Budapester KonventionEuroparat beschließt erleichterten Austausch elektronischer Beweismittel

Ermittlungsbehörden und Staatsanwaltschaften können Internetanbieter in einem Drittstaat zukünftig ohne dortigen Gerichtsbeschluss zur Herausgabe von Daten ihrer Nutzer:innen zwingen. Noch weitergehende Überwachungsmaßnahmen zu „E-Evidence“ sollen in zusätzlichen Abkommen geregelt werden.

Das Bild zeigt die von hinten Silhouetten bewaffneter Spezialeinheiten, die sich im Dunlen auf einen belechteten Tisch zubewegen an dem zwei junge Männer vor Bildschirmen sitzen.
In einem Werbevideo für das neue Zusatzprotokoll stellt der Europarat eine Razzia von Spezialeinheiten bei „Cyberkriminellen“ dar. Council of Europe

Pünktlich zum 20. Jahrestag des Übereinkommens über Computerkriminalität hat das Ministerkomitee des Europarates am Mittwoch ein zweites Zusatzprotokoll beschlossen. Unter dem Titel „Verstärkung der Zusammenarbeit und Weitergabe elektronischer Beweismittel“ wollen sich die unterzeichnenden Regierungen zur gegenseitigen Herausgabe von Daten auf Servern in ihrem Hoheitsgebiet verpflichten. Der Vertrag soll im Mai 2022 zur Unterzeichnung veröffentlicht werden.

Im Europarat haben sich 47 Staaten zusammengeschlossen, darunter sind alle Schengen-Mitglieder, außerdem Länder wie Russland, Ukraine, Türkei sowie die Beitrittskandidaten der Europäischen Union. Das 2001 beschlossene Zusatzprotokoll zum Computerkriminalität-Übereinkommen („Budapester Konvention“) haben derzeit 19 weitere Regierungen unterzeichnet, darunter die Vereinigten Staaten, Australien, Kanada, Japan, Israel und Chile. Mindestens zehn Länder wurden zum Beitritt eingeladen.

In „Notfällen“ auch Anordnungen zu Inhaltsdaten

Die „Budapester Konvention“ soll die üblichen Verfahren zur bilateralen Rechtshilfe beschleunigen, in denen Gerichte über ein Ersuchen zu „E-Evidence“ entscheiden. Mit der neuen rechtlichen Grundlage können Strafverfolger personenbezogene Bestands- und Verkehrsdaten sowie Angaben zu den Nutzer:innen bei den Internetanbietern in den Partnerländern abfragen. Hierzu gehören auch Informationen zur Registrierung von Domain-Namen.

In „Notfällen“ soll die Weitergabe elektronischer Beweismittel auch Inhaltsdaten umfassen. Dabei kann es sich um eine Situation handeln, „in der eine erhebliche und unmittelbare Gefahr für das Leben oder die Sicherheit einer natürlichen Person besteht“. Als Beispiele nennt der Vertragstext Geiselnahmen, den andauernden sexuellen Missbrauch eines Kindes oder Szenarien nach einem Terroranschlag. Auch in einem nicht dringenden Fall dürfen die teilnehmenden Staaten Inhaltsdaten herausverlangen, dabei müssen sie jedoch andere (etwa bilaterale) Rechtshilfeverfahren nutzen.

Das zweite Zusatzprotokoll regelt außerdem die Einrichtung von gemeinsamen Ermittlungsteams, in denen sich Strafverfolger:innen und Staatsanwaltschaften einzelner Länder zusammenschließen können. Die Zusammenarbeit kann dann über Videokonferenzen erfolgen.

Großes Interesse an Ausweitung

Ursprünglich sollte das neue Zusatzprotokoll auch besondere Ermittlungstechniken erlauben. Die Europäische Kommission, die im Auftrag der EU-Mitgliedstaaten an den Verhandlungen teilnahm, hatte hierzu eine „Ausweitung der Durchsuchungen“ vorgeschlagen. Gemeint sind Fälle, in denen Behörden nach der Beschlagnahme eines Geräts oder durch die heimliche Beschaffung von Login-Daten auf Accounts der Betroffenen zugreifen können, auch wenn diese bei Anbietern im Ausland liegen.

