Wenn grenzenlose Verbrecherjagd zur Bedrohung wird – Seite 1

Manchmal dauern Ermittlungen in Europa lange. Sehr lange sogar. Verdächtigt die deutsche Polizei jemanden, eine Straftat begangen zu haben, und will zwecks Beweisführung zum Beispiel seine Facebook-Daten einsehen, muss sie sich oft erst einmal an Irland wenden. Denn die Firma Facebook hat keine Rechenzentren in Deutschland, die Daten deutscher Nutzerinnen und Nutzer können auf Servern in der Nähe von Dublin liegen.

Eine deutsche Ermittlungsbehörde ist daher auf die Unterstützung ihrer irischen Kolleginnen und Kollegen angewiesen. Direkt bei Facebook anfragen können deutsche Ermittler nicht. Sie müssen ein Rechtshilfegesuch an die irischen Behörden stellen, damit diese die Anfrage prüfen und an das Unternehmen weiterleiten können. Durch die Umwege können schon mal drei, manchmal auch zehn Monate bis zu einer Auskunft vergehen. Ein mühsamer Prozess.

Noch ein Ermittlungsinstrument

Die Europäische Union will diese langen Wege nun verkürzen: mit der E-Evidence-Verordnung, einem neuen Regelwerk, das den Umgang mit digitalen Beweisen vereinfachen soll. Ein deutscher Staatsanwalt oder eine Richterin könnten dann künftig direkt Daten von Facebook anfordern, ohne dass irische Behörden involviert werden müssten. Und weil das Internet bekanntlich nicht auf Europa begrenzt ist, hat die EU parallel auch noch Verhandlungen mit den USA über den Austausch elektronischer Beweise begonnen.

Die EU begründet ihr Vorhaben mit der Relevanz digitaler Daten: In rund 85 Prozent der Ermittlungen würden elektronische Beweismittel benötigt, in zwei Dritteln dieser Fälle müsse man sie bei Onlinediensten in einem anderen Land anfragen. Wäre also schon schön, wenn das schnell ginge. Doch die geplante Verordnung und das Abkommen mit den USA könnten die Grundrechte europäischer Bürgerinnen und Bürger bedrohen. 

Die Anfänge der E-Evidence-Verordnung lassen sich zurückdatieren auf die Terroranschläge in Brüssel am 22. März 2016. Damals sprengten sich zwei Männer am Brüsseler Flughafen und ein Mann an einer U-Bahn-Station in die Luft, mehr als 30 Menschen starben, 300 wurden verletzt. Die europäischen Innenministerinnen und Justizminister kamen zusammen und gaben eine gemeinsame Erklärung ab. Darin heißt es unter anderem: "Es müssen vorrangig Wege gefunden werden, um elektronische Beweismittel schneller und wirksamer zu sichern und zu erlangen, und zwar durch eine verstärkte Zusammenarbeit mit Drittländern und mit im europäischen Hoheitsgebiet tätigen Dienstleistungserbringern, damit die Einhaltung der Rechtsvorschriften der EU und der Mitgliedsstaaten und der direkte Kontakt mit den Strafverfolgungsbehörden verbessert werden."

Das ist ein bekannter Reflex nach Terroranschlägen: Passiert etwas, muss man schnell irgendwas fordern. Nun ist Schnelligkeit in der EU relativ. Das liegt schlicht daran, dass sich die (noch) 28 Mitgliedsstaaten über jede Kleinigkeit abstimmen müssen. Deswegen dauerte es nach den Anschlägen noch zwei Jahre, bis der erste Entwurf der Europäischen Kommission schließlich im April 2018 vorgestellt wurde. Und weil dann immer noch alle Institutionen mitreden müssen, ist die Verordnung bis heute nicht verabschiedet.

