Europol-StudieHerausgabe elektronischer Beweismittel scheitert häufig an Unfähigkeit von Behörden

Mit der geplanten e-Evidence-Verordnung sollen Internetdienstleister zu mehr Kooperation mit Polizei- und Justizbehörden gezwungen werden. Eine Untersuchung zeigt jedoch, dass die Firmen den Ersuchen schon jetzt freiwillig nachkommen. Anfragen werden nur zurückgewiesen, wenn sie fehlerhaft sind.

Eine Studie zeigt, dass die Herausgabe elektronischer Beweismittel für Verkehrs- und Nutzerdaten gut funktioniert. Abgelehnte Ersuchen liegen an unprofessionellen Ersuchen der anfragenden Behörden. – Alle Rechte vorbehalten Europol

Die Polizei aus Deutschland, Frankreich und Großbritannien fordert mit Abstand die meisten Daten bei Internetdienstleistern an. Das geht aus einer Untersuchung des SIRIUS-Projekts hervor, deren Ergebnisse Europol auf ihrer Webseite veröffentlicht hat. Demnach stammen 38 % aller Ersuchen (67.991) von deutschen Behörden. Die sogenannten G6-Staaten (Deutschland, Frankreich, Großbritannien, Polen, Spanien und Italien) stellen zwar nur die Hälfte der EU-Bevölkerung, ihre Behörden sind jedoch für rund 90 % der Überwachungsmaßnahmen verantwortlich.

Die bei der Polizeiagentur Europol in Den Haag angesiedelte SIRIUS-Plattform soll den Wissensaustausch zu elektronischen Beweismitteln erleichtern. Über eine sichere Leitung erhalten Behörden aller EU-Mitgliedstaaten Informationen, wie eine Abfrage bei Internetdienstleistern funktioniert. Dies betrifft Verkehrs-, Nutzer- und Inhaltsdaten, deren Herausgabe unterschiedlichen Verfahren folgt. SIRIUS enthält außerdem Anleitungen zu „Open-Source-Internet-Recherchen“ (OSINT) sowie zur Anfrage von Bestandsdaten bei verschiedenen Diensteanbietern. Damit können die Personen hinter IP-Adressen oder Mailaccounts ermittelt werden.

90 % aller Ersuchen stammen aus den sogenannten G6-Staaten. Sie stellen die Hälfte der EU-Bevölkerung.
75 % aller Ersuchen stammen aus den drei Ländern Deutschland, Frankreich und Großbritannien. - Alle Rechte vorbehalten Europol

Ersuchen zu 66 % erfolgreich

Die SIRIUS-Umfrage für das Jahr 2018 basiert auf Angaben von Strafverfolgungsbehörden aus 24 Mitgliedstaaten, lediglich aus Estland, Luxemburg, Malta und Rumänien kamen keine Antworten. Ebenfalls ausgewertet wurden Transparenzberichte von 12 Internetdienstleistern (Airbnb, Apple, Automattic, Cloudflare, Dropbox, Facebook, Google, LinkedIn, Microsoft, Oath, Snapchat, Twitter).

Die Gesetzgebung zur Herausgabe elektronischer Beweismittel variiert von Land zu Land, außerdem unterscheiden einige Anbieter bei der Befolgung von Ersuchen zwischen Straf- oder Zivilverfahren. Die meisten Dienstleister befinden sich in den USA. Dort können Abfragen zu Verkehrsdaten (Verbindungsprotokolle, IP-Adressen, Anzahl der Nachrichten) sowie Bestandsdaten (Name, E-Mail, Telefonnummer der TeilnehmerInnen) direkt bei den Firmen gestellt werden. Die meisten Anträge wurden an Facebook (30 %), Google (26 %) und Apple (24 %) gerichtet. Sie zu befolgen, steht den Unternehmen derzeit noch frei – laut der Studie sind sie im Polizeibereich trotzdem zu durchschnittlich 66 % erfolgreich.

