-
36C3 preroll music
-
Heraldangel: Willkommen zu unserem
nächsten Talk! Unsere nächste Speakerin
-
ist Elisabeth Niekrenz. Sie ist Juristin
und politische Referentin bei Digitale
-
Gesellschaft e.V. in Berlin. Elisabeth hat
hier quasi vor der Haustür an der
-
Universität Leipzig Rechtswissenschaften
studiert und war während ihres
-
Referendariats als Repetitorin für
Strafrecht und Strafprozessrecht tätig.
-
2018 hat Elisabeth den Sammelband Chaos
zur Konstitution, Subversion und
-
Transformation von Ordnung
mitherausgegeben. Heute geht es aber um
-
ein etwas anders gelagertes Thema, nämlich
die Frage, wie es bei internationalen
-
Abkommen zur Herausgabe von Metadaten und
Inhalten eigentlich um den
-
Grundrechtsschutz bestellt ist und wie
Vorhaben wie die EU E-Evidenz Verordnung,
-
die grenzüberschreitende Strafverfolgung
verändern und zugleich politische
-
Repression eine neue Dimension verleihen
könnten. In diesem Sinne begrüßen wir mit
-
einem warmen Applaus hier auf der Bühne,
Elisabeth Niekrenz.
-
Applaus
-
Niekrenz: Ja, ganz herzlichen Dank für die
Ankündigung. Jetzt muss ich noch, kurz
-
sehen wir, ah ja, sehr gut. Also ganz
lieben Dank für die Ankündigung nochmal.
-
Ich freue mich sehr, heute über den
grenzüberschreitenden Datenzugriff von
-
Strafverfolgungsbehörden sprechen zu
dürfen. Und der Anlass, es wurde auch
-
schon erwähnt in der Ankündigung, dieses
Thema aus einer EU-Perspektive zu
-
besprechen, das ist natürlich die
E-Evidenz Verordnung, die derzeit im
-
Brüsseler Parlament verhandelt wird und
von der sicherlich die eine oder der
-
andere schon gehört haben. Diese
Verordnung soll es Ermittlungsbehörden aus
-
Spanien, Frankreich, Ungarn oder auch
Polen ermöglichen, Dienstleister zum
-
Beispiel in Deutschland zur Herausgabe von
persönlichen Daten in Strafverfahren zu
-
verpflichten, ohne dass hiesige Behörden
ein Wörtchen mitzureden hätten.
-
Diese Verordnung steht aber auch nicht singulär
im Raum, sondern eigentlich
-
in einem Kontext von einer ganzen Reihe von
internationalen Regulierungen der letzten
-
Jahre, die ich heute ein Stück weit mit
beleuchten möchte, um das sozusagen nicht
-
so singulär zu betrachten. Damit werden
auch einige hergebrachte Prinzipien des
-
Völkerrechts bzw. der internationalen
Rechtshilfe durchaus infrage gestellt, und
-
zwar immer dann, wenn es um elektronisch
gespeicherte Beweismittel, um Daten
-
sozusagen, geht. Ich denke, es ist zu
berücksichtigen, dass man sich aus einer
-
europäischen oder aus einer deutschen
Sicht die Frage, ob wir z.B. wollen, dass
-
ein Unternehmen wie Facebook oder Google
Daten in einem hiesigen Strafverfahren
-
herausgeben muss, wenn es etwa im Kontext
von oder um den Kontext von
-
Hasskriminalität geht, der in Deutschland
jetzt gerade wieder ein großes Thema ist.
-
Diese Frage darf man sich nicht isoliert
stellen, sondern man muss sie sich
-
gemeinsam stellen mit der Frage, ob denn
dann auch ungarische oder spanische
-
Ermittlungsbehörden E-Mail Anbieter wie
sagen wir, Mailbox, posteo et cetera
-
verpflichten können sollen, E-Mail-Daten
und Transaktionsinhalte oder
-
Transaktionsdaten herauszugeben. Ob wir
uns wünschen, dass in dem Fall deutsche
-
Behörden eigentlich ein Wörtchen
mitzureden haben sollten? Man soll sie
-
außerdem gemeinsam stellen mit der Frage,
wie wir denn eigentlich damit umgehen
-
würden, wenn eines Tages mal Anbieter wie
TikTok aus China oder VK, VKontakte aus
-
Russland für Ermittlungsbehörden
interessant werden würden. Etwa weil
-
Personen ganz häufig Straftaten über diese
Plattformen begehen oder sich darüber dazu
-
verabreden oder sonst interessante
Beweismittel dort liegen. Würden wir dann,
-
um schnellen Zugriff auf diese Daten zu
erlangen, im Gegenzug den chinesischen
-
oder russischen Ermittlungsbehörden auch
ermöglichen wollen, auf Daten, die
-
hierzulande gespeichert sind, von
deutschen Anbietern zugreifen? Und wie
-
würden wir denn eigentlich darauf
reagieren, wenn diese Länder Unternehmen
-
einfach einseitig verpflichten würden,
ihnen Daten aus Deutschland abzuliefern?
-
Vor dem Hintergrund einer Forderung, die
so in etwa lautet, dass das Netz kein
-
rechtsfreier Raum sein darf und dass man
praktisch ja irgendwie an die Daten
-
rankommen müsse, werden die langfristigen
Auswirkungen, die ein solches Law
-
enforcement auch ein Stück weit auf die
internationale Sicherheitsordnung hat,
-
häufig außen vorgelassen. Und das, obwohl
sie in den Fachdebatten eigentlich
-
durchaus erörtert werden und nachzulesen
sind. Deswegen möchte ich hier bei diesem
-
Anlass einfach mal ein paar von diesen
Problemen und Argumenten beleuchten.
-
Was ist eigentlich das grundlegende Problem,
das mit Regulierungen wie der E-Evidenz
-
Verordnung behoben werden soll?
-
Es lautet, wie aus einem Papier der
EU-Kommission kommt
-
oder wie dort gesagt wird: "The
internet is largely privately owned and
-
borderless for everyone except authorities
pursuing criminal investigations."
-
Also es ist eine Binsenweisheit, dass Cloud-
Dienste, Social-Media und E-Mail-Dienste
-
eine ganz überragende Bedeutung für unsere
Kommunikation und auch für unser Denken
-
und Arbeiten haben. Es heißt, immer mehr
Daten werden sozusagen online von
-
Anbietern gespeichert, und das weckt
Begehrlichkeiten, und zwar ganz besondere
-
unter Behörden und ganz besonders unter
Behörden, die in Strafsachen ermitteln und
-
für die diese Daten sicherlich im
Einzelfall ganz nützlich sein könnten, um
-
etwas herauszufinden. Problematisch wird
es nun immer, wenn Daten im Ausland
-
gespeichert sind, also woanders als die
Ermittlungen stattfinden. Denn dann
-
gelangen nationalen Rechtsordnungen an
ihre Grenzen. Grundsätzlich gebietet es
-
nämlich der völkerrechtliche Grundsatz der
Wahrung territoriale Souveränität,
-
Strafverfolgungshandlungen nur im eigenen
Staatsgebiet durchzuführen.
-
Es gibt nun zwei Trends in einigen
Regulierungen der letzten Jahre,
-
nämlich den Trend zum Unilateralismus
-
und zur extraterritorialen
Ausweitung nationaler Befugnisse.
-
Das heißt einerseits, dass an Stellen, an
denen Rechtshilfe und internationale
-
Zusammenarbeit im Sinne einer
Zusammenarbeit von Staaten stattgefunden hat.
-
Traditionell fangen Staaten an,
einseitig zu beschließen, dass sie von
-
ihrem Gebiet aus Zugriff oder zumindest
die Möglichkeit, Anbieter zu verpflichten,
-
haben wollen, Anbieter die Daten woanders
speichern diese Daten herausgeben zu lassen.
-
Auf der anderen Seite werden
durchaus auch Abkommen geschlossen, also
-
sozusagen wird multilateral gehandelt, die
dann allerdings häufig davon leben, dass
-
auch keine Zusammenarbeit mehr stattfinden
soll, auf der Seite der staatlichen
-
Akteure, sondern dass Staaten eigentlich
auf die Ausübung ihrer souveränen Rechte,
-
das heißt darüber zu entscheiden, welche
Strafverfolgungsbehörden Auswirkungen auf
-
ihr Staatsgebiet haben können, verzichtet
wird und sich gegenseitig ungehinderte
-
Befugnisse einräumen. Und das ist, wenn
wir an das Konzept der territorialen
-
Souveränität denken, vor allem deshalb
problematisch, weil nationale Souveränität
-
bei aller Kritik, die man am Konzept
Nationalstaat durchaus haben kann,
-
innerhalb des Staaten und Rechtssystems,
in dem wir leben, unter anderem die
-
Funktion hat festzulegen, wer für den
Schutz von Grundrechten zuständig ist.
-
Und da gibt es einige Probleme mit den
Regulierungen, die nun gemacht werden.
-
Um das verstehen zu können, nochmal einen
kleinen Blick sozusagen zurück oder auch
-
durchaus noch in die Gegenwart. Wie
funktioniert denn eigentlich Zusammenarbeit
-
in Strafsachen, wenn man es
mit grenzüberschreitende Kriminalität
-
zu tun hat? Oder mit Verfahren, die
irgendwie einen grenzüberschreitenden
-
Bezug aufweisen, bisher? Es gibt seit
vielen Jahren bzw. fast schon
-
Jahrhunderten Mutual legal Assistance
Treaties auf Englisch, kurz MLATs. Das
-
heißt, es gibt viele bilaterale und
multilaterale Abkommen, die zwischen
-
Staaten regeln, wie man zusammenarbeiten
will. Ein wesentlicher Ursprung oder als
-
ein wesentlicher Ursprung gilt das
belgische Auslieferungsgesetz von 1833.
-
Belgien wollte damals seine eigene
politische Neutralität wahren und hat
-
gesagt, wir liefern schon Personen aus,
die gesucht werden wegen Straftaten,
-
allerdings nicht bei politischen Delikten.
Ich denke, daran kann man schon ganz gut
-
erkennen, dass in dem Fall das
Auslieferungsrecht, aber auch insgesamt
-
die gegenseitige Rechtshilfe durchaus eine
ziemlich hohe außenpolitische Relevanz
-
haben kann, weil tatsächlich auch nicht
alle Staaten sich darüber einig sind, was
-
Straftaten sind und was nicht. Dieses
Rechtsgebiet betrifft also so etwas wie
-
Auslieferungen, aber auch Maßnahmen auf
einer niedrigeren Schwelle, wenn es darum
-
geht, eine Beweisaufnahme in einem anderen
Land durchzuführen, Dokumente zu
-
beschlagnahmen, Zeugen zu befragen und
ähnliches. Deutschland ist Teil
-
verschiedener bilaterale und multilaterale
Abkommen. Viele davon wurden im 20.
-
Jahrhundert nach dem 2.Weltkrieg
abgeschlossen. Und der Weg, den man da
-
geht, läuft also grundsätzlich so: Ein
Staat stellt eine Anfrage an oder für ein
-
Ermittlungsmaßnahme, eine Auslieferung
oder etwas ähnliches an den Staat B und
-
Staat B prüft dann zunächst einmal die
Anfrage und fragt sich, will ich die in
-
meinem Staatsgebiet so beantworten, will
ich der nachkommen und hat auch die
-
Möglichkeit, diese Anfrage oder die
Befolgung sozusagen zu versagen.
-
Schließlich erlaubt ja auch nicht, Staat
A eigenmächtig auf seinem Gebiet diese
-
Maßnahme durchzuführen, sondern der Staat
B würde sie selbst durchführen, wie man
-
hier sieht. Und es gibt so ein paar
Gründe. Das gilt sozusagen nicht ganz
-
uneingeschränkt für alle Abkommen. Aber
das sind vier Kriterien, die sehr häufig
-
Gründe dafür sind, eine angefragte
Maßnahme nicht auszuführen. Da ist zum
-
einen die Verfolgung politischer Vergehen,
die häufig ausgeschlossen wird. Ich hatte
-
es schon erwähnt. Auf der anderen Seite
liegt die beidseitige Strafbarkeit
-
(Englisch: dual criminality). Das ist ein
Kriterium, das fordert, dass die Tat in
-
beiden betroffenen Staaten eine Straftat
ist. Beispiel, was vielleicht alle kennen,
-
ist der Fall Puigdemont, der schließlich
nicht wegen Rebellion an die spanischen
-
Behörden aus Deutschland mittels eines
europäischen Haftbefehls ausgeliefert
-
werden konnte, weil es den Straftatbestand
der Rebellion so im deutschen
-
Strafgesetzbuch nicht gibt. Es ist also
gewissermaßen auch einleuchtend, dass man
-
als Staat sagt Mensch, dieses Verhalten,
das finden wir hier eigentlich in Ordnung.
