Zum Inhalt springen

Gefährliche EU-Pläne für E-Evidence Alle Daten an alle Staaten

Ermittler sollen digitale Beweise künftig direkt bei Internetdiensten aus anderen EU-Ländern abfragen können - ohne Kontrollinstanz. Die Pläne sind für Dissidenten, Investigativjournalisten, aber auch Bürger riskant.

Ermittler sollen künftig schneller an Beweismittel wie Chatnachrichten, E-Mails oder in der Cloud gespeicherte Dokumente kommen, die in einem anderen Land vorliegen.

  • Die stark umstrittene, europäische E-Evidence-Verordnung sieht vor, dass Telekommunikationsunternehmen, aber auch Internetdienstleister wie Clouddienste und soziale Netzwerke Daten direkt an die Strafverfolgungsbehörden anderer EU-Mitgliedstaaten herausgeben müssen - ohne Umweg über die Justiz des Landes, in dem das betroffene Unternehmen tätig ist.
  • Parallel verhandelt die EU ein ähnliches Abkommen mit den USA, kommenden Monat sollen die Gespräche beginnen. Der Cloud Act ermöglicht US-Behörden theoretisch bereits seit dem letzten Jahr den Zugriff auf elektronisch gespeicherte Beweismittel, die außerhalb des US-Territoriums verarbeitet werden. In Europa muss die Rechtsgrundlage hierfür, in Form der E-Evidence-Verordnung, erst noch geschaffen werden.

Etwa zehn Monate Wartezeit

Elektronische Beweismittel werden "online von Diensteanbietern gespeichert, die ihren Sitz häufig in einem anderen Land als dem der Ermittler haben, auch wenn die Straftat nur in einem Land begangen wurde", heißt es in einem Faktenblatt der EU-Kommission. Daten könnten an mehreren Standorten gespeichert sein. Die E-Evidence-Verordnung würde Ermittlern bürokratische Abstimmungen über Ländergrenzen hinweg ersparen - bisher dauert es der EU-Kommission zufolge durchschnittlich zehn Monate, bis ein Rechtshilfeersuchen erfolgreich ist.

"Im Allgemeinen würde die Möglichkeit eines grenzüberschreitenden Zugriffs auf Daten von Internetdienstanbietern die Ermittlungsmöglichkeiten beachtlich verbessern", sagt Georg Ungefuk von der Generalstaatsanwaltschaft Frankfurt am Main dem SPIEGEL. "Bei Internetermittlungen ist eine schnelle Sicherung von Datenspuren von großer Bedeutung. Die Möglichkeit von unmittelbaren Anfragen bei ausländischen Diensteanbietern würde die Durchführung von beweissichernden Maßnahmen erheblich beschleunigen und effektiver machen."

In einem Land eine Straftat, im nächsten nicht

Das Missbrauchspotenzial ist Kritikern zufolge jedoch hoch. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar warnt vor "zum Teil rechtsstaatlich fragwürdigen Instrumenten". "Organe von Staaten wie Rumänien oder Ungarn, bei denen die EU mit guten Gründen starke Zweifel an deren Rechtsstaatlichkeit geäußert hat, würden unmittelbaren Zugang zu Daten bekommen, die Provider in anderen Mitgliedstaaten gesammelt haben", sagt Schaar. "Die Justiz jedes EU-Mitgliedstaates könnte nicht nur Verkehrsdaten, sondern auch Inhalte abfragen, ohne dass dies von einem Gericht im Zielland der Anfrage überprüft würde."

Seiner Einschätzung zufolge könnten sogar interne Firmennetzwerke betroffen sein, wenn sie in mehr als einem EU-Land betrieben werden.

Europa ist Schaar zufolge rechtlich ein "Flickenteppich", die Rechtsauffassungen sind divers: "Das betrifft die Frage, welche Verhaltensweisen als Straftaten angesehen werden", so Schaar, "aber es gilt auch für strafprozessuale Vorgaben."

Der von Spanien per europäischem Haftbefehl gesuchte katalanische Ex-Regionalpräsident Carles Puigdemont etwa wurde 2018 in Deutschland inhaftiert, aber dann wieder freigelassen - weil ein deutsches Gericht festgestellt hatte, dass der in Spanien existierende Straftatbestand der Verschwörung gegen den spanischen Staat in Deutschland nicht verfolgt wird.

