Die EU-Kommission möchte Justizbehörden den Eilzugriff auf Cloud-Daten in allen EU-Staaten erlauben. Hinter vorgehaltener Hand spricht die deutsche Regierung von einem Einfallstor für Eingriffe in Pressefreiheit und freie Meinungsäußerung.

Bisher läuft alles geräuschlos. Seit mehr als einem Jahr arbeitet die Europäische Union an einem Gesetz, das Richtern und Staatsanwälten alles viel leichter machen soll. Sie sollen elektronische Beweismittel über Grenzen hinweg beschlagnahmen können, direkt bei Providern in fremden EU-Staaten. Dafür war bislang ein Rechtshilfegesuch nötig, die Justiz im anderen Staat musste zustimmen. Die EU-Kommission möchte, dass stattdessen eine einfache Anordnung ausreicht.

Die EU-Kommission schlug die e-Evidence-Verordnung im April 2018 vor, dennoch ist sie in der breiten Öffentlichkeit bisher kaum bekannt. In Fachkreisen sorgt der Vorschlag für Besorgnis. Und nicht nur dort: Auch in der Bundesregierung warnen Juristen vor ihm. Ein Hintergrundpapier des Bundesjustizministeriums, das wir veröffentlichen, beschreibt Szenarien, in denen das neue Gesetz Klimaaktivisten und Journalisten gefährlich werden könnte.

Fehlende Schutzmechanismen

E-Evidence soll Behörden innerhalb von Europa den Eil-Zugriff auf Beweismittel im Netz geben. Diensteanbieter wie Google und Facebook, aber auch Handyprovider und selbst kleinste Serverbetreiber müssen künftig innerhalb von zehn Tagen, in eiligen Fällen sogar binnen sechs Stunden Nutzerdaten herausgeben.

Andernfalls drohen ihnen nach Vorschlag der EU-Staaten Strafen von bis zu zwei Prozent ihres globalen Umsatzes. Das soll selbst Firmen wie Google und Microsoft abschrecken, denen dann Milliardenstrafen drohten. Wichtigstes Argument der Befürworter: Das Verfahren beschleunige den Zugriff für Ermittler um ein Vielfaches im Vergleich zum bisher üblichen Weg über Rechtshilfeersuchen.

Das Hintergrundpapier der Bundesregierung warnt, die rechtsstaatlichen Schutzmechanismen in e-Evidence seien „nicht wasserdicht“. Das ist bedenklich, denn der Entwurf legt viel Verantwortung in die Hände einzelner Ermittler: Der Entwurf der Kommission erlaubt Behörden schließlich, eigenmächtig Anordnungen zu verschicken – auch jenen aus Ländern wie Ungarn und Polen, wo die Justiz zunehmend unter politischem Einfluss steht. Das sollte auch der Kommission bewusst sein, denn sie führt gegen Polen deshalb sogar ein Vertragsverletzungsverfahren.

Der Vorschlag lasse keinen Einspruch gegen faule Anordnungen von ausländischen Behörden zu, warnt das Papier der Bundesregierung. „Der Vollstreckungsstaat soll danach zwar konsultiert werden, er hat aber kein ‚Vetorecht‘, wenn er die Anordnung mit Blick auf den erforderlichen Schutz der genannten Rechte und Interessen für unzulässig hält.“ Die Herausgabe sensibler Verkehrs- und Inhaltsdaten werde dadurch grenzüberschreitend leichter gemacht als dies bei der Strafverfolgung innerhalb Deutschlands der Fall wäre. Es gebe klaren Nachbesserungsbedarf.

Redaktionsgeheimnis im Visier

Im „Beispielfall Klimaaktivist“ schildert das Hintergrundpapier einen fiktionalen Fall: Behörden im „Mitgliedsstaat X“ nehmen regierungskritische Aktivisten fest. Sie werfen ihnen die Bildung einer kriminellen Vereinigung vor. Und nicht nur ihnen: Sie gehen auch gegen User eines deutschen Videoportals vor, die Unterstützung für die Aktivisten bekundeten. Dank e-Evidence kann Staat X beim deutschen Portal die Klarnamen der Poster verlangen. Die deutsche Staatsanwaltschaft hält das mit Blick auf die Meinungsfreiheit für unzulässig, doch sie hat kein Veto.

Das zweite Beispiel ist ebenso bedenklich. Ein deutscher Journalist recherchiert zur Veruntreuung von EU-Beihilfen in Staat X. Die dortigen Behörden ermitteln gegen seinen Informanten wegen Verletzung des Bankgeheimnisses. Das ist in Deutschland keine Straftat. Doch auf Anordnung von Staat X müssten die E-Mails des Journalisten herausgegeben werden. Damit setzen sie den Whistleblower unter Druck. Die deutschen Behörden sind machtlos, die Korrespondenz des Journalisten zu schützen.

