E-EvidenceWoran die EU-Verordnung zu elektronischen Beweismitteln hakt

Ermittlungsbehörden sollen in Zukunft digitale Beweise direkt bei Internetdiensten abfragen können – auch wenn diese in anderen EU-Ländern sitzen. Doch über die Details streitet das EU-Parlament noch mit den Mitgliedstaaten. Umkämpft ist nicht nur die Frage, wann ein Staat einer Anordnung widersprechen kann.

Das Bild zeigt die Lüfter eines Racks mit Computern.
Internetdienstleister sollen zur direkten Herausgabe von Verkehrs- und Inhaltsdaten an Polizei und Justiz verpflichtet werden, damit wird der übliche Rechtsweg ersetzt. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kvistholt Photography

Der französische EU-Vorsitz will Bewegung in das sogenannte E-Evidence-Dossier bringen und hat hierzu seit Januar mehrere Treffen der zuständigen Ratsarbeitsgruppen anberaumt. Allerdings können sich die Mitgliedstaaten und das Parlament in wesentlichen Punkten noch nicht einigen. Heute steht das Thema beim Treffen der Justizminister:innen in Brüssel erneut auf der Tagesordnung.

Es geht um das Vorankommen eines lang geplanten Projektes. Vor vier Jahren hat die Europäische Kommission eine Verordnung zur Sicherung und Herausgabe elektronischer Beweismittel in Strafsachen vorgeschlagen. Die Strafverfolgungsbehörden der Mitgliedstaaten wollen damit Internetdienstleister, die sich nicht im eigenen Land befinden, zur Übermittlung von Daten ihrer Nutzer:innen verpflichten. Mit diesen Direktkontakten zwischen Staaten und Firmen würde der übliche Rechtsweg umgangen.

Die Verordnung betrifft sowohl Bestands- und Verkehrsdaten – also etwa Namen, Anschrift, Nummer und Zeitpunkte der Verbindung – als auch die Inhalte der Kommunikation. Und sie umfasst auch Unternehmen, die in Drittstaaten ansässig sind, aber ihre Dienste in der EU anbieten. Dazu sollen sie einen „Ansprechpunkt“ in einem EU-Mitgliedstaat benennen.

Benachrichtigung auch bei Verkehrsdaten?

Vor einem Jahr begannen die Trilogverhandlungen zur E-Evidence-Verordnung zwischen Kommission, Rat und Parlament. Im November 2021 hat die slowenische Präsidentschaft dann einen Kompromissvorschlag vorgelegt.

Besonders strittig ist darin die Frage der so genannten Notifizierung bei einer Herausgabeanordnung durch einen Ausstellungsstaat. Gemeint ist die Verpflichtung, den Staat des betroffenen Providers (in der Verordnung als Vollstreckungsstaat bezeichnet) über die Aufforderung an die Firmen zu informieren. Während der Rat dies nur bei Inhaltsdaten zur Voraussetzung machen will, fordert das Parlament die Notifizierung auch bei Anordnungen zur Herausgabe von Verkehrsdaten – dazu zählen etwa die Telefonnummer und die Zeitpunkte, zu denen Webseiten aufgerufen wurden oder eine Nachricht verschickt wurde. Dies hat die parlamentarische Berichterstatterin des E-Evidence-Dossiers, Birgit Sippel (SPD), zuletzt vor zwei Wochen in einem Schreiben an den Rat bekräftigt.

Gegenüber netzpolitik.org begründet Sippel die Forderung mit der Bedeutung von Verkehrsdaten, die „intimste Einsichten in das Leben einer Person ermöglichen“. So erlaube etwa das wiederholte Aufrufen einer Internetseite, die über Möglichkeiten einer Abtreibung informiert, präzise Schlüsse über das Leben einer Person. Mehrere Entscheidungen des Europäischen Gerichtshofes und der Verfassungsgerichte der Mitgliedstaaten bestätigen diese Einschätzung. Zuletzt urteilte dazu der französische Cour constitutionnel in Bezug auf die Vorratsdatenspeicherung.

