Das gestern beschlossene E-Evidence-Paket soll die Abfrage digitaler Beweismittel drastisch vereinfachen. Europäische Polizeibehörden können nun direkt bei Online-Diensten die Daten von Verdächtigen abfragen. Kritiker:innen weisen auf erodierende Rechtsstaaten in Europa hin und fürchten mehr Überwachung.
Ganz glücklich ist Birgit Sippel offenkundig nicht. Die Hauptverhandlerin des EU-Parlaments rund um die neuen Regeln für elektronische Beweismittel verteidigt zwar die Einigung vehement, die sie mit dem EU-Rat und der Kommission im Spätherbst erzielt hatte. Aber sie hätte sich mehr gewünscht, sagte die deutsche Sozialdemokratin bei der abschließenden Plenardebatte am Montag. Am Tag darauf, am gestrigen Dienstag, segnete das Parlament das sogenannte E-Evidence-Paket mit breiter Mehrheit ab. Ende Juni wird aller Voraussicht nach der EU-Rat der Mitgliedsländer seinen Segen geben, vollständig in Kraft treten werden die Regeln in rund drei Jahren.
Bereits im Jahr 2018 hatte die EU-Kommission ihren Vorschlag vorgelegt, es folgten jahrelange und zähe Verhandlungen. Grundsätzlich geht es darum, europäischen Ermittlungsbehörden den Zugriff auf elektronische Beweismittel deutlich zu erleichtern.
Als elektronische Beweismittel zählen Daten, die in Strafverfahren eine Rolle spielen. Das können beispielsweise E-Mails oder Textnachrichten sein, aber auch die Information, wann sich jemand bei einem Online-Dienst eingeloggt hat. Laut EU-Kommission spielen solche Beweise in 85 Prozent aller Strafverfahren eine Rolle, in 65 Prozent der Fälle würden diese Beweismittel in anderen EU-Ländern liegen.
Bislang mussten etwa deutsche Polizeien bei den Justizbehörden in Irland anklopfen, um an Daten von Facebook-Nutzer:innen zu gelangen. Doch dieser Prozess über sogenannte Rechtshilfeabkommen war den EU-Ländern und der Kommission zu langsam. Anstatt ihn zu reformieren, werden Datenanfragen künftig direkt bei den entsprechenden Diensteanbietern möglich.
Benachrichtigung als Sicherung
Der Hauptstreitpunkt in den Verhandlungen war, ob und in welcher Form die Behörden des Landes einbezogen werden sollen, in denen der jeweilige Online-Dienst angesiedelt ist. Denn zum einen ist nicht immer gegeben, dass eine Straftat in einem bestimmten Land auch anderswo als solche gilt. Zum anderen haben manche EU-Länder wie Ungarn oder Polen zuletzt einen autoritären Kurs eingeschlagen und zunehmend ihren Rechtsstaat abgebaut. Es allein den Diensteanbietern zu überlassen, die Rechtmäßigkeit einer sogenannten „Vorlageanordung“ zu überprüfen, war den Kritiker:innen zu wenig.
Gemündet ist dies nun in einen Kompromiss: Die Behörden im Land des Online-Dienstes müssen nicht benachrichtigt werden, wenn eine „Aufbewahrungsanordnung“ das Einfrieren von Daten für bis zu 60 Tage anordnet. Sie erfahren auch dann nichts, wenn mittels einer Vorlageanordung Verkehrsdaten wie unter anderem IP-Adressen, angerufene Telefonnummern oder auch Bestandsdaten angefragt werden, um die Identität von Nutzer:innen festzustellen.
Höhere Hürden sind bei der Abfrage von Verkehrsdaten vorgesehen, wenn es um mehr geht als um eine Identitätsfeststellung. Damit könnten anfragenden Behörden beispielsweise herausfinden, wer von einer bestimmten Nummer angerufen wurde. Die selben Auflagen gelten außerdem bei der Abfrage besonders sensibler Inhaltsdaten, etwa dem Inhalt eines Mail-Postfachs. Hierbei muss die zuständige Behörde des Sitzlandes benachrichtigt werden – sofern sich die verdächtige Person außerhalb des anfragenden Staates befindet. Die Behörde hat dann zehn Tage Zeit, die Anfrage zu überprüfen und gegebenenfalls Widerspruch einzulegen, wenn die Anfrage den Vorgaben des Gesetzes nicht genügt. Reagiert sie innerhalb dieser Frist nicht, muss der Diensteanbieter die Daten übermitteln.
