Grenzüberschreitende Datenzugriffe wieder in der Schwebe
Von Erich Moechel
Anfang September übernimmt die slowenische Ratspräsidentschaft auch operativ die Führung im EU-Ministerrat. Nach den jüngsten Kommentaren des slowenischen Premiers Janez Jansa zur EU-Rechtsordnung sind in Brüssel die Erwartungen an nennenswerte Fortschritte im kommenden Halbjahr allerdings so niedrig wie selten zuvor.
Die laufenden Trilog-Verhandlungen zwischen Ministerrat, EU-Parlament und Kommission über die Verordnung zur grenzüberschreitenden Beweissicherung in der Cloud („E-Evidence“) werden auf der Website der Ratspräsidentschaft nicht einmal erwähnt. Wie ein Blick hinter die Kulissen des Ministerrats zeigt, ist die Gemengelage dort auch so schon hinlänglich komplex.
Ratspräsidentschaft
Dieser Screenshot stammt von der Website der slowenischen Ratspräsidentschaft. In einem Interview mit der polnischen Nachrichtenagentur PAP, das über die slowenische Nachrichtenagentur STA am 5. August in ganz Europa verbreitet wurde, hatte der Regierungschef des EU-Vorsitzlandes Sloweniens dafür plädiert, missliebige EU-Regulationen durch nationale Verfassungsänderungen zu umgehen: „Das EU-Recht steht über den nationalen Gesetzen, hat aber keinen Vorrang vor den Verfassungen der Mitgliedsstaaten“. Aufgrund der Mehrheitsverhältnisse in den Parlamenten war das bis jetzt nur in Ungarn möglich, nicht aber in Slowenien oder Polen.
Ungarn, Polen und Slowenien
Dazu in ORF.at vom 5.8.
Solche Aussagen eines Ministerpräsidenten 5 Wochen nach der Übernahme der EU-Ratspräsidentschaft und drei Wochen vor der Übernahme der operativen Geschäfte im Ministerrat werden in diplomatischen Kreisen allgemein „als wenig hilfreich“ bewertet. Zudem hatte schon die portugiesische Ratspräsidentschaft, die betont gutwillig und optimistisch angetreten war, nur minimale Fortschritte erzielt. Was die portugiesische Delegation in ihrem Abschlussdokument an Fortschritten auflistet, ist eher als Ansammlung von Marginalien zu bezeichnen.
Akkordiert wurden da zum Beispiel die Definition von Service-Providern und die Datenkategorien, sowie die Gründe für einen solchen Provider, eine „Preservation Order“ einer Behörde aus dem EU-Ausland aus formalen Gründen nicht zu exekutieren. Diese „Preservation Orders“ sind einfach die Anordnungen einer zuständigen Behörde eines EU-Staats an einen Service-Provider in einem anderen EU-Staat, ein bestimmtes Set an Daten eines bestimmten Benutzerkontos zu liefern. Die Beurteilung, ob diese Anordnung etwa eines polnischen oder ungarischen Staatsanwalts überhaupt rechtmäßig ist, liegt dann bei den Service-Providern.
Ratspräsidentschaft
Insgesamt sind es vier verschiedene Kategorien von Daten, die - je nach Bestand - europäische Strafverfolger von Telekoms & Internetservices anfordern können. Stammdaten: Namen und Adressen und Adressen von Benutzern, gebuchte Services und Zahlungsmodalitäten inklusive Bankverbindungen. Zugangsdaten: Daten und Uhrzeiten der Benutzung, IP-Adressen, Interne User-ID. Metadaten: Absender und Empfänger von E-Mails, Geodaten der Endgeräte, genutzte Protokolle usw. Sowie alle Inhaltsdaten, die gespeichert wurden, also Texte, Bilder, Audios oder Videos. Das letzte durch ein Leak bekanntgewordene Dokument stammt noch von der portugiesischen Ratspräsidentschaft.