-
Wir haben eine andere moralische,
gesellschaftliche, strafrechtliche
-
Vorstellung. Deswegen nehmen wir an dieser
Verfolgung nicht teil. Es sind Verstöße
-
gegen den sogenannten Ordre Public. Das
sind Verstöße gegen ziemlich grundlegende
-
inländische Wertvorstellungen. Also auch
für solche Fälle muss es immer ein
-
Austritt oder keine
Auftrittsmöglichkeiten, aber eine
-
Möglichkeit der Versagung geben. Und es
ist das Prinzip ne bis in idem. Das
-
bedeutet, dass wegen einer Tat ein Mensch
oder eine Person nicht zweimal verfolgt
-
werden darf. Das Problem mit diesen MLATs
ist nun, dass das ein Weg ist, der häufig
-
über den diplomatischen Weg verläuft. Da
sind viele Behörden auf unterschiedlichen
-
Stellen involviert und der deshalb sehr
lange dauert. Laut EU-Kommission sind zehn
-
Monate innerhalb der Europäischen Union
derzeit nicht ungewöhnlich. Deshalb
-
besteht eigentlich eine weitgehende
Einigkeit darüber, dass das System verbessert
-
werden muss, vor allem im Bereich
elektronische Daten, weil diese sehr
-
flüchtig seien. Gerade mit so etwas wie
einer dynamischen IP-Adresse kann man gar
-
nicht einmal so lange was anfangen. Das
sind so die Erwägungen. 2013 haben US-
-
Behörden unter anderem deshalb etwas Neues
ausprobiert, kann man, so sagen. Sie haben
-
nämlich einen Beschluss erlassen gegen
Microsoft, mit dem Sie Microsoft
-
verpflichtet haben, Daten aus dem E-Mail-
Konto eines Nutzers für ein Strafverfahren
-
zu erhalten oder herauszugeben? Und das
Besondere war, dass diese Daten in einem
-
Microsoft Data Center in Irland
gespeichert waren. Microsoft hat die
-
Herausgabe verweigert und hat gesagt ihr
habt gar kein Rechtsregime über diese
-
Daten. Und europäisches Datenschutzrecht
hindert uns auch daran, die zu
-
übermitteln. Die Behörde hat dann zunächst
in erster Instanz im gerichtlichen
-
Verfahren gewonnen. Da hat das Gericht
also gesagt, Unternehmen, auf die US-Recht
-
Anwendung findet, sind verpflichtet, Daten
herauszugeben, wenn sie in ihrer Kontrolle
-
sind, egal wo. In der zweiten Instanz im
Berufungsverfahren hat allerdings
-
Microsoft obsiegt. Und es hieß dann, dass
die damalige Rechtsgrundlage im Stored
-
Communications Act nicht reicht für eine
Übermittlung von Daten, die außerhalb der
-
USA gespeichert sind, sodass das Verfahren
schließlich vor dem Supreme Court gelandet ist.
-
Und währenddessen wurde es auch
einigermaßen zum Politikum. Also sowohl
-
Irland als auch die EU-Kommission, viele
Verbände, Reporter ohne Grenzen, andere
-
Interessenträger haben sogenannte Amicus
Curiae briefings eingereicht. Es wurden
-
Stellungnahmen eingereicht und auch einige
akademische Texte. Und all dies hat
-
schließlich dazu geführt, dass die USA ein
neues Gesetz erlassen haben, nämlich den
-
Clout Act. Cloud steht hier für Clarifying
Lawful Overseas Use of Data, und der Cloud
-
Act besagt, dass US-Anbieter verpflichtet
sind, Daten herauszugeben an US-Behörden,
-
egal wo sie gespeichert sind. Er sieht
eine gewisse Möglichkeit zur Regelung von
-
Norm-Konflikten vor. Wenn man also einen
Konflikt mit dem Recht eines anderen
-
Landes kommt. Und zwar dürfen sich
Anbieter wehren, wenn die Kunden keine US
-
Personen sind. Und wenn die Offenlegung
der Daten die Gefahr begründet, dass der
-
Anbieter Gesetze einer ausländischen
Regierung verletzt, allerdings nicht
-
irgendeiner ausländischen Regierung,
sondern nur eines sogenannten Qualifying
-
Foreign Governments. Und das wäre ein
Staat, mit dem die USA ein exekutiv
-
Abkommen geschlossen haben. Darüber, wie
solche Datenherausgaben funktionieren.
-
Derzeit gibt es noch nicht so viele Staaten, mit
denen die USA ein solches Abkommen
-
geschlossen haben. Insbesondere mit UK ist
es im Oktober kürzlich passiert. Das
-
bedeutet für Unternehmen mit Sitz in den
USA, die in der EU Datenspeichern derzeit,
-
dass sie eigentlich regelmäßig gezwungen
sind, gegen eines dieser beiden
-
Rechtsregime zu verstoßen. Denn
tatsächlich verbietet es die Datenschutz-
-
Grundverordnung derzeit, Daten aufgrund
solcher Anfragen in die USA herauszugeben.
-
Auf der anderen Seite können sie aber
durch US Recht dazu gezwungen werden.
