Das Europaparlament hat am Dienstag mit großer Mehrheit zwei Gesetze zur grenzüberschreitenden Sicherung und Herausgabe elektronischer Beweismittel beschlossen. EU-Rat und Parlament hatten darüber seit 2018 gestritten. Schon damals seien in 85 Prozent aller Ermittlungen auch elektronische Spuren angefallen, etwa Kommunikationsdaten der Verdächtigen, sagte Justizkommissar Didier Reynders am Dienstag im Parlament. Heute seien es noch mehr.

EU-Kommission und -Rat hatten sich dafür eingesetzt, dass Datenabfragen im Vollstreckungsland nicht weiter geprüft werden müssten. Damit hätten Provider die rechtliche Prüfung möglicher missbräuchlicher Anfragen miterledigen müssen. Birgit Sippel (S&D), Berichterstatterin im federführenden Innenausschuss des EU-Parlaments, bewertete nun als Erfolg, dass für den jetzt verabschiedeten Kompromiss die Behörden am Sitz des betroffenen Providers mit ins Boot kommen.

Behörden im Land des Providers sind vor allem zur Abfrage von Verkehrs- und Inhaltsdaten gefordert, innerhalb von zehn Tagen unberechtigte oder nicht von der Verordnung gedeckte Abfragen zu stoppen. Die Liste der Straftaten reicht dabei von Terrorismus und Betrugsdelikten (Mindeststrafmaß drei Jahre) bis hin zu jedem Computerdelikt; bei letzterem reichen auch Beihilfetatbestände. Hört der Provider innerhalb dieser Frist nichts von der prüfenden Behörde, muss er die bis dahin gespeicherten Daten abliefern. Für IP-Adressen und Bestandsdaten hat die Notifizierung keine aufschiebende Wirkung.

Langer Arm der Diktatoren?

Das Parlament konnte sich gegenüber dem Rat nicht damit durchsetzen, dass die Behörden stärker zur Prüfung verpflichtet werden. Selbst nach Anfragen aus Ländern, gegen die die EU-Kommission ein Verfahren wegen Verstößen gegen Rechtsstaatlichkeit und europäische Grundrechte führt, ist eine Prüfung nicht zwingend. Zwar ist ein Provider in solchen Fällen gehalten, die Daten erst nach "ausdrücklicher Genehmigung" der Stellen in seinem Land weiterzureichen. Zugleich soll er aber "unbeschadet dieser besonderen Bestimmung" die Daten "unverzüglich direkt an die Anordnungsbehörde oder die Strafverfolgungsbehörden" liefern, wenn er nichts hört.

Der Dachverband der Europäischen Bürgerrechtsorganisationen EDRI beklagt, dass etwa für reine Sicherungsanordnungen keine Mitteilungspflicht besteht. "So wie es nun verabschiedet wird, bleibt die Notifizierung, wo sie vorgesehen ist, ohne Wirkung", sagte EDRI-Expertin Chloé Berthélémy. Die Justiz in Ländern wie Polen oder Ungarn könne etwa mit den Möglichkeiten der E-Evidence gegen ihre Kritiker vorgehen. "Ein ungarischer Journalist, der sich etwa in die Slowakei geflüchtet hat, in seinem Land aber noch aktiv ist, kann so zum Ziel einer Abfrage bei seinem deutschen Service-Provider werden".

Bürger könnten aber gegen unrechtmäßige Zugriffe klagen, und zwar gegen den Anfragenden und auch gegen den Staat, der nicht ordentlich prüft, betonte Sippel. Journalisten-, Provider- und Bürgerrechtsverbände sind aber damit unzufrieden. EDRI, der eco-Verband und zehn weitere Organisationen und Verbände erklärten etwa die mögliche juristische Gegenwehr angesichts der dafür bestehenden Hürden als viel zu schwach. Geheimnisträger, Whistleblower oder Journalisten und ihre Quellen können Ziele von Datenabfragen werden. Sie befürchten auch, dass das E-Evidence-Paket als Blaupause für die nun fortgeführten Verhandlungen mit den USA über ein Abkommen mit den USA keine guten Standards setzt.

