Netzpolitik
16.01.2019

Elektronische Beweismittel: Zugriff auf Nutzerdaten ohne Kontrolle

Betreiber von Internet-Diensten müssen Daten ihrer Nutzer bald innerhalb von sechs Stunden an Behörden aller EU-Staaten herausgeben.

2019 muss sich das EU-Parlament mit einem Verordnungsentwurf beschäftigen, der die Grundrechte von Bürgern betrifft und der die Befugnisse von Behörden, auf Daten zuzugreifen, massiv ausweitet: die sogenannte E-Evidence-Verordnung.

Worum geht es?

Polizeibehörden sollen zur Verfolgung schwerer Straftaten einfacher als bisher Zugriff auf E-Mails, Inhaltsdaten wie Fotos oder Videos (auch in der Cloud), Metadaten und Chat-Mitteilungen aus anderen EU-Ländern bekommen. Internet- und Telekom-Provider müssen die Daten innerhalb von zehn Tagen herausgeben und zwar ohne gerichtliche Anordnung. In „Notfällen“ beträgt die Frist, um Informationen herauszugeben, sechs Stunden. Kommen die Provider dieser Anforderung nicht nach, drohen Strafen von bis zu zwei Prozent des globalen Umsatzes.

Derzeit gibt es die Europäische Ermittlungsanordnung (MLAT), bei der die Frist für die Herausgabe der Daten bei 120 Tagen liegt. Ist ein Rechtshilfeverfahren notwendig, dauert es bis zu zehn Monate. Bei der derzeitigen Ermittlungsanordnung geht der Prozess aber jeweils auch über die einzelnen Ministerien oder Justizbehörden. „Beim derzeitigen System vergehen bei Anfragen aus anderen EU-Mitgliedstaaten teilweise Monate, bis die Anfrage den österreichischen Provider erreicht. Das hat zur Folge, dass die für die europaweite Verfolgung und Bekämpfung schwerer Kriminalität benötigten Daten schlussendlich nicht mehr verfügbar sind“, erklärt Maximilian Schubert, Generalsekretär des Provider-Verbands ISPA, im Gespräch mit der futurezone.

Was ändert sich?

Beim neuen System sollen die Anfragen hingegen von einer Justizbehörde eines EU-Landes direkt an die Internet-Provider gestellt werden, ohne dass die Behörde des betroffenen Mitgliedsstaates darüber in Kenntnis gesetzt wird. Die einzige Ausnahme besteht dann, wenn auch Inhaltsdaten wie Fotos oder Videos betroffen sind. Es ist zudem überhaupt nicht geplant, die Betroffenen darüber zu informieren. In der Verordnung findet sich ebenfalls keinerlei Regelung dazu, wie diese Daten an die jeweiligen Behörden von EU-Staaten übermittelt werden sollen. Nicht geregelt ist zudem, wie die Strafverfolgungsbehörden europaweit miteinander kommunizieren sollen. „Das betrifft dann etwa die Authentizität der Anfrage an sich, aber auch die Sicherheit und die Integrität der Kommunikation“, sagt Schubert.

Die Frage, die sich hier aufdrängt, ist Folgende: Wie soll ein Internet-Service-Anbieter nachprüfen, ob es sich bei einer entsprechenden Anfrage tatsächlich um eine „echte“ Behörde handelt, wenn er gleichzeitig eine Frist von sechs Stunden hat, um die Daten auszuliefern? Datenschützer von epicenter.works sehen darin eine „gefährliche Entwicklung“, die dazu führen könnte, dass Internet-Service-Provider aus „vorauseilendem Gehorsam“ Daten über Nutzer hergeben, ohne vorher die Echtheit der Behörde und der Dringlichkeit des Anliegens zu überprüfen. Provider würden damit auch in eine Rolle gedrängt, mit der sie eigentlich gar nichts zu tun haben: Sheriff spielen.

Warum ist das problematisch?

