Schwere Bedenken gegen das Zusatzprotokoll zur Cybercrime-Konvention des Europarates für den Zugriff auf Cloud-Daten hat der EU-Datenschutzbeauftragte Wojciech Wiewiórowski vorgebracht. In ihrer im November verabschiedeten Form untergrabe die sogenannte E-Evidence-Übereinkunft "das durch EU-Recht garantierte Schutzniveau für natürliche Personen", kritisiert Wiewiórowski. In Anbetracht der Risiken, "die mit der Verarbeitung personenbezogener Daten natürlicher Personen in Strafsachen verbunden sind", müssten die EU-Länder zusätzliche Schutzvorkehrungen treffen.

Das Ministerkomitee des Europarates hatte das zweite Zusatzprotokoll zum 20. Jahrestag der Zeichnung des Übereinkommens über Computerkriminalität (Budapester Konvention), das an sich bereits seit Langem umstritten ist, im Spätherbst beschlossen. Es soll eine Rechtsbasis für die Weitergabe von Angaben zur Registrierung von Domain-Namen und für die direkte Zusammenarbeit mit den Dienste-Anbietern im Hinblick auf Bestands-, Standort- und Verbindungsdaten bieten. Auch die unmittelbare Zusammenarbeit in Notfällen und ein Instrumentarium für die gegenseitige Amtshilfe ist vorgesehen.

Erhebliche Gefahren für Grundrechte

Das Protokoll soll voraussichtlich von Mai an ratifiziert werden können. Im EU-Ministerrat werden bereits zwei Vorschläge behandelt, die alle Mitgliedsstaaten zu einer entsprechenden Unterzeichnung ermächtigen sollen. Die Vereinbarung würde es laut Wiewiórowski aber auch Ländern außerhalb der EU erlauben, Dienste-Anbieter innerhalb der Gemeinschaft "zur Offenlegung bestimmter Arten von Informationen aufzufordern". Ein solches Verfahren berge erhebliche Gefahren "für die Grundrechte auf Privatsphäre und Datenschutz".

Der Chef der Aufsichtsbehörde ist daher der Ansicht, dass Ersuchen um Zugriff auf die betroffenen Daten wie IP-Adressen und Zugangsnummern nur gewährt werden sollten, wenn sie zunächst an die Behörden der Mitgliedstaaten übermittelt werden. Aus diesen Gründen empfiehlt Wiewiórowski den EU-Staaten, sich das Recht vorzubehalten, die Bestimmung über die direkte Kooperation mit Dienste-Anbietern in diesem Zusammenhang nicht anzuwenden. Sie müssten sicherstellen, dass "zusätzliche Garantien bei der Überprüfung dieser Anträge aufrechterhalten werden".

Ferner sei es ratsam, eine Justizbehörde oder ein anderes unabhängiges Amt mit einem Check von Auskunftsersuchen zu beauftragen, heißt es in der Stellungnahme. Zudem müssten die EU-Länder zunächst das Zusammenspiel zwischen dem Protokoll und anderen internationalen Abkommen wie einer geplanten einschlägigen Rahmenvereinbarung zwischen der EU und den USA klären. Damit könnten wieder andere Datenschutzbestimmungen greifen als diejenigen, die in der neuen Übereinkunft des Europarates vorgesehen sind.

Zu den Grundsätzen des Datenschutzes gehörten Fairness, Richtigkeit und die Relevanz der Informationen, eine unabhängige Aufsicht sowie Betroffenenrechte etwa auf Einsicht und Korrektur für Individuen, öffentliche Einrichtungen sowie Unternehmen, führt Wiewiórowski aus. Diese Prinzipien seien in diesem Fall angesichts der Sensibilität der verarbeiteten Daten besonders wichtig.

Abkommen mit Drittstaaten erforderlich

Es sei ein legitimes Ziel, Straftaten zu untersuchen und zu verfolgen sowie dafür Informationen international auszutauschen, betonte der Datenschutzbeauftragte. Erforderlich seien dafür "nachhaltige" Abkommen auch mit Drittstaaten. Diese müssten in vollem Umfang mit dem bestehenden EU-Recht vereinbar sein. Zuvor hatte sich der Europäische Datenschutzausschuss (EDSA) ähnlich geäußert. Auf eine Prüfung von Anfragen durch Richter, Staatsanwälte oder jedenfalls eine unabhängige Behörde dürfe allenfalls im Notfall verzichtet werden.

Über 40 zivilgesellschaftliche Organisationen wie die Electronic Frontier Foundation (EFF), European Digital Rights (EDRi) und der Chaos Computer Club (CCC) monierten im Frühsommer in einer Eingabe an den Europarat, dass das neue Protokoll die Anonymität im Netz untergrabe. Das bedrohe die Sicherheit von Aktivisten, Dissidenten, Journalisten und das Recht auf freie Meinungsäußerung aller Bürger. Insbesondere die Artikel 7 und 8 sähen "einschneidende polizeiliche Befugnisse" vor. Demnach müssten die beteiligten Staaten alle rechtlichen Hindernisse für eine "direkte Zusammenarbeit" zwischen Unternehmen und Strafverfolgungsbehörden beseitigen. Datenschutzgesetze, die Internetfirmen daran hindern, ausländischen Polizeibehörden ohne Gerichtsbeschluss ihre Kunden zu nennen, seien mit Artikel 7 unvereinbar und müssten bei einer Ratifizierung geändert werden.

