Ganz glücklich ist Birgit Sippel offenkundig nicht. Die Hauptverhandlerin des EU-Parlaments rund um die neuen Regeln für elektronische Beweismittel verteidigt zwar die Einigung vehement, die sie mit dem EU-Rat und der Kommission im Spätherbst erzielt hatte. Aber sie hätte sich mehr gewünscht, sagte die deutsche Sozialdemokratin bei der abschließenden Plenardebatte am Montag. Am Tag darauf, am gestrigen Dienstag, segnete das Parlament das sogenannte E-Evidence-Paket mit breiter Mehrheit ab. Ende Juni wird aller Voraussicht nach der EU-Rat der Mitgliedsländer seinen Segen geben, vollständig in Kraft treten werden die Regeln in rund drei Jahren.
Bereits im Jahr 2018 hatte die EU-Kommission ihren Vorschlag vorgelegt, es folgten jahrelange und zähe Verhandlungen. Grundsätzlich geht es darum, europäischen Ermittlungsbehörden den Zugriff auf elektronische Beweismittel deutlich zu erleichtern.
Als elektronische Beweismittel zählen Daten, die in Strafverfahren eine Rolle spielen. Das können beispielsweise E-Mails oder Textnachrichten sein, aber auch die Information, wann sich jemand bei einem Online-Dienst eingeloggt hat. Laut EU-Kommission spielen solche Beweise in 85 Prozent aller Strafverfahren eine Rolle, in 65 Prozent der Fälle würden diese Beweismittel in anderen EU-Ländern liegen.
Bislang mussten etwa deutsche Polizeien bei den Justizbehörden in Irland anklopfen, um an Daten von Facebook-Nutzer:innen zu gelangen. Doch dieser Prozess über sogenannte Rechtshilfeabkommen war den EU-Ländern und der Kommission zu langsam. Anstatt ihn zu reformieren, werden Datenanfragen künftig direkt bei den entsprechenden Diensteanbietern möglich.
Benachrichtigung als Sicherung
Der Hauptstreitpunkt in den Verhandlungen war, ob und in welcher Form die Behörden des Landes einbezogen werden sollen, in denen der jeweilige Online-Dienst angesiedelt ist. Denn zum einen ist nicht immer gegeben, dass eine Straftat in einem bestimmten Land auch anderswo als solche gilt. Zum anderen haben manche EU-Länder wie Ungarn oder Polen zuletzt einen autoritären Kurs eingeschlagen und zunehmend ihren Rechtsstaat abgebaut. Es allein den Diensteanbietern zu überlassen, die Rechtmäßigkeit einer sogenannten „Herausgabeanordnung“ zu überprüfen, war den Kritiker:innen zu wenig.
Gemündet ist dies nun in einen Kompromiss: Die Behörden im Land des Online-Dienstes müssen nicht benachrichtigt werden, wenn eine „Sicherungsanordnung“ das Einfrieren von Daten für bis zu 60 Tage anordnet. Sie erfahren auch dann nichts, wenn mittels einer Herausgabeanordnung Verkehrsdaten wie unter anderem IP-Adressen, angerufene Telefonnummern oder auch Bestandsdaten angefragt werden, um die Identität von Nutzer:innen festzustellen.
Höhere Hürden sind bei der Abfrage von Verkehrsdaten vorgesehen, wenn es um mehr geht als um eine Identitätsfeststellung. Damit könnten anfragenden Behörden beispielsweise herausfinden, wer von einer bestimmten Nummer angerufen wurde. Die selben Auflagen gelten außerdem bei der Abfrage besonders sensibler Inhaltsdaten, etwa dem Inhalt eines Mail-Postfachs. Hierbei muss die zuständige Behörde des Sitzlandes benachrichtigt werden – sofern sich die verdächtige Person außerhalb des anfragenden Staates befindet. Die Behörde hat dann zehn Tage Zeit, die Anfrage zu überprüfen und gegebenenfalls Widerspruch einzulegen, wenn die Anfrage den Vorgaben des Gesetzes nicht genügt. Reagiert sie innerhalb dieser Frist nicht, muss der Diensteanbieter die Daten übermitteln.