-
Es gibt noch einen anderen Anreiz für
Staaten, ein solches Agreement
-
abzuschließen. Denn dann kann man auch
Anbieter dazu zwingen, Daten
-
herauszugeben, an zum Beispiel an die
europäischen Staaten, die in den USA
-
gespeichert sind. Darauf sind die
Strafverfolgungsbehörden in der
-
Europäischen Union häufig sehr erpicht,
weil ja viele sehr wesentliche Dienste in
-
den USA sitzen. Deshalb hat auch das
Vereinigte Königreich im Oktober,
-
ich habe es schon erwähnt, ein solches
Abkommen geschlossen, was zum Teil auch
-
sehr stark kritisiert wurde. Der Grund ist
vor allem, dass dieses Abkommen als das
-
erste seiner Art Vorbild für weitere sein
kann und dass in dem Abkommen selbst keine
-
sehr hohen Schutzanforderungen
reingeschrieben worden sind. Das heißt,
-
man liest also ein Stück weit das US-Recht
und das britische Recht hinein, insoweit
-
es um Informationspflichten,
Richtervorbehalt, Hürden sozusagen, unter
-
welchen Umständen Daten heraus gegeben
werden können, geht. Wenn man sich aber
-
vorstellt, dass das Abkommen so auch
Vorbild für Abkommen mit Staaten mit einem
-
deutlich niedrigeren Schutzniveau sein
könnte, dann steht da leider sehr, sehr
-
wenig drin. Mit der EU haben die
Verhandlungen für den Abschluss eines
-
solchen Abkommens kürzlich begonnen. Im
September fand ein erstes Treffen statt.
-
Ja, und das verlangt ein stückweit,
logisch eigentlich, die Voraussetzung oder
-
zumindest politisch die Voraussetzung,
dass man erstmal regelt, wie denn EU-
-
Staaten eigentlich untereinander auf Daten
zugreifen können, die in einem anderen
-
Staat gespeichert sind. Und damit kommen
wir zur E-Evidenz Verordnung. Ein kleiner
-
Teil des Skandals ist sozusagen, dass die
Kommission bereits Verhandlungen mit den
-
USA begonnen hat, bevor sich das Parlament
überhaupt auf den Standpunkt zu E-Evidenz
-
geeinigt hat. Das heißt, die Regeln für
den innereuropäischen Vorgehen sollten
-
eigentlich ein Stück weit feststehen,
bevor man mit Drittstaaten wie den USA
-
verhandeln kann. Was sieht nun die
E-Evidenz Verordnung vor? In dieser
-
Verordnung soll es darum gehen, dass nach
dem Kommissionsentwurf im Verhältnis der
-
EU-Staaten zueinander, Staaten sowohl
Metadaten als auch Inhaltsdaten, da gibt
-
es einige komplexe Differenzierungen
zwischen den Datentypen, heraus verlangt
-
werden dürfen, und zwar egal, wo sie
gespeichert sind, wo in der EU, und egal,
-
wo der Provider sitzt. Das funktioniert
dann nicht mehr so, dass der Staat A sich
-
an Staat B wenden würde. Dieser sozusagen
eine Prüfung macht und schließlich dazu
-
entscheidet, an den Provider heranzutreten
oder nicht, sondern hier würde der Staat A,
-
sagen wir mal Bulgarien, sich direkt an
einen möglicherweise in Österreich
-
sitzenden Anbieter wenden mit einer
Herausgabeanordnung. Und Österreich hätte
-
eigentlich alleine die Rolle in dem Fall,
in dem der Provider nicht compliant ist,
-
also sagt, ich halte mich nicht daran, aus
irgendwelchen Gründen, die Pflicht eine
-
Sanktion zu verhängen und im Zweifelsfall
auch zu vollstrecken. Das ist eine
-
ziemlich kurze Herausgabefrist von zehn
Tagen, in Notfällen sogar nur sechs
-
Stunden. Und die None-Compliance soll mit
Sanktionen bis zu zwei Prozent des
-
weltweiten Jahresumsatzes sanktioniert
werden. Damit wird also dem Staat, in dem
-
ein Anbieter sitzt, oder seine Daten
speichert, die Möglichkeit, ein
-
Grundrechtsschutz auf seinem Gebiet
sicherzustellen, sehr stark genommen. Auch
-
Verpflichtungen, Betroffene zu
informieren, so wie viele andere Punkte in
-
diesem Beschluss, sind ziemlich
problematisch und sind sehr eingeschränkt,
-
was den Grundrechtsschutz anbelangt. Das
größte Problem aber ist, dass das
-
Kriterium der beiderseitigen Strafbarkeit,
das ich schon mal angesprochen hatte,
-
nicht erforderlich ist für eine
Herausgabe. Was heißt das? Das
-
Strafrecht in der EU ist eigentlich so gut
wie gar nicht harmonisiert bis auf wenige
-
Bereiche. Etwa in Malta, ist ein
Schwangerschaftsabbruch in fast allen
-
Konstellationen eine Straftat. Das heißt,
wenn eine maltesische Ärztin dort illegale
-
Schwangerschaftsabbrüche anbieten würde
und mit ihren Patientinnen z.B. über einen
-
privaten deutschen Anbieter etwa Posteo
kommunizieren würde, dann könnte Posteo
-
dazu gezwungen werden, Daten an
maltesische Strafverfolgungsbehörden
-
herauszugeben. In Polen ist es eine
Straftat, eine Beteiligung von polnischen
-
Personen am Holocaust zu behaupten. Wenn
also Leute in Polen Aufklärungsarbeit über
-
solche historischen Geschehnisse leisten
würden und vielleicht über einen Facebook oder
-
Twitter Account publizieren würden, dann
werden auch diese Unternehmen gezwungen,
-
wenn sie zum Beispiel in Irland speichern,
Daten an die Behörden herauszugeben. Und
-
so kann man sich verschiedene Fälle
denken, die die Spannungslage
-
sozusagen daraus resultiert, dass ich in
einem Staat lebe, in dem eine Handlung
-
legal ist, überhaupt nicht damit
einverstanden bin, dass eine bestimmte
-
andere Handlung, also dass diese Handlung als
illegal gelten soll, in einem anderen
-
Staat. Aber ich muss eben Daten
herausgeben, muss an dieser
-
Strafverfolgung mitwirken als Provider,
als Mitarbeiter eines solchen Dienstes.
