Europäische Herausgabeanordnung

Die Europäische Herausgabeanordnung (E-Evidence-Verordnung)^[1] ist eine Sammlung von Vorschlägen der EU-Kommission zum Zugriff von Strafverfolgungsbehörden auf digitale Daten in anderen Staaten in Gestalt eines Richtlinienentwurfs und eines Verordnungsentwurfs.

Die Verordnung wurde von den Vertretern der EU-Staaten schnell vorangetrieben, steht aber in der Kritik, da sie es unter anderem Privatleuten aus dem Ausland erlauben würde, die Herausgabe von Nutzerdaten aus EU-Ländern von Telekomanbietern, Clouddiensten und sozialen Netzwerken zu erzwingen,^[1] selbst wenn die vorgeworfenen Straftaten in dem EU-Land der betroffenen Nutzer überhaupt nicht strafbar sind. Die deutschen Datenschutzbeauftragten des Bundes und der Länder sehen die Grundrechte der Nutzer und der Provider ausgehebelt.^[2]^[3]

Ziel Bearbeiten

Polizei- und Justizbehörden sollen benötigte digitale Daten („e-Evidence“) unmittelbar von Service-Providern in beliebigen Staaten auch außerhalb der Europäischen Union in einem Zeitraum von 360 Minuten (in Eilfällen) oder innerhalb von zehn Tagen erhalten.

Historische Einordnung Bearbeiten

Die Vorschläge zum Zugriff auf „e-Evidence“ stellen eine Reaktion auf den US-amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD Act) vom 23. März 2018 dar. Dieser ermächtigt US-Behörden zum Zugriff auf Daten US-amerikanischer Anbieter, auch auf Daten außerhalb der USA.

Die Vorschläge zu „e-Evidence“ gehen darüber hinaus. Nicht nur müssen Unternehmen in der EU Daten herausgeben – unabhängig vom Ort der Speicherung. Auch außereuropäische Unternehmen sollen die EU-Verpflichtung einhalten, sofern sie Dienste in der EU anbieten. Hierzu sollen Anbieter von Kommunikationsdiensten wie Chatprogrammen oder E-Mails einen gesetzlichen Vertreter in der EU benennen.

Datenumfang Bearbeiten

Vier Arten von Daten sollen Provider grundsätzlich herausgeben:

Subscriber Data – Identitäts- und Adressdaten von Kunden, welche Dienste gebucht wurden und wie gezahlt wird, also Bestandsdaten.
Access Data – Metadaten zur konkreten Inanspruchnahme eines Dienstes: Datum und Uhrzeit, IP-Adresse, User-ID
Transactional Data – Metadaten zur Art der Nutzung von Diensten: Absender und Empfänger von E-Mails, Geolokation der Endgeräte, genutzte Protokolle.
Content Data – gespeicherte Inhaltsdaten, also Text, Bild, Ton oder Video.

Dies umfasst alle vom Provider nutzerbezogen gespeicherten Daten außer Echtzeit-Kommunikationsdaten. Die Überwachung laufender Nutzung ist nicht vorgesehen.

Rechtsinstrumente Bearbeiten

Der Verordnungsentwurf definiert zwei Instrumente. Jedes Instrument stellt eine unmittelbare Verpflichtung eines Providers im Ausland dar, ohne – durch ein Rechtshilfeersuchen oder mittels European Investigation Order (EIO) – Behörden des betreffenden Staates anzusprechen.

European Production Order (EPO): Eine EPO verpflichtet Diensteanbieter, von Behörden geforderte Daten binnen 10 Tagen herauszugeben. Die Frist ist verkürzt auf 360 Minuten für Eilfälle aufgrund einer unmittelbar drohenden Gefahr für Leib und Leben oder kritische Infrastrukturen. Das Herausverlangen für Subscriber Data und Access Data gilt für jede Straftat, für die übrigen Daten nur bei schweren Straftaten mit einem Strafrahmen ab drei Jahren.
European Preservation Order (EPrO): Die EPrO soll das Löschen oder Überschreiben vorhandener Daten verhindern, um später Rechtshilfeersuchten, EIO oder EPO zu ermöglichen.
Behörden des Mitgliedsstaates, in dem der Provider seinen Sitz hat, müssen Behörden des anfragenden Staates bei der Durchsetzung der Verlangen unterstützen.