An der grundsätzlichen Idee hat sich wenig geändert. Der erste Entwurf sieht zwei weitere Ermittlungsinstrumente für Behörden vor: die Europäische Herausgabeanordnung (EPOC), mit der die Polizei mit einer richterlichen Anordnung europaweit speziell digitale Daten anfordern können soll, und die Europäische Sicherungsanordnung (EPOC-PR), die Anbieter zur Datensicherung verpflichtet. Aktuell kann sie schon mit der Europäischen Ermittlungsanordnung (EEA) grenzübergreifend Beweise sichern, allerdings geht es dabei eher darum, dass zum Beispiel belgische Polizistinnen für deutsche Behörden ein Haus durchsuchen.

Künftig würden Sicherheitsbehörden auch ohne diese Kooperation auskommen. Sie könnten Daten direkt bei in Europa tätigen Unternehmen anfordern. Und die müssten sie herausgeben – binnen zehn Tagen. In dringenden Fällen müssten sie sogar innerhalb von sechs Stunden reagieren. Was dringend ist, ist im Entwurf eher schwammig formuliert: Demnach muss etwa die "unmittelbare Gefahr einer Löschung" drohen oder Ermittlungen ohne die Daten nicht weitergeführt werden können "oder auf andere Weise von ihnen abhängig" sein. Diese Formulierung lässt viel Spielraum – auch für Missbrauch.

Verraten von Metadaten

Denn es geht um vertrauliche Informationen. Ermittlerinnen und Ermittler dürften bei jeder Straftat beispielsweise Teilnehmer- und Zugangsdaten anfordern. Das würde bedeuten, dass die deutsche Polizei schon wegen eines einfachen Hausfriedensbruchs hierzulande einen Telekommunikationsanbieter in Portugal um persönliche Daten wie Name oder Anschrift einer Verdächtigen bitten könnte. Oder sie könnte Informationen über eine E-Mail-Adresse in Frankreich einholen. Auf diese Weise könnten Ermittler herausfinden, wann sich jemand zuletzt ein- und ausgeloggt hat oder von welcher IP-Adresse, quasi die ID eines Teilnehmers, der den Dienst zuletzt genutzt hat.

Sensibler will die EU mit Transaktions- und Inhaltsdaten umgehen – das könnten beispielsweise der GPS-Standort oder Nachrichten auf WhatsApp sein. Will die Polizei auf solche Daten zugreifen, muss der Verdacht auf eine Straftat vorliegen, auf die mindestens drei Jahre Haft in dem Land steht, das das Ersuch erstellt. In Deutschland wäre das etwa bei einem Diebstahl der Fall.

Schon diese Unterscheidung zwischen den Daten ist wenig hilfreich für Bürgerinnen und Bürger. Denn für eine Datenauskunft reicht schon der Verdacht. Gerät also ein Deutscher in Schweden ins Visier von Ermittlerinnen und Ermittlern, könnten die bei Facebook anfragen, wann sich die Person das letzte Mal eingeloggt hat und von welchem Gerät. Das Problem: Selbst wenn die Person letztlich nicht die Täterin ist, hat sie keine direkte Möglichkeit, sich dagegen zu wehren – die Diensteanbieter sollen betroffene Personen nicht über die Datenweitergabe informieren, die Polizei macht das erst nach Abschluss der Ermittlungen.

Das könnte die Rechte des Individuums beeinträchtigen. Denn Deutschland hat andere nationale Grundrechte als beispielsweise Ungarn. Hätte Ungarn also die Möglichkeit, einfach auf die Daten einer deutschen Bürgerin zuzugreifen und die deutschen Behörden hätten dagegen keine Handhabe, würde die Verdächtige in ihren deutschen Grundrechten eingeschränkt.

Man könnte nun denken: Na und? Was sagt es schon aus, dass ich gestern um 19.36 Uhr das letzte Mal bei Facebook eingeloggt war? Der Whistleblower Edward Snowden beschreibt die Problematik in seiner Biografie Permanent Record ziemlich anschaulich: "Metadaten können Deinem Überwacher verraten, wo du letzte Nacht geschlafen hast und wann Du heute Morgen aufgestanden bist. Sie vermerken jeden Ort, an dem Du Dich aufgehalten und wie viel Zeit Du dort verbracht hast. Sie offenbaren, mit wem Du Kontakt hattest und wer mit Dir." Der Metadatenspur, die wir im Alltag hinterlassen, können Ermittlerinnen problemlos folgen.