Anfragen von Daten in übertriebenem Umfang

Die Abfrage von Verkehrs- und Bestandsdaten kann in Notfällen auch im Rahmen von sogenannten „Emergency Disclosure Requests“ (EDR) erfolgen. Die US-Gesetzgebung definiert dies als eine Situation, in der einer Person der Tod oder eine schwere Körperverletzung droht. In diesem Fall dürfen die Informationen in wenigen Minuten oder Stunden an ausländische Strafverfolgungs- und Justizbehörden herausgegeben werden.

Diese Notfallanfragen werden offensichtlich auch missbraucht: Laut dem SIRIUS-Bericht entfallen 67,5 % aller eiligen Ersuchen auf Großbritannien (6.158), gefolgt von Deutschland mit nur 8,2 % (749). Die meisten Notfallanfragen erhielten Facebook (53 %), Google (20 %) und Twitter (14 %).

Behörden aus Großbritannien sind für zwei Drittel aller „Emergency Disclosure Requests“ verantwortlich.
Behörden aus Großbritannien sind für zwei Drittel aller Notfallanfragen verantwortlich. - Alle Rechte vorbehalten Europol

Die Studie enthält auch Angaben, warum Ersuchen durch die Internetdienstleister abgelehnt wurden. In vielen Fällen werden demnach ungültige Identifikatoren übermittelt, darunter falsche oder fehlerhafte E-Mail-Adressen, Telefonnummern, URLs oder Benutzernamen. Einige Firmen beklagen Anfragen von übertrieben umfangreichen Daten. Es geht dabei um Fälle, in denen eine große Zahl von NutzerInnen betroffen wäre. Behörden würden oft auf Begründungen verzichten oder den Verweis auf die gültige Rechtsgrundlage vergessen. Trotzdem würden oft „alle verfügbaren Daten“ zu den NutzerInnen angefordert. Manche erfragten Daten (etwa Profilbilder) sind bei den Anbietern auch einfach nicht vorhanden, weshalb diese mit einer Ablehnung reagieren.

Gegenseitige Rechtshilfe für Inhaltsdaten

Wird ein Antrag abgelehnt, bleibt weiterhin die gegenseitige Rechtshilfe. Dabei stellen die Strafverfolgungs- oder Justizbehörden ihre Anträge bei den Staatsanwaltschaften des Vollstreckungsstaates. Ein solches Rechtshilfeabkommen hat die Europäische Union beispielsweise mit der US-Regierung abgeschlossen. Dieser gewöhnliche Rechtsweg ist auch vorgeschrieben, wenn Inhaltsdaten (Fotos, Audio- und Videodateien, Mail- und Messengerdaten) verlangt werden.

Allerdings dauert die Prozedur laut der Hälfte aller in SIRIUS befragten ErmittlerInnen (49,7 %) mit durchschnittlich etwa zehn Monaten zu lange. Oftmals läuft die Rechtshilfe auch ins Leere, weil die Inhaltsdaten nicht mehr auf den Servern der Firmen gespeichert sind. Die anfragenden Behörden können zwar ein Ersuchen zur Vorratsdatenspeicherung der einzelnen Datensätze stellen, bis der Rechtsweg beschritten ist. Dies wird aber häufig vergessen.

ErmittlerInnen können kein Englisch

Die SIRIUS-Studie zeigt, dass die Herausgabe elektronischer Beweismittel für Verkehrs- und Nutzerdaten weitgehend funktioniert. Werden Ersuchen abgelehnt, liegt dies in der Regel an unprofessionellen Ersuchen der anfragenden Behörden. Deren Unsicherheit wird auch in der Befragung deutlich. Demnach ist es für 22 % der Befragten schwierig, die Anfrage überhaupt zu konkretisieren. Häufig fehlen auch technische Kenntnisse, etwa wenn die Antworten ausgewertet werden müssen. Viele ErmittlerInnen beklagen auch die Kommunikation in englischer Sprache.

Obwohl die Internetdienstleister also bereitwillig kooperieren, sollen die Anordnungen zur Sicherung und Herausgabe elektronischer Beweismittel jetzt in zwei neuen EU-Verordnungen geregelt werden. Dann sollen auch Ersuchen zu Inhaltsdaten direkt bei den Firmen gestellt werden dürfen. So jedenfalls hat es die Kommission im April 2018 in ihrem Vorschlag für eine e-Evidence-Verordnung formuliert. Vor einem Jahr hat auch der Rat diese Position bekräftigt. Demnach soll der Sitzstaat des betroffenen Internetanbieters vom Anordnungsstaat lediglich über eine Maßnahme informiert werden. Dieses sogenannte Notifizierungsverfahren schließt die Möglichkeit einer Zurückweisung der Anordnung aus.

