EU-weite „Vorratsdatenspeicherung light“ wie in Österreich
Von Erich Möchel
In Österreich treten bereits am ersten Juni die neuen Überwachungsgesetze in Kraft. Darunter ist auch das technisch aufwändige „Quick Freeze-Verfahren“, bekannt als „Vorratsdatenspeicherung Light“. Telekoms und Serviceprovider müssen auf Weisung eines Staatsanwalts die Kommunikationsdaten eines Benutzers bis zu einem Jahr speichern. Dasselbe Verfahren soll bald auch auf EU-Ebene gelten und zwar grenzüberschreitend.
Der EU-Ministerrat hat bereits die nächste Daten-Einfrierstufe in Arbeit, nämlich eine Verordnung zur gegenseitigen Anerkennung solcher Weisungen von Strafverfolgern zur Speicherung von Kommunikationsdaten. „Quick Freeze“ auf EU-Ebene soll nicht nur für Daten gelten, auch Finanzmittel sollen grenzüberschreitend beschlagnahmt werden können. Wie aus einem internen Ratsdokument hervorgeht, das ORF.at vorliegt, legen sich dabei aber einige Mitgliedstaaten quer.
EU
Die zugehörige EU-Verordnung wurde Mitte April im Ministerrat diskutiert. Im Moment geht es um die Bedingungen für gegenseitige Anerkennung solcher Einfrier-Orders. Wie die meisten internen Ratsdokumente, die bekannt werden, so wurde auch dieses Dokument von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht
Europäische Daten-Gefrierverordnung
Diese neue europäische Gefrierverordnung steht im direkten Zusammenhang mit allen anderen grenzüberschreitenden EU-Maßnahmen wie etwa dem „E-Warrant“, dem EU-weiten Durchsuchungsbefehl, und mehreren anderen Regelungen zum Thema. Der vorliegende Entwurf erweitert die Verordnung zu „E-Evidence“, der grenzüberschreitenden elektronischen Beweissicherung um eine Vorratsdatenfunktion. Der Text ist ebenfalls bereits in der finalen Phase des Trilogs, am 18.April wurde im Ministerrat darüber diskutiert.
EU-weite Anordnungen zur Ausfolgung von Benutzerdaten durch Provider in anderen EU-Staaten werden gerade vorbereitet
Der Trilog ist ein in jeder Hinsicht verkürztes und per se nichtöffentliches Verfahren unter Leitung der Kommission. Es tritt immer dann in Kraft, wenn zwischen Parlament und Rat dauerhafte Differenzen über eine neue Richtlinie und Verordnungen bestehen. Und an Differenzen mangelt es im Fall dieser EU-weiten Daten- und Kontengefrierverordung nicht. Zwar ist es auch diesmal der Ministerrat - bei dem etwa die eigentlich fertige ePrivacy-Verordnung seit Monaten liegt - der sich nicht einigen kann. Inhaltlich verläuft der Prozess allerdings anders als gewohnt, denn der Rat versucht hier nichts zu verschärfen oder auzuweiten, im Gegenteil.
EU
Das ist nur eins der Beispiele für Fristenstreichungen. Links (mit Hervorhebung von FM4) ist die Parlamentsversion samt einer Frist von zehn Tagen, in der Mitte die Version des Ministerrats und rechts der angebotene Kompromiss, grün bedeutet „abgesprochen“, gelb die Passage, über die es noch keine Einigung gibt.
Ministerrat kippt die Fristen
Die weitaus meisten Passagen, über die es derzeit noch keine Einigung gibt, betreffen nämlich die Fristen, innerhalb derer nationale Behörden auf Weisungen einer ausländischen Staatsanwaltschaft oder eines Gerichts reagieren müssen. Das EU-Parlament hat hier exakte und zeitlich recht knapp bemessene Vorgaben gesetzt. So heißt es in der Parlamentsversion von Artikel acht über „Anerkennung und Exekution von Anordnungen zur Beschlagnahme“, dass die vollziehende Behörde die anfragende Polizeibehörde darüber binnen zwölf Stunden nach einer Beschlagnahme schriftlich unterrichten muss.
