Strafverfolger sollen künftig über den Atlantik hinweg die Anbieter von Online-Diensten direkt auffordern können, zu Ermittlungszwecken persönliche Daten herauszugeben. Die EU-Kommission erhielt heute den Auftrag, darüber Gespräche aufzunehmen. Kritiker fürchten eine Aufweichung von Kontrollmechanismen für den Zugriff auf persönliche Daten.

US-Behörden könnten schon bald das Recht erhalten, bei Diensteanbietern und Netzbetreibern in Europa die Herausgabe von Daten für die Strafverfolgung anzuordnen. Selbiges gilt dann auch umgekehrt für Gerichte und Staatsanwälte aus EU-Staaten. Die rechtliche Grundlage dafür sollen Verhandlungen der EU-Kommission mit der US-Regierung schaffen. Die EU-Justizminister erteilten heute bei einem Treffen in Luxemburg das Mandat für die Gespräche.

Auf beiden Seiten des Atlantiks drängen Strafverfolger darauf, rascher und einfacher auf private Daten von Nutzerinnen und Nutzern im Netz zugreifen zu können. Bisher ist das grenzüberschreitend nur über Rechtshilfeersuchen möglich, deren Erfüllung oft Monate dauert. Die USA beschloss letztes Jahr den Cloud Act, der dem FBI und anderen Behörden weltweit direkten Zugang zu Cloud-Daten von Verdächtigen ermöglichen soll.

Die EU zog wenig später nach. Die Kommission schlug im April 2018 die E-Evidence-Verordnung vor. Sie soll Behörden innerhalb von Europa den Eil-Zugriff auf Beweismittel im Netz geben. Wenn Diensteanbieter sich weigern, binnen weniger Tage – in Notfällen sogar binnen weniger Stunden – Nutzerdaten auszuliefern, drohen ihnen nach Vorschlag der EU-Staaten Strafen von bis zu zwei Prozent des weltweiten jährlichen Umsatzes. Das soll selbst Konzerne wie Google und Microsoft abschrecken, die in einem solchen Fall Milliarden zahlen müssten.

Die nun bevorstehenden Verhandlungen sollen die Brücke zwischen dem amerikanischen Cloud Act und der E-Evidence-Verordnung schlagen: Auf beiden Seiten des Atlantik sollen Behörden direkt bei den Anbietern anklopfen können, selbst wenn diese ihren Firmensitz auf einem anderen Kontinent haben.

Der Nachteil aus Sicht der Kritiker: Kontrollmechanismen fallen weg. Bisher konnten deutsche Behörden prüfen und entscheiden, ob ein deutscher Hosting-Anbieter etwa einem Rechtshilfeersuchen eines ungarischen oder amerikanischen Staatsanwaltes nachkommen muss – oder umgekehrt.

Das ändert sich nun: Der Sitzstaat des Anbieters oder der betroffenen Person kann nun nicht eingreifen, auch wenn der Zweck der Ermittlungen fragwürdig ist. Das sei ein Problem, warnen Kritiker. „Wenn in einem Staat Abtreibung eine Straftat ist und in einem anderen nicht, dann dürfen Provider in letzterem nicht gezwungen werden, Beweismittel über solche Vorgänge herauszugeben,“ sagt Elisabeth Niekrenz von der NGO Digitalen Gesellschaft.

Firmen müssen nun selbst entscheiden, ob sie Nutzerdaten herausgeben oder sich der Anordnung widersetzen. Das legt die Abwägung von Grundrechten in die Hand von Firmen, die allerdings ein finanzielles Interesse haben, den Anordnungen der Behörden schlicht nachzugeben. Mehr noch: Eine Studie im Auftrag des EU-Parlaments zählte bereits im September 2018 anhand des ursprünglichen Gesetzesvorschlags der Kommission zahlreiche rechtliche Probleme mit den E-Evidence-Vorschlägen für Europa auf. Etwas hinterfragt die Studie, ob die kurzen Fristen der Anordnungen ausreichend Zeit für Einsprüche böten.

Rat und Kommission halten dennoch am vereinfachten Datenzugriff fest. Sie wollen den diesen nun auf die USA und, im Rahmen der Budapester Konvention, auf viele weitere Staaten ausweiten.

Verhandlungen (fast) ohne Tabus

Die EU-Staaten gaben der Kommission nun für die Gespräche mit der USA viel Spielraum. In einer Pressemitteilung nach dem Beschluss des Mandats heißt es zwar, das Abkommen mit den USA müsse mit der noch in Verhandlung befindlichen E-Evidence-Verordnung kompatibel sein. Doch das EU-Parlament, in dem es zuletzt viel Skepsis gegenüber den weitreichenden Vorschlägen gab, hat noch nicht einmal eine Position festgelegt.

Dennoch sollen bereits nächsten Monat die Gespräche mit den USA beginnen. Die Kommission soll nach jeder Verhandlungsrunde dem Rat Bericht erstatten, nicht aber dem Parlament.

Der Volltext des Mandates lag zunächst nicht vor. Doch im Vorfeld hieß es von beteiligten Diplomaten, dass Mandat schließe selbst einen Zugriff für die Echtzeitüberwachung nicht aus. Diesen wünschen sich die USA. Auch der Notifizierungsmechanismus, der eine Verständigung des Provider-Sitzstaates bei einer Zugriffsanordnung vorsieht, wie Deutschland ihn will, wird demnach im Mandat nicht erwähnt. Lediglich die Einschränkung, der Datenaustausch dürfe nicht in Fällen zur Anwendung kommen, in denen die Todesstrafe gelte, sei darin enthalten.

Kommen die Verhandlungen wie erhofft zu einem raschen Abschluss, steht in Europa eine neue Ära des rascheren, umfassenderen und noch dazu legalen Datenzugriffs der US-Behörden bevor.