36C3 preroll music
Heraldangel: Willkommen zu unserem
nächsten Talk! Unsere nächste Speakerin
ist Elisabeth Niekrenz. Sie ist Juristin
und politische Referentin bei Digitale
Gesellschaft e.V. in Berlin. Elisabeth hat
hier quasi vor der Haustür an der
Universität Leipzig Rechtswissenschaften
studiert und war während ihres
Referendariats als Repetitorin für
Strafrecht und Strafprozessrecht tätig.
2018 hat Elisabeth den Sammelband Chaos
zur Konstitution, Subversion und
Transformation von Ordnung
mitherausgegeben. Heute geht es aber um
ein etwas anders gelagertes Thema, nämlich
die Frage, wie es bei internationalen
Abkommen zur Herausgabe von Metadaten und
Inhalten eigentlich um den
Grundrechtsschutz bestellt ist und wie
Vorhaben wie die EU E-Evidenz Verordnung,
die grenzüberschreitende Strafverfolgung
verändern und zugleich politische
Repression eine neue Dimension verleihen
könnten. In diesem Sinne begrüßen wir mit
einem warmen Applaus hier auf der Bühne,
Elisabeth Niekrenz.
Applaus
Niekrenz: Ja, ganz herzlichen Dank für die
Ankündigung. Jetzt muss ich noch, kurz
sehen wir, ah ja, sehr gut. Also ganz
lieben Dank für die Ankündigung nochmal.
Ich freue mich sehr, heute über den
grenzüberschreitenden Datenzugriff von
Strafverfolgungsbehörden sprechen zu
dürfen. Und der Anlass, es wurde auch
schon erwähnt in der Ankündigung, dieses
Thema aus einer EU-Perspektive zu
besprechen, das ist natürlich die
E-Evidenz Verordnung, die derzeit im
Brüsseler Parlament verhandelt wird und
von der sicherlich die eine oder der
andere schon gehört haben. Diese
Verordnung soll es Ermittlungsbehörden aus
Spanien, Frankreich, Ungarn oder auch
Polen ermöglichen, Dienstleister zum
Beispiel in Deutschland zur Herausgabe von
persönlichen Daten in Strafverfahren zu
verpflichten, ohne dass hiesige Behörden
ein Wörtchen mitzureden hätten.
Diese Verordnung steht aber auch nicht singulär
im Raum, sondern eigentlich
in einem Kontext von einer ganzen Reihe von
internationalen Regulierungen der letzten
Jahre, die ich heute ein Stück weit mit
beleuchten möchte, um das sozusagen nicht
so singulär zu betrachten. Damit werden
auch einige hergebrachte Prinzipien des
Völkerrechts bzw. der internationalen
Rechtshilfe durchaus infrage gestellt, und
zwar immer dann, wenn es um elektronisch
gespeicherte Beweismittel, um Daten
sozusagen, geht. Ich denke, es ist zu
berücksichtigen, dass man sich aus einer
europäischen oder aus einer deutschen
Sicht die Frage, ob wir z.B. wollen, dass
ein Unternehmen wie Facebook oder Google
Daten in einem hiesigen Strafverfahren
herausgeben muss, wenn es etwa im Kontext
von oder um den Kontext von
Hasskriminalität geht, der in Deutschland
jetzt gerade wieder ein großes Thema ist.
Diese Frage darf man sich nicht isoliert
stellen, sondern man muss sie sich
gemeinsam stellen mit der Frage, ob denn
dann auch ungarische oder spanische
Ermittlungsbehörden E-Mail Anbieter wie
sagen wir, Mailbox, posteo et cetera
verpflichten können sollen, E-Mail-Daten
und Transaktionsinhalte oder
Transaktionsdaten herauszugeben. Ob wir
uns wünschen, dass in dem Fall deutsche
Behörden eigentlich ein Wörtchen
mitzureden haben sollten? Man soll sie
außerdem gemeinsam stellen mit der Frage,
wie wir denn eigentlich damit umgehen
würden, wenn eines Tages mal Anbieter wie
TikTok aus China oder VK, VKontakte aus
Russland für Ermittlungsbehörden
interessant werden würden. Etwa weil
Personen ganz häufig Straftaten über diese
Plattformen begehen oder sich darüber dazu
verabreden oder sonst interessante
Beweismittel dort liegen. Würden wir dann,
um schnellen Zugriff auf diese Daten zu
erlangen, im Gegenzug den chinesischen
oder russischen Ermittlungsbehörden auch
ermöglichen wollen, auf Daten, die
hierzulande gespeichert sind, von
deutschen Anbietern zugreifen? Und wie
würden wir denn eigentlich darauf
reagieren, wenn diese Länder Unternehmen
einfach einseitig verpflichten würden,
ihnen Daten aus Deutschland abzuliefern?
Vor dem Hintergrund einer Forderung, die
so in etwa lautet, dass das Netz kein
rechtsfreier Raum sein darf und dass man
praktisch ja irgendwie an die Daten
rankommen müsse, werden die langfristigen
Auswirkungen, die ein solches Law
enforcement auch ein Stück weit auf die
internationale Sicherheitsordnung hat,
häufig außen vorgelassen. Und das, obwohl
sie in den Fachdebatten eigentlich
durchaus erörtert werden und nachzulesen
sind. Deswegen möchte ich hier bei diesem
Anlass einfach mal ein paar von diesen
Problemen und Argumenten beleuchten.
Was ist eigentlich das grundlegende Problem,
das mit Regulierungen wie der E-Evidenz
Verordnung behoben werden soll?
Es lautet, wie aus einem Papier der
EU-Kommission kommt
oder wie dort gesagt wird: "The
internet is largely privately owned and
borderless for everyone except authorities
pursuing criminal investigations."
