EU-Justizminister befürworten drastischen Datenzugriff

Die Justizminister der EU-Länder haben am letzten Freitag einen Verordnungsentwurf der EU-Kommission aus April diesen Jahres mehrheitlich befürwortet, wonach Polizei- und Justizbehörden „elektronische Beweismittel“ unabhängig vom Standort der jeweiligen Daten und unmittelbar bei Diensteanbietern anfordern dürfen, die in der EU tätig sind. Die datenschutzrechtliche Problematik hiervon beleuchtet dieser Artikel.

Viele Daten, kurze Fristen

Die geplante Verordnung heißt „Verordnung des Europäischen Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“. Fristen zum Vollzug sind kurz, zur Löschung lang, Richtervorbehalt gilt grundsätzlich nicht, ein Widerspruchsrecht der Staaten des Betroffenen ist ebenfalls nicht vorgesehen.

Wie heise berichtete, wären von der Verordnung Bestandsdaten wie Name und Anschrift oder möglicherweise Zugangskennungen und Passwörtern sowie E-Mails, SMS und Chatnachrichten betroffen. Letztlich geht es aber allgemein um den Zugriff auch auf Inhaltsdaten einschließlich Fotos oder Videos in der Cloud.

Nach Angaben der EU-Kommission soll mehr als die Hälfte der strafrechtlichen Ermittlungen heute grenzüberschreitende Anfragen nach „elektronischen Beweismitteln“ wie Textnachrichten, E-Mails, oder Nachrichten in Messenger-Diensten beinhalten. Derzeit betrage die Frist bei einer europäischen Ermittlungsanordnung 120 Tage und bei einem internationalen Rechtshilfeverfahren zehn Monate. Künftig muss der Diensteanbieter innerhalb von 10 Tagen, in Notfällen sogar binnen 6 Stunden, auf den Antrag antworten.

Außerdem soll es den EU-Justizbehörden ermöglicht werden, einen Diensteanbieter, der in der EU tätig ist und seinen Sitz oder eine Niederlassung in einem anderen Mitgliedstaat hat, zu verpflichten, bestimmte Daten aufzubewahren. Die Behörden sollen diese Informationen dann zu einem späteren Zeitpunkt im Wege der Rechtshilfe, einer Europäischen Ermittlungsanordnung oder einer Europäischen Vorlageanordnung anfordern können.

Die Anordnungen können alle Datenkategorien – Teilnehmerdaten, Zugangsdaten, Transaktionsdaten und Inhaltsdaten (zu denen u.a. auch Fotos und Videos zählen) – betreffen. Dabei sollen Transaktions- und Inhaltsdaten bei Straftaten, die im Anordnungsstaat mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren geahndet werden, oder bei Cyber-Straftaten und Straftaten „mit terroristischem Hintergrund“ angefordert werden dürfen.

Einen Eindruck wie weitgehend die abgeforderten Daten sein sollen gibt das Muster für eine solche geplante Herausgabeanordnung.

Widerspruch nicht erwünscht

Gegen Dienstanbieter können Sanktionen verhängt werden, wenn sie einer Anordnung nicht nachkommen. So können ihnen finanzielle Sanktionen in Höhe von bis zu 2 % ihres im vorhergehenden Geschäftsjahr weltweit erzielten Jahresgesamtumsatzes auferlegt werden. Bei großen Anbietern wie Facebook, Google oder Amazon kann dies Strafen in Milliardenhöhe bedeuten. Diese müssen einen rechtlichen Vertreter für die EU bestellen, da sie ihre Dienste in der Union anbieten.

Ein Widerspruchsrecht der Staaten, in denen vollstreckt wird, gibt es nicht. Vorgesehen ist lediglich eine Information, ein sogenanntes „Notifizierungssystem“ für Inhaltsdaten für die Fälle, in denen die Anordnungsbehörde annimmt, dass die Person, deren Daten angefordert werden, ihren Wohnsitz in einem anderen Hoheitsgebiet hat. Eine solche Notifizierung soll keine aufschiebende Wirkung haben.

Die noch amtierende deutsche Bundesdatenschutzbeauftragte Andrea Voßhoff monierte, ob die Rechtmäßigkeit eines Ersuchens überprüft werde, hänge laut Entwurf ausschließlich vom Verhalten des Providers ab.

Es würde in der Tat die Kombination von sehr kurzen Prüffristen und hohen Strafen bei Weigerung, denen keine entsprechenden Strafen bei rechtswidriger Herausgabe gegenüberstehen, einen hohen Anreiz für die Provider und Diensteanbieter schaffen, entsprechende Anfragen der Behörden lieber einfach zu vollziehen. Dabei würde es keine Rolle spielen, ob die angeschuldigte Tat auch im Vollstreckungsstaat, dem Ziel der Anfrage, strafbar ist (sogenannte doppelte Strafbarkeit). Selbst grenzüberschreitende politische Verfolgung könnte damit erleichtert werden. Hinzu kommt, dass dazu sogar die verfassungswidrige Vorratsdatenspeicherung im Wege der Anordnung einer Aufbewahrung durch die europäische Hintertür wieder eingeführt wird – selbst wegen Taten, die in einem betroffenen Mitgliedsstaat gar nicht strafbar sind.

DSGVO nicht anwendbar

Die EU-Datenschutz-Grundverordnung bietet demgegenüber keinen Schutz. Ihre Anwendung ist bei der Verarbeitung personenbezogener Daten „durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit“ nach Art. 2 Abs. (2) d) DSGVO explizit ausgeschlossen.

Die Relevanz ist enorm: Allein im Jahr 2017 wurden laut Bundesnetzagentur in ca. 12,5 Mio Fällen Bestandsdaten durch Behörden von Bund und Ländern abgefragt, wobei es nur um Namen, Anschrift und weitere Bestandsdaten geht, die einer bestimmten Telefonnummer zugeordnet sind. Wie netzpolitik.org schreibt, ist Mobilfunk ist nicht nur nicht anonym, sondern generiert aussagekräftige Bewegungs- und Persönlichkeitsprofile von allen Personen, die ein solches Gerät herumtragen. Seit fünf Jahren umfasst die Bestandsdatenauskunft neben Telefonnummern auch Internetdaten, wie IP-Daten und und E-Mail-Postfächer. Damit erfahren Behörden, wem eine IP-Adresse zugewiesen ist oder welche IP-Adressen eine Zielperson nutzt. Über diese Abfragen gibt es aber keine Statistiken.

Die deutsche Datenschutzkonferenz hatte sich klar gegen den Verordnungsentwurf der EU-Kommission positioniert, offensichtlich bislang erfolglos. Als nächstes steht nun die Diskussion im EU-Parlament Anfang nächsten Jahres an.