Selbstverständliche Fortschritte
Die großen Differenzen hatten sich bereits im Jänner in einem von der Ratspräsidentschaft versehentlich selbst geleakten Statusreport abgezeichnet.
Weiters wurde von der portugiesischen Ratspräsidentschaft eine rechtstaatliche Selbstverständlichkeit als „Kompromiss“ verkauft, nämlich dass der Anwalt eines Beschuldigten Einsicht in diese transnationalen Überwachungsanordnungen nehmen kann. Vom Parlament rundweg abgelehnt wurden hingegen die mehrheitlichen Begehrlichkeiten im Rat auf erweiterte Zugriffsrechte bei Gefahr im Verzug auch auf Daten aus dem Gesundheitssektor [!] sowie die Herausgabe von persönlichen Daten quasi auf Zuruf einer Polizeibehörde aus dem EU-Ausland, die noch keine Zeit hatte, eine solche Order von einer national zuständigen Gerichtsinstanz einzuholen.
Die im EU-Parlament mehrheitlich beschlossene verpflichtende ex post Benachrichtigung einer solchermaßen aus dem Ausland überwachten Person hat derzeit keine Mehrheit im Ministerrat. Italien, Frankreich und Spanien sind hier die Hardliner, sie berufen sich darauf, dass in der Regel ohnehin meist Daten von im Inland lebenden Verdächtigen angefordert würden, wobei diese Daten halt nicht im eigenen Land, sondern anderswo gespeichert seien. Deutlicher hat man noch selten gehört, dass diese Begehrlichkeiten in erster Linie Datensätze aus dem Facebook-Konzern betreffen. Allerdings sind daneben von Telekoms bis zu Sicherheitsdienstleistern reihenweise europäische Firmen mitbetroffen.
boxcryptor.com
Eine solcher Sicherheitsdiensteleister ist zum Beispiel das deutsche Start-Up Boxcryptor, über dessen Software europäische KMUs ihre Daten etwa bei Microsoft Azure oder drei Dutzend anderen namhaften Cloud-Anbietern selbst absichern können. Die obige Grafik stammt von dieser Firma und zeigt wie die nationalen Polizeibehörden umgangen und zu reinen Hilfsdienstleistern werden, um Datenzugriffe aus dem EU-Ausland durchzusetzen, indem sie Sanktionen gegen Firmen verhängen, die einem solchen Begehren aus irgendeinem Grund nicht nachgekommen sind.
Erwartungen gegen null
Die jüngsten Entwicklungen in Ungarn und in Polen, die allesamt die jeweiligen Justizsysteme betreffen, haben gleichfalls dazu kaum dazu beigetragen, die Brüsseler Erwartungen auf Fortschritte bei dieser Regulation nahe Null zu bringen. Dieser Entwurf basiert ja auf einer Gleichwertigkeit bzw. wenigstens Vergleichbarkeit der nationalen Justizsysteme untereinander. In den internen Papieren aus dem Ministerrat, soweit sie eben vorliegen, liest man davon nichts, denn solche Kontroversen werden auf hoher Ratsebene nie zentral protokolliert. Vielmehr fertigt jede nationale Delegation ihre eigenen Protokolle der Gespräche an, die entsprechend auch im engeren Diplomatenkreis gehalten werden.
Im übrigen wird im EU-Ministerrat auf gut diplomatisch halt weiter so getan, als säßen da nicht die Vertreter zweier Mitgliedstaaten mit am Verhandlungstisch, gegen die wegen des Umbaus ihrer Rechtssysteme in Richtung einer Rechtsdiktatur Verfahren wegen wiederholter und systematischer Verstöße gegen EU-Recht laufen. Dazu kommt nun die Ratspräsidentschaft eines Landes, dessen Ministerpräsident gerade mit einem solchen Umbau des nationalen Rechtssystems begonnen hat.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 15.08.2021