Also es ist eine Binsenweisheit, dass Cloud-
Dienste, Social-Media und E-Mail-Dienste
eine ganz überragende Bedeutung für unsere
Kommunikation und auch für unser Denken
und Arbeiten haben. Es heißt, immer mehr
Daten werden sozusagen online von
Anbietern gespeichert, und das weckt
Begehrlichkeiten, und zwar ganz besondere
unter Behörden und ganz besonders unter
Behörden, die in Strafsachen ermitteln und
für die diese Daten sicherlich im
Einzelfall ganz nützlich sein könnten, um
etwas herauszufinden. Problematisch wird
es nun immer, wenn Daten im Ausland
gespeichert sind, also woanders als die
Ermittlungen stattfinden. Denn dann
gelangen nationalen Rechtsordnungen an
ihre Grenzen. Grundsätzlich gebietet es
nämlich der völkerrechtliche Grundsatz der
Wahrung territoriale Souveränität,
Strafverfolgungshandlungen nur im eigenen
Staatsgebiet durchzuführen.
Es gibt nun zwei Trends in einigen
Regulierungen der letzten Jahre,
nämlich den Trend zum Unilateralismus
und zur extraterritorialen
Ausweitung nationaler Befugnisse.
Das heißt einerseits, dass an Stellen, an
denen Rechtshilfe und internationale
Zusammenarbeit im Sinne einer
Zusammenarbeit von Staaten stattgefunden hat.
Traditionell fangen Staaten an,
einseitig zu beschließen, dass sie von
ihrem Gebiet aus Zugriff oder zumindest
die Möglichkeit, Anbieter zu verpflichten,
haben wollen, Anbieter die Daten woanders
speichern diese Daten herausgeben zu lassen.
Auf der anderen Seite werden
durchaus auch Abkommen geschlossen, also
sozusagen wird multilateral gehandelt, die
dann allerdings häufig davon leben, dass
auch keine Zusammenarbeit mehr stattfinden
soll, auf der Seite der staatlichen
Akteure, sondern dass Staaten eigentlich
auf die Ausübung ihrer souveränen Rechte,
das heißt darüber zu entscheiden, welche
Strafverfolgungsbehörden Auswirkungen auf
ihr Staatsgebiet haben können, verzichtet
wird und sich gegenseitig ungehinderte
Befugnisse einräumen. Und das ist, wenn
wir an das Konzept der territorialen
Souveränität denken, vor allem deshalb
problematisch, weil nationale Souveränität
bei aller Kritik, die man am Konzept
Nationalstaat durchaus haben kann,
innerhalb des Staaten und Rechtssystems,
in dem wir leben, unter anderem die
Funktion hat festzulegen, wer für den
Schutz von Grundrechten zuständig ist.
Und da gibt es einige Probleme mit den
Regulierungen, die nun gemacht werden.
Um das verstehen zu können, nochmal einen
kleinen Blick sozusagen zurück oder auch
durchaus noch in die Gegenwart. Wie
funktioniert denn eigentlich Zusammenarbeit
in Strafsachen, wenn man es
mit grenzüberschreitende Kriminalität
zu tun hat? Oder mit Verfahren, die
irgendwie einen grenzüberschreitenden
Bezug aufweisen, bisher? Es gibt seit
vielen Jahren bzw. fast schon
Jahrhunderten Mutual legal Assistance
Treaties auf Englisch, kurz MLATs. Das
heißt, es gibt viele bilaterale und
multilaterale Abkommen, die zwischen
Staaten regeln, wie man zusammenarbeiten
will. Ein wesentlicher Ursprung oder als
ein wesentlicher Ursprung gilt das
belgische Auslieferungsgesetz von 1833.
Belgien wollte damals seine eigene
politische Neutralität wahren und hat
gesagt, wir liefern schon Personen aus,
die gesucht werden wegen Straftaten,
allerdings nicht bei politischen Delikten.
Ich denke, daran kann man schon ganz gut
erkennen, dass in dem Fall das
Auslieferungsrecht, aber auch insgesamt
die gegenseitige Rechtshilfe durchaus eine
ziemlich hohe außenpolitische Relevanz
haben kann, weil tatsächlich auch nicht
alle Staaten sich darüber einig sind, was
Straftaten sind und was nicht. Dieses
Rechtsgebiet betrifft also so etwas wie
Auslieferungen, aber auch Maßnahmen auf
einer niedrigeren Schwelle, wenn es darum
geht, eine Beweisaufnahme in einem anderen
Land durchzuführen, Dokumente zu
beschlagnahmen, Zeugen zu befragen und
ähnliches. Deutschland ist Teil
verschiedener bilaterale und multilaterale
Abkommen. Viele davon wurden im 20.
Jahrhundert nach dem 2.Weltkrieg
abgeschlossen. Und der Weg, den man da
geht, läuft also grundsätzlich so: Ein
Staat stellt eine Anfrage an oder für ein
Ermittlungsmaßnahme, eine Auslieferung
oder etwas ähnliches an den Staat B und
Staat B prüft dann zunächst einmal die
Anfrage und fragt sich, will ich die in
meinem Staatsgebiet so beantworten, will
ich der nachkommen und hat auch die
Möglichkeit, diese Anfrage oder die
Befolgung sozusagen zu versagen.
Schließlich erlaubt ja auch nicht, Staat
A eigenmächtig auf seinem Gebiet diese
Maßnahme durchzuführen, sondern der Staat
B würde sie selbst durchführen, wie man
hier sieht. Und es gibt so ein paar
Gründe. Das gilt sozusagen nicht ganz
uneingeschränkt für alle Abkommen. Aber
das sind vier Kriterien, die sehr häufig
Gründe dafür sind, eine angefragte
Maßnahme nicht auszuführen. Da ist zum
einen die Verfolgung politischer Vergehen,
die häufig ausgeschlossen wird. Ich hatte
es schon erwähnt. Auf der anderen Seite
liegt die beidseitige Strafbarkeit
(Englisch: dual criminality). Das ist ein
Kriterium, das fordert, dass die Tat in
beiden betroffenen Staaten eine Straftat
ist. Beispiel, was vielleicht alle kennen,
ist der Fall Puigdemont, der schließlich
nicht wegen Rebellion an die spanischen
Behörden aus Deutschland mittels eines
europäischen Haftbefehls ausgeliefert
werden konnte, weil es den Straftatbestand
der Rebellion so im deutschen
Strafgesetzbuch nicht gibt. Es ist also
gewissermaßen auch einleuchtend, dass man
als Staat sagt Mensch, dieses Verhalten,
das finden wir hier eigentlich in Ordnung.