Die Staatsanwaltschaft in Polen könnte mit diesem Werkzeug Abtreibungsgegner EU-weit digital ausspähen
Andrej Hunko, europapolitischer Sprecher der Partei Die Linke

Ein weiteres Problem: Die EU-Staaten definieren unterschiedlich, was strafbar ist und was nicht. Ein Schwangerschaftsabbruch ist in Polen beispielsweise nur erlaubt, wenn ein Fötus Fehlbildungen hat, die Frau vergewaltigt wurde oder ihr Leben bedroht ist. In Deutschland dürfen Frauen dagegen egal aus welchem Grund bis zur zwölften Woche eine Schwangerschaft abbrechen, solange sie drei Tage zuvor ein Beratungsgespräch wahrgenommen haben. Träte die E-Evidence-Verordnung in ihrer jetzigen Form in Kraft, könnten polnische Ermittlerinnen und Ermittler auf Daten in Deutschland zugreifen, die belegen, dass eine polnische Staatsbürgerin eine Schwangerschaft hat beenden lassen, obwohl dies nach deutschem Recht nicht strafbar wäre. 

"Die Staatsanwaltschaft in Polen könnte mit diesem Werkzeug Abtreibungsgegner EU-weit digital ausspähen, Spanien könnte das Mittel zur EU-weiten Verfolgung der katalanischen Opposition nutzen", warnt der Bundestagsabgeordnete Andrej Hunko, der europapolitischer Sprecher der Linken ist. Und die deutschen Behörden könnten nicht einmal eingreifen.

Auch den Unternehmen wird es schwer gemacht. Unter die E-Evidence-Verordnung würden im Prinzip alle Firmen fallen, die irgendwas mit Daten machen: Telekommunikationsunternehmen wie die Telekom, soziale Netzwerke wie Facebook und Twitter, Onlinemarktplätze wie Amazon oder Zalando oder auch Hostingdienste. Verweigert ein Unternehmen die Zusammenarbeit, drohen Geldbußen von bis zu zwei Prozent des globalen Jahresumsatzes.

Sie können zwar bei den Ermittlungsbehörden nachhaken, wenn eine Anordnung unvollständig ist. Auch können sie Gründe angeben, warum sie Daten nicht zur Verfügung stellen können. Allerdings stellt sich die Frage, ob die Unternehmen wirklich diesen Aufwand betreiben, wenn sie im Extremfall nur sechs Stunden Zeit haben, um sich gegen eine Anordnung zu wehren. Dann geben sie die Daten vielleicht doch lieber schnell raus, als eine Anfrage genau zu prüfen. Hinzu kommt: Nur die Diensteanbieter, aber nicht die betroffenen Personen können Einspruch gegen die Datenweitergabe einlegen und Bedenken anmelden. Kritiker argumentieren, dass damit im Prinzip die Unternehmen prüfen müssen, ob gerade Grundrechte verletzt werden oder nicht.

Bundesregierung will Vetorecht

Die Bundesregierung hat sich bislang gegen das Abkommen gestellt. In der Verordnung fehle "eine umfassende Verpflichtung zur Grundrechtsprüfung", heißt es in einem Schreiben, das netzpolitik.org veröffentlichte. Die Bundesregierung sieht unter anderem Journalistinnen oder Klimaaktivisten nicht ausreichend geschützt. Der Staat, auf dessen Gebiet die Daten liegen, würde zwar in Extremfällen konsultiert werden – etwa wenn ein Diensteanbieter Zweifel anmeldet –, hätte aber kein Vetorecht. Auch sei nicht gesichert, dass die neue Verordnung wirklich nur für elektronische Beweise angewendet würde. Die Bundesregierung wünscht sich daher ein Vetorecht des Landes, in dem die Daten liegen. Eine Forderung, die auch der europäische Datenschützer Wojciech Wiewiórowski in einer Stellungnahme nennt.

