{"id":2594,"date":"2018-10-04T11:19:02","date_gmt":"2018-10-04T11:19:02","guid":{"rendered":"https:\/\/www.eaid-berlin.de\/?p=2175"},"modified":"2018-10-04T11:19:02","modified_gmt":"2018-10-04T11:19:02","slug":"e-evidence-kommt-jetzt-der-internationale-daten-supermarkt-der-sicherheitsbehoerden","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=2594","title":{"rendered":"E-Evidence: Kommt jetzt der internationale Daten-Supermarkt der Sicherheitsbeh\u00f6rden?"},"content":{"rendered":"

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: W\u00e4hrend Waren im EU-Binnenmarkt frei flie\u00dfen und digitale Dienstleistungen grenz\u00fcberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbeh\u00f6rden an den nationalen Grenzen. Eine Polizeibeh\u00f6rde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen m\u00f6chte, muss sich bisher an die Beh\u00f6rden des Staates wenden, wo die Daten verarbeitet werden. Wie mit diesem Ersuchen der ausl\u00e4ndischen Beh\u00f6rde umgegangen wird, richtet sich nach dem Recht des Staates, auf dessen Territorium die Server stehen.\u00a0<\/span><\/p>\n

Die entsprechenden Pr\u00fcfungen sind zeitaufwendig und sie f\u00fchren nicht immer dazu, dass die angeforderten Daten freigegeben werden. Deshalb wird aus Sicherheitskreisen schon seit langem gefordert, den Zugriff zu erleichtern. Idealerweise sollen die Beh\u00f6rden direkt auf die im Ausland gespeicherten Daten zugreifen k\u00f6nnen. Die Europ\u00e4ische Kommission hat am 18. April 2018 den Entwurf einer entsprechenden EU-Verordnung<\/a> vorgelegt. Die \u201eVerordnung \u00fcber Europ\u00e4ische Herausgabeanordnungen und Sicherungsanordnungen f\u00fcr elektronische Beweismittel in Strafsachen\u201c (E-Evidence-VO) soll den Beh\u00f6rden nun den grenz\u00fcberschreitenden Direktzugriff erm\u00f6glichen.\u00a0<\/span><\/p>\n

Grundrechtseinschr\u00e4nkung im Schnelldurchgang ?<\/h5>\n

Seither besch\u00e4ftigen sich das Europ\u00e4ische Parlament und der Ministerrat mit dem Entwurf. Das Europ\u00e4ische Parlament hat in der letzten Woche eine kritische Studie<\/a> zum Kommissionsentwurf ver\u00f6ffentlicht.<\/p>\n

Die \u00f6sterreichische Regierung hat k\u00fcrzlich das ambitionierte Ziel verk\u00fcndet, die Verhandlungen im Ministerrat bis zum 31. Dezember 2018 abzuschlie\u00dfen, wenn \u00d6sterreich die Ratspr\u00e4sidentschaft an Rum\u00e4nien abtritt.\u00a0<\/span><\/p>\n

Dieser gesetzgeberische Schnelldurchgang ist in mehrfacher Hinsicht brisant: Im Unterschied zu einer Richtlinie w\u00e4re eine EU-Verordnung direkt anwendbares Recht in den Mitgliedsstaaten und bed\u00fcrfte keiner Umsetzung in nationales Recht. Sie bedeutet die Verordnung einen erheblichen Einschnitt in die B\u00fcrgerrechte, denn Herausgabeanordnungen m\u00fcssten von den Anbietern elektronischer Dienste unmittelbar befolgt werden, ohne dass eine Beh\u00f6rde oder ein Gericht des Sitzlandes gepr\u00fcft hat, ob die Herausgabe auch nach nationalem Recht zul\u00e4ssig w\u00e4re.<\/p>\n