Fragwürdiges „Wohnsitzkriterium“

Der Rat kommt dem Parlament zwar entgegen, bringt dazu aber das sogenannte „Wohnsitzkriterium“ ins Spiel. Bei Verkehrsdaten würde demnach eine Benachrichtigung des Sitzstaates nur erfolgen, wenn die betroffene Person in einem andern Staat wohnt als dem, der die Anordnung ausstellt.

Zur Begründung heißt es, dass der ausstellende Mitgliedstaat die Rechte einer Person, die auf dem eigenen Territorium lebt, am besten schützt und somit am besten einschätzen kann, ob eine Anordnung rechtmäßig ist. In der Praxis gehe es einer Mehrheit der Mitgliedstaaten aber wohl vor allem darum, die Zahl der Notifizierungen möglichst klein zu halten, so Sippel. „Die aktuellen Rechtsstaats-Entwicklungen in der EU“ weckten Zweifel, dass Mitgliedstaaten immer den Schutz aller Menschen auf dem eigenen Territorium im Sinn hätten. Das Parlament lehne das Wohnsitzkriterium deshalb „mit Nachdruck ab“.

Der Internetdienstleister muss sich an die Gesetze des Staats halten, in dem er angesiedelt ist. Dies zu überprüfen ist laut Sippel nur möglich, wenn dieser von den Vorgängen überhaupt erst erfährt. Oftmals sei auch nicht klar, wo eine betroffene Person tatsächlich wohnt oder ob sich diese nach Vorlage einer Herausgabeanordnung im Ausstellungsstaat befindet.

Ablehnungsgründe und Benachrichtigungspflicht für Betroffene

Umstritten ist auch der Katalog von Gründen, in denen der notifizierte Vollstreckungsstaat eine Anordnung zurückweisen kann. Eine solche Positivliste von Straftaten, in denen sich die betroffenen Staaten Rechtshilfe zusichern, enthält etwa die Europäische Ermittlungsanordnung, mit der ebenfalls grenzüberschreitend Beweismittel in Strafverfahren erhoben werden können, in ihrem Anhang.

Gegenüber netzpolitik.org nennt die Berichterstatterin Sippel Ablehnungsgründe, von denen das Parlament in keinem Fall abrücken will. Hierzu gehören eine mögliche Verletzung von Grundrechten, Immunitäten und Privilegien, der Medienfreiheit oder Schutzmechanismen gegen eine mehrfache Verfolgung wegen derselben Straftat. Eine Anordnung soll auch dann zurückgewiesen werden können, wenn im Vollstreckungsstaat höhere Schutzstandards in Bezug auf Ermittlungsmaßnahmen vorliegen.

Schließlich will das Parlament auch in der Frage der Benachrichtigung betroffener Personen nicht nachgeben. Eine solche, unmittelbare Information müsse laut Sippel „die allgemeine Regel sein“, während der Rat dies als Ausnahme ansieht. Betroffene könnten nur dann von ihren Rechten Gebrauch machen, wenn sie von einer Anordnung wüssten. Die Informationspflicht soll nach dem Willen des Parlamentes auch bereits Anordnungen zur Sicherung von Daten abdecken und nicht nur Herausgabeanordnungen. Zwar könnte davon in Einzelfällen abgewichen werden, diese Entscheidungen müssten aber jedes Mal gut begründet sein.

Europarats-Abkommen vor Unterzeichnung

Die Trilogverhandlungen für das E-Evidence-Dossier werden vermutlich nicht vor den Sommerferien beendet, womöglich dauert der Abschluss sogar noch länger. Indirekt beeinflusst die Verzögerung auch andere EU-Gesetzgebungsverfahren, darunter die geplante Erweiterung der Liste von Kriminalitätsbereichen um Hetze und Hasskriminalität. Um bei derartigen Straftaten elektronische Beweismittel überhaupt zu erlangen, braucht es die Möglichkeit von Anordnungen zu deren Sicherung und Herausgabe.

