von Matthias Monroy
Die Europäische Union will die Herausgabe sogenannter elektronischer Beweismittel durch Internetanbieter erleichtern. Dabei geht es um direkte Abfragen von Bestandsdaten durch europäische Polizei- und Geheimdienstbehörden bei den Firmen. Damit wollen die Behörden den umständlichen Rechtsweg insbesondere in den USA vermeiden.
Europäische Sicherheitsbehörden können in sogenannten Notfallauskünften („emergency disclosures“) in Terrorismusangelegenheiten oder bei bevorstehenden schweren Straftaten direkte Anfragen bei Internetanbietern in den Vereinigten Staaten stellen. Entsprechende Herausgabeverlangen sind im US-Patriot Act geregelt. Die Telekommunikationsanbieter können die Anfragen auf freiwilliger Basis beantworten, aber auch ignorieren.
Erfolgen Direktanfragen von Strafverfolgungsbehörden nicht zur Abwehr einer unmittelbar bevorstehenden Gefahr, sondern zur „Erforschung des strafprozessualen Sachverhalts“, laufen sie häufig ins Leere. Die US-amerikanischen Diensteanbieter verlangen dann oft, aber nicht immer, ein Rechtshilfeersuchen der Staatsanwaltschaft oder die Vorlage eines Gerichtsbeschlusses.
Zusatzprotokoll zur Budapest-Konvention
Die Angelegenheit soll auf dem nächsten EU-US-Ministertreffen am 15. und 16. Juni unter dem Punkt „Kooperation im Bereich der Justiz“ besprochen werden. Die US-Delegation hat bereits deutlich gemacht, dass sich eine Vereinbarung mit der Europäischen Union an einer derzeit mit Großbritannien verhandelten Regelung orientieren könnte. Auch der sogenannten EU-US-Cyberdialog will die Herausgabe elektronischer Beweismittel behandeln, das nächste Treffen findet vermutlich im Dezember statt.
Vermutlich wird das schnellere Verfahren auch über ein zweites Zusatzprotokoll zum Übereinkommen über Computerkriminalität des Europarats ermöglicht. Bis 2019 soll das Cybercrime-Komitee des Europarates einen Entwurf erarbeiten. Als regelungsbedürftig gelten Rechtshilfeersuchen zur Herausgabe elektronischer Daten in der Cloud, die Zusammenarbeit von Internetanbietern mit Behörden sowie der grenzüberschreitende Datenzugriff durch Polizeibehörden.
Bald EU-weite Beschlagnahme von Cloud-Daten erlaubt?
Zusätzlich sollen innerhalb der Europäischen Union Verfahren entwickelt werden, um Rechtshilfe zu vereinfachen. Einen guten Überblick gibt hierzu ein „technisches Dokument“ der Kommission, das auf einem gleichzeitig versandten „Non Paper“ basiert. Am 8. und 9. Juni steht das Thema in Luxemburg auf der Agenda der Innen- und JustizministerInnen. Unter dem Titel „Strafjustiz im Cyberspace“ behandeln die MinisterInnen außerdem Maßnahmen zum Umgehen von Verschlüsselung und zur Vorratsdatenspeicherung.
Die Herausgabe elektronischer Beweismittel firmiert auf Ebene der Europäischen Union unter dem Schlagwort „e-evidence“. Entsprechende Maßnahmen hatte der Rat im Juni 2016 unter dem Titel „Improving Criminal Justice in Cyberspace“ als Schlussfolgerungen veröffentlicht. Darin hatten die Staats- und Regierungschefs die Kommission um Vorschläge zur Verbesserung der internationalen Zusammenarbeit bei „strafrechtlichen Ermittlungen im Cyberspace“ gebeten.
Die Bundesregierung unterstützt das Vorhaben und schlägt vor, die Europäische Ermittlungsanordnung um ein Zusatzprotokoll zur „grenzüberschreitenden Sicherung elektronischer Daten ohne technische Hilfe“ zu ergänzen. Die EU-Richtlinie wurde vor drei Jahren verabschiedet und musste von den Mitgliedstaaten bis vor zwei Wochen umgesetzt werden. Sie regelt unter anderem die Möglichkeit, in einem anderen Land das Abhören von Telekommunikation oder den Einsatz von Trojanern anzuordnen. Der „Vollstreckungsstaat“ muss dieser Anordnung folgen.
Unverzügliche Benachrichtigung über „Zielperson der Überwachung“
Eine ähnliche Regelung soll dem Bundesinnenministerium zufolge nun für die „direkte“ Sicherung von elektronischen Daten gelten. Mögliche Eckpunkte hatte das Bundeskriminalamt im März 2016 auf der Konferenz „Crossing Borders: Jurisdiction in Cyberspace“ in Amsterdam vorgestellt. Demnach dürften die ermittelnden Behörden Daten auch im Eilverfahren „beschlagnahmen“.
Zunächst würde aber nur der Diensteanbieter verpflichtet, die Daten zu sichern und etwaige Löschfristen auszusetzen. Der ermittelnde Mitgliedstaat muss dann den betroffenen Mitgliedstaat unverzüglich über Maßnahmen gegen die „Zielperson der Überwachung“ unterrichten (die sogenannte Notifikation), der betroffene Staat kann gegebenenfalls widersprechen. Dies käme etwa in Betracht, wenn das eigene Strafprozessrecht das zugrundeliegende Delikt nicht kennt oder eigene Ermittlungen gefährdet würden.
Entwicklung von Schnittstellen zur Ausleitung
Neben dem deutschen Vorschlag prüft die Europäische Kommission weitere „Formen des unmittelbaren Zugangs zu elektronischen Beweismitteln“. Konkrete Vorschläge sind für den Sommer dieses Jahres angekündigt, ein erster Überblick findet sich im Zwischenbericht aus dem Dezember 2016. Ein weiterer Vorschlag ist, ein Internetportal einzurichten, mit dem sich die Ermittlungsbehörden und Staatsanwaltschaften im „Anordnungsstaat“ und „Vollstreckungsstaat“ vernetzen.
Dabei geht es ebenfalls um die technischen Verfahren zur grenzüberschreitenden Ausleitung der Daten. Die Generaldirektion Justiz und Verbraucherschutz der Europäischen Kommission will hierzu Forschungsprojekte zur Erlangung elektronischer Beweismittel finanzieren. Auch das European Telecom Standards Institute (ETSI) entwickelt technische und rechtliche Spezifikationen für solche Schnittstellen. Außerdem werden Verfahren gesucht, um den physischen Speicherort von Daten zu bestimmen.
Update: Am 8. Juni hat die Kommission die im Artikel beschriebenen Vorschläge konkretisiert. Dabei geht es sowohl um Maßnahmen innerhalb der Europäischen Union als auch mit den Vereinigten Staaten. Außerdem heißt es, dass „in Irland ansässige Anbieter“ bereits Bestandsdaten herausgeben. Tags darauf hat das Cybercrime-Komitee des Europarats beschlossen, mit Verhandlungen zum neuen Zusatzprotokoll im September zu beginnen.