Abkehr vom Territorialitätsprinzip

Die geplante e-Evidence-Verordnung zur Sicherung und Herausgabe elektronischer Beweismittel soll für alle Straftaten gelten. Polnische Staatsanwaltschaften könnten auf diese Weise AbtreibungsgegnerInnen im Ausland überwachen, die spanische Polizei dürfte das Mailkonto von oppositionellen PolitikerInnen im Exil herausverlangen. Damit unterscheidet sich die Verordnung von einer Richtlinie wie dem EU-Haftbefehl, der nur für bestimmte Delikte genutzt werden darf. Justizbehörden im Vollstreckungsstaat prüfen dann, ob die Voraussetzungen erfüllt sind oder eine doppelte Strafbarkeit vorliegt. So ist es auch in der bereits existierenden Richtlinie zur Europäischen Ermittlungsanordnung vorgesehen, die ebenfalls für die Herausgabe von Inhaltsdaten elektronischer Beweismittel genutzt werden könnte.

Das neue EU-Parlament wird die e-Evidence-Verordnung im zuständigen Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) erstmals im Februar behandeln. Viele Abgeordnete sehen vor allem die grenzüberschreitende Abfrage von Inhaltsdaten kritisch. Eine Europäische Sicherungs- und Herausgabeanordnung würde auch das Territorialitätsprinzip infrage stellen, wonach der Vollstreckungsstaat die Grundrechte seiner BürgerInnen ohne eine Überprüfung der Ersuchen nicht mehr schützen kann.

US-Behörden wollen legal in Europa abhören

Nach einer ersten Abstimmung im LIBE-Ausschuss sollen die Trilogverhandlungen zwischen Parlament, Rat und Kommission zur e-Evidence-Verordnung beginnen. Ein schneller Abschluss ist unwahrscheinlich, sodass die Verhandlungen in die deutsche EU-Ratspräsidentschaft im zweiten Halbjahr 2020 fallen werden.

Obwohl sich noch kein Parlament mit der e-Evidence-Verordnung befasst hat, verhandelt die EU-Kommission bereits mit den Vereinigten Staaten über Anordnungen auch über EU-Grenzen hinweg. Eine entsprechende Vollmacht hatten die Regierungen der Mitgliedstaaten bereits im Sommer erteilt, noch vor der Wahl des neuen EU-Parlaments. Der Rat wünscht eine Aufnahme in den sogenannten CLOUD Act, mit dem die US-Regierung die einheimischen Internetdienstleister zur Kooperation zwingt.

Die US-Justizbehörden sind einer solchen Rahmenvereinbarung gegenüber aufgeschlossen, fordern allerdings im Gegenzug die Abfrage von Inhaltsdaten in der Europäischen Union. Dies beträfe auch das Abhören in Echtzeit, wenn die Telekommunikation über das Internet erfolgt. Eine solche Überwachung paketvermittelter Verkehre ginge damit sogar über die europäische e-Evidence-Verordnung hinaus.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. Hallo Matthias,

    ist das zitierter Cyber-Sprech von einer Behörde: „Über eine sichere Leitung erhalten Behörden aller EU-Mitgliedstaaten Informationen, …“?

    „Sichere Leitung“ liest und versteht sich etwas so: Durchgängige, nicht anzapfbarer Kupferdraht, also physischer Layer.

    Eine ’sichere Verbindung‘ wäre etwas anderes, nämlich eine nicht anzapfbare, nicht abhörbare, nicht von Dritten entschlüsselbare (IP)-Verbindung.

    Wobei „sicher“ immer noch in der Realität als nicht absolut sicher gilt.

    Von welchen Standards ist da die Rede, wenn von „sicherer Leitung“ die Rede ist?

  2. In Zukunft auch, allerdings ist die Herausgabe automatisiert und „europäisiert“. Willkommen auf dem Kontinent mit dem generischen Standortvorteil.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.