taz.de

# taz.de -- Datenabfrage per Mausklick: Amazon für Ermittlungsbehörden

> Die EU-Kommission möchte es den Sicherheitsbehörden leicht machen, auf
> Cloud-Daten zuzugreifen. KritikerInnen fürchten um den Rechtsstaat.

(IMG) Bild: Wenn der Anbieter die Daten nicht binnen zehn Tagen herausgibt, drohen ihm hohe Strafen

Straßburg taz | Ein rechter Staatsanwalt aus Polen nimmt deutsche
Umweltaktivistinnen ins Visier, die ein polnisches Kohlebergwerk besetzen
wollen. Eine Anordnung des Staatsanwalts mit dem Wörtchen „Terrorverdacht“
reicht aus, um beim deutschen E-Mail-Anbieter der AktivistInnen ihre
Nachrichten zu beschlagnahmen. Der Staatsanwalt kennt nun alle ihre Pläne.
Innerhalb von Stunden klicken die Handschellen.

Das ist reine Fiktion, zumindest bisher. Für den Datenzugriff auf
ausländischen Servern ist ein Rechtshilfeersuchen an ein Gericht in dem
Land nötig, in dem der Server steht. Solche Abfragen dauern selbst zwischen
EU-Staaten mehrere Wochen, oft Monate. Das mag für ErmittlerInnen mühsam
sein, aber fragwürdige, nicht rechtsstaatlich begründbare
Einzelentscheidungen sind damit praktisch unmöglich.

Die EU-Kommission möchte das radikal ändern. Sie will ein europaweites
Bestellsystem [1][für „elektronische Beweismittel“] schaffen, eine Art
Amazon für Ermittlungsbehörden. Die StrafverfolgerInnen dürfen dann direkt
bei den Dienstanbietern in anderen Ländern anklopfen, etwa bei Facebooks
Europasitz in Irland, aber auch bei Handy-Providern oder kleinen
Server-Hostingfirmen.

Wenn der Anbieter die Daten nicht binnen zehn Tagen, in Notfällen sogar
binnen sechs Stunden herausgibt, drohen ihm Strafen von bis zu 2 Prozent
seines weltweiten Umsatzes. Das könnte selbst Konzerne wie Google
einschüchtern, für die dann Milliardenbeträge auf dem Spiel stünden.

## Anwendung über den Atlantik hinweg geplant

Die Kommission machte ihren Vorschlag im April 2018, seither schleicht er
auf stillen Sohlen durch die EU-Gremien. Die sogenannte
E-Evidence-Verordnung könnte schon Anfang 2020 beschlossen werden. Bereits
jetzt wird an einer Anwendung der geplanten Regeln auch über den Atlantik
hinweg gearbeitet. Im Juni gaben die EU-Staaten grünes Licht für Gespräche
über den raschen Datenaustausch mit den USA.

Der US-Kongress verabschiedete 2018 den Cloud Act. Das Gesetz erlaubt
Behörden wie dem FBI, die Herausgabe von Daten auf Servern außerhalb der
USA anzuordnen. Bisher widerspricht das dem EU-Recht. Die EU-Kommission
soll deshalb ab dem Sommer mit der Trump-Regierung über ein Abkommen
verhandeln, das die Brücke zwischen dem Cloud Act und E-Evidence schlagen
soll.

Bislang gibt es gegen die weitreichenden Vorschläge kaum Widerstand.
Deutschland und andere Staaten meldeten lediglich grundsätzliche Sorgen an,
die Einführung des Datenzugriffs im Eilverfahren könne Grundrechte der
Betroffenen gefährden. „Die Schutzmechanismen sind nicht ‚wasserdicht‘“,
heißt es in einem Hintergrundpapier der Bundesregierung.

