Ohne richterliche Anordnung: Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern

Die US-Regierung klagt derzeit gegen Microsoft auf Herausgabe von Daten, die der Konzern auf Servern in Europa speichert. Ein neues Gesetz soll den US-Behörden mehr Kompetenzen verschaffen. Auch die EU-Mitgliedstaaten wollen den Zugang zu Inhalts- und Verkehrsdaten in den USA vereinfachen. Die EU-Kommission plant hierzu einen Legislativvorschlag.

Neue Gesetzesvorschläge betreffen den Zugriff auf Daten in der Cloud, auf Mailservern, von Messengerdiensten oder auch VoIP-Anrufe. CC-BY 2.0 Rosmarie Voegtli

Europäische Behörden könnten demnächst bei Internetfirmen in den USA verlangen, auf direktem Wege Inhalts- und Verkehrsdaten herauszugeben. Die Europäische Kommission arbeitet hierzu an einem Legislativvorschlag, der am 17. April veröffentlicht werden soll. Dieser richtet sich an alle Firmen, die auf dem europäischen Hoheitsgebiet Dienste erbringen. Im Fokus stehen aber jene aus den USA, darunter Facebook, Google und Microsoft. Die Regelung wäre richtungsweisend für den Umgang mit digitalen Beweismitteln, denn eine richterliche Anordnung soll hierfür nicht erforderlich sein. Damit greift die Initiative tief in die Grundrechte ein.

Auf EU-Ebene firmiert der Vorschlag als Erleichterung des Zugangs zu „elektronischen Beweismitteln“ („e-evidence“). Der Prozess startete mit den Schlussfolgerungen des Rates zur Verbesserung der Strafjustiz im Cyberspace vom 9. Juni 2016, in denen die Mitgliedstaaten die Bedeutung von „elektronischen Beweismitteln“ in Strafverfahren zu allen Formen der Kriminalität betont hatten. Von Interesse sind Daten in der Cloud, auf Mailservern, von Messengerdiensten oder auch VoIP-Anrufe.

Wenig Rechtshilfe, viele Direktanfragen

Bislang wurden zur Herausgabe elektronischer Beweismittel die Mechanismen für justizielle Zusammenarbeit wie das EU-US-Rechtshilfeabkommen oder der bilateralen, gegenseitigen Anerkennung in Strafsachen genutzt. Dieser internationale Rechtsweg, der bis zu 10 Monate dauern kann, gilt als zu langwierig für Kommunikationsdaten, die teilweise nur wenige Wochen gespeichert werden. Laut der EU-Kommission würden die EU-Mitgliedstaaten deshalb jährlich nur in rund 4.000 Fällen davon Gebrauch machen.

Manche US-Internetfirmen kooperieren mit europäischen Behörden auch in Direktanfragen. Dies betrifft aber nach US-Gesetzen ausschließlich Verkehrsdaten zur Abwehr einer unmittelbar bevorstehenden Gefahr. Diese Direktanfragen werden jedes Jahr mit 100.000 Vorgängen deutlich häufiger genutzt als die internationale Rechtshilfe.

US-Behörden wollen Zugriff in EU-Ländern

Andersherum fordern auch US-Behörden Zugriff auf Cloud-Daten, die auf Servern in Europa lagern. Vor dem Obersten Gerichtshof wird hierzu eine Klage gegen Microsoft verhandelt. Die Firma soll nach dem „Stored Communications Act“ aus dem Jahr 1986, wonach Strafverfolgungsbehörden einen Dienstleistungserbringer mit Sitz in den USA auffordern können, Cloud-Daten, die auf einem Server im Ausland gespeichert sind, kooperieren. Eine Entscheidung in der Rechtssache wird im Juni 2018 erwartet.

Der Rechtsstreit könnte jedoch obsolet werden, wenn ein neues US-Gesetz zur Verwendung von Daten im Ausland („Clarifying Lawful Overseas Use of Data (CLOUD) Act“) in Kraft tritt. US-Unternehmen könnten dann jederzeit zur Offenlegung von Inhalts- und Verkehrsdaten gezwungen werden, unabhängig davon, wo diese Daten gespeichert sind. Der Entwurf für den „CLOUD Act“ wurde dem Kongress am 6. Februar vorgelegt.