Das „Quick Freeze“-Modell in Österreich und warum die Provider die nun von den Behörden verlangten Daten bis jetzt nicht haben im technischen Überblick
Dieser Zeitrahmen wurde vom Rat gestrichen, wie fast alle anderen konkreten Fristen im Text. Auch in Artikel 22 zur „Vertraulichkeit der Maßnahmen“ - das Einfrieren von Daten oder Konten muss vor den Betroffenen ja grundsätzlich geheim gehalten werden - flogen die vom Parlament gesetzten Fristen wieder aus dem Text. Das Parlament hatte verlangt, dass die ausführende Behörde die anfragende binnen 48 Stunden schriftlich darüber informieren muss, wenn die Vertraulichkeit der Ermittlungen nicht mehr gegeben ist.
EU
Dieses Ratsdokument zu „erneuerbaren Weisungen zur Datenspeicherung“ wurde bei derselben Ratssitzung am 18. Mai erstmals vorgestellt. Es weist auf tiefergehende Differenzen über die Fristensetzung hin (siehe unten)
Nationale Egoismen am Werk
Der Fernzugriff, etwa auf Daten in Sozialen Netzwerken, war seit März 2017 offizielle Position des EU-Ministerrats. Facebook und Co. sollen Telekoms in puncto Überwachung gleichgestellt werden.
Hier rächt es sich nämlich, dass Kommunikations- und Finanzdaten in einen Topf geworfen wurden, denn zwischen beiden Datenarten besteht ein großer, praktischer Unterschied. Während das Einfrieren der Kommunikationsdaten auf Providerebene für die betroffene Person per se nicht erkennbar ist, macht die Beschlagnahme eines Kontos den Vorgang für den Betroffenen natürlich öffentlich. Diese Streichungen konkreter Reaktionsfristen ziehen sich wie ein - in diesem Fall - gelber Faden durch den gesamten Verordnungstext, obwohl die gesamte Regelung für zeitkritische Prozesse eingeführt wurde.
Gemeint sind damit Ermittlungen gegen Internetkriminelle, die grundsätzlich grenzüberschreitend und echtzeitnahe agieren. Oder das Tracking von Terrorverdächtigen, für die grundsätzlich dasselbe gilt. Hier legen sich mehr als nur ein paar EU-Mitgliedsstaaten quer, die den Ermittlungen der eigenen Strafverfolger ganz offensichtlich Priorität über anfragende Behörden einräumen wollen, auch wenn deren Anfragen bereits davor eingegangen waren.
„Erneuerbare Weisungen“ zur Datenspeicherung
In mehreren Passagen der Einfriervorschrift wird die Einführung von neuen, nationalen Instutionenals Datenbroker für solche Weisungen aus dem Ausland angesehen. Eine solche Instanz würde auch über neue „erneuerbare Speicheranweisungen“ entscheiden, darüber wurde am 18. April nämlich im Rat ebenfalls diskutiert. Seit der Annullierung der Vorratsdatenspeicherung durch den EU-Gerichtshof dürfen etwa Einwahldaten und damit die temporären IP-Adressen eines Benutzers nur noch bis zur Abrechnung durch die Provider gespeichert werden. Das ist auch die Crux des „Deep Freeze“-Verfahrens in Österreich: Einwahlzeitraum und temporäre IP-Adressen der Kunden wurden bis jetzt überhaupt nicht erhoben, da sie angesichts der Flatrates bei den Tarifen für die Provider bis jetzt nicht relevant waren.
EU
So wird der Prozess rund um erneuerbare Speicheranweisungen im zugehörigen Ratsdokument (siehe Bild oben) dargestellt
Was in Österreich zu erwarten ist
Diese nachgerade hektischen Maßnahmen auf EU-Ebene - die hier geschilderte Regelung ist ja nur Teil eines enormen EU-weiten Überwachungspaktes - und der enge Zeitrahmen zur Umsetzung von „Deep Freeze“ in Österreich gehen auf denselben Grund zurück.
Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Verbindungen via TOR-Netz willkommen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Quer durch Europa haben sich die nationalen Polizeibehörden gegenüber sogenannten islamistischen „Gefährdern“ als überfordert erwiesen. Es handelt sich zwar um relativ überschaubare Gruppen, die je nach Größe des Mitgliedsstaats ein paar Dutzend bis wenige tausend Personen umfassen, die obendrein fast alle namentlich bekannt sind.
Dennoch kamen aus solchen Kreisen so gut wie alle verheerenden Terroranschläge der letzten Jahre in Paris, London oder München. Alle Täter waren davor schon einschlägig polizeibekannt. Für Österreich ist daher ab Juni mit einer ganzen Serie von „Deep Freeze“-Anordnungen der Behörden an die Provider zu rechnen.
Publiziert am 01.05.2018