Die Bundesregierung fürchtet insbesondere, dass die Herausgabe sensibler
Verkehrs- und Inhaltsdaten grenzüberschreitend künftig deutlich leichter
gemacht werde, als es bisher für deutsche StrafverfolgerInnen bei
innerstaatlichen Fällen Praxis ist. Den Bedenken zum Trotz stimmte der Rat
der EU-Staaten gegen die Stimme Deutschlands und weiterer Länder im
Dezember 2018 dem E-Evidence-Vorschlag zu.

Im EU-Parlament jedoch wird das Gesetz noch für Ärger sorgen. Die
Schlüsselfigur dort ist Birgit Sippel, eine SPD-Abgeordnete. Sippel
verhandelt als Berichterstatterin des Parlaments mit Rat und Kommission
über den endgültigen Text.

## Aufweichung des Territorialprinzips

Gegenüber der taz lässt sie erhebliche Bedenken an dem Vorschlag
durchklingen. „Wir haben noch keine abschließende Position im Parlament,
aber wir haben sehr viele kritische Punkte angemerkt“, sagte Sippel am
Rande der Parlamentssitzung in Straßburg. Sie hält es für „ärgerlich“, dass
die Kommission bereits mit den USA über eine Ausdehnung von E-Evidence
verhandelt, obwohl das EU-Parlament sich noch nicht dazu geäußert habe.

Für die Verhandlungsposition, die das Parlament im Herbst festlegen soll,
hat die SPD-Abgeordnete einige Vorarbeit geleistet. In monatelanger
Kleinarbeit schrieb Sippel mit gleichgesinnten Abgeordneten eine Serie von
Arbeitspapieren, die den Vorschlag der EU-Kommission in der Luft zerreißen.

Ein zentraler Kritikpunkt ist die Aufweichung des Territorialprinzips. Eine
Behörde muss nach dem E-Evidence-Vorschlag der Kommission bei Beschlagnahme
von Daten weder den Sitzstaat des Anbieters noch das Wohnsitzland des
Betroffenen oder gar diesen selbst informieren. Das mache es schwer, selbst
gegen offenkundig fragwürdige Datenabfragen Beschwerde einzulegen.

Der Entwurf setze zudem kaum Hürden für den Datenzugriff. Datenabfragen
über Teilnehmerdaten wie Namen, Anschrift und IP-Adresse sind dann in
Ermittlungen bei allen Straftaten möglich. Anbieter müssen darüber hinaus
auch Verbindungsdaten und Nachrichteninhalte herausgeben, wenn wegen einer
Straftat mehr als drei Jahre Haft drohten.

Strafbarkeit in beiden Staaten ist dabei keine Voraussetzung. Das bedeutet,
dass die Beschlagnahmung von Daten auch dann rechtens wäre, wenn eine
Handlung im Sitzstaat des Anbieters keine Straftat darstellt. Das sei vor
allem da besorgniserregend, wo es große Unterschiede zwischen EU-Staaten
gebe, schreiben Sippel und die Linken-Abgeordnete Cornelia Ernst in einem
Arbeitspapier.

Ein Beispiel: Im EU-Staat Malta wird Abtreibung mit bis zu drei Jahren Haft
bestraft. Die maltesischen Behörden könnten mithilfe der E-Evidence in
anderen Staaten direkt auf E-Mail-Servern beim Provider die Daten von
Abtreibungskliniken beschlagnahmen. Ähnliches gälte bei Ermittlungen wegen
Blasphemie oder Majestätsbeleidigung, die in einigen Staaten strafbar sind.

## Firma darf nicht zum Richter werden

Der Vorschlag lege große Verantwortung in die Hand von Anbietern. Sie
müssten künftig binnen weniger Stunden und unter Strafandrohung
entscheiden, ob sie die Daten ihrer KundInnen ausliefern oder nicht. „Als
private Firmen sind Diensteanbieter schlecht darauf vorbereitet und haben
keinen wirklichen Anreiz, die Grundrechte ihrer NutzerInnen zu schützen“,
warnt Sippel.

