E-Evidence: EU-Rat drängt beim Zugriff auf Cloud-Daten
Der EU-Rat macht Druck bei der Ratifizierung der Cybercrime-Konventionen. So hat der Ministerrat erneut einen Beschluss angenommen, über den die Mitgliedstaaten ermächtigt werden sollen, das zweite Zusatzprotokoll zum Übereinkommen über Computerkriminalität im Interesse der EU umzusetzen.
Grundlage bildet dabei das vor allem bei Datenschützern höchst umstrittene Übereinkommen über Computerkriminalität des Europarates, welches auch als „Budapester Konvention“ bekannt ist. Diese vor über 20 Jahren ins Leben gerufene und mittlerweile von weltweit über 66 Staaten getragene Übereinkunft stellte seinerzeit das erste internationale Übereinkommen zur Verfolgung von Straftaten, die über das Internet und andere Computernetzwerke begangen werden, dar. Um den damals noch neuen Gefahren begegnen zu können, wurden Ermittlungsbehörden mit einer Reihe von Befugnissen und Verfahren ausgestattet, unter anderem die Durchsuchung von Computernetzwerken und Überwachungseinrichtungen. Bereits vor ihrer Verabschiedung am 23. November 2001 erntete das Vorhaben lautstarke Kritik von Bürgerrechtsorganisationen und Datenschützern. Nicht viel anders dürfte es dem Gremium heute ergehen.
Zweiter Anlauf
Bereits im April des letzten Jahres hatte der EU-Rat, das Gremium der Staats- und Regierungschefs der Europäischen Union, seine Mitglieder zum ersten Mal ermächtigt, das zweite Zusatzprotokoll der Konvention zu unterschreiben – von dem mittlerweile 18 EU-Länder Gebrauch gemacht haben, darunter Belgien, die Niederlande, Österreich, Schweden und Spanien. Weltweit haben zudem 34 Länder zugesichert, die neuen Bestimmungen ebenfalls umzusetzen. Deutschland dagegen hat sich dem Übereinkommen bisher nicht angeschlossen. Darüber hinaus soll das Abkommen die E-Evidence-Verordnung ergänzen, die bisher jedoch noch nicht ratifiziert wurde.
Das nun ins Spiel gebrachte zweite Zusatzprotokoll der Konvention soll die Ermittler mit weiteren weitreichenden Befugnissen ausstatten. So soll unter anderem der grenzüberschreitende Zugang zu elektronischen Beweismitteln in der Cloud gespeicherten E-Mails und Dokumenten und somit die Strafverfolgung vereinfacht werden. Weiter soll das Vorhaben Verfahren zur Verbesserung der internationalen Zusammenarbeit zwischen Behörden sowie zur Verbesserung der direkten Zusammenarbeit mit Dienstleistern und Einrichtungen in anderen Ländern wie auch die Rechtshilfe in Notfällen festlegen. Zudem soll die Herausgabe von Angaben zur Registrierung von Domain-Namen sowie von Bestands-, Standort- und Verbindungsdaten vereinfacht werden. Gleichzeitig soll das Abkommen den Schutz für den Einzelnen stärken und die Einhaltung der EU-Datenschutzstandards gewährleisten.
Kritische Töne von Europas Datenschützern
Deutliche Kritik gegen das Vorhaben kommt wie erwartet von Bürgerrechtsorganisationen und Datenschützer. Diese warnen schon seit langem vor der Umsetzung des Vorhabens, darunter im Januar 2022 auch der EU-Datenschutzbeauftragte Wojciech Wiewiórowski. Laut einer Stellungsnahme des Europäischen Datenschutzbeauftragten (EDSB) ziele das Protokoll zwar darauf ab, „die traditionellen Wege der Zusammenarbeit zu verbessern“, gleichzeitig betont der EDSB aber, dass der Schutz des Einzelnen eindeutig und wirksam garantiert werden müsse. So würden Daten, die laut des Übereinkommens als Bestandsdaten gelten, nach Unionsrecht dagegen unter Umständen als Verkehrsdaten gelten, welche es besonders zu schützen gelte. Eine Übermittlung an Ermittlungsbehörden könnte daher unter Umständen „einen schweren Eingriff in die Grundrechte des Betroffenen“ darstellen.
In Anbetracht der Risiken, welche mit der Verarbeitung entsprechender Daten verbunden sind, müssen die EU-Länder der Aussage des EDSB zufolge zusätzliche Schutzvorkehrungen treffen. Daher empfiehlt das Gremium den EU-Staaten, sich das Recht, die Bestimmung über die direkte Kooperation mit Dienste-Anbietern in diesem Zusammenhang nicht anzuwenden, vorzubehalten. Dem Schutz der sensiblen Daten könnte laut Wiewiórowski unter anderem dadurch Rechnung getragen werden, indem eine Justizbehörde oder ein anderes unabhängiges Amt über die Weitergabe entscheidet.
Organisationen warnen deutlicher
Über 40 weltweit ansässige Organisationen, darunter die Electronic Frontier Foundation (EFF), European Digital Rights (EDRi), die Digitale Gesellschaft sowie der Chaos Computer Club (CCC) stehen dem Vorhaben merklich kritischer gegenüber und verdeutlichten bereits im Mai 2021 in einem Schreiben an den EU-Rat die in ihren Augen gegebenen Gefahren bei einer Umsetzung. So würde die neue Regelung ihrer Meinung nach vor allem die Anonymität im Netz untergraben, was infolge wiederum das Recht auf die freie Meinungsäußerung aller Bürger einschränken würde. Darunter zu leiden hätten vor allem Aktivisten, Dissidenten sowie Journalisten.