Obwohl die E-Evidence-Verordnung noch nicht beschlossen ist, diskutiert die EU-Kommission bereits mit den Vereinigten Staaten über Anordnungen auch über EU-Grenzen hinweg. Ein entsprechendes Mandat hatten die Mitgliedstaaten im Sommer 2019, noch vor der Wahl des neuen EU-Parlaments, erteilt. Der Rat will eine Aufnahme in den sogenannten CLOUD Act, mit dem die US-Regierung die einheimischen Internetdienstleister zur Befolgung von Herausgabeanordnungen zwingt. Diese EU-US-Gespräche werden zwar fortgeführt, Verhandlungen dazu liegen jedoch – soweit bekannt – derzeit auf Eis.

Neben der EU will auch der Europarat in einem Zusatzprotokoll zur Budapester Konvention die Herausgabe elektronischer Beweismittel regeln, das soll allerdings nur in Ausnahmefällen auch für Inhaltsdaten gelten. Der Beschluss muss nun von den Europarats-Mitgliedern ratifiziert werden. Im Europarat haben sich 47 Staaten zusammengeschlossen, darunter sind alle Schengen-Mitglieder, außerdem Länder wie Russland, Ukraine, Türkei sowie die Beitrittskandidaten der Europäischen Union. Für die EU-Mitgliedstaaten hat die Kommission das Abkommen stellvertretend verhandelt, deshalb braucht es auch hier die Zustimmung des EU-Parlaments. Eile ist geboten, denn am 12. Mai ist die Unterzeichnung im Rahmen einer Zeremonie geplant.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Hier passt was nicht – soll das 2020 sein?
    „Nachdem die slowenische Präsidentschaft im November 2021 einen Kompromissvorschlag vorgelegt hatte, begannen vor einem Jahr schließlich die Trilogverhandlungen zwischen Kommission, Rat und Parlament. „

    1. Aus dem verlinkten Entwurf der EU gehen keine Einschräkungen aufgrund der Größe hervor:

      „Artikel 2
      Begriffsbestimmungen
      Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
      1.„Europäische Herausgabeanordnung“ eine verbindliche Entscheidung einer Anordnungsbehörde eines Mitgliedstaats, mit der ein Diensteanbieter, der in der Union Dienstleistungen anbietet und in einem anderen Mitgliedstaat niedergelassen oder vertreten ist, zur Herausgabe elektronischer Beweismittel verpflichtet wird;
      2.[..]
      3.„Diensteanbieter“ jede natürliche oder juristische Person, die eine oder mehrere der folgenden Kategorien von Dienstleistungen anbietet:
      a)elektronische Kommunikationsdienste im Sinne des Artikels 2 Absatz 4 der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation];
      b)Dienste der Informationsgesellschaft im Sinne des Artikels 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates 44 , bei denen die Speicherung von Daten ein bestimmender Bestandteil der für den Nutzer erbrachten Dienstleistung ist, einschließlich sozialer Netzwerke, Online-Marktplätze, die Transaktionen zwischen ihren Nutzern erleichtern, und anderen Anbietern von Hosting-Diensten;
      c)Internetdomänennamen- und IP-Adressendienste wie IP-Adressenanbieter, Domänennamen-Register, Domänennamen-Registrierungsstellen und damit verbundene Datenschutz- und Proxy-Dienste;“

      Und die „elektronische Kommunikationsdienste im Sinne des Artikels 2 Absatz 4 der [Richtlinie über den europäischen Kodex für die elektronische Kommunikation]“ sind folgendermaßen definiert:
      „4. „elektronische Kommunikationsdienste“: gewöhnlich gegen Entgelt über elektronische Kommunikationsnetze
      erbrachte Dienste, die — mit der Ausnahme von Diensten, die Inhalte über elektronische Kommunikationsnetze
      und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben — folgende Dienste umfassen:
      a) „Internetzugangsdienste“ im Sinne der Begriffsbestimmung des Artikels 2 Absatz 2 Nummer 2 der Verordnung (EU)
      2015/2120,
      b) interpersonelle Kommunikationsdienste und
      c) Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, wie Übertragungsdienste, die für die
      Maschine-Maschine-Kommunikation und für den Rundfunk genutzt werden;“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.