e-Evidence: Outsourcing von Grundrechtsschutz (Teil 3)
Unter der Überschrift "e-Evidence" hat die Europäische Kommission am 17. April 2018 Vorschläge zum Zugriff von Strafverfolgungsbehörden auf digitale Daten in anderen Staaten vorgelegt. Das Paket besteht aus einem Richtlinienentwurf und einem Verordnungsentwurf. Kern ist die Schaffung einer Möglichkeit für Strafverfolgungsbehörden, die von ihnen benötigten digitalen Daten ("e-Evidence") unmittelbar bei Service-Providern in anderen Mitgliedsstaaten oder Staaten außerhalb der EU abzufragen.
Diensteanbieter
Sowohl die adressierten Diensteanbieter als auch die Datenarten werden hierbei sehr weitgehend gefasst:
Verpflichtungen können sich gegen jede Art von Anbietern digitaler Kommunikationsdienste (E-Mail, Messenger) ebenso richten wie gegen jeden sonstigen Anbieter digitaler Dienste, bei denen die Datenspeicherung wichtiger Teil des Geschäftsmodells ist. Ausdrücklich genannt werden soziale Netzwerke, Online-Marktplätze und Hosting-Anbieter.
Sofern solche Anbieter ihre Dienste europäischen Kunden anbieten, sollen die Unternehmen einen rechtlichen Ansprechpartner in einem EU-Mitgliedsstaat benennen, an den die Strafverfolger ihre Anliegen unmittelbar richten können.
Datenarten
Vier Arten von Daten sollen von den Providern zukünftig grundsätzlich herausgegeben werden:
- Subscriber Data umfassen die Identitäts- und Adressdaten von Kunden, welche Dienste gebucht wurden und wie gezahlt wird, mithin also eine Art Bestandsdaten.
- Access Data sind Metadaten, die sich auf die Umstände einer konkreten Inanspruchnahme eines Dienstes beziehen, also Datum und Uhrzeit, IP-Adresse und andere Identifikationsmerkmale (z.B. User-ID)
- Transactional Data sind ebenfalls Metadaten, die sich in Abgrenzung zu 2. eher auf die Art der Nutzung von Diensten als die Umstände beziehen. Dazu gehören Absender und Empfänger von E-Mails, Geolokationsdaten von Endgeräte, genutzte Protokolle etc. Die Abgrenzung zwischen 2 und 3 ist allerdings reichlich unklar.
- Content Data sind gespeicherte Inhaltsdaten, also Text, Bild, Ton oder Video.
Letztlich umfassen die vier Datenkategorien im Grunde alle von einem Provider nutzerbezogen gespeicherten Daten.
No Real Time Data: Ausgenommen sind allerdings real-time-Kommunikationsdaten; alle Datenkategorien beziehen sich nur auf gespeicherte Daten. Eine Kommunikations- oder Nutzungsüberwachung einer laufenden Nutzung ist nicht vorgesehen.
Die Unterscheidung der Datenkategorien ist insoweit relevant, als dass die EU-Kommission offenbar Transactional Data und Content Data als sensibler ansieht; ihre Herausgabe erfordert höhere Voraussetzungen als der Zugriff der Ermittler auf Subscriber Data und Access Data.
Rechtliche Instrumente
Der Verordnungsentwurf definiert zwei rechtliche Instrumente, mit deren Hilfe ein Zugriff der Strafverfolger auf die beim Provider gespeicherten Daten ermöglicht werden soll. Jedes Instrument stellt eine unmittelbare Verpflichtung eines Providers in einem anderen Staat dar, ohne dass - etwa durch eine European Investigation Order (EIO) oder ein Rechtshilfeersuchen - die Behörden des betreffenden Staates um Hilfe gebeten werden.
- European Production Order (EPO) Mit Hilfe einer EPO werden Diensteanbieter verpflichtet, die von den Behörden geforderten Daten binnen 10 Tagen herauszugeben, in Eilfällen sogar binnen 6 Stunden. Eilfälle liegen vor, wenn es um die Abwehr einer unmittelbar bevorstehenden Gefahr für Leib und Leben oder eine kritische Infrastruktur geht. Die Voraussetzungen für eine EPO unterscheiden sich je nach Art der Daten. Das Herausverlangen von Subscriber Data und Access Data ist bei allen Straftaten möglich, das Verlangen nach Transactional Data und Content Data nur bei schweren Straftaten (die mit einem Strafrahmen über drei Jahre bedroht sind).
- European Preservation Order (EPrO) Mit Hilfe der EPrO soll das Löschen oder Überschreiben vorhandener Daten verhindert werden, um ein anschließendes Rechtshilfeersuchten, EIO oder EPO zu ermöglichen. Die Behörden des Mitgliedsstaates, in dem der Provider seinen Sitz hat, sind verpflichtet, die Behörden des anfragenden Staates bei der Durchsetzung der Verlangen zu unterstützen.
Europas Reaktion auf den CLOUD Act
Die gemeinsam mit Mitgliedsstaaten entwickelten Vorschläge der EU-Kommission zum Zugriff auf "e-Evidence" stellen auf gewisse Art eine Reaktion auf den US-amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD Act) dar, das der US-Präsident am 23. März 2018 unterzeichnet hatte (hierzu Jansen, "Krieg der Daten - Kollision von EU DSGVO und US CLOUD Act", CRonline Blog v. 28.7.2018). Der CLOUD Act ermächtigt US-Behörden zum Zugriff auf Daten US-amerikanischer Anbieter, auch wenn diese in Clouds außerhalb der Vereinigten Staaten gespeichert sind.