Deutsche JuristInnen pflichten Sippel bei. Es sei „der wesentliche
Schwachpunkt dieser Verordnung“, dass der Provider für den
Grundrechtsschutz der Beschuldigten einstehen müsse, sagte Peter
Schneiderhan von der Deutschen Richtervereinigung bei einer Anhörung in
Brüssel. Eine private Firma dürfe nicht zum Richter gemacht werden, der
über die Vollstreckung staatlicher Anordnungen entscheide.

Kommission und Rat drängen trotz aller Bedenken auf die Verordnung. „Mit
der Neuregelung werden die derzeitigen aufwändigen Verfahren durch
schnelle, effiziente Instrumente für die Erhebung und den Austausch
elektronischer Beweismittel ersetzt“, sagte Österreichs damaliger
Justizminister Josef Moser im vergangenen Dezember, als der Rat unter
österreichischem Vorsitz seine Position beschloss. Schnell und effizient,
ja. Aber rechtsstaatlich?

KritikerInnen von E-Evidence sehen ohnehin weitaus bessere Mittel, um den
Datenzugriff über Grenzen hinweg zu erleichtern. „Es gibt bereits
rechtliche Werkzeuge für elektronische Beweismittel, etwa
Rechtshilfeabkommen und die Europäische Ermittlungsordnung“, sagte Chloé
Berthélémy von der NGO European Digital Rights zur taz.

Viele Staaten würden sich vor der ausreichenden Finanzierung ihres
Justizsystems drücken und damit eine rasche Bearbeitung von
Rechtshilfegesuchen verhindern. „Stattdessen kriegen wir nun eine billigere
Option, die Verantwortung an private Firmen abschiebt.“

Die SPD-Abgeordnete Sippel sieht im Drängen auf den grenzüberschreitenden
Behördenzugriff ein Symptom unserer datenbesessenen Zeiten. „Wir müssen uns
bewusst machen, dass wir in den letzten Jahren schon viele Gesetze mit
Blick auf Zugang zu Daten geschaffen haben“, sagt sie in ihrem Büro in
Straßburg. „Es ist an der Zeit, uns mal anzusehen, welche Daten wir
überhaupt schon bei welcher Behörde sammeln – und uns fragen, ob wir
überhaupt noch mehr Daten brauchen.“

10 Jul 2019

## LINKS

(DIR) [1] /Streit-um-E-Evidence-Verordnung/!5553631

## AUTOREN

(DIR) Alexander Fanta

## TAGS

(DIR) Datenschutz
(DIR) EU-Kommission
(DIR) Cloud
(DIR) Sicherheitsbehörden
(DIR) Schwerpunkt Meta
(DIR) Amazon
(DIR) Schwerpunkt Überwachung
(DIR) Lidl
(DIR) Schwerpunkt Überwachung

## ARTIKEL ZUM THEMA

(DIR) Gesetze fürs Internet: Facebook ruft nach Mama Staat

Wenn Facebook selbst Regulierung fordert, muss man argwöhnisch werden. Oder
man versucht zu verstehen, was dahintersteckt.

(DIR) Druck vom Bundeskartellamt: Amazon netter zu Händlern

Auf Druck des Bundeskartellamts passt Amazon seine Geschäftsbedingungen für
Händler an. Jetzt ermittelt die EU-Kommission gegen den Konzern.

(DIR) Gesichtserkennung in England: Überall digitale Augen

Seit 2016 testet die Londoner Polizei automatische Gesichtserkennung. Gegen
die staatliche Überwachung regt sich nun Widerstand.

(DIR) Big Data im Supermarkt: Discounter als Datensammler

Lidl führt eine neue App ein. Sie soll individualisierte Preise
ermöglichen. „Bis auf Weiteres“ will das Unternehmen darauf aber
verzichten.

(DIR) NSA will Datensammlung beenden: Ein bisschen ausgehorcht

Dass der US-Geheimdienst die Vorratsdatenspeicherung in den USA nicht mehr
zu brauchen scheint, ist neu. Die restliche Überwachung läuft weiter.