Die e-Evidence-Verordnung will EU-weit Herausgabeverlangen von Strafverfolgungsbehörden hinsichtlich sog. „elektronsicher Beweismittel“ erleichtern. Werden die Regelungen in ihrer jetzigen Form verabschiedet, drohen Datenschutz und Rechtsstaat Federn zu lassen.
Der Inhalt im Überblick
Grenzenlose Ermittlungsmöglichkeiten
Die e-Evidence-Verordnung sieht EU-weite Maßnahmen zur Einholung und Sicherung elektronischer Beweismittel im Strafverfahren vor. So soll es z.B. deutsche Provider zur Herausgabe von Nutzerdaten an ausländische Ermittlungsbehörden zwingen, denen Handlungen zugrunde liegen, die nach deutschem Recht möglicherweise gar nicht strafbar sind.
Das Verfahren für die sog. „Europäischen Herausgabeanordnungen“ sieht hierbei grundsätzlich keine Beteiligung inländischer Justizbehörden vor. Diese sollen erst eingeschaltet werden, wenn sich das von dem Herausgabeersuchen betroffene Unternehmen gegenüber der ausländischen Ermittlungsbehörde weigert, die elektronischen Beweismittel herauszugeben. Das Verfahren nach der geplanten e-Evidence-Verordnung zwingt Online-Anbieter Zugriffe fremdstaatlicher Strafverfolgungsbehörden selbst auf ihre Rechtmäßigkeit hin zu untersuchen und zu bewerten.
Der Verordnungsgeber erkennt in seinem Vorschlag für die Verordnung potentielle Auswirkungen auf eine Reihe von Grundrechten an: Er benennt hier als betroffene Rechte – große Überraschung – die Rechte des Individuums, auf dessen Daten zugegriffen wird. Weiter werden das Recht auf den Schutz personenbezogener Daten, das Recht auf Achtung des Privat- und Familienlebens, das Recht auf freie Meinungsäußerung; Verteidigungsrechte; das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren benannt.
Zudem erkennt der Entwurf auch betroffene Rechte des Diensteanbieters an, nämlich das Recht auf unternehmerische Freiheit und das Recht auf einen wirksamen Rechtsbehelf.
Allgemein werden als betroffene Rechte aller Bürger das Recht auf Freiheit und Sicherheit benannt.
Alle wesentlichen Daten über Nutzer betroffen
Nach Art. 2 Nr. 3 des Verordnungsentwurfs sind Verpflichtete zunächst alle natürliche oder juristische Personen, die „elektronische Kommunikationsdienste“ oder Dienste der Informationsgesellschaft, einschließlich sozialer Netzwerke, Online-Marktplätze und anderen Hosting-Diensten, erbringen. Der Begriff des „Dienstes der Informationsgesellschaft“ orientiert sich an Art. 1 Nr. 1 lit. b RL 2015/1636/EU und hat damit dieselbe Bedeutung wie in Art. 8 Abs.1 DSGVO. Der Begriff wird definiert als
„jede gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.“
Der Adressatenkreis der e-Evidence-Verordnung wäre damit denkbar weit gefasst.
Aus Art. 2 Nr. 6 des Verordnungsentwurfs ergibt sich die Unterscheidung zwischen sog. Teilnehmerdaten, Zugangsdaten, Transaktionsdaten und Inhaltsdaten als sog. „elektronische Beweismittel“. Diese werden in den Art. 2 Nr. 7 bis 10 des Verordnungsentwurfs näher beschrieben, auf die an dieser Stelle verwiesen wird. Zu diesen Daten gehören vor allem die Identitäts- und Adressdaten des Kunden, darüber hinaus umfangreiche Metadaten zu Art und Nutzung des Dienstes, sowie Inhaltsdaten wie alle in einem digitalen Format gespeicherten Daten (etwa Text, Sprache, Videos, Bilder und Tonaufzeichnungen). Daraus ergibt sich in der Summe, dass der Begriff der „elektronischen Beweismittel“ im Grunde alle wesentlichen Daten, die das in Anspruch genommene Unternehmen über einen Nutzer vorhält, umfasst.