Allerdings muss der Entwurf noch durch den Trilog, dabei verhandeln EU-Kommission, Parlament und Rat gemeinsam über die finalen Formulierungen. Der Text kann sich dabei noch ändern.

Verhandlungen mit den USA

Obwohl in Sachen E-Evidence noch nicht einmal die grundsätzlichen Fragen ausdiskutiert sind, verhandelt die EU-Kommission bereits mit den USA über die gleiche Idee: Die USA wünschen sich demnach ebenfalls direkten Zugang zu den Daten von Unternehmen. Das geht aus einem Protokoll hervor, das ZEIT ONLINE vorliegt.

Darin heißt es: "Die Vereinigten Staaten betonten, dass das künftige Abkommen sicherstellen sollte, dass das europäische und nationale Recht der EU-Mitgliedsstaaten Unternehmen nicht hindern sollte, auf eine Anordnung zu reagieren." Heißt: Die USA sprechen sich gegen ein Vetorecht aus, wie es die Bundesregierung gern hätte. Auch über die Frage, wer überhaupt ein Diensteanbieter ist und welche Arten von Unternehmen von dem Abkommen eingeschlossen werden sollen, gibt es noch Diskussionsbedarf.

"Eine grobe Missachtung des neuen EU-Parlaments"

Linke-Politiker Hunko hält den ganzen Prozess zwischen EU und USA für schwierig. "Die Aufnahme der Verhandlungen mit den USA über den grenzübergreifenden Zugang zu elektronischen Beweismitteln in der Europäischen Union ist eine grobe Missachtung des neuen EU-Parlaments, das sich noch nicht einmal mit der geplanten EU-Verordnung befassen konnte", sagt er.

Die USA wollen als Grundlage offenbar das Abkommen zum Austausch elektronischer Beweismittel nehmen, das sie im Oktober mit Großbritannien geschlossen haben. Grundsätzlich ermöglicht auch dies den Ländern, Beweise direkt von Unternehmen anzufordern. Mit dem hat die EU aber Probleme. Im Protokoll heißt es, dass die Kommission viele Fragen und Bedenken bezüglich dieses Abkommens geäußert und einen entsprechenden Brief an die britischen Behörden geschickt habe.

Linke-Politiker Hunko sagt: "Ich gehe davon aus, dass das britisch-amerikanische Abkommen die Datenschutz-Grundverordnung verletzt." Die Kommission müsse daher ein Vertragsverletzungsverfahren gegen Großbritannien einleiten. Die amerikanische Electronic Frontier Foundation (EFF), die sich für Datenschutz einsetzt, kritisiert es ebenfalls: Es sei der erste Schritt eines länderübergreifenden Bemühens, den Schutz der Privatsphäre zugunsten der Zweckmäßigkeit der Strafverfolgung zu verringern. 

Doch schon jetzt zeichnet sich ab: Digitale Beweise grenzübergreifend zu sichern, ist kein speziell europäisches oder transatlantisches Thema. Während die EU an einer Verordnung feilt und mit den USA über ein Abkommen diskutiert, arbeitet der Europarat an einer Erweiterung des Budapester Abkommens, das für Kriminalität im Internet geschlossen wurde. Und das weltweit bislang mehr als 60 Länder ratifiziert haben. Die EFF interpretiert das so: Würde die Cybercrime-Konvention um einen E-Evidence-Paragrafen erweitert, wie aktuell diskutiert, könnten nicht nur Ländern wie Ungarn, Polen oder die USA auf die Daten von Bürgerinnen und Bürger auf irgendwelchen Unternehmensservern zugreifen, sondern auch Staaten wie Japan oder Israel. Und die haben noch einmal ganz andere Rechtssysteme.