Ganz legal könnte das FBI bald sensible Kommunikationsdaten von europäischen Internetdienstleistern herausverlangen, möglicherweise auch in Echtzeit. Damit will die Europäische Union die Trump-Administration gewogen machen, im Gegenzug „elektronische Beweismittel“ direkt bei Facebook & Co. abfragen zu dürfen.

Die EU-Kommission will ein Abkommen mit der US-Regierung verhandeln, das Internetanbieter mit Sitz in der Europäischen Union zu mehr Kooperation mit US-Behörden zwingt. Die Firmen müssten Polizeien und Geheimdiensten aus den USA Zugang zur Kommunikation ihrer NutzerInnen gewähren. Auch europäische Strafverfolger könnten dann direkt bei Facebook, Apple und anderen Internetriesen eine Anordnung zur Herausgabe stellen. Der bislang übliche Rechtsweg über die Justizbehörden soll entfallen.

Die Pläne sind Teil der „E-Evidence“-Verordnung, mit der die EU die Herausgabe „elektronischer Beweismittel“ erleichtern will. Dies umfasst einem kürzlich veröffentlichten Entwurf zufolge NutzerInnendaten (Name, Geburtsdatum, Postanschrift, Telefonnummer), Zugangsdaten (Datum und Uhrzeit der Nutzung, IP-Adresse), Transaktionsdaten (Sende- und Empfangsdaten, Standort des Geräts, verwendetes Protokoll) sowie Inhaltsdaten.

Durchführungsabkommen mit der US-Regierung

Die geplante EU-Verordnung ist auf Firmen mit Sitz in der Europäischen Union beschränkt. Weil die meisten der begehrten Daten aber in den USA lagern, plant die EU-Kommission ein Durchführungsabkommen mit der US-Regierung. Möglich wäre dies im Rahmen des „CLOUD Act“, den die US-Regierung im vergangenen Jahr erlassen hat. Er verpflichtet die in den USA niedergelassenen Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten, wenn dies zur Strafverfolgung oder Gefahrenabwehr notwendig scheint.

Der „CLOUD Act“ erlaubt es Drittstaaten, ebenfalls Herausgabeanordnungen bei US-Firmen zu stellen. Ein hierzu notwendiges Abkommen muss auf Gegenseitigkeit beruhen und der US-Regierung damit Zugriff auf Firmen in den Partnerländern erlauben. Die Trump-Administration verlangt hierfür jedoch das Zugeständnis, auch in Echtzeit Inhaltsdaten abhören zu können. Firmen mit Sitz in der EU müssten diese dann unmittelbar an US-Behörden ausleiten.

Keine Möglichkeit der Zurückweisung

Die EU-Kommission hat im März ein Verhandlungsmandat mit den USA vorgestellt, auf das sich der Rat jetzt mit wenigen Änderungen geeinigt hat. Es soll auf dem Treffen der EU-Innenminister am 7. Juni in Luxemburg verabschiedet werden. Im derzeitigen Entwurf sind die Echtzeitüberwachungsmaßnahmen nicht erwähnt – nämlich, um zunächst abzuwarten, welche Forderungen die US-Regierung hierzu aufstellt.

Enthalten ist hingegen die europäische Forderung, dass die US-Behörden jene EU-Staaten, auf deren Hoheitsgebiet eine Echtzeitüberwachung auf Basis des „CLOUD Act“ stattfindet, wenigstens darüber informieren. Auch die Bundesregierung hatte dies gefordert. Eine solche Regelung würde aber nicht garantieren, dass ein EU-Mitgliedstaat der Abhörmaßnahme von US-Behörden auch widersprechen kann.

Sondersitzungen zum EU-US-Abkommen

Für die Kooperation mit den USA ist es außerdem von Bedeutung, ob die aus der EU übermittelten Inhaltsdaten für die Verhängung der Todesstrafe oder einer lebenslänglichen Gefängnisstrafe genutzt werden sollen, ohne dass die Verurteilten eine vorzeitige Entlassung beantragen können. Nach EU-Recht wäre dies ausgeschlossen. Im Entwurf für das Verhandlungsmandat der Kommission fehlt jedoch eine solche Vorschrift.

Schließlich dürften die US-Behörden die erlangten Inhaltsdaten unter bestimmten Umständen auch an andere Staaten weitergeben. Auch deshalb fordern die EU-Innenminister eine enge Beteiligung an den Verhandlungen zum geplanten EU-US-Abkommen. Die Kommission soll der zuständigen Ratsarbeitsgruppe „Zusammenarbeit in Strafsachen“ regelmäßig Bericht erstatten und bei Bedarf auch Sondersitzungen einberufen.

Doppelung mit Europarat

Auch auf Ebene des Europarates, dem unter anderem die Türkei und Russland angehören, wird die Herausgabe „elektronischer Beweismittel“ neu geregelt. Hierzu wird das Budapester Übereinkommen über Computerkriminalität (die sogenannte Budapest-Konvention) mit einem Anhang erweitert. Bis Dezember 2019 will eine Arbeitsgruppe einen Entwurf für das Zusatzprotokoll vorlegen.

Im Gegensatz zur Europäischen Union haben auch Länder wie Russland, die Türkei, Australien, Kanada, die USA und Japan die Budapest-Konvention unterzeichnet. Zwar ist die EU nicht Mitglied des Europarates und hat deshalb auch die Budapest-Konvention nicht unterzeichnet. Wie bei dem „CLOUD Act“ soll die EU-Kommission trotzdem auch mit dem Europarat stellvertretend für alle Mitgliedstaaten um das Zusatzprotokoll verhandeln. Ein entsprechendes Mandat will der Rat der Innenminister ebenfalls am 7. Juni beschließen.

EU-Kommission will „Trennungsklausel“

Noch bleibt unklar, wie sich die „E-Evidence“-Verordnung von der Budapest-Konvention unterscheiden soll. Die Behörden der EU-Mitgliedstaaten könnten künftig mitunter wählen, ob sie lieber eine Herausgabeanordnung über die Europarat-Regelung oder die der Europäische Union erlassen.

Deshalb soll die Budapest-Konvention nach dem Willen der Kommission eine „Trennungsklausel“ enthalten. Sie würde die EU-Mitgliedstaaten verpflichten, im Falle innereuropäischer Ermittlungen immer die „E-Evidence“-Verordnung für „elektronische Beweismittel“ zu nutzen.