Kritik Bearbeiten

der Bundesrechtsanwaltskammer: Die BRAK hielt den Vorschlag für eine Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen in einer Stellungnahme vom September 2018 für überhastet, da Vorschriften, auf die der Entwurf verweist, noch nicht verabschiedet sind. Daher wären erst die praktischen Auswirkungen der Richtlinie zur Europäischen Ermittlungsanordnung abzuwarten, um sich daraus ergebende Schwächen in einer Regelung für Herausgabe- und Sicherungsanordnungen zu vermeiden. Zudem fehlt eine materiell-rechtliche Prüfung im Vollstreckungsstaat – zu Notwendigkeit, Verhältnismäßigkeit oder Missbräuchlichkeit der Maßnahme. Betroffene wären im Vollstreckungsstaat in einem sehr grundrechtsrelevanten Bereich schutzlos gestellt.^[4]

Betroffene Unternehmen und Verbände beklagen außer dem damit verbundenen Aufwand die Übernahme der Verantwortung: Provider müssen prüfen, ob die Anordnung Grundrechte verletzt – wie Art. 9 Ziffer 5 des Verordnungsentwurfs erläutert. Ausnahmen für Kleinunternehmen sind nicht vorgesehen.
Bürgerrechtler warnen vor einer Selbstentmachtung des Staates zu Gunsten digitaler Plattformen, da der Vorschlag die Auslagerung von Grundrechtsschutz an private Unternehmen fortsetzt. Diese werden Schritt für Schritt durch Wahrnehmung polizeilicher oder justizieller Maßnahmen zu Hilfspolizisten, Hilfsstaatsanwälten und Hilfsrichtern befördert:
- Der EuGH zwingt Suchmaschinenanbieter mit dem Recht auf Vergessen, Informationsinteressen der Öffentlichkeit mit dem Persönlichkeitsschutz abzuwägen.
- Mit dem Netzwerkdurchsetzungsgesetz sollen Unternehmen Inhalte auf Unrechtmäßigkeit prüfen und bei Bedarf löschen.
- Die e-Evidence-Verordnung zwingt Online-Anbieter, die Rechtmäßigkeit polizeilicher Zugriffe fremder Staaten auf digitale Daten fachkundig zu bewerten.^[5]^[6]

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

↑ ^a ^b Muzayen Al-Youssef: "Österreicher könnten wegen illegaler Streams geklagt werden" Der Standard vom 24. Juni 2019.
↑ "EU-Staaten fordern hohe Geldstrafen für Onlinedienste" golem.de vom 3. Dezember 2018.
↑ "Bundesjustizministerium warnt Unternehmen vor Rechtsrisiken bei US Datenzugriff" Handelsblatt vom 17. Mai 2019.
↑ StellungnahmeNr. 28/2018 E-Evidence. (PDF) Bundesrechtsanwaltskammer, abgerufen am 24. Juni 2019.
↑ Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Münster, 7. November 2018. (PDF) Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, archiviert vom Original (nicht mehr online verfügbar) am 3. Dezember 2018; abgerufen am 2. Dezember 2018. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ldi.nrw.de
↑ e-Evidence: Outsourcing von Grundrechtsschutz. Martin Schallbruch, abgerufen am 2. Dezember 2018.

[standard240619-1] Muzayen Al-Youssef: "Österreicher könnten wegen illegaler Streams geklagt werden" Der Standard vom 24. Juni 2019.

[2] "EU-Staaten fordern hohe Geldstrafen für Onlinedienste" golem.de vom 3. Dezember 2018.

[3] "Bundesjustizministerium warnt Unternehmen vor Rechtsrisiken bei US Datenzugriff" Handelsblatt vom 17. Mai 2019.

[4] StellungnahmeNr. 28/2018 E-Evidence. (PDF) Bundesrechtsanwaltskammer, abgerufen am 24. Juni 2019.

[5] Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Münster, 7. November 2018. (PDF) Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, archiviert vom Original (nicht mehr online verfügbar) am 3. Dezember 2018; abgerufen am 2. Dezember 2018. Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.ldi.nrw.de

[6] e-Evidence: Outsourcing von Grundrechtsschutz. Martin Schallbruch, abgerufen am 2. Dezember 2018.

[1]

[2]

[3]

[4]

[5]

[6]