Europa geht mit den Vorschlägen zu "e-Evidence" sogar ein Stück darüber hinaus: Denn nicht nur werden europäische Unternehmen verpflichtet, Daten herauszugeben - unabhängig vom Ort der Speicherung. Auch außereuropäische Unternehmen sollen die EU-Verpflichtung einhalten, sofern sie ihre Kommunikations- und Onlinedienste für den europäischen Markt anbieten.
Grundrechtsschutz durch Provider
Nach Bekanntwerden der Vorschläge der EU-Kommission gab es heftige Proteste aus den Reihen der betroffenen Unternehmen und Verbände. Nicht nur der mit den neuen Instrumenten verbundene Aufwand wird kritisiert, auch die geplante Übertragung der Verantwortung für die Prüfung der Rechtmäßigkeit der Anordnungen lehnen die Provider ab.
- Berechtigung zur Anfrage? Da keine lokale Behörde eingeschaltet wird, soll es Aufgabe des jeweiligen Providers sein, die Berechtigung der anfragenden Behörde zu prüfen. Mithin müsste jeder Online-Anbieter zukünftig einen Überblick über alle europäischen Strafverfolgungsbehörden und deren Zuständigkeiten gewinnen und pflegen. Das gilt auch für KMU, da der Entwurf keine Ausnahme für KMU vorsieht.
- Grundrechtsverletzung? Zudem hat der Provider zu prüfen, ob die Anordnung unter Umständen gegen Grundrechte verstößt. Hierfür ist in Art. 9 Ziffer 5 des Verordnungsentwurfs ein ausdrückliches Verfahren vorgesehen: "In case the addressee considers that the EPOC cannot be executed because based on the sole information contained in the EPOC it is apparent that it manifestly violates the Charter of Fundamental Rights of the European Union or that it is manifestly abusive, the addressee shall also send the Form in Annex III to the competent enforcement authority in the Member State of the addressee." (Hervorhebungen hinzugefügt)Nicht die am Ort des Eingriffs zuständigen Behörden oder Gerichte würden zukünftig die formelle und materielle Vereinbarkeit der Eingriffe mit den Grundrechten der Betroffenen prüfen, sondern der jeweilige Provider.
Outsourcing von Grundrechtsschutz - dritter Akt
Der Kommissionsvorschlag setzt eine verhängnisvolle europäische Entwicklung im Umgang mit digitalen Plattformen fort: die Auslagerung von Grundrechtsschutz an die Plattformanbieter. Wegen der Schwierigkeiten des Staates, das Geschehen in digitalen Räumen wirksam zu erfassen und zu steuern, werden die Plattformanbieter zu Hilfspolizisten, Hilfsstaatsanwälten und Hilfsrichtern.
Erster Akt: Mit der Google Spain-Entscheidung des EuGH wurde Online-Suchmaschinen die Aufgabe übertragen, die Abwägung zwischen dem Informationsinteresse der Öffentlichkeit und dem Persönlichkeitsschutz eines Betroffenen selbst vorzunehmen (vgl. das gute Statement von Härting, “Im Zweifel löschen” – Statement zum Recht auf Vergessen, CRonline Blog v. 14.10.2014).
Zweiter Akt: Mit dem Netzwerkdurchsetzungsgesetz des Bundes werden soziale Netzwerke verpflichtet, mutmaßlich illegale Inhalte auf ihren Plattformen auf Unrechtmäßigkeit zu prüfen und gegebenenfalls zu löschen (vgl. Härting, "Abwägung Fehlanzeige. Warum dem BVerfG das NetzDG nicht gefallen wird", CRonline Blog v. 5.4.2017).
Dritter Akt: Mit dem Entwurf der e-Evidence-Verordnung der EU sollen nun die Online-Anbieter die formelle und materielle Rechtmäßigkeit polizeilichen Zugriffs auf digitale Daten überprüfen.
Sind das alles Aufgaben, die wir zukünftig durch Private erledigen lassen wollen? Oder ist das eine Selbstentmachtung des Staates zu Gunsten digitaler Plattformen? Vgl. Schallbruch, Schwacher Staat im Netz, Kapitel 4, S. 96 ff.
Mit welcher Motivation, welcher Interessenlage wägen Private Grundrechtseingriffe ab?
Die Diskussion über das Overblocking beim Netzwerkdurchsetzungsgesetz zeigt, dass Unternehmen im Zweifel den Weg wählen, der für sie selbst das geringere Risiko bedeutet. Im Falle des "e-Evidence" wird dies die Herausgabe von Daten sein, nicht das Zurückhalten - jedenfalls so lange, wie es keine Regelungen über die Benachrichtigung der Betroffenen oder Schadensersatz bei unrechtmäßiger Herausgabe gibt.
Plattformregulierung weiter denken
Viel wird über Plattformregulierung diskutiert. Wettbewerbsrechtliche, steuerrechtliche, datenschutzrechtliche und viele anderen Fragen werden im Hinblick auf die Verpflichtung der Plattformen diskutiert. Was fehlt, ist eine Diskussion über die Rolle der Plattformen als Ort der Grundrechtsausübung und die Frage, wie der Staat sich aufstellen kann, um auch bei digitalen Plattformen einen wirksamen Grundrechtsschutz selbst zu gewährleisten, ohne ihn an Private auszulagern.