Strafverfolger brauchen nach Ansicht des stellvertretenden EU-Datenschutzbeauftragten Wojciech Wiewiórowski auch im digitalen Zeitalter alle erforderlichen Informationen und Werkzeuge, um effektiv Terrorismus und andere Verbrechen bekämpfen zu können. Daher sei es auch wichtig, dass sie an elektronische Beweismittel herankommen, die in einem anderen Staat liegen, unterstützt der Jurist prinzipiell die Initiative der EU-Kommission für eine "E-Evidence-Verordnung". Die aktuellen Entwürfe schössen aber weit übers Ziel hinaus.
Ländergrenzen: Prinzip der doppelten Strafbarkeit gefordert
Mit dem umstrittenen Vorhaben sollen europäische Polizei- und Justizbehörden bald in allen Mitgliedsstaaten und schier weltweit direkt bei Diensteanbietern elektronische Beweismittel wie E-Mails oder Chat-Nachrichten aus der Cloud anfordern können. Dies dürfe "nicht auf Kosten der Rechte und Freiheiten gehen, die wir als EU-Bürger genießen", warnt Wiewiórowski. Der Gesetzgeber müsse eine Balance finden, damit das vorgesehene Mehr an Sicherheit nicht die Grundrechte und die Prinzipien des Datenschutzes unterlaufe.
Große Bedenken hat der Experte vor allem gegen die Klausel, dass das Land, in dem der Provider sitzt oder die Daten gespeichert sind, über einen Zugriff darauf nicht mitentscheiden kann. Er fordert, die Justizbehörden dort einzubeziehen. Bislang soll es auch nicht nötig sein, dass das verfolgte Delikt in dem Staat, in dem der Provider sitzt oder in dem der Beschuldigte lebt, eine Straftat ist. Wiewiórowski plädiert hier dafür, das Prinzip der "doppelten Strafbarkeit" in beiden Ländern einzuführen.
Anbieter sollten Zahl der Anordnungen veröffentlichen
Die skizzierte "europäische Vorlageanordung" und eine parallele Aufforderung, elektronische Beweismittel "einzufrieren" und aufzubewahren, sollten laut der Stellungnahme des Kontrolleurs mit Zertifikaten abgesichert werden. Zudem müsse die Pflicht, Daten zu speichern, mit der Zurückweisung oder der Rücknahme einer Zugriffsanordnung enden. Die angeforderten Verbindungs- oder Inhaltsinformationen sollten auch von anderen Beständen separat gehalten werden.
Um das Instrument transparent zu machen, spricht sich Wiewiórowski für eine Pflicht für Diensteanbieter aus, regelmäßig in aggregierter Form die Zahl der erhaltenen Anordnungen und Beschlüsse zu veröffentlichen. Nationale Vorgaben für Berufsgeheimnisse und Zeugnisverweigerungsrechte müssten gewahrt bleiben und vom anfordernden Staat von vornherein beachtet werden.
Datenschützer: Zehn Tage Prüffrist sind zu kurz
Die Fristvorgabe, über ein Gesuch spätestens binnen zehn Tagen zu entscheiden, hält der Datenschützer für zu knapp bemessen, um ein solches angemessen zu prüfen. Die Passage, wonach Anordnungen in Notfällen binnen sechs Stunden ausgeführt werden müssen, sollte ihm zufolge allenfalls als Empfehlung verstanden werden. Ein Zugang zumindest zu Inhaltsdaten sei nur im Kampf gegen schwere Straftaten zu gewähren.
Peer Heinlein, Geschäftsführer des E-Mail-Anbieters mailbox.org begrüßte ebenfalls, dass es mit der E-Evidence-Verordnung "international einheitliche Auslegungen und Standards zum Datenschutzrecht geben soll". Nur so könne auch ein grenzübergreifender Schutz der Bürger gewährleistet werden. Es kann jedoch nicht sein, "dass man einerseits den Bürgern mehr Privatsphäre verspricht und Maßnahmen zu Anti-Hate-Speech fordert, während unsere Regierung gleichzeitig aktiv gegen verschlüsselte Kommunikation argumentiert".
Ferner sieht Heinlein das Problem, "dass einzelne Staaten auf Daten zugreifen wollen, die andere für schützenswert halten – beispielsweise die Kommunikation zwischen Whistleblowern, Umweltaktivisten und Journalisten". Es sei zu befürchten, dass sich die europäische Staatengemeinschaft hier "nur auf den kleinsten gemeinsamen Nenner einigen kann, statt echten Datenschutz durchzusetzen".
Gegen Steuerbetrug bei grenzüberschreitendem eCommerce
Unterstützung hat die Kommission parallel vom EU-Ministerrat für einen weiteren Teil ihres Sicherheitspakets bekommen, das den Entwurf für die Verordnung für elektronische Beweismittel umfasst. Dabei geht es um Vorschriften, mit denen Steuerbetrug beim grenzüberschreitenden elektronischen Handel leichter aufgedeckt werden können soll. Laut der jetzt abgesteckten Ratsposition wird es Mitgliedstaaten möglich, die von den Zahlungsdienstleistern wie Banken elektronisch bereitgestellten Aufzeichnungen auf einheitliche Weise zu erfassen.
Zudem soll ein neues zentrales elektronisches System für die Speicherung von Zahlungsinformationen geschaffen werden, auf das nationale Betrugsbekämpfungsstellen über das "Eurofisc-Netz" zugreifen und die Daten analysieren könnten. Ziel ist es, Online-Verkäufer aus der EU und aus Drittländern zu identifizieren, die ihren Mehrwertsteuerpflichten nicht nachkommen. Prinzipiell entstünde damit ein weiterer Datentrog, der wiederum Begehrlichkeiten auch bei Strafverfolgern auslösen könnte.
Quelle: E-Evidence: EU-Datenschützer sieht Grundrechte beim Cloud-Zugriff nicht gewahrt | heise online