Neues US-Gesetz macht EU-Mitgliedstaaten zu Partnern

Der „CLOUD Act“ soll auch die Zusammenarbeit mit europäischen Behörden regeln. Einzelne EU-Mitgliedstaaten könnten mit der US-Regierung als  „Partnerstaaten“ ein Durchführungsabkommen schließen. Dadurch würde den US-Internetfirmen erlaubt, ihnen ebenfalls Inhalts- und Verkehrsdaten zur Verfügung zu stellen ohne dass es den internationalen Rechtsweg bedarf. Im „CLOUD Act“ ist außerdem die Rede von der Übermittlung drahtgebundener Kommunikation, was allerdings nicht weiter ausgeführt wird.

Schließlich ermöglicht der „CLOUD Act“ durch eine Klausel des „entgegenkommenden Verhaltens“, dass Internetfirmen bei einem US-Gericht regionale Ausnahmen beantragen dürfen. Sie könnten beispielsweise darum bitten, dass Daten, die in der Europäischen Union zu Nicht-US-Staatsangehörigen gespeichert werden, nicht an US-Behörden herausgegeben werden müssen. Auf diese Weise würden EU-Datenschutzgesetze eingehalten. Hierzu müsste der betreffende Staat aber als „Partnerstaat“ des „CLOUD Act“ registriert sein.

Kein Interesse an deutschem Vorschlag

Der von der Kommission vorbereitete Legislativvorschlag vereinfacht auch den Zugriff auf Cloud-Daten unter EU-Mitgliedstaaten. Das birgt Rechtsunsicherheiten, etwa wenn ein ermittelnder Mitgliedstaat Daten auf einem Server beschlagnahmt, die in einem anderen Mitgliedstaat gespeichert sind. Außerdem wären die rechtlichen Hürden für einen grenzüberschreitenden Zugriff drastisch niedriger, denn im Gegensatz zu nationalen Regelungen ist keine richterliche Anordnung erforderlich.

Das deutsche Bundesministerium der Justiz und für Verbraucherschutz hatte deshalb ähnlich wie in der EU-Ermittlungsanordnung in Strafsachen, in der die grenzüberschreitende Telekommunikationsüberwachung geregelt ist, eine „Notifikationslösung“ vorgeschlagen. Der ermittelnde Mitgliedstaat wäre demnach verpflichtet, den von der Maßnahme betroffenen Mitgliedstaat nachträglich von der Maßnahme zu unterrichten. Dieser könnte widersprechen, falls die Aktion nach seinem eigenen Recht unzulässig wäre. Es ist unklar, ob die Kommission diese „Notifikationslösung“, die von der Bundesregierung als Beitrag zum Datenschutz gelobt wird, in ihrem Vorschlag am 17. April berücksichtigen wird. In bislang verfügbaren Dokumenten des Rates und der Kommission findet sich hierzu jedenfalls nichts.

Zusatzprotokoll zur „Cybercrime-Konvention“ geplant

Unterstützung für die zukünftigen Regelungen des reziproken Datenzugriffs kommt derweil vom Europarat, der ein Zusatzprotokoll zum Budapester Übereinkommen über Computerkriminalität („Cybercrime-Konvention“) vorbereitet. Bis Dezember 2019 soll eine Arbeitsgruppe zu Cloud-Beweismitteln einen Entwurf mit Bestimmungen für vereinfachte Rechtshilfeverfahren sowie zur garantierten Kooperation der Internetfirmen ausarbeiten. Die USA ist Unterzeichnerin des Abkommens, das Protokoll würde also auch für US-Firmen gelten. Vermutlich werden sich also der „CLOUD Act“, so er denn verabschiedet wird, und die neue EU-Gesetzgebung auf das Zusatzprotokoll berufen.

Am Freitag wollen sich die EU-Justizminister auf den Rat für Justiz und Inneres mit dem gegenseitigen Zugang zu „elektronischen Beweismitteln“ befassen. Zur Klärung offener Fragen reist die EU-Kommissarin für Justiz und Verbraucher, Verena Jourová, anschließend in die USA. Danach wird das Thema auf der EU-USA-Ministertagung am 22. und 23. Mai in Sofia verhandelt.

2 Ergänzungen

  1. So grausam und ekelhaft die absehbaren Folgen daraus sind – z.B. Verfolgung in einem Einreiseland aufgrund von Äußerungen, die man in (halb-)geschlossenen Systemen anderswo gemacht hat, Verhaftung aufgrund von Kontakten zu Personen, etc. die am Aufenthaltsort irrelevant sind … Einreiseverbote, Arbeitsverbote, usw.
    Selbst innerhalb Europas kann das in Ländern wie Ungarn und Polen, nur als Beispiel, zu weit mehr als nur „lästig“ werden.
    Anpassungsdruck international ohne Ausweichoptionen? Das hat mit Demokratie so viel zu tun, wie?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.