Wir haben eine andere moralische,
gesellschaftliche, strafrechtliche
Vorstellung. Deswegen nehmen wir an dieser
Verfolgung nicht teil. Es sind Verstöße
gegen den sogenannten Ordre Public. Das
sind Verstöße gegen ziemlich grundlegende
inländische Wertvorstellungen. Also auch
für solche Fälle muss es immer ein
Austritt oder keine
Auftrittsmöglichkeiten, aber eine
Möglichkeit der Versagung geben. Und es
ist das Prinzip ne bis in idem. Das
bedeutet, dass wegen einer Tat ein Mensch
oder eine Person nicht zweimal verfolgt
werden darf. Das Problem mit diesen MLATs
ist nun, dass das ein Weg ist, der häufig
über den diplomatischen Weg verläuft. Da
sind viele Behörden auf unterschiedlichen
Stellen involviert und der deshalb sehr
lange dauert. Laut EU-Kommission sind zehn
Monate innerhalb der Europäischen Union
derzeit nicht ungewöhnlich. Deshalb
besteht eigentlich eine weitgehende
Einigkeit darüber, dass das System verbessert
werden muss, vor allem im Bereich
elektronische Daten, weil diese sehr
flüchtig seien. Gerade mit so etwas wie
einer dynamischen IP-Adresse kann man gar
nicht einmal so lange was anfangen. Das
sind so die Erwägungen. 2013 haben US-
Behörden unter anderem deshalb etwas Neues
ausprobiert, kann man, so sagen. Sie haben
nämlich einen Beschluss erlassen gegen
Microsoft, mit dem Sie Microsoft
verpflichtet haben, Daten aus dem E-Mail-
Konto eines Nutzers für ein Strafverfahren
zu erhalten oder herauszugeben? Und das
Besondere war, dass diese Daten in einem
Microsoft Data Center in Irland
gespeichert waren. Microsoft hat die
Herausgabe verweigert und hat gesagt ihr
habt gar kein Rechtsregime über diese
Daten. Und europäisches Datenschutzrecht
hindert uns auch daran, die zu
übermitteln. Die Behörde hat dann zunächst
in erster Instanz im gerichtlichen
Verfahren gewonnen. Da hat das Gericht
also gesagt, Unternehmen, auf die US-Recht
Anwendung findet, sind verpflichtet, Daten
herauszugeben, wenn sie in ihrer Kontrolle
sind, egal wo. In der zweiten Instanz im
Berufungsverfahren hat allerdings
Microsoft obsiegt. Und es hieß dann, dass
die damalige Rechtsgrundlage im Stored
Communications Act nicht reicht für eine
Übermittlung von Daten, die außerhalb der
USA gespeichert sind, sodass das Verfahren
schließlich vor dem Supreme Court gelandet ist.
Und währenddessen wurde es auch
einigermaßen zum Politikum. Also sowohl
Irland als auch die EU-Kommission, viele
Verbände, Reporter ohne Grenzen, andere
Interessenträger haben sogenannte Amicus
Curiae briefings eingereicht. Es wurden
Stellungnahmen eingereicht und auch einige
akademische Texte. Und all dies hat
schließlich dazu geführt, dass die USA ein
neues Gesetz erlassen haben, nämlich den
Clout Act. Cloud steht hier für Clarifying
Lawful Overseas Use of Data, und der Cloud
Act besagt, dass US-Anbieter verpflichtet
sind, Daten herauszugeben an US-Behörden,
egal wo sie gespeichert sind. Er sieht
eine gewisse Möglichkeit zur Regelung von
Norm-Konflikten vor. Wenn man also einen
Konflikt mit dem Recht eines anderen
Landes kommt. Und zwar dürfen sich
Anbieter wehren, wenn die Kunden keine US
Personen sind. Und wenn die Offenlegung
der Daten die Gefahr begründet, dass der
Anbieter Gesetze einer ausländischen
Regierung verletzt, allerdings nicht
irgendeiner ausländischen Regierung,
sondern nur eines sogenannten Qualifying
Foreign Governments. Und das wäre ein
Staat, mit dem die USA ein exekutiv
Abkommen geschlossen haben. Darüber, wie
solche Datenherausgaben funktionieren.
Derzeit gibt es noch nicht so viele Staaten, mit
denen die USA ein solches Abkommen
geschlossen haben. Insbesondere mit UK ist
es im Oktober kürzlich passiert. Das
bedeutet für Unternehmen mit Sitz in den
USA, die in der EU Datenspeichern derzeit,
dass sie eigentlich regelmäßig gezwungen
sind, gegen eines dieser beiden
Rechtsregime zu verstoßen. Denn
tatsächlich verbietet es die Datenschutz-
Grundverordnung derzeit, Daten aufgrund
solcher Anfragen in die USA herauszugeben.
Auf der anderen Seite können sie aber
durch US Recht dazu gezwungen werden.
