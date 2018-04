Neue EU-Verordnung zur grenzenlosen Überwachung

Quer durch die EU sollen Direktanordnungen nationaler Strafverfolger zur Ausfolgung von Benutzerdaten durch die Telefonie- und Internetprovider in anderen EU-Staaten möglich werden.

Von Erich Möchel

Nachdem die USA mit dem „Cloud Act“ im März die EU vor vollendete Tatsachen gestellt hatten, haben die Europäer nun nachgezogen. Am Dienstag stellte die Kommission ihre Verordnung zur „Sicherung von Beweismitteln in der Cloud“ vor. Hauptmaßnahme ist ein neuer elektronischer Durchsuchungsbefehl, der in der gesamten EU gilt. Internetfirmen und Telekoms müssen in Zukunft binnen zehn Tagen die verlangten Daten liefern, in Notfällen gelten sechs Stunden.

Die jeweiligen nationalen Strafverfolger sind bei diesen grenzüberschreitenden Datenanforderungen ausgeschaltet. Damit gibt es für Betroffene praktisch keine rechtsstaatlichen Möglichkeiten, gegen Durchsuchungen ihrer Kommunikation nachträglich vorzugehen, bemängeln die Kritiker der Maßnahme. Sie verweisen auch darauf, dass in den EU-Mitgliedsstaaten Polen und Ungarn die Unabhängigkeit der Justiz nicht mehr garantiert ist.

EU

„Terror“-Mascherl, rationaler Hintergrund

Wie die verhandlungswilligen Europäer von den USA mit dem „US Cloud Act“ im März regelrecht überfahren wurden

Obwohl es die Kommission auch diesmal wieder nicht lassen konnte, die Verordnung unter der Schlagzeile „Kampf gegen den Terror“ zu verkaufen, so hat die Maßnahme doch einen durchaus rationalen Hintergrund. Die aktuell gültigen Regelungen zur EU-weiten polizeilichen Ermittlungszusammenarbeit oder die zwischenstaatlichen Rechtshilfeverfahren sind viel zu umständlich und zeitaufwändig, um Straftaten im Netz effizient verfolgen zu können.

Bis die grenzüberschreitende Zusammenarbeit steht, können bis zu vier Monate vergehen, bei formellen Rechtshilfebegehren sind es gar bis zu zehn. Mit solch lahmen Instrumenten lässt sich gegen organisierte Kriminelle, wie digitale Lösegelderpresser, im Jahr 2018 kein Staat mehr machen. Dasselbe gilt für inzwischen alltägliche Internetdelikte wie DDoS-Attacken auf Bestellung, Bitcoin-Diebstähle oder die Plünderung von Online-Konten. Gegen solche organisierten Beutezüge sind nationale Strafverfolger ziemlich machtlos, da die Kriminellen ja per se grenzüberschreitend agieren.

EU

Temporäre Datenspuren

Die für Jänner angekündigte Verordnung war von der Kommission extra verschoben worden, um das Verhandlungsergebnis mit den USA abzuwarten, das es am Ende eben nicht gab

Die hinterlassenen Datenspuren müssen rasch gesichert werden, da es sich in vielen Fällen um temporäre Daten handelt, die von den Netzbetreibern nicht dauerhaft gespeichert werden. Ein typisches Beispiel sind temporäre IP-Adressen, die auf eine Straftat verweisen, aber ohne die Daten des Einwahlservers (Radius) der betreffenden Zugangsproviders keiner Person zugeordnet werden können. Da es sich in der Regel um pauschalierte Breitbandzugänge handelt, haben Telekoms oder Kabelnetzbetreiber kein geschäftliches Interesse an den Einwahldaten im Radius-Server.

Zur Verfolgung solcher Delikte ist daher eine weitere Maßnahme vorgesehen, die dem in Österreich geplanten „Quick Freeze“-Verfahren sehr ähnlich sieht. In der Verordnung heißt das „Preservation Order“. Sie soll verhindern, dass bestimmte personenbezogene Datensätze automatisch gelöscht werden, bevor die eigentliche „Production Order“ eintrifft. Mit letzterem ist die Übermittlung dieser personenbezogenen Daten an irgendeine Polizeibehörde in einem EU-Mitgliedsland gemeint.

EU

Der Fernzugriff etwa auf Daten in Sozialen Netzwerken war seit März 2017 offizielle Position des EU-Ministerrats. Facebook und Co. sollen Telekoms in puncto Überwachung gleichgestellt werden.

Staatsanwälte und Richter

Zur Abfrage der Stammdaten eines Telefonie- oder Internetkunden genügt das Auskunftsbegeheren eines Staatsanwalts. Um an Metadaten aus Telefonienetzen, Webmail-Archiven, Zahlungshistorien, Kommunikationen in geschlossenen Gruppen oder Chats zu kommen, bedarf es jedoch eines ordentlichen Gerichts. Für all diese Datensätze gilt, dass sie beim Provider gespeichert vorliegen müssen, denn Echtzeitkommunikation ist von dieser Verordnung explizit ausgenommen. Die Frage nach dem Umgang mit verschlüsselten Daten, die für den Provider selbst nicht lesbar sind, beantwortet der Kommissionentwurf ganz lapidar. Wenn die verlangten Daten nur verschlüsselt vorhanden seien, so seien sie eben so an die Behörden zu übermitteln, Punkt.

Zudem hat die EU-Kommission noch weitere Schwellen eingebaut, um bekannt überwachungswütige Polizeibehörden einzubremsen, wie etwa jene in Polen. Die Verordnung ist erstens auf Straftaten beschränkt, die mit wenigstens drei Jahren Haft geahndet werden und gilt zweitens nur für Delikte, die in beiden beteiligten EU-Staaten in dieser Höhe strafbar sind. Sanktionen gegen Provider, die solche Orders ignorieren, sind auf EU-Ebene derzeit nicht vorgesehen, das soll auf Ebene der Mitgliedsstaaten geregelt werden.

Was nun zu erwarten ist

Ob das allerdings so bleibt, ist mehr als fraglich. Denn das ist nur der Kommissionsentwurf, der im Anschluss sowohl durch das EU-Parlament wie auch den Ministerrat verändert und ergänzt wird. Gerade der Ministerrat hat bei allen vergleichbaren Richtlinien und Verordnungen der jüngeren Vergangenheit mit schöner Regelmäßigkeit Delikthöhen gesenkt, Speicherfristen verlängert und Zugriffsmöglichkeiten der Behörden ausgeweitet. Das ist auch diesmal zu erwarten.