Eine solche Prüfung würde bei der E-Evidence-Verordnung entfallen - entscheidend wäre allein das Rechtssystems des Landes, das die Straftat betrifft. "Die spanische Justiz könnte also direkt von Unternehmen, etwa der Deutschen Telekom, die Herausgabe vielfältiger Daten verlangen", sagt Schaar - und angefragt werden könnten nicht nur Verkehrsdaten, also Informationen dazu, mit wem von bestimmten Anschlüssen gesprochen wurde. "Die ausländische Behörde könnte ohne Prüfung eines deutschen Gerichts auch die in der Cloud gespeicherten Dokumente und andere Informationen anfordern", meint Schaar.

Es reicht ein Verdacht

Auch Amadeus Peters, der am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) zur Digitalisierung des Strafrechts forscht, hält das Vorhaben für "unausgegorenen und risikoreich". "Es geht nicht nur um schwere Straftaten", sagt der Jurist. Im Entwurf sei die Rede von Straftaten, die mit drei Jahren Haftstrafe im Höchstmaß oder mehr belegt seien: "In Deutschland würde das bereits auf Diebstahl, Betrug oder Unterschlagung zutreffen, also auf ganz normale Straftaten."

Die Antragsteller müssten zudem nicht einmal beweisen, dass eine Straftat vorgelegen hat - es genügt Peters zufolge allein der Verdacht.

Er befürchtet, dass Staaten etwa Informationen zu Dissidenten oder Investigativjournalisten verlangen könnten. Auch Kriminelle könnten die mangelnde Kontrolle ausnutzen: Betrüger zum Beispiel könnten durch ein Einschreiben oder ein Fax vorgeben, eine zuständige Stelle zu sein, sorgt sich Peters, um so bei Providern Informationen anzufordern, die dann innerhalb von sechs Stunden geliefert werden müssten. Es gebe kein einheitliches, zentralisiertes System, über das die Identitäten der Antragsteller verifiziert werden könnten.

Vier-Augen-Prinzip und Vetorecht

Bundesjustizministerin Katarina Barley fordert ein "Vier-Augen-Prinzip": "In der gleichen Zeit, in der ein Provider eine Herausgabe von Daten prüft, muss der betroffene Staat ein Vetorecht haben", sagt sie auf Anfrage. Es sei zwar vorgesehen, dass der Mitgliedstaat, der die Herausgabe von Inhaltsdaten verlangt, sich nicht nur an den Provider wendet, sondern auch den Vollstreckungsstaat informieren muss - dies sei aber nicht genug.

Bei "gravierenden grundrechtlichen Bedenken" müsse der Vollstreckungsstaat der Herausgabe von Informationen widersprechen können, sagt Barley: "Mit einem Vetorecht für den Vollstreckungsstaat ginge das Verfahren genauso schnell - aber wir hätten eine wichtige Sicherung eingebaut."

Dasselbe Kontrollprinzip fordert Barley auch mit Blick auf die Verhandlungen zur Beweismittelherausgabe zwischen EU und USA. "Die künftige E-Evidence-Verordnung muss Grundlage für die Verhandlungen mit den USA sein", so Barley. "Auch die Änderungen, die sich in den Verhandlungen mit dem Europäischen Parlament ergeben werden, müssen sich in einem solchen Abkommen widerspiegeln."

Viel Druck

Das EU-Parlament ist derzeit dabei, seine Position zu formulieren. Im nächsten Schritt werden dann Trilog-Gespräche zwischen EU-Parlament, Rat und Kommission folgen. "Der Zeitpunkt ist im Moment noch unklar", heißt es vom Generalsekretariat des EU-Rates.

"Es ist schwierig einzuschätzen, wie es mit dem neu gewählten Europäischen Parlament weitergeht, da die Mehrheiten sich ein bisschen ändern", sagt der Jurist Amadeus Peters. "Wie sich das EU-Parlament positionieren wird, ist noch offen. Es ist auch offen, was bei den Verhandlungen mit den USA herauskommen wird."

Dem Datenschutzexperten Peter Schaar zufolge wollen zumindest EU-Kommission und Rat angesichts der Verhandlungen mit den USA schnell zu einem Ergebnis kommen: "Seitens der Kommission und mehrerer Regierungen von Mitgliedstaaten wird viel Druck gemacht, dass diese Verordnung mit möglichst weitreichenden Kompetenzen beschlossen wird." Das Ende des Streits werde das aber nicht sein, meint Schaar. Er glaubt, dass die vorgesehenen Regelungen "über kurz oder lang vor dem Europäischen Gerichtshof landen".

Die Wiedergabe wurde unterbrochen.