Auch Internet-Provider haben noch weitere Kritikpunkte zu diesem Bereich: Im Gesetzesvorschlag findet sich keine Festlegung darauf, auf welchem Wege die Daten ausgetauscht werden. EU-Drittstaaten könnten die Daten etwa auch per Fax anfordern, wie es bis zur Einführung der "Durchlaufstelle" auch in Österreich üblich war. Innerhalb Österreichs gebe es einen hohen Schutzstandard für Verkehrsdaten, so Schubert. Diese wären bei einer Übermittlung an andere Länder jedoch nicht gegeben.

„Selbst die Übermittlung von Anordnungen der Staatsanwaltschaft an die Provider quer durch Europa per Fax wäre aus Sicht der Internetwirtschaft ein technologischer Rückschritt ins letzte Jahrtausend. Gleichzeitig wäre diese Methode wohl auch eine Bankrotterklärung jedes Staates, der vorgibt Kriminalität in einer digitalisierten Welt bekämpfen zu wollen“, meint Schubert.

Ebenfalls problematisch sei, dass Provider mit dieser Regelung gezwungen werden können, Daten herauszugeben für Delikte, die in Österreich gar nicht strafbar seien, so Schubert. Ein Beispiel wäre etwa der Straftatbestand „Rebellion“, der in Spanien existiere, aber nicht in Österreich oder Deutschland.

„Am problematischsten sehe ich, wie Grundrechte und Rechtsschutz der betroffene Nutzerinnen und Nutzer gewährleistet werden und wie konkret vorzugehen ist, wenn beispielsweise Rechte von Geheimnisträgern oder von Journalistinnen bzw. Journalisten durch eine Anordnung verletzt werden“, ergänzt Schubert, der im LIBE-Ausschuss des EU-Parlaments die Position der Internet Service Provider darlegen konnte.

Datenschützer von epicenter.works sind zudem besorgt über das Ausmaß, das eine Datenherausgabe annehmen kann. Bei besonders schweren Straftaten mit einem Ausmaß von mindestens drei Jahren Haft soll es auch möglich sein, eine zweimonatige Vorratsdatenspeicherung zu erwirken, die danach verlängert werden kann. „Damit könnten Provider verpflichtet werden, Daten dauerhaft auf Vorrat zu speichern“, heißt es seitens epicenter.works. Problematisch sehe man auch, dass es keine klaren Grenzen gebe, etwa, welche Behörden Anfragen stellen dürfen und wann und ob Provider die Herausgabe der Daten verweigern können.

Wie geht es jetzt weiter?

Der Verordnungsentwurf ist allerdings keineswegs schon in trockenen Tüchern. Im Dezember 2018 haben sich allerdings bereits die Justizminister der EU-Staaten mehrheitlich für die neue Verordnung ausgesprochen. Während die Grundrechtsbedenken von Internet-Service-Providern und Datenschützern auch darin bisher keinerlei Gehör fanden, gibt es zumindest für Kleinstunternehmen bereits eine mildernde Ausnahmebestimmung im Bezug auf die Sanktionen. Aufgrund von eingeschränkten personellen Ressourcen wird hier von einer Verhängung der Strafe abgesehen, wenn die Sechs-Stunden-Frist nicht eingehalten wird.

Ansonsten liegt es nun am EU-Parlament, wie es mit der E-Evidence-Verordnung weitergeht. Dort gibt es freilich einige Skepsis. Die Berichterstatterin in dieser Angelegenheit ist die deutsche Abgeordnete Birgit Sippel von der SPD. Sie hat bereits betont, dass sie sich dafür einsetzen werde, dass keine Grundrechte unterlaufen werden sollen.

„Auch wenn es ausgesprochen unwahrscheinlich ist, dass das europäische Parlament den Entwurf noch vor der Wahl durchwinken wird, ist es nun notwendig, weiter am Entwurf zu arbeiten und die bestehenden Probleme zu adressieren“, sagt Schubert.