Es gibt noch einen anderen Anreiz für
Staaten, ein solches Agreement
abzuschließen. Denn dann kann man auch
Anbieter dazu zwingen, Daten
herauszugeben, an zum Beispiel an die
europäischen Staaten, die in den USA
gespeichert sind. Darauf sind die
Strafverfolgungsbehörden in der
Europäischen Union häufig sehr erpicht,
weil ja viele sehr wesentliche Dienste in
den USA sitzen. Deshalb hat auch das
Vereinigte Königreich im Oktober,
ich habe es schon erwähnt, ein solches
Abkommen geschlossen, was zum Teil auch
sehr stark kritisiert wurde. Der Grund ist
vor allem, dass dieses Abkommen als das
erste seiner Art Vorbild für weitere sein
kann und dass in dem Abkommen selbst keine
sehr hohen Schutzanforderungen
reingeschrieben worden sind. Das heißt,
man liest also ein Stück weit das US-Recht
und das britische Recht hinein, insoweit
es um Informationspflichten,
Richtervorbehalt, Hürden sozusagen, unter
welchen Umständen Daten heraus gegeben
werden können, geht. Wenn man sich aber
vorstellt, dass das Abkommen so auch
Vorbild für Abkommen mit Staaten mit einem
deutlich niedrigeren Schutzniveau sein
könnte, dann steht da leider sehr, sehr
wenig drin. Mit der EU haben die
Verhandlungen für den Abschluss eines
solchen Abkommens kürzlich begonnen. Im
September fand ein erstes Treffen statt.
Ja, und das verlangt ein stückweit,
logisch eigentlich, die Voraussetzung oder
zumindest politisch die Voraussetzung,
dass man erstmal regelt, wie denn EU-
Staaten eigentlich untereinander auf Daten
zugreifen können, die in einem anderen
Staat gespeichert sind. Und damit kommen
wir zur E-Evidenz Verordnung. Ein kleiner
Teil des Skandals ist sozusagen, dass die
Kommission bereits Verhandlungen mit den
USA begonnen hat, bevor sich das Parlament
überhaupt auf den Standpunkt zu E-Evidenz
geeinigt hat. Das heißt, die Regeln für
den innereuropäischen Vorgehen sollten
eigentlich ein Stück weit feststehen,
bevor man mit Drittstaaten wie den USA
verhandeln kann. Was sieht nun die
E-Evidenz Verordnung vor? In dieser
Verordnung soll es darum gehen, dass nach
dem Kommissionsentwurf im Verhältnis der
EU-Staaten zueinander, Staaten sowohl
Metadaten als auch Inhaltsdaten, da gibt
es einige komplexe Differenzierungen
zwischen den Datentypen, heraus verlangt
werden dürfen, und zwar egal, wo sie
gespeichert sind, wo in der EU, und egal,
wo der Provider sitzt. Das funktioniert
dann nicht mehr so, dass der Staat A sich
an Staat B wenden würde. Dieser sozusagen
eine Prüfung macht und schließlich dazu
entscheidet, an den Provider heranzutreten
oder nicht, sondern hier würde der Staat A,
sagen wir mal Bulgarien, sich direkt an
einen möglicherweise in Österreich
sitzenden Anbieter wenden mit einer
Herausgabeanordnung. Und Österreich hätte
eigentlich alleine die Rolle in dem Fall,
in dem der Provider nicht compliant ist,
also sagt, ich halte mich nicht daran, aus
irgendwelchen Gründen, die Pflicht eine
Sanktion zu verhängen und im Zweifelsfall
auch zu vollstrecken. Das ist eine
ziemlich kurze Herausgabefrist von zehn
Tagen, in Notfällen sogar nur sechs
Stunden. Und die None-Compliance soll mit
Sanktionen bis zu zwei Prozent des
weltweiten Jahresumsatzes sanktioniert
werden. Damit wird also dem Staat, in dem
ein Anbieter sitzt, oder seine Daten
speichert, die Möglichkeit, ein
Grundrechtsschutz auf seinem Gebiet
sicherzustellen, sehr stark genommen. Auch
Verpflichtungen, Betroffene zu
informieren, so wie viele andere Punkte in
diesem Beschluss, sind ziemlich
problematisch und sind sehr eingeschränkt,
was den Grundrechtsschutz anbelangt. Das
größte Problem aber ist, dass das
Kriterium der beiderseitigen Strafbarkeit,
das ich schon mal angesprochen hatte,
nicht erforderlich ist für eine
Herausgabe. Was heißt das? Das
Strafrecht in der EU ist eigentlich so gut
wie gar nicht harmonisiert bis auf wenige
Bereiche. Etwa in Malta, ist ein
Schwangerschaftsabbruch in fast allen
Konstellationen eine Straftat. Das heißt,
wenn eine maltesische Ärztin dort illegale
Schwangerschaftsabbrüche anbieten würde
und mit ihren Patientinnen z.B. über einen
privaten deutschen Anbieter etwa Posteo
kommunizieren würde, dann könnte Posteo
dazu gezwungen werden, Daten an
maltesische Strafverfolgungsbehörden
herauszugeben. In Polen ist es eine
Straftat, eine Beteiligung von polnischen
Personen am Holocaust zu behaupten. Wenn
also Leute in Polen Aufklärungsarbeit über
solche historischen Geschehnisse leisten
würden und vielleicht über einen Facebook oder
Twitter Account publizieren würden, dann
werden auch diese Unternehmen gezwungen,
wenn sie zum Beispiel in Irland speichern,
Daten an die Behörden herauszugeben. Und
so kann man sich verschiedene Fälle
denken, die die Spannungslage
sozusagen daraus resultiert, dass ich in
einem Staat lebe, in dem eine Handlung
legal ist, überhaupt nicht damit
einverstanden bin, dass eine bestimmte
andere Handlung, also dass diese Handlung als
illegal gelten soll, in einem anderen
Staat. Aber ich muss eben Daten
herausgeben, muss an dieser
Strafverfolgung mitwirken als Provider,
als Mitarbeiter eines solchen Dienstes.
