Überwachung

Europäische Union will Zugriff auf Server in Drittstaaten erleichtern

Polizei- und Justizbehörden sollen zukünftig leichter auf Cloud-Daten in den USA zugreifen. Umgekehrt könnten auch US-Behörden direkt bei europäischen Internetfirmen anklopfen.

Über den „CLOUD Act“ und das „Budapester Abkommen“ könnten ErmittlerInnen über Kontinente hinweg Daten bei Firmen abfragen. CC-BY-SA 2.0 Faber

Die Europäische Kommission hat zwei Verhandlungsmandate zur leichteren Datenabfrage bei Internetfirmen vorgelegt. Sie sollen den Zugang zu „elektronischen Beweismitteln“ in den USA erleichtern. Dies ist zwar über auch über das EU-US-Rechtshilfeabkommen oder bilaterale Verfahren zur gegenseitigen Anerkennung möglich. Dieser internationale Rechtsweg dauert aber bis zu zehn Monate. Angeblich machen die EU-Mitgliedstaaten nur in rund 4.000 Fällen pro Jahr von der mühseligen Prozedur Gebrauch.

Die Kommission will deshalb mit der US-Regierung über die Teilnahme am „CLOUD Act“ verhandeln. Das US-Gesetz zwingt dortige Unternehmen zur Offenlegung von Inhalts- und Verkehrsdaten, unabhängig davon, wo diese Daten gespeichert sind. Möglich ist, dass auch ausländische Behörden direkt bei den US-Firmen anklopfen. Zuvor müssen die einzelnen Regierungen jedoch ein Partnerabkommen mit den USA abschließen.

Vermutlich Abfragen in beträchtlichem Umfang

Ein solches Partnerabkommen beträfe Bestands- und Verkehrsdaten. Für Inhaltsdaten müsste weiterhin der vorgeschriebene internationale Rechtsweg eingehalten werden. Die Kommission schlägt nun vor, einen Rahmenvertrag für alle Mitgliedstaaten zu entwerfen. Internetanbieter in den USA könnten dann gezwungen sein, bestimmte Daten ohne Rechtshilfeersuchen an europäische ErmittlerInnen herauszugeben.

Käme es tatsächlich zu einer Einigung, könnte dies zu Abfragen in beträchtlichem Umfang führen. Laut der Kommission werden in rund 85 % von strafrechtlichen Ermittlungen „elektronische Beweismittel“ benötigt. In zwei Dritteln dieser Fälle müssten diese aus einem anderen Land beschafft werden. Die größten Diensteanbieter haben ihren Sitz in den USA. Die Anfragen an die Firmen haben demnach in den letzten Jahren deutlich zugenommen.

Auch auf EU-Ebene wird derzeit ein solches Verfahren für „E-Evidence“ vorbereitet. Es soll für alle Firmen gelten, die über das Internet in den Mitgliedstaaten erreichbar sind. Zuletzt hatte sich der Rat im Dezember auf eine gemeinsame Position geeinigt, jetzt wird der Vorschlag im Parlament diskutiert.

Diese „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ sieht die Einführung einer „Herausgabeanordnung“ vor, mit der Cloud-Daten oder E-Mails beschlagnahmt werden können. Hierzu erhalten die Internetanbieter zuerst eine „Sicherungsanordnung“, damit die angefragten Daten nicht zwischenzeitlich gelöscht werden.

Firmen müssen Anordnungen prüfen

Einen Richtervorbehalt benötigt es für die vereinfachte Abfrage von Bestandsdaten nicht. Damit bliebe es den Firmen überlassen zu prüfen, ob Anordnungen im Rahmen der „E-Evidence-Verordnung“ im Einzelfall entsprochen werden muss. So ist es auch für die europäische Teilnahme am „CLOUD Act“ geplant. Aus datenschutzrechtlicher Sicht ist das Vorhaben deshalb äußerst problematisch.

Die US-Regierung stimmt den Direktanfragen bei heimischen Firmen vermutlich nur zu, wenn auch ihren ErmittlerInnen der Zugang zu europäischen Servern erleichtert wird. Dies wäre möglich über das Zweite Zusatzprotokoll zum „Budapester Übereinkommen“ des Europarats über Computerkriminalität. Bis Dezember 2019 soll eine Arbeitsgruppe zu Cloud-Beweismitteln einen Entwurf für die engere Kooperation mit Internetfirmen ausarbeiten.

Die USA ist Unterzeichnerin des Abkommens von über 60 Regierungen, das Protokoll würde also auch für US-Firmen gelten. Obwohl die Europäische Union kein Mitglied des Europarates ist, hat die Kommission gestern auch das Verhandlungsmandat beantragt, um stellvertretend für alle EU-Mitgliedstaaten über die Neufassung des „Budapester Übereinkommens“ zu verhandeln.

Einführung neuer „Ermittlungstechniken“

Ähnlich der „E-Evidence“-Verordnung will die Kommission im Europarat für die Einrichtung von „Herausgabeanordnungen“ und „Sicherungsanordnungen“ werben. Diese beträfen vor allem Nutzerdaten („subscriber information“). Zu den vorgeschlagenen Fristen ist nichts bekannt, die Kommission will jedoch auch über ein Eilverfahren verhandeln.

Allerdings geht es im „Budapester Übereinkommens“ nicht nur um die Anfrage von „elektronischen Beweismitteln“. Vorgesehen ist auch die Durchführung gemeinsamer Ermittlungen im Cyberraum. Hierfür sollen die Polizei- und Justizbehörden auch Verfahren zur „erweiterten Suche“ und neue Ermittlungstechniken nutzen. Dabei könnte es sich um den Einsatz von Trojaner-Programmen handeln, wie er inzwischen über die Europäische Ermittlungsanordnung grenzüberschreitend durchgesetzt werden kann. Im Rahmen der Richtlinie muss ein „Vollstreckungsstaat“ die Daten privater Computer an den „Anordnungsstaat“ ausleiten.

Die beiden Verhandlungsmandate müssen noch von den Mitgliedstaaten beschlossen werden. Morgen und übermorgen treffen sich die EU-Innen- und Justizminister zum informellen Rat in Bukarest.

2 Ergänzungen
  1. Grundsätzlich ist es begrüßenswert, wenn es der Überführung von Straftätern dient. Jedoch sehe ich es recht skeptisch, wenn es hier keine klaren (strengen) Regeln gibt, die uns als Nutzer von Cloudlösungen schützten. Und wenn es so kommen sollte, werden die Kriminellen sowieso ihre Daten auf Server verlagern, in Ländern ohne ein entsprechendes Abkommen.

    1. „Grundsätzlich ist es begrüßenswert, wenn es der Überführung von Straftätern dient.“

      Mit der Argumentation kann man so ziemlich alles durchdrücken und deswegen ist sie auch die problematischste die es gibt. Straftäter ist man erst, wenn es ein rechtskräftiges Urteil gibt. Bis dahin ist man Unschuldiger und Eingriffsversuche in die eigenen Rechte sollten generell bekämpft werden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.