Zum anderen sind aber die Rechtsordnungen der Mitgliedsstaaten nicht harmonisiert; sie unterscheiden sich im Hinblick auf die Strafbarkeit, die H\u00f6he von Strafandrohungen und rechtsstaatliche Sicherungen. Die Europ\u00e4ische Kommission f\u00fchrt\u00a0 <\/span>sogar zwei Verfahren gegen die Verletzung der Rechtsstaatlichkeit gegen Polen und Ungarn. Die Einleitung eines entsprechenden Verfahrens gegen Rum\u00e4nien wird gerade diskutiert, weil auch in diesem Land\u00a0 <\/span>nach dem Willen der Regierung die Unabh\u00e4ngigkeit der Gerichte eingeschr\u00e4nkt werden soll.\u00a0<\/span><\/p>\n

Wenn die E-Evidence-Verordnung in der vorgeschlagenen Form beschlossen wird, m\u00fcssten deutsche Anbieter elektronischer Dienstleistungen (etwa Cloud-Anbieter, Netzbetreiber, Social Media, Hosting- und Telekommunikationsunternehmen) Anordnungen der ausl\u00e4ndischen Beh\u00f6rden folgen, ohne eine inhaltliche Pr\u00fcfung vorzunehmen. Handlungen, die im Anordnungsstaat strafbar sind, nicht aber im Staat, in dem die Verarbeitung stattfindet, k\u00f6nnen so auch Gegenstand einer Herausgabeverpflichtung sein.\u00a0<\/span><\/p>\n

Umfassender Anwendungsbereich<\/h5>\n

Anordnungen zur Herausgabe von Teilnehmer- und\u00a0 <\/span>Zugangsdaten k\u00f6nnen f\u00fcr jede Art von Straftaten\u00a0 <\/span>erlassen werden. Die Vorgabe, Inhalts- und Transaktionsdaten nur bei Straftaten,\u00a0 <\/span>die\u00a0 <\/span>im\u00a0 <\/span>Anordnungsstaat\u00a0 <\/span>mit\u00a0 <\/span>einer\u00a0 <\/span>Freiheitsstrafe\u00a0 <\/span>im H\u00f6chstma\u00df\u00a0 <\/span>von\u00a0 <\/span>mindestens\u00a0 <\/span>drei\u00a0 <\/span>Jahren\u00a0<\/span><\/i> geahndet\u00a0 <\/span>werden, ist wenig geeignet, die Bedenken zu zerstreuen. Anders als es die Erl\u00e4uterungen der Kommission zum E-Evidence-Paket nahelegen, handelt es sich bei den drei Jahren nicht um eine Mindeststrafe, sondern um eine Mindesth\u00f6chst<\/i>strafe. Ein Blick in das deutsche Strafgesetzbuch zeigt, dass dieses Kriterium auf eine Vielzahl von Straftaten zutrifft und nicht etwa nur auf Verbrechen oder schwere Straftaten. So wird Abtreibung in Polen mit einer Freiheitsstrafe von bis zu drei Jahren bestraft.\u00a0 <\/span>Die Voraussetzung zur Herausgabe w\u00e4re damit erf\u00fcllt.\u00a0<\/span><\/p>\n

\n

Ein deutscher Anbieter m\u00fcsste die E-Mails und die Verkehrsdaten an die polnische Strafverfolgungsbeh\u00f6rde herausgeben, soweit diese in einem Abtreibungsfall ermittelt. Der Anbieter eines elektronischen Buchhaltungsdienstes, bei dem der Arzt einen Account hat, k\u00f6nnte ggf. auch Adressat einer entsprechenden Herausgabeanordnung sein.<\/p>\n<\/blockquote>\n

Anschaulich wird diese Problematik auch beim Fall des katalanischen Exilpolitikers Puigdemont, gegen den ein spanischer Haftbefehl wegen \u201eAufruhr\u201c ergangen war.<\/p>\n

