter werden das nicht mehr leisten können, wenn sie nicht eh schon von den letzten neuen Gesetzen überrollt worden sind.
    Prima: Das macht es unserem lieben, guten Papa Staat und unserer großartigen FöhrerIn -allahseimitihr – auch möglich, gegen „fake news“ und unliebsame Wahrheiten vorzugehen und vom Staat bisher noch nicht kontrollierte Kommunikation von Bürgern über das Internet „endlich“ zu eliminieren.

    1. Frage mich, was „unsere[r] großartige[n] FöhrerIn -allahseimitihr –“ [sic!] damit zu tun haben soll, aber Ihre ganze Wortwahl zeigt, dass Sie es anscheinend besonders nötig haben, sich über die Auswirkungen dieser Regelung Sorgen zu machen.

    2. Gerdae die kleinen Anbiter haben hier ein Chance, wenn sie konsequent auf Speicherung der vom übergriffigen Staat gewünschten Daten einfach verzichten.

  2. Auch hier stellt sich die Frage: Wieviele Menschen können da schon wieder auf die Daten einer, zwar, größeren, aber eben nur relativen, Menge an Menschen zugreifen.
    Ab ca. 2 Millionen Nutzer*innen einer solchen „geschlossenen“ – „Data-Sharing-Plattform“ ist der Willkür gegenüber allen Menschen, die auf dieses System nicht zugreifen dürfen, Tür und Tor geöffnet.

    Und immer werden sie der nachdrücklichen, bis hin zur invasiven -, Meinung sein, sie wüßten eben mehr über dich, als du selbst. Und ihr System .. „macht keine Fehler.“

  3. Ermittlungsbehörden wollen an Beweismittel für Straftaten und Ordnungswidrigkeiten herankommen und verpflichten diejenigen, die darauf Zugriff haben, sie herauszugeben. Das ist doch wohl eine Selbstverständlichkeit in einem REchtsstaat. Jeder Zeuge muss aussagen, es sei denn, es liegen Zeugnisverweigerungsrechte vor. Endlich wird der bisher weitgehend rechtsfreie Raum im Netz rechtsstaatlichen Grundsätzen unterworfen – eine im Grundsatz positive Enwicklung.

    Wenn es sich um Beweismittel handelt, muss schon mal der Verdacht einer Straftat oder Ordnungswidrigkeit vorliegen. Auch der Kreis der „Zugriffsberechtigten“ (@ Ohm) ist eingegrenzt, nämlich auf die staatlichen Ermittler. Ein grundloses Schnüffeln scheidet aus. Bleibt also doch wohl nur noch zu klären, wie hoch der Verdachtsgrad sein muss und welche Rechte die vom ERmittlungsverfahren Betroffenen haben – und wie sie davon informiert werden, dass sie ihre Rechte geltend machen können.

    Richtig ist die Befürchtung, dass Staaten mit geringerer Rechtsstaatlichkeit über die Strenge schlagen könnten. Das ist aber ein allgemeines Problem der Rechtsstaatlichkeit und der vielbeschworenen „Wertegemeinschaft“ in der EU. Wer die infrage stellt, stellt die EU in Frage. Zu Recht, das muss die EU leisten!

    1. Allein in Deutschland gibt’s bsplw. schon länger folgendes Problem mit der „Erteilung“ von Zugriffsberechtigungen:

      „Eine lange Recherche der „taz“ beschäftigt sich mit dem Aufbau eines rechten Untergrundnetzwerkes in Deutschland. Daran seien Soldaten, Reservisten, Beamte, Mitarbeiterinnen und Mitarbeiter des Verfassungsschutzes beteiligt.“
      https://www.deutschlandfunkkultur.de/medienkritik-wo-bleibt-die-resonanz-auf-die-hannibal.1264.de.html?dram:article_id=434071

      Da sollten wohl erst mal Journalist*innen mit diesen „neuen“ Tools und EU-weit ermitteln! Gibt ein ganzes 20. Jahrhundert damit aufzuarbeiten! :)

    2. „Das ist doch wohl eine Selbstverständlichkeit in einem REchtsstaat.“

      Ganz klar: Nein! Denn bereits jetzt gibt es schon zu viel grundlose Schnüffelei (§ 100 StPO ff.). Insbesondere weil mehr als 70 Prozent aller Ermittlungsverfahren grundlos sind und gegen Unschuldige geführt werden (Deutsche Juristentag).

      1. Sorry, grundlose Ermittlungsverfahren? Das wäre selbst eine Straftat (Verfolgung Unschuldiger) absolut unwahrscheinlich, dass eine solche Behauptung auf dem Juristentag aufgestellt worden wäre. Ist auch in meiner Berufspraxis völlig abwegig. Bestimmt hast Du da irgend etwas verwechselt.

        Natürlich kann es sein, dass Ermittlungsverfahren zunächst gegen Unschuldige geführt werden, wenn es einen Verdacht gibt. Dann ist es aber nicht grundlos. Es endet mit einer Einstellung, wenn der Verdacht widerlegt ist oder im anderen Fall mit einer Anklage. Unser Rechtsstaat ist übrigens sehr (zu ?) grosszügig und stellt häufig ein, z.B, bei geringer Schuld oder fehlendem öffentlichen Interesse. Wahrscheinlich meinst Du diesen Sachverhalt, denn tatsächlich werden Ca. 70 % der Ermittlungsverfahren eingestellt. Sie sind aber nicht grundlos.