Es hat zudem zur Folge, vor allem diese
direkt Zugriff, dass ich als Betroffene
dieser Datenverarbeitung, wenn ich denn
überhaupt, oder diese Datenherausgabe,
wenn ich denn überhaupt darüber informiert
werde, mich möglicherweise in einer
fremden Rechtsordnung zur Wehr setzen
muss, was an sich schon ziemlich komplex
ist. Und zweitens ist es so, dass in
gleich mehreren EU-Staaten, es derzeit
ziemlich starke Probleme mit
Rechtsstaatlichkeit gibt. Alles andere,
als sichergestellt ist, dass sich dort ein
faires Verfahren bekomme. Der Maßstab ist
die Zulässigkeit einer Maßnahme im
Anordnungsstaat. Das heißt, wenn wir auf
das Beispiel zurückkommen würden,
Bulgarien erließ eine Anordnung für einen
Provider, der in Österreich sitzt und dort
Daten speichert. Dann würde sich die
Rechtmäßigkeit dieser Anordnung nach
bulgarischen Recht, nach bulgarischem
Recht richten und nicht danach, was in
Österreich eigentlich legal wäre. Also es
wäre möglich, dass bulgarische Behörden in
Österreich stärkere Eingriffsbefugnisse
hätten, mehr dürften, als es die
österreichischen Strafverfolgungsbehörden
überhaupt. Das ist natürlich auch nicht
sehr schlüssig und ist auch dazu geeignet,
gerade nationale Schutzvorschriften in
Deutschland, wären es etwa die
Regelungen der Strafprozessordnung oder
aber insbesondere auch solche, die das
Bundesverfassungsgericht aufgestellt hat,
zu umgehen.Bislang ist überhaupt kein
Vetorecht, bislang heißt in den Entwürfen
von Rat und Kommission, vorgesehen in
diesem Entwurf. Das heißt, ich hätte als
Vollstreckungsstaat, also hier als Staat B,
eigentlich keine Chance dagegen
vorzugehen, gegen diese Herausgabe oder zu
sagen, nein, das darf nicht passieren. Ein
Stück weit anders sieht das im derzeitigen
Bericht des Parlamentsausschuss oder im
derzeitigen Entwurf. Der Bericht selbst als
solcher noch nicht fertig. Die
Berichterstatterin Birgit Sippel, LIBE-
Ausschusses, also der Ausschuss für
bürgerliche Freiheiten im Europäischen
Parlament. Sie sieht in ihrem Entwurf von
Anfang November dieses Jahres vor, dass es
ein Vetorecht geben soll. Das heißt also,
binnen dieser zehn Tage, in denen die oder
innerhalb deren der Provider auf die Anordnung
reagieren soll, wäre es dem Staat, dem
Vollstreckungsstaat möglich, sozusagen ein
Vetorecht, von seinem Vetorecht Gebrauch zu
machen und zu sagen, diese Herausgabe stimmen
wir nicht zu. Zum Beispiel eben, weil die
Tat bei ihnen keine Straftat ist. Das
erfordert allerdings keine obligatorische
Prüfung. Das heißt, es ist gut möglich,
dass diese Anordnung auf dem Schreibtisch
von einem Richter landet. Dieser hat dann
die Möglichkeit, binnen zehn Tagen, was ziemlich
kurz ist, entweder hineinzuschauen und
eine ablehnende Entscheidung zu schreiben
oder aber nichts zu tun in dieser Sache,
was angesichts der arbeitsökonomischen
Prozesse nicht ganz fern liegend ist. Wir
gehen als digitale Gesellschaft davon aus,
dass diese Maßnahme nicht dazu passen
würde, dass es zu einer guten,
flächendeckenden Kontrolle der
inländischen Justiz von diesen Maßnahmen
käme. Problematisch ist aber nicht nur
die, sind nicht nur die Regelungen, wie
sie zwischen zwei Mitgliedsstaaten
vorgesehen sind, sondern auch, was
passieren soll, wenn ein Anbieter
eigentlich in einem Drittstaat, also nicht
die EU-Staat sitzt oder dort seine Daten
speichert. Dieser Drittstaat soll nämlich
schon gar nicht gefragt werden, bevor eine
Anordnung erlassen wird. Es gibt zum Teil
so ein Stück weit die Möglichkeit des
Providers zu sagen, dann bekomme ich hier
Probleme, weil ich gegen das Recht dieses
Drittstaates verstoße. Das ist allerdings nur
sehr eingeschränkt möglich. Es gibt da
eine Prüfung, in die diese Staaten nicht
involviert wird und der auch nur bestimmte
Regelungen respektiert werden. Das heißt,
diese Verordnung ist zwar im Verhältnis
der EU-Staaten zueinander multilateral,
weil sie miteinander was aushandeln, im
Verhältnis zu Drittstaaten allerdings eher
als unilateral zu betrachten. Da wird also
einseitig vorgegeben unter diesen
Umständen wollen wir Daten, die bei euch
gespeichert sind, herausgegeben bekommen
und das regt natürlich auch andere Staaten
durchaus dazu an zu sagen, na ja, dann
stellen wir jetzt auch mal Regelungen auf,
unter denen, oder Voraussetzungen, unter
denen Daten aus der Europäischen Union
vielleicht herausgegeben werden müssen.
Die digitale Gesellschaft hat sich deshalb
Ende Oktober in einem offenen Brief an die
Europaabgeordneten aus Deutschland gewandt
gewendet, gemeinsam mit zwölf weiteren
Organisationen. Mittlerweile gibt es auch
noch eine englischsprachige Fassung des
Briefs, die von CEPIS, dem Europäischen
Informatik Berufsverband an
Ausschussmitglieder gesandt wurde und
wir stehen im Austausch mit einigen der
Berichterstatterin, um ein Stück weit
unsere Belange oder unsere Einschätzung
damit einfließen zu lassen. Eine letzte
Regulierung, die ich vielleicht nur ganz
kurz einreißen würde, wäre die Cybercrime
Konvention, die eigentlich schon von 2001
stammt. Da geht es im Allgemeinen ein
Stück weit um eine Harmonisierung von
Straftatbeständen und um Verpflichtungen
zur gegenseitigen Rechtshilfe. Und seit
2017 gibt es Verhandlungen über das zweite
Zusatzprotokoll oder über ein zweites
Zusatzprotokoll, und das würde vorsehen,
dass die teilnehmenden Staaten
Teilnehmerdaten ebenso direkt und ohne
beidseitige Strafbarkeit von Unternehmen
anderen Staaten heraus verlangen können.