-
Es hat zudem zur Folge, vor allem diese
direkt Zugriff, dass ich als Betroffene
-
dieser Datenverarbeitung, wenn ich denn
überhaupt, oder diese Datenherausgabe,
-
wenn ich denn überhaupt darüber informiert
werde, mich möglicherweise in einer
-
fremden Rechtsordnung zur Wehr setzen
muss, was an sich schon ziemlich komplex
-
ist. Und zweitens ist es so, dass in
gleich mehreren EU-Staaten, es derzeit
-
ziemlich starke Probleme mit
Rechtsstaatlichkeit gibt. Alles andere,
-
als sichergestellt ist, dass sich dort ein
faires Verfahren bekomme. Der Maßstab ist
-
die Zulässigkeit einer Maßnahme im
Anordnungsstaat. Das heißt, wenn wir auf
-
das Beispiel zurückkommen würden,
Bulgarien erließ eine Anordnung für einen
-
Provider, der in Österreich sitzt und dort
Daten speichert. Dann würde sich die
-
Rechtmäßigkeit dieser Anordnung nach
bulgarischen Recht, nach bulgarischem
-
Recht richten und nicht danach, was in
Österreich eigentlich legal wäre. Also es
-
wäre möglich, dass bulgarische Behörden in
Österreich stärkere Eingriffsbefugnisse
-
hätten, mehr dürften, als es die
österreichischen Strafverfolgungsbehörden
-
überhaupt. Das ist natürlich auch nicht
sehr schlüssig und ist auch dazu geeignet,
-
gerade nationale Schutzvorschriften in
Deutschland, wären es etwa die
-
Regelungen der Strafprozessordnung oder
aber insbesondere auch solche, die das
-
Bundesverfassungsgericht aufgestellt hat,
zu umgehen.Bislang ist überhaupt kein
-
Vetorecht, bislang heißt in den Entwürfen
von Rat und Kommission, vorgesehen in
-
diesem Entwurf. Das heißt, ich hätte als
Vollstreckungsstaat, also hier als Staat B,
-
eigentlich keine Chance dagegen
vorzugehen, gegen diese Herausgabe oder zu
-
sagen, nein, das darf nicht passieren. Ein
Stück weit anders sieht das im derzeitigen
-
Bericht des Parlamentsausschuss oder im
derzeitigen Entwurf. Der Bericht selbst als
-
solcher noch nicht fertig. Die
Berichterstatterin Birgit Sippel, LIBE-
-
Ausschusses, also der Ausschuss für
bürgerliche Freiheiten im Europäischen
-
Parlament. Sie sieht in ihrem Entwurf von
Anfang November dieses Jahres vor, dass es
-
ein Vetorecht geben soll. Das heißt also,
binnen dieser zehn Tage, in denen die oder
-
innerhalb deren der Provider auf die Anordnung
reagieren soll, wäre es dem Staat, dem
-
Vollstreckungsstaat möglich, sozusagen ein
Vetorecht, von seinem Vetorecht Gebrauch zu
-
machen und zu sagen, diese Herausgabe stimmen
wir nicht zu. Zum Beispiel eben, weil die
-
Tat bei ihnen keine Straftat ist. Das
erfordert allerdings keine obligatorische
-
Prüfung. Das heißt, es ist gut möglich,
dass diese Anordnung auf dem Schreibtisch
-
von einem Richter landet. Dieser hat dann
die Möglichkeit, binnen zehn Tagen, was ziemlich
-
kurz ist, entweder hineinzuschauen und
eine ablehnende Entscheidung zu schreiben
-
oder aber nichts zu tun in dieser Sache,
was angesichts der arbeitsökonomischen
-
Prozesse nicht ganz fern liegend ist. Wir
gehen als digitale Gesellschaft davon aus,
-
dass diese Maßnahme nicht dazu passen
würde, dass es zu einer guten,
-
flächendeckenden Kontrolle der
inländischen Justiz von diesen Maßnahmen
-
käme. Problematisch ist aber nicht nur
die, sind nicht nur die Regelungen, wie
-
sie zwischen zwei Mitgliedsstaaten
vorgesehen sind, sondern auch, was
-
passieren soll, wenn ein Anbieter
eigentlich in einem Drittstaat, also nicht
-
die EU-Staat sitzt oder dort seine Daten
speichert. Dieser Drittstaat soll nämlich
-
schon gar nicht gefragt werden, bevor eine
Anordnung erlassen wird. Es gibt zum Teil
-
so ein Stück weit die Möglichkeit des
Providers zu sagen, dann bekomme ich hier
-
Probleme, weil ich gegen das Recht dieses
Drittstaates verstoße. Das ist allerdings nur
-
sehr eingeschränkt möglich. Es gibt da
eine Prüfung, in die diese Staaten nicht
-
involviert wird und der auch nur bestimmte
Regelungen respektiert werden. Das heißt,
-
diese Verordnung ist zwar im Verhältnis
der EU-Staaten zueinander multilateral,
-
weil sie miteinander was aushandeln, im
Verhältnis zu Drittstaaten allerdings eher
-
als unilateral zu betrachten. Da wird also
einseitig vorgegeben unter diesen
-
Umständen wollen wir Daten, die bei euch
gespeichert sind, herausgegeben bekommen
-
und das regt natürlich auch andere Staaten
durchaus dazu an zu sagen, na ja, dann
-
stellen wir jetzt auch mal Regelungen auf,
unter denen, oder Voraussetzungen, unter
-
denen Daten aus der Europäischen Union
vielleicht herausgegeben werden müssen.
-
Die digitale Gesellschaft hat sich deshalb
Ende Oktober in einem offenen Brief an die
-
Europaabgeordneten aus Deutschland gewandt
gewendet, gemeinsam mit zwölf weiteren
-
Organisationen. Mittlerweile gibt es auch
noch eine englischsprachige Fassung des
-
Briefs, die von CEPIS, dem Europäischen
Informatik Berufsverband an
-
Ausschussmitglieder gesandt wurde und
wir stehen im Austausch mit einigen der
-
Berichterstatterin, um ein Stück weit
unsere Belange oder unsere Einschätzung
-
damit einfließen zu lassen. Eine letzte
Regulierung, die ich vielleicht nur ganz
-
kurz einreißen würde, wäre die Cybercrime
Konvention, die eigentlich schon von 2001
-
stammt. Da geht es im Allgemeinen ein
Stück weit um eine Harmonisierung von
-
Straftatbeständen und um Verpflichtungen
zur gegenseitigen Rechtshilfe. Und seit
-
2017 gibt es Verhandlungen über das zweite
Zusatzprotokoll oder über ein zweites
-
Zusatzprotokoll, und das würde vorsehen,
dass die teilnehmenden Staaten
-
Teilnehmerdaten ebenso direkt und ohne
beidseitige Strafbarkeit von Unternehmen
-
anderen Staaten heraus verlangen können.