        1. Daten herausgeben, OK. Aber innerhalb von 6 Stunden? Man sollten den Unternehmen auch die Zeit geben zu prüfen ob die Anordnung der Herausgabe der Daten soweit OK ist. Und das kann halt auch was länger dauern.

        2. Ich meine das exakt so wie ich es geschrieben habe, du musst nur die Halbsätze richtig trennen. Die Schnüffelei nach 100 ff StPO ist überwiegend vollkommen grundlos. Dass die meisten Maßnahmen ohne Richtervorbehalt sind, ist der größte Witz. Auch dass ein Richter für eine Ablehnung eines Antrags der StA mehr schreiben muss als für eine Begründung muss geändert werden. Würde man der Polizei die 100er wegenhmen und unter Richtervorbehalt stellen, würden kaum weniger Taten aufgeklärt, sondern im Vorfeld besser ermittelt.

          Und zum zweiten Halbsatz: Ein Verdächtiger ist nach dem Gesetz eben kein Täter und bleibt ohne Urteil ein Unschuldiger. Somit sind alle Verfahren bis zum Beweis des Gegenteils gegen Unschuldige geführt.

    3. Alles schön und gut, aber Ihre Meinung fusst darauf, dass irgendein Provider oder Diensteanbieter ausschließlich Anfragen von echten Ermittlungsbehörden, die sich an alle Voraussetzungen der Verordnung gehalten haben, bekommt. Wie soll das denn ein Diensteanbieter für 27 Staaten innerhalb von sechs Stunden herausbekommen, wenn der Anbieter viel kleiner als Google & Co ist? Geht man da einfach in eine Suchmaschine der Wahl und stellt fest, ob das Dokument aus Bulgarien, Finnland oder Portugal genau so aussieht? Wie stellt man fest, ob die Unterschrift unter ein derartiges Dokument echt ist und die Person auch befugt ist, etwas derartiges zu unterschreiben? Hat man sicherheitshalber gleich eine Anwaltskanzlei im entsprechenden EU-Land, die einem so eine Frage schnell beantworten kann und das notfalls auch am Samstag, nur weil der Postbote am Samstag zustellt oder das Fax, die Mail oder was sonst auch immer gerade dann zugestellt wird, wenn im anderen Land kein Anwalt erreichbar ist? Droht dem gleichen Diensteanbieter nicht auch eine Strafe, wenn er geschützte Daten – z.B. gemäß DSGVO – an irgendjemanden herausgibt, nur weil der Anbieter die Frage nicht beantworten konnte, ob das tatsächlich eine Strafverfolgungsbehörde aus einem anderen EU-Land ist, diese sich rechtsstaatlich an alles gehalten haben und der Straftatbestand auch mit drei Jahren bewehrt ist?
      Als Geheimdienst würde ich mich über so ein Regelung freuen, gerade, wenn der Dienst aus einem Nicht-EU-Land käme. Fälschen fällt diesen bestimmt leicht, mit der Methode und dem Sechsstundenlimit Informationen über nicht-genehme Leute herauszubekommen. Für EU-Länder wäre das Aufdecken von ausländischen Agenten dann auch einfacher. „Spitzeln“ fürs Ausland mit 3 Jahren Gefängnis bestrafen und schon tun sich viele Möglichkeiten auf. Spionieren unter Freunden geht schließlich gar nicht, aber läuft dennoch…

  4. Dass die Mahnung der deutschen Justizministerin bei der tschechischen EU-Justizkommissarin auf taube Ohren stieß, bestätigt diese Bedenken eindrucksvoll. Europa entwickelt sich immer mehr hin zu einem neuerlichen Faschismus, in dem Grundgesetz, Verfassungen, Grundrechte und Menschenrechte sind das Papier nicht mehr wert sind, auf dem sie geschrieben wurden.

    1. Du solltest etwas vorsichtiger formulieren!
      Deine Ansichten über Europa und das Recht treffen in dieser populistischen Formulierung sicher nicht zu.

      Meist beruhen solche Behauptungen auf mangendem Verständnis des Grundgesetzes, der Grund- und der Menschenrechte. Ein schönes Beispiel war hier der Beitrag eines Juristen über die Grund rechte als Abwehrrechte gegen den STaat. Das wollten viele Kommentatoren einfach nicht wahr haben.

      Oft kommt es zu solchen „Kurzschlüssen“ auch dann, wenn man sich nur einseitig mit einem Thema beschäftigt und die (berechtigte) Gegenargumentation negiert.

  5. In dem Schriebs geht es um „Cloud-Daten“. Falls man sowas überhaupt verwenden möchte, sollte man die Daten zumindest verschlüsseln. Man kann natürlich neben der Verschlüsselung auch Clouds verwenden, deren Standort/Eigentümer in Ländern außerhalb der USA, den anderen five Eyes oder EU beheimatet ist. Insofern scheint das für „Interessierte“ kein besonderes Problem zu sein. Das Fangen von Typen auf der dunklen Seite der Macht im Internet ist schwierig bis fast unmöglich.