\n

Nach dem Beschluss des OLG Schleswig erf\u00fcllte das Tatgeschehen nach deutschem Recht keinen vergleichbaren Straftatbestand. Der von Spanien erlassene Europ\u00e4ische Haftbefehl durfte gegen ihn in Deutschland nicht vollstreckt werden. Nach der E-Evidence-VO w\u00e4ren die deutschen Provider trotzdem zur Herausgabe entsprechender elektronischer Dokumente verpflichtet gewesen, denn anders als beim Eurp\u00e4ischen Haftbefehl ist hier keine \u00dcberpr\u00fcfung durch ein Gericht desjenigen Staats vorgesehen, in dem die Anordnung vollstreckt werden soll.<\/p>\n<\/blockquote>\n

Zumutungen f\u00fcr Provider<\/h5>\n

V\u00f6llig unzumutbar ist zudem die Situation f\u00fcr die Provider: Ihnen werden Pflichten auferlegt, die sie in einem rechtsstaatlich einwandfreien Verfahren nicht \u00fcberpr\u00fcfen k\u00f6nnen. Nicht nur Gerichte und Staatsanwaltschaften, sondern jede vom Anordnungsstaat\u00a0 <\/span>bezeichneten zust\u00e4ndige\u00a0 <\/span>Beh\u00f6rde kann eine entsrechende Anordnung erlassen. Dies k\u00f6nnen auch Finanz-, Regulierungs- und Verkehrsbeh\u00f6rden oder mit entsprechenden Befugnissen ausgestattete Geheimdienste sein. In den 28 EU-Staaten werden demnach Tausende Beh\u00f6rden nach dem jeweiligen nationalen Recht die Befugnis erhalten, von den Unternehmen grenz\u00fcberschreitend die Herausgabe von Kommunikationsdaten zu verlangen, vielfach ohne gerichtliche Best\u00e4tigung. Den Unternehmen ist es nicht einmal m\u00f6glich, seri\u00f6s zu pr\u00fcfen, ob eine Beh\u00f6rde die entsprechende Befugnis besitzt, ja sogar, ob es sich \u00fcberhaupt um eine Beh\u00f6rde handelt. Zwar sollen die jeweiligen Beh\u00f6rden eine entsprechende Autorisierung durch Schreiben einer Justizbeh\u00f6rde nachweisen. Daf\u00fcr soll es etwa ausreichen, wenn der Absender ein entsprechendes Dokument per Fax \u00fcbermittelt.\u00a0<\/span><\/p>\n

\n

Ob das Fax und der darauf enthaltene Stempel einer Justizbeh\u00f6rde echt ist angesichts der sehr kurzen Fristsetzungen (in bestimmten F\u00e4llen sind die Unternehmen verpflichtet, die Daten innerhalb von sechs Stunden zu liefern!) kaum zu \u00fcberpr\u00fcfen, ja es ist nicht einmal sicher, ob das Schreiben \u00fcberhaupt von einer Beh\u00f6rde stammt. Entsprechend gro\u00df ist die Gefahr, auf eine gef\u00e4lschte Herausgabeanordnung hereinzufallen und ohne Rechtfertigungsgrund personenbezogene Daten an Dritte zu \u00fcbermitteln.\u00a0 <\/span><\/p>\n<\/blockquote>\n

Bei Nichtbefolgung der Anordnung drohen ihm gleichwohl erhebliche finanzielle und strafrechtliche Konsequenzen. Der so bewirkten erheblichen Verletzung der Grundrechte des Betroffenen entspricht zudem ein erhebliches Haftungsrisiko f\u00fcr den Provider, unrechtm\u00e4\u00dfig Daten herausgegeben zu haben.<\/p>\n

