Datenabfrage per Mausklick: Amazon für Ermittlungsbehörden

Die EU-Kommission möchte es den Sicherheitsbehörden leicht machen, auf Cloud-Daten zuzugreifen. KritikerInnen fürchten um den Rechtsstaat.

Wenn der Anbieter die Daten nicht binnen zehn Tagen herausgibt, drohen ihm hohe Strafen Foto: dpa

STRAßBURG taz | Ein rechter Staatsanwalt aus Polen nimmt deutsche Umweltaktivistinnen ins Visier, die ein polnisches Kohlebergwerk besetzen wollen. Eine Anordnung des Staatsanwalts mit dem Wörtchen „Terrorverdacht“ reicht aus, um beim deutschen E-Mail-Anbieter der AktivistInnen ihre Nachrichten zu beschlagnahmen. Der Staatsanwalt kennt nun alle ihre Pläne. Innerhalb von Stunden klicken die Handschellen.

Das ist reine Fiktion, zumindest bisher. Für den Datenzugriff auf ausländischen Servern ist ein Rechtshilfeersuchen an ein Gericht in dem Land nötig, in dem der Server steht. Solche Abfragen dauern selbst zwischen EU-Staaten mehrere Wochen, oft Monate. Das mag für ErmittlerInnen mühsam sein, aber fragwürdige, nicht rechtsstaatlich begründbare Einzelentscheidungen sind damit praktisch unmöglich.

Die EU-Kommission möchte das radikal ändern. Sie will ein europaweites Bestellsystem für „elektronische Beweismittel“ schaffen, eine Art Amazon für Ermittlungsbehörden. Die StrafverfolgerInnen dürfen dann direkt bei den Dienstanbietern in anderen Ländern anklopfen, etwa bei Facebooks Europasitz in Irland, aber auch bei Handy-Providern oder kleinen Server-Hostingfirmen.

Wenn der Anbieter die Daten nicht binnen zehn Tagen, in Notfällen sogar binnen sechs Stunden herausgibt, drohen ihm Strafen von bis zu 2 Prozent seines weltweiten Umsatzes. Das könnte selbst Konzerne wie Google einschüchtern, für die dann Milliardenbeträge auf dem Spiel stünden.

Anwendung über den Atlantik hinweg geplant

Die Kommission machte ihren Vorschlag im April 2018, seither schleicht er auf stillen Sohlen durch die EU-Gremien. Die sogenannte E-Evidence-Verordnung könnte schon Anfang 2020 beschlossen werden. Bereits jetzt wird an einer Anwendung der geplanten Regeln auch über den Atlantik hinweg gearbeitet. Im Juni gaben die EU-Staaten grünes Licht für Gespräche über den raschen Datenaustausch mit den USA.

Der US-Kongress verabschiedete 2018 den Cloud Act. Das Gesetz erlaubt Behörden wie dem FBI, die Herausgabe von Daten auf Servern außerhalb der USA anzuordnen. Bisher widerspricht das dem EU-Recht. Die EU-Kommission soll deshalb ab dem Sommer mit der Trump-Regierung über ein Abkommen verhandeln, das die Brücke zwischen dem Cloud Act und E-Evidence schlagen soll.

Bislang gibt es gegen die weitreichenden Vorschläge kaum Widerstand. Deutschland und andere Staaten meldeten lediglich grundsätzliche Sorgen an, die Einführung des Datenzugriffs im Eilverfahren könne Grundrechte der Betroffenen gefährden. „Die Schutzmechanismen sind nicht ‚wasserdicht‘“, heißt es in einem Hintergrundpapier der Bundesregierung.

Die Bundesregierung fürchtet insbesondere, dass die Herausgabe sensibler Verkehrs- und Inhaltsdaten grenzüberschreitend künftig deutlich leichter gemacht werde, als es bisher für deutsche StrafverfolgerInnen bei innerstaatlichen Fällen Praxis ist. Den Bedenken zum Trotz stimmte der Rat der EU-Staaten gegen die Stimme Deutschlands und weiterer Länder im Dezember 2018 dem E-Evidence-Vorschlag zu.

Im EU-Parlament jedoch wird das Gesetz noch für Ärger sorgen. Die Schlüsselfigur dort ist Birgit Sippel, eine SPD-Abgeordnete. Sippel verhandelt als Berichterstatterin des Parlaments mit Rat und Kommission über den endgültigen Text.

Aufweichung des Territorialprinzips

Gegenüber der taz lässt sie erhebliche Bedenken an dem Vorschlag durchklingen. „Wir haben noch keine abschließende Position im Parlament, aber wir haben sehr viele kritische Punkte angemerkt“, sagte Sippel am Rande der Parlamentssitzung in Straßburg. Sie hält es für „ärgerlich“, dass die Kommission bereits mit den USA über eine Ausdehnung von E-Evidence verhandelt, obwohl das EU-Parlament sich noch nicht dazu geäußert habe.