    Wer Whatsapp & andere (a)soziale Netzwerke verwendet hat sowieso „nichts zu verbergen“. Richtiger glaubt das bis zum Beweis des Gegenteils. Aus Sicht der EU macht es Sinn bei den US-Geheimdiensten nachzufragen, denn bei denen sollten die Daten fast realtime unverschlüsselt vorliegen.

    Wobei das Internet nicht wirklich wichtig ist. Wenn ein Ermittler mal einen üblen Ganoven schnappen sollte, ist es nicht unwahrscheinlich, dass er/seine Familie direkt angegriffen werden und er den Gauner am nächsten Tag bei seiner gewohnten kriminellen Tätigkeit auf der Straße wieder trifft. Das muss auch ziemlich deprimierend sein.

    1. Ich würde sagen der relative inhaltsoffene Begriff „Cloud-Daten“ reicht überaus hin damit alle nicht bei einer Person lokal gesicherten Daten meinen zu müssen.
      Was das im Einzelnen oder Gesamten betreffen mag entzieht sich ggf. auch der eigenen Kontrolle.
      Da betrifft Metadaten, unter anderem, genau so, wie andere anfallende Daten, die bei der direkten oder indirekten Nutzung Informationstechnischer Systeme anfallen.
      Personalisierte Daten fallen ggf. auch während einer Kameraüberwachung, Kennzeichenfeststellung, Besuch eines Arztes, Telefonnutzung, etc. an.
      Ich denke, es ist um vieles zu kurz gedacht, es könne sich dabei nur um Daten handeln, die explizit und gewollt von einer Benutzer*in auf einem entferntem Medium gespeichert werden.

  6. Nicht zu vergessen, es geht dabei bei dem Vorschlag zur Verordnung um Ermittlungen zu verdächtigten Tatbeständen. Hierfür ist die praktische Rechtssprechung und das Verfahren in den EU-Ländern alles andere als eineitlich.
    Was als begründeter Verdacht in einem Land als haltbar erkannt wird, ist in anderen Ländern
    rechtlich nicht hinlänglich.
    Selbst die Erlangung von Beweisen kann, aus der Sicht des einen, in einem anderen Land als schlichter Rechtsbruch angesehen und als selbst unverwertbar erkannt sein.
    Soll in Zukunft der -geäußerte Verdacht- einer Straftat, der nach den Gesetzen eines anderen Landes nicht als ausreichend erkannt würde, ausreichen um alle rechtlichen Schranken zu brechen?
    Soll tatsächlich ein privates Unternehmen darüber entscheiden, ob die Belegung des Antrags ausreichend und rechtlich haltbar begründet ist?

    Wie hoch sind die Strafen, wenn hier Daten unrechtmäßig herausgegeben werden?

    Letztlich ist dieser Verordnungsvoschlag, durch Abschaffung der rechtlichen Prüfung von Auskunftsverlangen, nichts anderes als der Vorschlag zur Abschaffung des Rechtsstaats im Strafbereich. Und die Einführung eines rechtlichen Wilkürsystems.

    Entweder verstehen die in Rat und Komission nicht, was sie tun, oder man muss Ihnen unterstellen, mindestens unbedacht die Grundlagen für die Abschaffung des verlässlichen Rechtsstaates zu schaffen.

  7. [quote]Der nun in Europa geschaffene Rechtsrahmen bereitet aus Sicht der Kommission ein transatlantisches Abkommen zum wechselseitigen Zugriff von Ermittlern mit den USA vor.[/quote]

    Dass die Amis einfach so Daten an europäische Ermittlungsbehörden herausgeben, das glaube ich erst wenn ich es sehe.

    Liest sich immer schön, solche Formulierungen nach dem Motto „Was ich bei dir darf, darfst du auch bei mir“. In der Praxis hat es schon oft genug so ausgesehen nach dem Motto „Ich darf bei dir sogar Dinge die nicht im Abkommen stehen, aber du darfst hier bei uns in den USA garnichts“. Denken wir nur an Schiedsgerichtsprozesse auf Grundlage „internationaler“ Abkommen mit den USA. Am Ende werden dann in den USA basierte Dienstebetreiber – zu recht – unter Berufung auf die Verfassung oder sonstiges geltendes US-Recht die Auskunft verweigern wenn Ermittlungsanfragen vom BKA Düsseldorf kommen oder so.

    Am Ende ist das sehr wahrscheinlich nur wieder eine leere Floskel, und das ganze Abkommen wird nur den Zweck haben, die amerikanischen Datenkraken weiter zu füttern.

    Wehret den Anfängen.

    1. “ Denken wir nur an Schiedsgerichtsprozesse auf Grundlage „internationaler“ Abkommen mit den USA“

      Die hat Deutschland m. W. erfunden und war auch bei den TTIP Verhandlungen treibende Kraft, dass diese implementiert werden. ;-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.