Neben einer Vielzahl der Staaten, die ja
-
im Europarat beteiligt sind, sind hier
noch viel, viel mehr Staaten beteiligt
-
insgesamt 64 zum Stand 2019 und darunter
auch die Türkei, Marokko, Argentinien,
-
ein paar habe ich aufgeschrieben, Japan, die
Philippinen, Chile. Das heißt sozusagen
-
die Probleme, die wir schon in der
Europäischen Union mit Rechtsstaatlichkeit
-
haben, werden dort vielleicht nochmal
stärker. Und was haben wir gesehen? Wir
-
haben es also mit einer extra
territorialen Ausweitung von nationalen
-
Befugnissen zu tun. Das heißt, dass diese
Gesetzgebungen in vielen Fällen oder in
-
der Regel davon abweichen, dass der
physische Speicherort ein Kriterium für
-
das Rechtsregime, dem Daten unterworfen
sind, wären. Das wird so ein Stück weit
-
gestützt durch einige theoretische
Konzepte darüber, dass Daten nicht
-
territorial betrachtet werden sollten. Zum
Beispiel eine US amerikanische
-
Rechtswissenschaftlerin Jennifer Daskal.
Ich habe auch noch eine Quellenangabe am
-
Ende, nennt auch ein paar Argumente darum,
warum sie das eigentlich auch für richtig
-
hält, sozusagen nicht am Speicherort anzuknüpfen.
Das liegt daran, dass Daten auf eine
-
andere Art und Weise mobil sind als diese
Wasserflasche etwa, die sich auch bewegen
-
kann. Denn sie bewegen sich mit
Lichtgeschwindigkeit. Daran, dass Daten
-
teilbar sind, an mehreren Orten zugleich
vorliegen können. Dass der Ort des Zugangs
-
nicht zum Speicherort abhängig ist und
dass auch sie unter der Kontrolle von
-
Dritten stünden. Das heißt, die Nutzenden
würden den Speicherort nicht wählen. Es
-
würden sich allerdings aus meiner Sicht und
aus Sicht vieler anderer, wenn sich diese
-
Anschauung von der Nicht-Territorialität von
Daten durchsetzte, einige ganz wesentliche
-
Probleme ergeben. Es hat zunächst was zu
tun, ich habe es schon erwähnt damit, dass
-
der Grundrechtsschutz in dem Staat, in dem
die Daten gespeichert werden, nicht mehr
-
gewährleistet wäre. Und wie gesagt.
ungeachtet aller Kritik am Konzept würde
-
also die Souveränität in ihrer Funktion
ein Stück weit Rechtsstaatlichkeit und
-
Grundrechte oder zumindest die
Verantwortung dafür sicherzustellen,
-
unterlaufen. Ich würde auch sagen, dass es
sich hier nicht direkt um eine
-
Internationalisierung von einem Vorgehen
handelt in dem Sinne, dass Staaten
-
gemeinsame Standards finden würden, die
vielleicht auch durch unabhängige oder
-
gemeinsame Stellen eingehalten würden,
sondern eigentlich um eine relativ starke
-
Nationalisierung, weil es immer nationale
Bedürfnisse sind, die aufgestockt und
-
verstärkt werden. Es ist so, man sollte
das vielleicht nicht zu stark
-
romantisieren. Aber ich würde schon daran
festhalten, dass das Internet Räume
-
schafft, in denen politische Opposition
manchmal agieren kann und die es
-
vielleicht sozusagen mit einer stärkeren
Anbindung an den Staat, in dem man sich
-
befindet, nicht gäbe. Gerade die
Möglichkeit, dass sich in einem Land sein
-
kann und den Dienst nutze, dessen
Regulierung in den Händen eines anderen
-
Staates liegt, die kann unter Umständen
einen gewissen Freiraum schaffen. Man kann
-
es vielleicht irgendeine Art von kleinem
Asyl nennen. Das heißt also, wenn diese
-
Dienste, die woanders sitzen, keine Daten
an Verfolger im eigenen Land herausgeben,
-
sich nicht entziehen lassen, dann können
sie sich ein Stück weit Aktionsräume
-
schaffen. Wenn wir jetzt zum Beispiel an
Hongkong denken, wo ja die Anonymität der
-
Aktivistinnen und Aktivisten eine ganz
große Rolle spielt. Dann ist da natürlich
-
auch sehr wichtig, dass man, dass man
sozusagen Dienste wie Reddit oder Telegram
-
oder sicherlich auch viele andere
verwenden kann, die nicht in Hongkong
-
sitzen und auch nicht in China sitzen und
auf die chinesische oder Hongkong-,
-
Behörden aus Hongkong keinen Zugriff
haben. Eine Vielzahl von Unternehmen, die
-
in den USA oder auch woanders ansässig
sind, geben zum Beispiel Staaten wie die
-
Türkei per se keine Daten heraus. Und das
mit sehr gutem Grund, wie ich denke. Wenn
-
man nun solche Dienste im Rahmen von
Abkommen verpflichten würde, auch an
-
autoritäre Staaten Daten herauszugeben.