Gerichtet ist die Verordnung gegen Terrorismus, Missbrauch von Kindern und Betrugsdelikte, die mit Hilfe von IT-Systemen begangen wurden. Zudem umfasst sie Straftaten, die eine Gefängnisstrafe von mindestens drei Jahren im abfragenden EU-Land nach sich ziehen.
Pegasus-Abhörskandal zeigt Löchrigkeit des Rechtsstaats
Kritiker:innen befürchten, dass autoritäre EU-Länder die Regeln missbrauchen könnten, um ihre Opposition mundtot zu machen. So war die EU damit befasst, ein wenig Licht in den Pegasus-Abhörskandal zu bringen. Ins Visier der Spähsoftware gerieten nicht nur Journalist:innen und Oppositionelle in Ungarn oder Polen, auch in Spanien und Griechenland sollen politisch unliebsame Menschen ausgespäht worden sein.
In der E-Evidence-Verordnung hätten „schnelle und rücksichtslose Verfahren nun Vorrang vor rechtlichen Absicherungen“, klagt Chloé Berthélémy von der europäischen Bürgerrechtsorganisation EDRi. Bis zuletzt hatten zivilgesellschaftliche Organisationen darauf hingewiesen, dass der Notifizierungsmechanismus ausgehöhlt und „praktisch zahnlos“ ausgefallen sei. In der täglichen Arbeit von Ermittlungsbehörden dürfte er eher „zur Ausnahme als zur Regel“ werden, hieß es in einem offenen Brief von Montag, der die EU-Abgeordneten aufgerufen hatte, gegen das Gesetz zu stimmen.
Im Parlament kam der größte Widerstand von Seiten der Grünen- und Links-Fraktionen. Unter anderem Polen würde derzeit sein Justizsystem demolieren, sagte der Grünen-Abgeordnete Sergey Lagodinsky, und just zu diesem Zeitpunkt würden Journalist:innen oder Priester unter Druck stehen. Auf deren Daten könnte jetzt ungefiltert zugegriffen werden. „Der Zeitpunkt ist falsch, die Vorgehensweise ist falsch, die Abwägung ist falsch“, sagte Lagodinsky. Auch der Linken-Abgeordneten Cornelia Ernst zufolge wurde „ein Rahmen geschaffen, der nicht sicher ist“.
EU-Kommission soll Rechtsstaatlichkeit herstellen
Für die Sozialdemokratin Sippel haben „kritische und zustimmende Stimmen beide recht“. Die E-Evidence-Verordnung könne nur dann funktionieren, wenn überall in der EU Demokratie und Rechtsstaat herrschen. Dafür müsse die Kommission als Hüterin der Verträge sorgen, so die Abgeordnete. Tatsächlich laufen gegen Ungarn und Polen schon seit Jahren Vertragsverletzungsverfahren nach Artikel 7. In diesen wird untersucht, ob es zu schweren Verstößen gegen Grundwerte der EU gekommen ist. Doch bislang lassen sich die Länder von ausgesetzten Milliardenzahlungen und selbst von einschlägigen Urteilen des Europäischen Gerichtshofs nur bedingt beeindrucken.
„Am Ende gilt: Wir müssen uns ein Stück weit darauf verlassen, dass EU-Länder das System nicht missbrauchen“, hofft Sippel. Damit es nicht rein beim Prinzip Hoffnung bleibt, soll ein umfassendes Monitoring der dezentralen IT-Plattform sorgen, über die die standardisierten Anfragen abgewickelt werden. Neben der üblichen Evaluierung des Gesetzes soll die EU-Kommission jährliche Berichte abliefern und auflisten, welche EU-Länder wie viele Anfragen gestellt haben, welche Daten sie abgefragt haben oder wie oft sie sich auf Notfälle berufen haben, auf die Diensteanbieter binnen acht Stunden reagieren müssen. Zudem sind Klagemöglichkeiten für Betroffene vorgesehen. „Das Sitzland der Provider muss gut prüfen“, sagt Sippel, sonst drohen Schadenersatzzahlungen.