Neben einer Vielzahl der Staaten, die ja
im Europarat beteiligt sind, sind hier
noch viel, viel mehr Staaten beteiligt
insgesamt 64 zum Stand 2019 und darunter
auch die Türkei, Marokko, Argentinien,
ein paar habe ich aufgeschrieben, Japan, die
Philippinen, Chile. Das heißt sozusagen
die Probleme, die wir schon in der
Europäischen Union mit Rechtsstaatlichkeit
haben, werden dort vielleicht nochmal
stärker. Und was haben wir gesehen? Wir
haben es also mit einer extra
territorialen Ausweitung von nationalen
Befugnissen zu tun. Das heißt, dass diese
Gesetzgebungen in vielen Fällen oder in
der Regel davon abweichen, dass der
physische Speicherort ein Kriterium für
das Rechtsregime, dem Daten unterworfen
sind, wären. Das wird so ein Stück weit
gestützt durch einige theoretische
Konzepte darüber, dass Daten nicht
territorial betrachtet werden sollten. Zum
Beispiel eine US amerikanische
Rechtswissenschaftlerin Jennifer Daskal.
Ich habe auch noch eine Quellenangabe am
Ende, nennt auch ein paar Argumente darum,
warum sie das eigentlich auch für richtig
hält, sozusagen nicht am Speicherort anzuknüpfen.
Das liegt daran, dass Daten auf eine
andere Art und Weise mobil sind als diese
Wasserflasche etwa, die sich auch bewegen
kann. Denn sie bewegen sich mit
Lichtgeschwindigkeit. Daran, dass Daten
teilbar sind, an mehreren Orten zugleich
vorliegen können. Dass der Ort des Zugangs
nicht zum Speicherort abhängig ist und
dass auch sie unter der Kontrolle von
Dritten stünden. Das heißt, die Nutzenden
würden den Speicherort nicht wählen. Es
würden sich allerdings aus meiner Sicht und
aus Sicht vieler anderer, wenn sich diese
Anschauung von der Nicht-Territorialität von
Daten durchsetzte, einige ganz wesentliche
Probleme ergeben. Es hat zunächst was zu
tun, ich habe es schon erwähnt damit, dass
der Grundrechtsschutz in dem Staat, in dem
die Daten gespeichert werden, nicht mehr
gewährleistet wäre. Und wie gesagt.
ungeachtet aller Kritik am Konzept würde
also die Souveränität in ihrer Funktion
ein Stück weit Rechtsstaatlichkeit und
Grundrechte oder zumindest die
Verantwortung dafür sicherzustellen,
unterlaufen. Ich würde auch sagen, dass es
sich hier nicht direkt um eine
Internationalisierung von einem Vorgehen
handelt in dem Sinne, dass Staaten
gemeinsame Standards finden würden, die
vielleicht auch durch unabhängige oder
gemeinsame Stellen eingehalten würden,
sondern eigentlich um eine relativ starke
Nationalisierung, weil es immer nationale
Bedürfnisse sind, die aufgestockt und
verstärkt werden. Es ist so, man sollte
das vielleicht nicht zu stark
romantisieren. Aber ich würde schon daran
festhalten, dass das Internet Räume
schafft, in denen politische Opposition
manchmal agieren kann und die es
vielleicht sozusagen mit einer stärkeren
Anbindung an den Staat, in dem man sich
befindet, nicht gäbe. Gerade die
Möglichkeit, dass sich in einem Land sein
kann und den Dienst nutze, dessen
Regulierung in den Händen eines anderen
Staates liegt, die kann unter Umständen
einen gewissen Freiraum schaffen. Man kann
es vielleicht irgendeine Art von kleinem
Asyl nennen. Das heißt also, wenn diese
Dienste, die woanders sitzen, keine Daten
an Verfolger im eigenen Land herausgeben,
sich nicht entziehen lassen, dann können
sie sich ein Stück weit Aktionsräume
schaffen. Wenn wir jetzt zum Beispiel an
Hongkong denken, wo ja die Anonymität der
Aktivistinnen und Aktivisten eine ganz
große Rolle spielt. Dann ist da natürlich
auch sehr wichtig, dass man, dass man
sozusagen Dienste wie Reddit oder Telegram
oder sicherlich auch viele andere
verwenden kann, die nicht in Hongkong
sitzen und auch nicht in China sitzen und
auf die chinesische oder Hongkong-,
Behörden aus Hongkong keinen Zugriff
haben. Eine Vielzahl von Unternehmen, die
in den USA oder auch woanders ansässig
sind, geben zum Beispiel Staaten wie die
Türkei per se keine Daten heraus. Und das
mit sehr gutem Grund, wie ich denke. Wenn
man nun solche Dienste im Rahmen von
Abkommen verpflichten würde, auch an
autoritäre Staaten Daten herauszugeben.