Provider als letzte Barriere

Die vorgeschlagene Regulierung berücksichtige nicht das wachsende Risiko politischer Repressionen in den Mitgliedsstaaten und auch die teils beklagenswerten Situation der Rechtsstaatlichkeit, meinen EDRI, eco und ihre Partner. "Im Ergebnis könnten Unternehmen mit Sitz in Deutschland also zur Herausgabe von Daten an Ermittlungsbehörden in anderen EU-Mitgliedstaaten verpflichtet werden, obwohl die verfolgte Tat in Deutschland überhaupt keine Straftat ist", schreibt eco. Die Herausgabe der Informationen und personenbezogenen Daten ohne vorherige richterliche Prüfung bürde den Anbieter digitaler Dienste auf, zu beurteilen, "in welchem Umfang die Rechte ihrer Nutzer:innen geschützt sind oder hierzulande übliche Benachrichtigungspflichten bestehen".

eco-Vorstand Klaus Landefeld bedauerte auf Nachfrage von heise online, dass nicht auf eine bessere direkte Kooperation zwischen den Strafverfolgungs- und Ermittlungsbehörden in der EU gesetzt wurde: "Die Internetwirtschaft hat sich dafür eingesetzt, die grenzübergreifende justizielle Zusammenarbeit zu stärken. Im Grunde genommen wurde in Deutschland kurz vor Beginn der Verhandlungen über die E-Evidence-Verordnung auch genau das umgesetzt, indem bestimmte Gerichte als zentrale Anlaufstelle für die Anfragen aus Rechtshilfeersuchen bestimmt wurden. Dieses System ist mit der E-Evidence-VO allerdings weitgehend obsolet, da es nur noch für Drittstaaten Relevanz besitzt."

Positiv aus Sicht der Provider sei allenfalls, dass die Datenanforderungen künftig standardisiert sein müssen. So bestehe "die Hoffnung, mit einheitlichen Anfragen aus den unterschiedlichen EU-Mitgliedsstaaten konfrontiert zu sein," sagte Landefeld.

Einheitliches System

Die EU-Kommission will bis zum geplanten Inkrafttreten der Verordnung in drei Jahren eine IT-Plattform aufbauen, die Listen der von den Mitgliedsländern ermächtigten Behörden enthalten. Außerdem sollen auch der gesamte Datenaustausch darüber abgewickelt werden. Die Provider müssen entsprechende Schnittstellen auch zu bestehenden Systemen zur Verfügung stellen.

Patrick Breyer, Abgeordneter für die Piraten im EP verwies gegenüber heise online auf die Chancen einer einheitlichen Plattform. "Wie etwa mailbox.org öffentlich gemacht hat, ist das aktuelle Verfahren für Datenabfragen desolat. Im Zuge von Auskünften werden sensibelste Personendaten unverschlüsselt per Mail angefragt oder übermittelt. Insofern kann ein elektronisches Auskunftsverfahren eine Verbesserung sein."

Trotzdem stimmten Breyer, die Grüne Fraktion und die Linke im Europaparlament gegen das Paket. Die standardisierte Abfrage könne es leichter machen, die angefragten Daten weiterzuverwenden. Grundsätzlich stört Breyer, dass Datenabfragen nicht beschränkt werden und es keinen obligatorischen richterlichen Beschluss für jede einzelne Aktion geben soll. Daten Verdächtiger könnten auch grenzüberschreitend niederschwellig "auf Zuruf" schnell gespeichert werden, meint Breyer. "Der eigentliche Zugriff auf die Daten durch das Ausland dürfte aber nur erfolgen, wenn er auch in einem vergleichbaren deutschen Fall zulässig wäre und auch die zuständigen Justizstellen zustimmen."

(anw)