Für die Verhandlungsposition, die das Parlament im Herbst festlegen soll, hat die SPD-Abgeordnete einige Vorarbeit geleistet. In monatelanger Kleinarbeit schrieb Sippel mit gleichgesinnten Abgeordneten eine Serie von Arbeitspapieren, die den Vorschlag der EU-Kommission in der Luft zerreißen.

Ein zentraler Kritikpunkt ist die Aufweichung des Territorialprinzips. Eine Behörde muss nach dem E-Evidence-Vorschlag der Kommission bei Beschlagnahme von Daten weder den Sitzstaat des Anbieters noch das Wohnsitzland des Betroffenen oder gar diesen selbst informieren. Das mache es schwer, selbst gegen offenkundig fragwürdige Datenabfragen Beschwerde einzulegen.

Der Entwurf setze zudem kaum Hürden für den Datenzugriff. Datenabfragen über Teilnehmerdaten wie Namen, Anschrift und IP-Adresse sind dann in Ermittlungen bei allen Straftaten möglich. Anbieter müssen darüber hinaus auch Verbindungsdaten und Nachrichteninhalte herausgeben, wenn wegen einer Straftat mehr als drei Jahre Haft drohten.

Strafbarkeit in beiden Staaten ist dabei keine Voraussetzung. Das bedeutet, dass die Beschlagnahmung von Daten auch dann rechtens wäre, wenn eine Handlung im Sitzstaat des Anbieters keine Straftat darstellt. Das sei vor allem da besorgniserregend, wo es große Unterschiede zwischen EU-Staaten gebe, schreiben Sippel und die Linken-Abgeordnete Cornelia Ernst in einem Arbeitspapier.

Ein Beispiel: Im EU-Staat Malta wird Abtreibung mit bis zu drei Jahren Haft bestraft. Die maltesischen Behörden könnten mithilfe der E-Evidence in anderen Staaten direkt auf E-Mail-Servern beim Provider die Daten von Abtreibungskliniken beschlagnahmen. Ähnliches gälte bei Ermittlungen wegen Blasphemie oder Majestätsbeleidigung, die in einigen Staaten strafbar sind.

Firma darf nicht zum Richter werden

Der Vorschlag lege große Verantwortung in die Hand von Anbietern. Sie müssten künftig binnen weniger Stunden und unter Strafandrohung entscheiden, ob sie die Daten ihrer KundInnen ausliefern oder nicht. „Als private Firmen sind Diensteanbieter schlecht darauf vorbereitet und haben keinen wirklichen Anreiz, die Grundrechte ihrer NutzerInnen zu schützen“, warnt Sippel.

Deutsche JuristInnen pflichten Sippel bei. Es sei „der wesentliche Schwachpunkt dieser Verordnung“, dass der Provider für den Grundrechtsschutz der Beschuldigten einstehen müsse, sagte Peter Schneiderhan von der Deutschen Richtervereinigung bei einer Anhörung in Brüssel. Eine private Firma dürfe nicht zum Richter gemacht werden, der über die Vollstreckung staatlicher Anordnungen entscheide.

Kommission und Rat drängen trotz aller Bedenken auf die Verordnung. „Mit der Neuregelung werden die derzeitigen aufwändigen Verfahren durch schnelle, effiziente Instrumente für die Erhebung und den Austausch elektronischer Beweismittel ersetzt“, sagte Österreichs damaliger Justizminister Josef Moser im vergangenen Dezember, als der Rat unter österreichischem ­Vorsitz seine Position beschloss. Schnell und effizient, ja. Aber rechtsstaatlich?

KritikerInnen von E-Evidence sehen ohnehin weitaus bessere Mittel, um den Datenzugriff über Grenzen hinweg zu erleichtern. „Es gibt bereits rechtliche Werkzeuge für elektronische Beweismittel, etwa Rechtshilfeabkommen und die Europäische Ermittlungsordnung“, sagte Chloé Berthélémy von der NGO European Digital Rights zur taz.

Viele Staaten würden sich vor der ausreichenden Finanzierung ihres Justizsystems drücken und damit eine rasche Bearbeitung von Rechtshilfegesuchen verhindern. „Stattdessen kriegen wir nun eine billigere Option, die Verantwortung an private Firmen abschiebt.“

Die SPD-Abgeordnete Sippel sieht im Drängen auf den grenzüberschreitenden Behördenzugriff ein Symptom unserer datenbesessenen Zeiten. „Wir müssen uns bewusst machen, dass wir in den letzten Jahren schon viele Gesetze mit Blick auf Zugang zu Daten geschaffen haben“, sagt sie in ihrem Büro in Straßburg. „Es ist an der Zeit, uns mal anzusehen, welche Daten wir überhaupt schon bei welcher Behörde sammeln – und uns fragen, ob wir überhaupt noch mehr Daten brauchen.“