Das ist zwar noch nicht so direkt
geschehen, wäre aber eigentlich der
nächste logische Schritt, wenn man sich
auf eine weltweite Ebene vorstellt. Dann
würden doch einige Türen zu diesen
Aktionsräumen geschlossen. Das heißt
natürlich nicht, dass so eine digitale
Vernetzung nicht weiterhin möglich wäre,
dass man nicht neue neue Wege finden würde
und dass man nicht ohnehin, wenn man
besser beraten ist, in solchen Situationen
Tor-Server und einen VPN zu benutzen. Aber natürlich
nimmt es so zu sagen und erhöht es schon
ein Stück weit, die Hürden sich anonym
bewegen zu können. Wenn man sich die
Stellungnahmen von Reporter ohne Grenzen
und weiteren Presse Verbänden im Microsoft
Warren anschaut, dann sieht man, dass dort
ganz massive Einschränkungen von
Pressefreiheit befürchtet werden. Sie
tragen also vor, dass Newsrooms heutzutage
verstärkt in der Cloud stattfinden und die
Zusammenarbeit von weit voneinander
entfernten arbeitenden Personen sich
relativ einfach abwickeln lässt und so
nicht mehr funktionieren würde. Konkret
schreiben Sie "Expanding the U.S.
government's ability to reach electronic
records, stored outside its borders sets a
danger international example that foreign
governments hostile towards journalists
may exploit." Sie haben damals in diesem
Fall vor dem Supreme Court gesagt, wenn
jetzt die USA es Diensten oder wenn
jetzt die USA sozusagen sich selbst
herausnehmen, Dienste zu verpflichten,
Daten, die anderswo gespeichert sind,
herauszugeben, dann würden andere Länder
das auch so machen. Auch das Argument,
dass die Speicherort für Nutzer so häufig
gleichgültig sei, ja nicht von denen
gewählt würde, ist so nicht ganz richtig,
wenn auch sicherlich in einigen Fällen.
Denn ich denke, es gibt sehr viele Fälle,
und das kommt gerade für politisch aktive
Leute relevant sein. In denen nutzen Sie
sehr wohl Ihren Speicherort bewusst wählen
und sich Gedanken darüber machen, an wen
Daten gegebenenfalls herausgegeben würden.
Und so als ganz pragmatisches Argument,
hätte das auch die Folge, diese
Entscheidung sozusagen zu übergehen, dass
die Idee vom Datenschutz als
Standortvorteil eigentlich unmöglich
gemacht wird. Dann hat man es natürlich
mit einer starken Privatisierung der
Rechtshilfe zu tun. Letztlich bleibt im
Zweifelsfall der Provider übrig als die
Instanz, die irgendwie noch sagen könnte,
wollen wir eigentlich nicht befolgen diese
Anordnung, weil wir sehen hier ein grundrechtliches Problem.
Und ich denke, das können und sollen
eigentlich diese Dienste nicht machen,
sondern genau dazu sind ja staatliche
Stellen oder sollten staatliche Stellen im
System der internationalen Rechtshilfe
dasein. Ganz spannend ist auch eine
Stellungnahme von ehemaligen Geheimdienst
und Sicherheitsbehörden. Personal der USA,
UK und Frankreich ebenfalls im Microsoft
Warren Case. Die warnen nämlich extrem
davor, dass die extra territoriale
Anwendung von US-Recht negative
Auswirkungen haben könnte. Sie sagen
nämlich, dass durch Normen Konflikte die
ganze Effektivität der internationalen
Zusammenarbeit in Strafsachen geschädigt
wird. Gehen also davon aus, dass der
Unilateralismus tendenziell zu Konflikten
zwischen Staaten führen wird, der die
Zusammenarbeit auch in diesen Fragen
stören wird. Und auf der anderen Seite ist
es wahrscheinlich, massiv zu Datenlokalisierungspflichten
kommen wird, die wir jetzt
schon in Russland haben. Also zu einer
weiteren Zersplitterung von Internet kommt.
Noch ein paar Literatur Empfehlungen. Ich
sage mal so ein bisschen für den Einstieg,
für alle, die sich ein stückweit tiefer
für das Thema interessieren. Burchardt
legt in der ZIS einige der hier
genannten Argumente nochmal ganz
grundlegend dar. Jennifer Daskal spricht
sich so ein bisschen für eine Deterritorialisierung
von Daten aus, und Martin Böse hat ein
sehr umfangreiches Gutachten über die
E-Evidenzverordnungen, die geplante,
geschrieben. Man begegnet auch
strafrechtlichem Terror ganz häufig der
Forderung, dass eigentlich alles
verfolgbar sein müsse ohne Einschränkungen
und die Verhältnismäßigkeit eigentlich
ziemlich grundlegendes rechtsstaatliches
Prinzip. Also, sich mal zu überlegen, wenn
ich jetzt diese gesetzliche Maßnahme
implementiere, welche negativen Folgen hat
das noch? Sie wird in vielen politischen
Diskursen über Strafrechtsverschärfungen
eigentlich nicht so richtig gehört.
Ich denke, es ist einigermaßen deutlich
geworden, dass gerade auch außenpolitische
Interessenlagen und Leerläufe in der
in der internationalen
Zusammenarbeit in Strafsachen irgendwie
Aktionsräume für politische Opposition
bilden können. Also gerade Fälle in den
Staaten nicht miteinander
zusammenarbeiten, sei es die Situationen,
in denen Personen vielleicht sogar Asyl
finden können oder in denen einfach Daten
nicht herausgegeben werden. Ich denke,
wenn sogar ehemalige Geheimdienstleute
davor warnen, Gesetzen extraterritoriale
Wirkungen zukommen zu lassen, dann lässt
sich eigentlich erkennen, dass selbst wenn
man jetzt eine maximale Strafverfolgung
befürworten würde, diese vermeintlichen
Lösungen nicht so richtig zu Ende gedacht
sind. Ob wir mit diesen Tendenzen jetzt am
Ende zu einem Netz von internationalen
Herausgabeverpflichtung wirklich kommen
werden oder ob man relativ schnell zu
Situationen kommt, in den Staaten merken,
eigentlich passt uns das hier überhaupt
nicht, dass jetzt dieses Land Daten von
unserem Anbieter heraus verlangt und das
System uns dann eher über dem Kopf
zusammenbrechen wird. Das kann ich nicht
so richtig vorhersehen. Wenn man
tatsächlich die Strafverfolgung so ein
Stück weit effektiv und unter
Berücksichtigung von Grundrechtsschutz
verbessern will, dann müsste man wohl oder
übel die MLAT-Verfahren verbessern. Man
müsste in der EU die europäische
Ermittlungs Anordnung, die es seit 2014
gibt und deren Umsetzungfrist erst 2017
abgelaufen ist, sozusagen ein Stück weit
erst mal evaluieren und dann schauen, wo
man verbessern kann. Aber so auf die
Schnelle sozusagen solche Befugnisse
einzuführen, die ziemlich weitgehende
Konsequenzen im internationalen Bereich
haben können, halte ich eher für eine sehr
problematische Herangehensweise. Genau das
wars erst einmal von mir. Wenn ihr
die Arbeit der DGS gut findet, wenn ihr
wollt, dass wir weiterhin aufklären,
offene Briefe schreiben und so weiter,
dann freuen wir uns auf jeden Fall, wenn
ihr Spenden möchtet, Fördermitglieder
werdet oder euch auch mal bei uns meldet,
gerne mal beim netzpolitischen Abend in
Berlin vorbeischaut. Ja, danke!