Das ist zwar noch nicht so direkt
-
geschehen, wäre aber eigentlich der
nächste logische Schritt, wenn man sich
-
auf eine weltweite Ebene vorstellt. Dann
würden doch einige Türen zu diesen
-
Aktionsräumen geschlossen. Das heißt
natürlich nicht, dass so eine digitale
-
Vernetzung nicht weiterhin möglich wäre,
dass man nicht neue neue Wege finden würde
-
und dass man nicht ohnehin, wenn man
besser beraten ist, in solchen Situationen
-
Tor-Server und einen VPN zu benutzen. Aber natürlich
nimmt es so zu sagen und erhöht es schon
-
ein Stück weit, die Hürden sich anonym
bewegen zu können. Wenn man sich die
-
Stellungnahmen von Reporter ohne Grenzen
und weiteren Presse Verbänden im Microsoft
-
Warren anschaut, dann sieht man, dass dort
ganz massive Einschränkungen von
-
Pressefreiheit befürchtet werden. Sie
tragen also vor, dass Newsrooms heutzutage
-
verstärkt in der Cloud stattfinden und die
Zusammenarbeit von weit voneinander
-
entfernten arbeitenden Personen sich
relativ einfach abwickeln lässt und so
-
nicht mehr funktionieren würde. Konkret
schreiben Sie "Expanding the U.S.
-
government's ability to reach electronic
records, stored outside its borders sets a
-
danger international example that foreign
governments hostile towards journalists
-
may exploit." Sie haben damals in diesem
Fall vor dem Supreme Court gesagt, wenn
-
jetzt die USA es Diensten oder wenn
jetzt die USA sozusagen sich selbst
-
herausnehmen, Dienste zu verpflichten,
Daten, die anderswo gespeichert sind,
-
herauszugeben, dann würden andere Länder
das auch so machen. Auch das Argument,
-
dass die Speicherort für Nutzer so häufig
gleichgültig sei, ja nicht von denen
-
gewählt würde, ist so nicht ganz richtig,
wenn auch sicherlich in einigen Fällen.
-
Denn ich denke, es gibt sehr viele Fälle,
und das kommt gerade für politisch aktive
-
Leute relevant sein. In denen nutzen Sie
sehr wohl Ihren Speicherort bewusst wählen
-
und sich Gedanken darüber machen, an wen
Daten gegebenenfalls herausgegeben würden.
-
Und so als ganz pragmatisches Argument,
hätte das auch die Folge, diese
-
Entscheidung sozusagen zu übergehen, dass
die Idee vom Datenschutz als
-
Standortvorteil eigentlich unmöglich
gemacht wird. Dann hat man es natürlich
-
mit einer starken Privatisierung der
Rechtshilfe zu tun. Letztlich bleibt im
-
Zweifelsfall der Provider übrig als die
Instanz, die irgendwie noch sagen könnte,
-
wollen wir eigentlich nicht befolgen diese
Anordnung, weil wir sehen hier ein grundrechtliches Problem.
-
Und ich denke, das können und sollen
eigentlich diese Dienste nicht machen,
-
sondern genau dazu sind ja staatliche
Stellen oder sollten staatliche Stellen im
-
System der internationalen Rechtshilfe
dasein. Ganz spannend ist auch eine
-
Stellungnahme von ehemaligen Geheimdienst
und Sicherheitsbehörden. Personal der USA,
-
UK und Frankreich ebenfalls im Microsoft
Warren Case. Die warnen nämlich extrem
-
davor, dass die extra territoriale
Anwendung von US-Recht negative
-
Auswirkungen haben könnte. Sie sagen
nämlich, dass durch Normen Konflikte die
-
ganze Effektivität der internationalen
Zusammenarbeit in Strafsachen geschädigt
-
wird. Gehen also davon aus, dass der
Unilateralismus tendenziell zu Konflikten
-
zwischen Staaten führen wird, der die
Zusammenarbeit auch in diesen Fragen
-
stören wird. Und auf der anderen Seite ist
es wahrscheinlich, massiv zu Datenlokalisierungspflichten
-
kommen wird, die wir jetzt
schon in Russland haben. Also zu einer
-
weiteren Zersplitterung von Internet kommt.
Noch ein paar Literatur Empfehlungen. Ich
-
sage mal so ein bisschen für den Einstieg,
für alle, die sich ein stückweit tiefer
-
für das Thema interessieren. Burchardt
legt in der ZIS einige der hier
-
genannten Argumente nochmal ganz
grundlegend dar. Jennifer Daskal spricht
-
sich so ein bisschen für eine Deterritorialisierung
von Daten aus, und Martin Böse hat ein
-
sehr umfangreiches Gutachten über die
E-Evidenzverordnungen, die geplante,
-
geschrieben. Man begegnet auch
strafrechtlichem Terror ganz häufig der
-
Forderung, dass eigentlich alles
verfolgbar sein müsse ohne Einschränkungen
-
und die Verhältnismäßigkeit eigentlich
ziemlich grundlegendes rechtsstaatliches
-
Prinzip. Also, sich mal zu überlegen, wenn
ich jetzt diese gesetzliche Maßnahme
-
implementiere, welche negativen Folgen hat
das noch? Sie wird in vielen politischen
-
Diskursen über Strafrechtsverschärfungen
eigentlich nicht so richtig gehört.
-
Ich denke, es ist einigermaßen deutlich
geworden, dass gerade auch außenpolitische
-
Interessenlagen und Leerläufe in der
in der internationalen
-
Zusammenarbeit in Strafsachen irgendwie
Aktionsräume für politische Opposition
-
bilden können. Also gerade Fälle in den
Staaten nicht miteinander
-
zusammenarbeiten, sei es die Situationen,
in denen Personen vielleicht sogar Asyl
-
finden können oder in denen einfach Daten
nicht herausgegeben werden. Ich denke,
-
wenn sogar ehemalige Geheimdienstleute
davor warnen, Gesetzen extraterritoriale
-
Wirkungen zukommen zu lassen, dann lässt
sich eigentlich erkennen, dass selbst wenn
-
man jetzt eine maximale Strafverfolgung
befürworten würde, diese vermeintlichen
-
Lösungen nicht so richtig zu Ende gedacht
sind. Ob wir mit diesen Tendenzen jetzt am
-
Ende zu einem Netz von internationalen
Herausgabeverpflichtung wirklich kommen
-
werden oder ob man relativ schnell zu
Situationen kommt, in den Staaten merken,
-
eigentlich passt uns das hier überhaupt
nicht, dass jetzt dieses Land Daten von
-
unserem Anbieter heraus verlangt und das
System uns dann eher über dem Kopf
-
zusammenbrechen wird. Das kann ich nicht
so richtig vorhersehen. Wenn man
-
tatsächlich die Strafverfolgung so ein
Stück weit effektiv und unter
-
Berücksichtigung von Grundrechtsschutz
verbessern will, dann müsste man wohl oder
-
übel die MLAT-Verfahren verbessern. Man
müsste in der EU die europäische
-
Ermittlungs Anordnung, die es seit 2014
gibt und deren Umsetzungfrist erst 2017
-
abgelaufen ist, sozusagen ein Stück weit
erst mal evaluieren und dann schauen, wo
-
man verbessern kann. Aber so auf die
Schnelle sozusagen solche Befugnisse
-
einzuführen, die ziemlich weitgehende
Konsequenzen im internationalen Bereich
-
haben können, halte ich eher für eine sehr
problematische Herangehensweise. Genau das
-
wars erst einmal von mir. Wenn ihr
die Arbeit der DGS gut findet, wenn ihr
-
wollt, dass wir weiterhin aufklären,
offene Briefe schreiben und so weiter,
-
dann freuen wir uns auf jeden Fall, wenn
ihr Spenden möchtet, Fördermitglieder
-
werdet oder euch auch mal bei uns meldet,
gerne mal beim netzpolitischen Abend in
-
Berlin vorbeischaut. Ja, danke!