Gerichtet ist die Verordnung gegen Terrorismus, Missbrauch von Kindern und Betrugsdelikte, die mit Hilfe von IT-Systemen begangen wurden. Zudem umfasst sie Straftaten, die eine Gefängnisstrafe von mindestens drei Jahren im abfragenden EU-Land nach sich ziehen.
Pegasus-Abhörskandal zeigt Löchrigkeit des Rechtsstaats
Kritiker:innen befürchten, dass autoritäre EU-Länder die Regeln missbrauchen könnten, um ihre Opposition mundtot zu machen. So war die EU damit befasst, ein wenig Licht in den Pegasus-Abhörskandal zu bringen. Ins Visier der Spähsoftware gerieten nicht nur Journalist:innen und Oppositionelle in Ungarn oder Polen, auch in Spanien und Griechenland sollen politisch unliebsame Menschen ausgespäht worden sein.
In der E-Evidence-Verordnung hätten „schnelle und rücksichtslose Verfahren nun Vorrang vor rechtlichen Absicherungen“, klagt Chloé Berthélémy von der europäischen Bürgerrechtsorganisation EDRi. Bis zuletzt hatten zivilgesellschaftliche Organisationen darauf hingewiesen, dass der Notifizierungsmechanismus ausgehöhlt und „praktisch zahnlos“ ausgefallen sei. In der täglichen Arbeit von Ermittlungsbehörden dürfte er eher „zur Ausnahme als zur Regel“ werden, hieß es in einem offenen Brief von Montag, der die EU-Abgeordneten aufgerufen hatte, gegen das Gesetz zu stimmen.
Im Parlament kam der größte Widerstand von Seiten der Grünen- und Links-Fraktionen. Unter anderem Polen würde derzeit sein Justizsystem demolieren, sagte der Grünen-Abgeordnete Sergey Lagodinsky, und just zu diesem Zeitpunkt würden Journalist:innen oder Priester unter Druck stehen. Auf deren Daten könnte jetzt ungefiltert zugegriffen werden. „Der Zeitpunkt ist falsch, die Vorgehensweise ist falsch, die Abwägung ist falsch“, sagte Lagodinsky. Auch der Linken-Abgeordneten Cornelia Ernst zufolge wurde „ein Rahmen geschaffen, der nicht sicher ist“.
EU-Kommission soll Rechtsstaatlichkeit herstellen
Für die Sozialdemokratin Sippel haben „kritische und zustimmende Stimmen beide recht“. Die E-Evidence-Verordnung könne nur dann funktionieren, wenn überall in der EU Demokratie und Rechtsstaat herrschen. Dafür müsse die Kommission als Hüterin der Verträge sorgen, so die Abgeordnete. Tatsächlich laufen gegen Ungarn und Polen schon seit Jahren Vertragsverletzungsverfahren nach Artikel 7. In diesen wird untersucht, ob es zu schweren Verstößen gegen Grundwerte der EU gekommen ist. Doch bislang lassen sich die Länder von ausgesetzten Milliardenzahlungen und selbst von einschlägigen Urteilen des Europäischen Gerichtshofs nur bedingt beeindrucken.
„Am Ende gilt: Wir müssen uns ein Stück weit darauf verlassen, dass EU-Länder das System nicht missbrauchen“, hofft Sippel. Damit es nicht rein beim Prinzip Hoffnung bleibt, soll ein umfassendes Monitoring der dezentralen IT-Plattform sorgen, über die die standardisierten Anfragen abgewickelt werden. Neben der üblichen Evaluierung des Gesetzes soll die EU-Kommission jährliche Berichte abliefern und auflisten, welche EU-Länder wie viele Anfragen gestellt haben, welche Daten sie abgefragt haben oder wie oft sie sich auf Notfälle berufen haben, auf die Diensteanbieter binnen acht Stunden reagieren müssen. Zudem sind Klagemöglichkeiten für Betroffene vorgesehen. „Das Sitzland der Provider muss gut prüfen“, sagt Sippel, sonst drohen Schadenersatzzahlungen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires