Frage an Hannah Neumann von Björn O. bezüglich Recht
Die Cybercrime-Konvention erlaubt ausländische Staaten direkt bei Providern die Nutzerdaten anzufordern, ohne das jemals ein Richter oder Staatsanwalt dies überprüft. Wie wollen Sie und Ihre Partei verhindern, dass dieses Instrument missbraucht wird?
Sehr geehrter Herr O.,
Die Cybercrime-Konvention des Europarates erlaubt den Zugriff nur für Bestandsdaten ("subscriber information"), also Name, Adresse und ähnliche Rechnungsdaten sowie Informationen über die abonnierten Dienste. Es geht ausdrücklich nicht um Verkehrsdaten (dynamische IP-Adressen, Mail-Adressen, URLs etc.) oder Inhaltsdaten, siehe Artikel 18(1(b)) und Artikel 18(3). Daher ist hier die Eingriffstiefe sehr niedrig, etwa vergleichbar mit der automatischen Fahrzeughalterabfrage per KFZ-Kennzeichen in einem anderen EU-Staat im Rahmen des Prümer Vertrages. Die Abfrage ist zudem nur erlaubt, wenn der Provider in dem abfragenden Land seine Dienste auch anbietet. Ob das einem Richtervorbehalt unterliegt, ist Sache der nationalen Strafprozessordnungen und ähnlicher Gesetze der Signatarstaaten der Cybercrime-Konvention und in dieser selber nicht geregelt.
Wir sehen die direkte Abfrage bei einem Provider in einem anderen Land dennoch sehr kritisch. Auf EU-Ebene wird seit 2018 an einem neuen Gesetzesrahmen für den grenzüberschreitenden Zugriff auf elektronische Beweismittel gearbeitet ("e-Evidence"). Wir drängen hier sehr darauf, dass immer die Behörde des Staates, wo der Provider niedergelassen ist, vorher ihre Zustimmung geben muss bzw. die Erbringungsanordnung selber ausführt. Nur so ist sichergestellt, dass sich staatliche Vollzugsgewalt auch weiterhin auf das Territorium ihres Staates beschränkt. Das wird übrigens auch in der offiziellen "Guidance Note" zur Cybercrime-Konvention so ausgelegt: "Agreement to this Guidance Note does not entail consent to the extraterritorial service or enforcement of a domestic production order issued by another State nor creates new obligations or relationships between the Parties."
Zusätzlich drängen wir auf verfahrensmäßige Absicherungen wie eine Informierung der Betroffenen, einen wirksamen Rechtsbehelf, die Bedingung der Strafbarkeit in beiden betroffenen Staaten, oder ein Beweisverwertungsverbot für unrechtmäßig erlangte Bestandsdaten.
Mehr dazu finden Sie in dem Working Document 6 zum "e-Evidence"-Verfahren im Europäischen Parlament, das der Grünen Schattenberichterstatter Romeo Franz MdEP gemeinsam mit der Berichterstatterin Birgit Sippel MdEP (SPD) verfasst hat: Teil A, Teil B, Teil C.
Um sicherzustellen, dass angefragte Nutzerdaten nicht unendlich lange gespeichert werden oder zweckentfremdet werden haben wir Grünen die Richtlinie (EU) 2016/680 zum Datenschutz bei der Strafverfolgung, die seit 2016 in Kraft ist und seit 2018 von allen Mitgliedstaaten umgesetzt sein muss, maßgeblich mitverhandelt. Sie gilt, sofern die abfragenden Staaten EU-Mitglieder sind, und enthält genau wie die Datenschutzgrundverordnung (DSGVO) klare Bestimmungen zur Speicherbeschränkung, zur Zweckbindung, zur Informierung der Betroffenen etc. Sie binden zwar nicht diejenigen Signatarstaaten der Cybercrime-Konvention, die keine EU-Mitgliedstaaten sind. Für diese gilt aber in fast allen Fällen die Datenschutz-Konvention des Europarates, die gerade an die DSGVO angepasst wurde und auch für die Strafverfolgung gilt.
Die relevante Ausnahme sind hier natürlich die USA, die Mitglied der Cybercrime-Konvention sind, aber nicht der Datenschutz-Konvention. Hier liegt aktuell ein Mandatsentwurf der EU-Kommission zu Verhandlungen mit den USA über die gegenseitige Gestattung der Abfrage elektronischer Beweismittel vor, komplementär zur e-Evidence Gesetzgebung innerhalb der EU bzw. im Rahmen des US Cloud Act. Wir werden diese Verhandlungen kritisch begleiten und unterstützen die Stellungnahme des Europäischen Datenschutzbeauftragten dazu, der u.a. ebenfalls die Überprüfung durch eine Justizbehörde im Land des Providers fordert.
Mit grünen Grüßen,
Hannah Neumann