-
Applaus
-
Herald: Ja, und jetzt haben wir noch ein
wenig Zeit für Fragen, die ihr habt.
-
Hier gibt es drei Mikrofone im Saal. Bitte
stellt euch da hin. Damit ich sehen kann,
-
wer Fragen hat. Ansonsten frage ich, wie
immer einfach erst mal das Internet. Gibt
-
es aus dem Internet Fragen? Nein, das ist
ja ein first time, sozusagen. Dann nehmen
-
wir hier mal bitte Micro 2. Deine Frage
bitte kurz und knackig.
-
Mic 2: Hallo und Dankeschön! Kannst du was
zum Richtervorbehalt sagen? Aktuell und
-
nach der Verordnung, wenn sie so in Kraft tritt?
Niekranz: Also von der E-Evidenz Verordnung
-
gibts ja gerade drei Versionen, eine von
Kommission und Rat und die vom Parlament
-
ist sozusagen als solche noch nicht
fertig. In dem Entwurf, den Birgit Sippel
-
vorgelegt hat und der möglicherweise den
natürlichen Maßstab bietet, in dem man
-
jetzt anknüpfen kann für eine mögliche
Parlamentsversion, steht drin, dass eine
-
unabhängige Behörde sein muss. Das heißt,
dass zumindest für Deutschland nach dem
-
EuGH-Urteil zum Internationalen zum
europäischen Haftbefehl, dass tatsächlich
-
Richter auch das sein müssen, weil
Staatsanwälte in Deutschland nicht
-
unabhängig sind, sondern weisungsgebunden.
Sozusagen in der Situation, in der der
-
Zielstaat diese Anordnung kontrolliert. In
den Versionen von Kommission und Rat
-
gibt es einen Richtervorbehalt, allerdings
nur sehr eingeschränkt, und zwar für
-
empfindlichere Datenkategorien. Das wären
sozusagen Inhaltsdaten und ich meine für
-
Transaktionsdaten. Für Bestandsdaten gilt
das allerdings nicht.
-
Herald: Dankeschön. Mikro eins, bitte die
Frage.
-
Mic 1: Mich würde interessieren, wenn es
jetzt ein Konflikt gibt zwischen der EU-
-
DSGVO und der E-Evidenzverordnung. Wie das
ausgehen könnte und welche Institution
-
diesen Konflikt dann bereinigen wird.
Niekranz: Den Konflikt, den es derzeit
-
gibt. Ich weiß nicht, ob du diesen vielleicht
meintest, der spielt sozusagen sich zwischen dem
-
Cloud Act und der DSGVO ab. Meinst du das?
Mic 1: Das meinte ich. Und, gesetzt der Fall,
-
es kommt diese E-Evidenz-Verordnung, und
jemand stellt fest: Das ist ja gar nicht
-
DSGVO-kompatibel. Was passiert jetzt?
Niekranz: Ok, also erstmal zur Cloud-Act-
-
E-Evidenz-Situation. Faktisch ist es so,
dass ich als Anbieter, wenn ich eine
-
Herausgabe-Anordnung aus den USA bekomme,
dort zunächst mal den größeren
-
Handlungsdruck hab. Mir ist ehrlich gesagt
nicht bekannt, ob es schon Fälle gegeben
-
hat, in denen Anbieter DSGVO-widrig
Daten an die USA herausgegeben haben. Ich
-
gehe aber davon aus, dass das der Fall
ist. Ich habe noch nicht gehört, dass
-
daraufhin europäische Behörden irgendwie
aktiv geworden seien, ein Bußgeld verhängt
-
hätten oder so... Wenn man ein Bußgeld
verhängen wollte, müsste man ein
-
Stück weit sicherlich berücksichtigen, dass
die Anbieter sich in so einer
-
Normkonfliktsituation befinden und, ich
sage mal, nicht so richtig böswillig
-
gehandelt haben. Ich denke, da die
europäischen Datenschutzbehörden mit
-
relativ vielen problematischen Fragen
beschäftigt sind, ist es so ein Stück weit
-
zweitrangig eher. Wie die E-Evidenz gegen
die DSGVO verstößen könnte. Zu einem
-
richtigen Normkonflikt kann ich jetzt so nicht
sagen, weil sich der Konflikt, den ich mit
-
dem Cloud Act meine, dann ergibt, wenn man
Daten aus der EU in ein anderes Land, in
-
einen Drittstaat transferiert. Und diese
Befugnis sieht die E-Evidenz zunächst mal
-
nicht vor.
Herald: Okay, dann wars das leider auch
-
schon mit den Fragen. Es tut mir leid, ihr hier
vorne wartet... Ihr könnt ja Elisabeth
-
Niekrenz : auch gleich nochmal ansprechen. Und
ansonsten? Die digitale Gesellschaft ist
-
ja hier auch auf dem Kongress präsent. In
diesem Sinne noch einmal herzlichen Dank
-
und einen warmen Applaus für Elisabeth
Niekrenz.
-
Applaus
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!