Die Regierung der Vereinigten Staaten hatte zudem die pauschale Erlaubnis für „verdeckte Ermittlungen mit Hilfe eines Computersystems“ auf Servern in Drittstaaten gefordert, bei denen die Polizei unter falscher Identität im Internet unterwegs ist und an Chats mit Verdächtigen teilnimmt. Laut der Konvention seien diese Techniken zwar „für die Vertragsparteien von großem Interesse“, die hierfür benötigten Verhandlungen hätten jedoch den Zeitrahmen für die Ausarbeitung des Protokolls gesprengt. Vom Tisch sind die Themen deshalb nicht, sie sollen stattdessen „in einem anderen Format und möglicherweise in einem separaten Rechtsinstrument“ weiterverfolgt werden.

Verhandlungen zu EU-US-Abkommen liegen auf Eis

Die Europäische Union will hierzu eine Verordnung zu „Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel“ verabschieden, die Trilog-Verhandlungen mit dem Parlament sind jedoch ins Stocken geraten. Die Abgeordneten fordern, dass die zuständigen Behörden eines Landes unterrichtet werden müssen, wenn Daten auf ihrem Hoheitsgebiet von einer Herausgabeanordnung durch einen anderen Staat betroffen sind.

Weil viele der großen Internetdienstleister ihren Sitz in den Vereinigten Staaten haben, soll die EU-Kommission mit der Regierung in Washington ein zusätzliches EU-US-Abkommen ausarbeiten. Im Rahmen des „CLOUD Act“ könnten US-Behörden Firmen in Europa zur Herausgabe von Daten ihrer Nutzer:innen verpflichten. Auch diese Gespräche liegen auf Eis, eine Wiederaufnahme wird derzeit im Rahmen hochrangiger EU-US-Treffen vorbereitet. Vor zwei Jahren haben die Vereinigten Staaten ein bilaterales Abkommen zum Austausch von „E-Evidence“ mit Großbritannien geschlossen, das aber wegen verschiedener Probleme nicht in Kraft treten konnte. Ähnliche US-Initiativen gibt es mit Australien und weiteren ungenannten Drittstaaten.

Im Januar sollen schließlich die Verhandlungen für ein weltweites Rechtshilfeabkommen zur Bekämpfung der Cyberkriminalität auf Ebene der Vereinten Nationen beginnen. Das hatte die Regierung in Moskau gegen die Stimmen der EU-Regierungen und der USA beantragt. Auch daran will die EU-Kommission im Auftrag aller 27 Mitgliedstaaten teilnehmen, vorher braucht es aber einen entsprechenden Ratsbeschluss.

3 Ergänzungen

  1. Der Europarat (nicht verwechseln mit dem Europäischen Rat) ist ein illustrer Kreis von Mitglieder-Staaten zu denen auch folgende im Artikel nicht genannte gehören:

    * Armenien
    * Aserbaidschan
    * Bosnien und Herzegowina
    * Georgien
    * Ukraine
    * Moldau
    * Serbien
    * Montenegro

    Der Europarat hat mittlerweile einen lädierten Ruf, der u.a. Korruption und Menschenrechtsverletzungen geschuldet ist.

    https://de.wikipedia.org/wiki/Europarat#Kritik_an_der_Haltung_des_Europarates

    Bei solchen Abkommen stellt sich ganz grundsätzlich die Frage missbräuchlicher Nutzung durch Staaten, die nicht demokratisch verfasst sind, und keine unabhängige Justiz vorweisen können.

  2. Da wird der deutsche Gesetzgeber künftig erlauben, dass ohne richterlichen Beschluss Daten des eigenen Staatsbürgers an Staaten mit bekannt obskurer Justiz weitergeleitet werden können?! Ist man sich bei unserem Innenministerium der möglichen Probleme nicht bewusst? Was sagt das Justizministerium? Schon die Justiz in den EU-Ländern Polen und Ungarn steht in der Kritik. Über Türkei braucht man keine Worte mehr zu verlieren; viel Spass beim nicht geplanten verlängerten Urlaub.
    Da tauchen bei mir Fragen auf:
    a) Müssen Provider Anfragen erfassen bzw. wer erhält die Liste
    b) Wer überprüft, ob das System missbräuchlich benutzt wird
    c) Wird (und wann) der account-Inhaber benachrichtigt

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.