Keine Pr\u00fcfung der Rechtm\u00e4\u00dfigkeit<\/h5>\n

W\u00e4hrend bei der Europ\u00e4ischen Ermittlungsanordnung (EEA), einem anderen vor wenigen Jahren einigef\u00fchrten Instrument, die Vollstreckung den Beh\u00f6rden unterliegt, in dessen Gebiet die Verarbeitung stattfindet, soll die elektronische Herausgabeanordnung soll unmittelbar an den ausl\u00e4ndischen Provider ergehen. Irgendeine inhaltliche \u00dcberpr\u00fcfung durch ein inl\u00e4ndisches Gericht oder eine inl\u00e4ndische Justizbeh\u00f6rde ist in der E-Evidence-VO nicht vorgesehen. Damit werden zuk\u00fcnftig auch Daten an ausl\u00e4ndische Stellen \u00fcbermittelt, bei denen inl\u00e4ndischen Beh\u00f6rden eine entsprechende Befugnis nicht zusteht. Auch strafprozessuale Sicherungen – etwa der Richtervorbehalt – werden umgangen, wenn das Recht des Anordnungsstaats solche nicht vorsieht. Schlie\u00dflich w\u00fcrden Anforderungen, die etwa das Bundesverfassungsgericht aufgestellt hat, z.B. zum Schutz des Kernbereichs privater Lebensgestaltung, nicht gew\u00e4hrleistet.<\/p>\n

Die Verantwortung f\u00fcr die \u00dcbermittlung unterliegt damit dem Unternehmen, an das sich die Anordnung richtet – letztlich eine Privatisierung der strafprozessualen Verantwortlichkeit. Dabei haben die Unternehmen nur in sehr eigeschr\u00e4nktem Umfang die M\u00f6glichkeit, die Rechtm\u00e4\u00dfigkeit der Anordnung zu \u00fcberpr\u00fcfen oder die \u00dcbermittlung der angeforderten Daten abzulehnen, wenn er der Ansicht ist,\u00a0 <\/span>dass ausschlie\u00dflich\u00a0 <\/span>aus\u00a0 <\/span>den\u00a0 <\/span>in\u00a0 <\/span>der Anordnung enthaltenen Informationen\u00a0 <\/span>hervorgeht,\u00a0 <\/span>dass\u00a0 <\/span>sie \u201eoffenkundig\u201c gegen die Charta der Grundrechte der Europ\u00e4ischen Union verst\u00f6\u00dft oder offensichtlich\u00a0 <\/span>missbr\u00e4uchlich ist.\u00a0<\/span><\/p>\n

Kommt die Echtzeit-\u00dcberwachung?<\/h5>\n

Strittig ist, inwieweit neben der Herausgabe bereits gespeicherter Daten auch eine Echtzeit-\u00dcberwachung (\u201elive interception\u201c) in die E-Evidence-VO aufgenommen werden soll. Sp\u00e4testens hier w\u00fcrden die zum Schutz des Telekommunikationsgeheimnisses bestehenden materiellen und prozessualen Garantien geschleift. Aber selbst wenn – wie zu erwarten – entsprechende Forderungen im Europ\u00e4ischen Parlament keine Mehrheit f\u00e4nden, w\u00e4re die geplante Verordnung ein tiefer Eingriff in die europ\u00e4ischen und nationalen Grundrechte. Es w\u00e4re unverantwortlich, eine solche Regelung im Schnelldurchgang ohne gr\u00fcndliche Debatte durchzuwinken.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Idee ist alt, aber der konkrete Vorschlag ziemlich neu: Während Waren im EU-Binnenmarkt frei fließen und digitale Dienstleistungen grenzüberschreitend angeboten werden, endet die Kompetenz der Strafverfolgungsbehörden an den nationalen Grenzen. Eine Polizeibehörde, die im Rahmen ihrer Ermittlungen – etwa in einer Betrugssache – auf Daten zugreifen möchte, muss sich<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,1413,221,1534,198,1535,841,1536,6,3,7,1537,4,12,17,193,1538,317,15,16,14,8],"tags":[],"class_list":["post-2594","post","type-post","status-publish","format-standard","hentry","category-bsi","category-e-evidence","category-eaid-blog","category-eea","category-eu-grundrechtecharta","category-europaeischer-haftbefehl","category-grundrechte","category-herausgabeanordnung","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-live-interception","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-puigdemont","category-richtervorbehalt","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2594"}],"version-history":[{"count":3,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2594\/revisions"}],"predecessor-version":[{"id":3152,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/2594\/revisions\/3152"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}