Applaus
Herald: Ja, und jetzt haben wir noch ein
wenig Zeit für Fragen, die ihr habt.
Hier gibt es drei Mikrofone im Saal. Bitte
stellt euch da hin. Damit ich sehen kann,
wer Fragen hat. Ansonsten frage ich, wie
immer einfach erst mal das Internet. Gibt
es aus dem Internet Fragen? Nein, das ist
ja ein first time, sozusagen. Dann nehmen
wir hier mal bitte Micro 2. Deine Frage
bitte kurz und knackig.
Mic 2: Hallo und Dankeschön! Kannst du was
zum Richtervorbehalt sagen? Aktuell und
nach der Verordnung, wenn sie so in Kraft tritt?
Niekranz: Also von der E-Evidenz Verordnung
gibts ja gerade drei Versionen, eine von
Kommission und Rat und die vom Parlament
ist sozusagen als solche noch nicht
fertig. In dem Entwurf, den Birgit Sippel
vorgelegt hat und der möglicherweise den
natürlichen Maßstab bietet, in dem man
jetzt anknüpfen kann für eine mögliche
Parlamentsversion, steht drin, dass eine
unabhängige Behörde sein muss. Das heißt,
dass zumindest für Deutschland nach dem
EuGH-Urteil zum Internationalen zum
europäischen Haftbefehl, dass tatsächlich
Richter auch das sein müssen, weil
Staatsanwälte in Deutschland nicht
unabhängig sind, sondern weisungsgebunden.
Sozusagen in der Situation, in der der
Zielstaat diese Anordnung kontrolliert. In
den Versionen von Kommission und Rat
gibt es einen Richtervorbehalt, allerdings
nur sehr eingeschränkt, und zwar für
empfindlichere Datenkategorien. Das wären
sozusagen Inhaltsdaten und ich meine für
Transaktionsdaten. Für Bestandsdaten gilt
das allerdings nicht.
Herald: Dankeschön. Mikro eins, bitte die
Frage.
Mic 1: Mich würde interessieren, wenn es
jetzt ein Konflikt gibt zwischen der EU-
DSGVO und der E-Evidenzverordnung. Wie das
ausgehen könnte und welche Institution
diesen Konflikt dann bereinigen wird.
Niekranz: Den Konflikt, den es derzeit
gibt. Ich weiß nicht, ob du diesen vielleicht
meintest, der spielt sozusagen sich zwischen dem
Cloud Act und der DSGVO ab. Meinst du das?
Mic 1: Das meinte ich. Und, gesetzt der Fall,
es kommt diese E-Evidenz-Verordnung, und
jemand stellt fest: Das ist ja gar nicht
DSGVO-kompatibel. Was passiert jetzt?
Niekranz: Ok, also erstmal zur Cloud-Act-
E-Evidenz-Situation. Faktisch ist es so,
dass ich als Anbieter, wenn ich eine
Herausgabe-Anordnung aus den USA bekomme,
dort zunächst mal den größeren
Handlungsdruck hab. Mir ist ehrlich gesagt
nicht bekannt, ob es schon Fälle gegeben
hat, in denen Anbieter DSGVO-widrig
Daten an die USA herausgegeben haben. Ich
gehe aber davon aus, dass das der Fall
ist. Ich habe noch nicht gehört, dass
daraufhin europäische Behörden irgendwie
aktiv geworden seien, ein Bußgeld verhängt
hätten oder so... Wenn man ein Bußgeld
verhängen wollte, müsste man ein
Stück weit sicherlich berücksichtigen, dass
die Anbieter sich in so einer
Normkonfliktsituation befinden und, ich
sage mal, nicht so richtig böswillig
gehandelt haben. Ich denke, da die
europäischen Datenschutzbehörden mit
relativ vielen problematischen Fragen
beschäftigt sind, ist es so ein Stück weit
zweitrangig eher. Wie die E-Evidenz gegen
die DSGVO verstößen könnte. Zu einem
richtigen Normkonflikt kann ich jetzt so nicht
sagen, weil sich der Konflikt, den ich mit
dem Cloud Act meine, dann ergibt, wenn man
Daten aus der EU in ein anderes Land, in
einen Drittstaat transferiert. Und diese
Befugnis sieht die E-Evidenz zunächst mal
nicht vor.
Herald: Okay, dann wars das leider auch
schon mit den Fragen. Es tut mir leid, ihr hier
vorne wartet... Ihr könnt ja Elisabeth
Niekrenz : auch gleich nochmal ansprechen. Und
ansonsten? Die digitale Gesellschaft ist
ja hier auch auf dem Kongress präsent. In
diesem Sinne noch einmal herzlichen Dank
und einen warmen Applaus für Elisabeth
Niekrenz.
Applaus
Abspannmusik
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!