Ausweitung auf die USA

Noch ist e-Evidence nicht Gesetz, doch die EU-Kommission möchte das Prinzip des raschen Datenzugriffs bereits auf die USA ausdehnen. Im Juni gaben die EU-Staaten grünes Licht für Gespräche zwischen Brüssel und Washington über ein Abkommen. Dieses soll US-Behörden wie dem FBI erlauben, unkompliziert und legal Zugriff auf europäische Server zu erhalten. Im Umkehrschluss gilt selbiges für Behörden aus der EU.

Die EU-Kommission erhielt für die Gespräche umfassenden Spielraum. Eine Erklärung der EU-Staaten zu den Verhandlungsrichtlinien schränkt zwar ein, der Datenaustausch dürfe nicht in Fällen verwendet werden, die wahrscheinlich zur Todesstrafe oder lebenslanger Haft ohne Aussicht auf Entlassung führten.

Andere Beschränkungen fehlen hingegen: Etwa jene gegen Überwachung in Echtzeit, wie sie im Cloud Act vorgesehen ist, dem amerikanischen Pendant zu e-Evidence. Bestehen die USA darauf und der Datenzugriff in Echtzeit landet im endgültigen Abkommen, könnte das für Ermittler Möglichkeiten schaffen, wie sie bisher nur die US-Geheimdienste im Verborgenen nutzen.

Widerstand im EU-Parlament

Das letzte Hindernis für e-Evidence ist das Europäische Parlament. Schlüsselfigur ist die SPD-Abgeordnete Birgit Sippel. Sie verfasst federführend die Position des Parlaments zu dem Vorschlag und verhandelt im Namen der Abgeordneten mit Rat und Kommission über den endgültigen Text.

Sippel hält den Vorschlag der Kommission für ungenügend. „Es gibt aus unserer Sicht viele offene Fragen“, sagte sie bei einem Gespräch in Straßburg zu netzpolitik.org. Gemeinsam mit anderen Abgeordneten zeigte sie in einer Serie von Arbeitspapieren die Schwächen des Entwurfs auf.

Die SPD-Abgeordnete kritisiert, das Gesetz hebele die gegenseitige Kontrolle von Behörden aus. Ein Staatsanwalt oder Richter in einem Staat könne Anbieter überall in Europa auffordern, Daten herauszurücken. Die Verantwortung für die Prüfung, ob eine Anordnung mit den Grundrechten der Betroffenen vereinbar ist, wandere von der Justiz zu den Providern. Diesen fehle es aber an wirklichen Anreizen, den Grundrechtsschutz ihrer User zu übernehmen, schreibt Sippel in einem Arbeitspapier.

Das Verfahren stellt eine Herausforderung für Berufsgeheimnisträger dar, für Rechtsanwälte, Ärzte oder eben Journalisten. Der e-Evidence-Vorschlag müsse dem Sitzstaat eine Mitsprache erlauben, damit dieser etwa prüfen könne, ob Berufsgeheimnisträger betroffen seien, schrieben Sippel und die Linken-Abgeordnete Cornelia Erst in einem gemeinsam verfassten Arbeitspapier.

Im Herbst geht das Gesetz in die Zielgerade. Bis Jahresende will Sippel ihren Bericht fertigstellen, dann geht es in die Verhandlungen mit Rat und Kommission über das endgültige Gesetz. Dass die Kommission bereits mit den USA über einen transatlantischen Pakt zum Datenzugriff spricht, hält Sippel für schwierig. „Das finde ich für eine vertrauensvolle Zusammenarbeit der Institutionen nicht gerade sehr hilfreich“, sagt sie.

Mit e-Evidence steht die europäische Justiz vor einer drastischen Ausweitung ihrer Zugriffsmöglichkeiten. Dennoch war das Echo in der Presse und der Öffentlichkeit bisher verhalten. Ändert sich daran nichts, sollte sich jeder Journalist, jeder Aktivist künftig genau überlegen, wo die Server stehen, auf denen er sensible Informationen speichert.

Transparenzhinweis: Meine Reise nach Straßburg, von der die Zitate von Frau Sippel stammen, wurde aus Mitteln des EU-Parlaments finanziert. Die Auswahl, wer solche finanzielle Unterstützung erhält, trifft der Journalistenverband API/IPA. Ich ging dafür keinerlei Verpflichtungen ein, möchte aber aus Transparenzgründen hier darauf hinweisen.