Frage: wenn ein Online-Dienst solche Abfragen speichert, besteht dann auf für diese Daten ein Auskunftsrecht nach DSGVO?
Eher nein, da die DSGVO auf Strafverfolgung keine Anwemdung findet.
Das gilt aber nur für die Strafverfolgungsbehörden! Man kann also nicht bei der Polizei eine Auskunftsanfrage stellen um von laufenden Verfahren gegen sich Kenntnis zu erlangen. Für Online-Dienste bestehen grundsätzlich alle Pflichten der DSGVO.
Man kann sicher absolut sein daß das vollumfänglich durch jeden mißbraucht wird ohne irgendwelche Konsequenzen
Super Möglichkeit, den Nachbarn in den Knast zu bringen. Einfach fake Account bei fbook oder so anlegen. Dabei entweder Tor oder am besten direkt ins Wlan einloggen. Wlan Passwort kann man bei einem freundlichen Besuch auf dem Router abfotografieren. Paar Illegale Bilder hochladen. Hat bisher schon bei Müllentsorgung gefunzt. Einfach vom Nachbarn eine Telefonrechnung mitgehen lassen und irgendwo im Wald bei einer Müllhalde dazugelegt. Könnte man auch als Dienstleistung anbieten.
“Zudem umfasst sie Straftaten, die eine Gefängnisstrafe von mindestens drei Jahren im abfragenden EU-Land nach sich ziehen.“ – das ist nicht korrekt. Es muss ein Delikt mit einer Mindesthöchststrafe von drei Jahren vorliegen.
Ein Mitglied des Bundestages die im Ausschuss für Digitales arbeitet hat behauptet das „.PDF Dateien unveränderbar seien“. Da musste das CCC dann lachen.
Ebenfalls kam die Frage hoch, ob das zur Verfügung stellen einer Bilddatei als .PDF keine Urkundenfälschung sei, denn die in Bilddateien hinterlegten EXIF-Daten können in einer Verhandlung ausschlaggebend seien. Durch die Umwandlung sind diese aber nicht mehr einsehbar.
Da musste der Anwalt dann stottern. Wird noch lustig.
Wer genau hat das denn mit den PDF Dateien gesagt?
Es war kein Mitglied des Bundestages, sondern eine Vertreterin des deutschen Anwaltvereins.
Mehr können Sie hier beim CCC sehen:
https://media.ccc.de/v/dgwk2023-56047-stand-der-dinge-zu-justit#t=1388
würde zumindest damit erklärbar sein, dass viele programme zur pdf-bearbeitung diese option „unveränderlich abspeichern“ haben. und wenn das da steht, dann ist das so!! (typische juristen-denkweise)
Haben Anbieter die Rechtsexpertise um Anfragen zu überprüfen?
https://netzpolitik.org/2018/elektronische-beweismittel-eu-staaten-drohen-online-diensten-mit-hohen-strafen/#comment-2454189
Leider geht aus dem letzten Absatz nicht hervor wo den Betroffene auf Schadenersatz klagen können. Sollte eine solche Klage nur am Sitz des Providers möglich sein, wird es kaum Konsequenzen geben. Welcher Eeste wird denn in Ireland klagen? Und welche Deutsche den Weg nach Malta auf sich nehmen?
Traurig, dass man mit dem Finger auf Staaten wie Ungarn, Polen, Griechenland oder Spanien zeigt und dabei nicht bemerkt, wie man selber kein Stück besser aufgestellt ist.