Ausgenommen sollen lediglich Echtzeit-Daten sein. Aus Art. 5 Abs.4 des Entwurfs ergibt sich zudem, dass der Zugriff auf Transaktions- und Inhaltsdaten nur erschwert möglich sein soll, etwa bei Straftaten, für die eine Mindeststrafandrohung von 3 Jahren besteht.
Kaum Kontrolle durch inländische Justiz
Nach der Regelungssystematik des Entwurfs hängt die Entscheidung, ob Nutzerdaten an ausländische Strafverfolgungsbehörden abfließen, in erster Linie maßgeblich von der Entscheidung des betroffenen Unternehmens ab, an das sich das Herausgabeverlangen richtet. Erst wenn sich das Unternehmen gegen das Herausgabeersuchen wehrt, kann es zu einer Bewertung des Vorgangs durch die inländische Justiz kommen. Hierdurch wird die rechtliche Bewertung, ob es sich bei der Herausgabeanordnung um eine rechtmäßige Maßnahme handelt, in erster Linie Privatunternehmen aufgebürdet.
Das betroffene Unternehmen steht im Verdachtsfall, dass ein Herausgabeverlangen rechtswidrig ist, nach Art. 15 Abs. 1 und 2 des Verordnungsentwurfs in der Pflicht, seine Gründe für die Nichtausführung der Europäischen Herausgabeanordnung der ausländischen Anordnungsbehörde (also der Strafverfolgungsbehörde) mitzuteilen. Dabei muss der begründete Einwand alle sachdienlichen Angaben zu den betreffenden Rechtsvorschriften des Drittstaats, zu ihrer Anwendbarkeit auf den vorliegenden Fall und zur Art der einander widersprechenden Verpflichtungen enthalten. Er darf sich nicht darauf stützen, dass in den geltenden Rechtsvorschriften des Drittstaats keine vergleichbaren Bestimmungen über die Bedingungen, Formvorschriften und Verfahren für den Erlass einer Herausgabeanordnung existieren, und auch nicht allein darauf, dass die Daten in einem Drittstaat gespeichert sind.
Breite Kritik
Diese Regelungen sehen sich breiter Kritik ausgesetzt. Experten sprechen vor diesem Hintergrund von einem „Outsourcing von Grundrechtsschutz“. Der Verband österreichischer Internetprovider hat im Juni 2019 davor gewarnt, dass Anbieter künftig Datenauskunft für Fälle geben müssen, die in Österreich gar nicht strafbar seien.
Sogar die deutsche Bundesregierung hat kürzlich Bedenken geäußert. Sie befürchtet ein Einfallstor für Eingriffe in die Presse und freie Meinungsäußerungsfreiheit. Insbesondere fehle es an wirksamen Schutzmechanismen gegen Herausgabeanforderungen.
Ob die e-Evidence-Verordnung tatsächlich in ihrer derzeitigen Gestalt verabschiedet wird, steht noch in den Sternen. Im EU-Parlament rührt sich zumindest Widerstand: Die für das EU-Parlament federführende SPD-Abgeordnete Birgit Sippel hält den Verordnungstext für ungenügend. Es sei etwa noch ungeklärt, in welchem Umfang Berufsgeheimnisträger durch die Verordnung betroffen wären und ob sie hinreichend geschützt sind.
Zum Jahresende will das EU-Parlament seine Position zu der geplanten Verordnung im Trilog mit EU-Rat und Kommission verhandeln. Hier wird sich zeigen müssen, ob die berechtigten Bedenken Gehör finden werden. Ansonsten steht, leider wie so häufig, zu befürchten, dass rechtsstaatliche Verfahren und der Datenschutz aus praktischen Erwägungen heraus Schaden nehmen werden.
