Rabiater „Kompromiss“ zur EU-weiten Überwachung
Von Erich Moechel
Die slowenische Ratspräsidentschaft hat einen ersten Kompromissvorschlag vorgelegt, der die gestrandete Verordnung zur grenzüberschreitenden Beweissicherung in der Cloud („E-Evidence“) wieder flottmachen soll. Das geht aus einem internen Dokument des EU-Ministerrats hervor, das ORF.at vorliegt.
Dieser ziemlich rabiate „Kompromiss“ schlägt dem EU-Parlament vor, seine wichtigsten Forderungen einfach fallenzulassen. Dabei geht es um eine Benachrichtigungspflicht an die Justiz im betroffenen Staat, wenn ausländische Strafverfolger von dort niedergelaѕsenen Providern die Herausgabe von Stamm- und Kommunikationsdaten verlangen.
EU-Ministerrat
Aufforderung, klein beizugeben
Die großen Differenzen haben sich bereits im Jänner in einem von der Ratspräsidentschaft versehentlich selbst geleakten Statusreport abgezeichnet.
Nach Ansicht der Ratspräsidentschaft ist die Voraussetzung für die Finalisierung der Verordnung, dass sich Parlament, Kommission und Rat darauf einigen, dass es für sogenannte „Aufbewahrungsanordnungen“ („Preservation Orders“) keine Benachrichtigungspflicht für die Behörden in jenem Land geben soll, in dem die Daten gespeichert und sozusagen als Kopie beschlagnahmt werden. Zudem soll eine solche Benachrichtigung keine aufschiebende Wirkung haben. Beides sind aber Kernforderungen des Parlaments, nach dessen Rechtsverständnis die Behörden in jenem Staat, in dem die Überwachung durchgeführt wird, ja Kenntnis darüber haben müssten.
Diese Behörden müssten in der Lage sein, die Rechtmäßigkeit dieser „Preservation Orders“ zu überprüfen, etwa um die Grundrechte ihrer eigenen Bevölkerung schützen zu können, heißt es seitens des Parlaments. Ministerrat und Kommission sind vehement dagegen, ihr einziges Argument ist kein juristisches, sondern ein bürokratisches, es betrifft nur die Durchführung dieser Anordnungen. Die Forderung des Parlaments würde zu einer Flut an verpflichtenden Benachrichtigungen an die Behörden in jenem Staat zur Folge haben, in dem die Überwachungsanordnung aus dem Ausland durchgeführt bzw. bei Nichtbeachtung sanktioniert werden muss.
EU-Ministerrat
Geschwindigkeit vor Rechtsstaatlichkeit
Obwohl „E-Evidence“ EU-intern noch längst nicht akkordiert ist, hat der Ministerrat schon im April Verhandlungen mit den USA über ein gleichartiges Abkommen aufgenommen.
Ein solches Aufkommen von Benachrichtigungen sei nicht zu bewältigen, schreibt die Ratspräsidentschaft. Die gesamte Verordnung sollte ja in erster Linie die Durchführung von solcher grenzüberschreitender Überwachung beschleunigen. Der herkömmliche Weg im Rahmen von Rechtshilfeansuchen nimmt in der Praxis nämlich jeweils Monate in Anspruch. Ebenfalls uneinig ist man sich über die Rechte von Personen, deren Daten rechtens oder auch zu Unrecht abzogen wurden.
Wie Rat und Kommission zur Annahme kommen, dass so viele Überwachungsorders an Internet- und Serviceprovider in einem EU-Land zu erwarten sind, dass dessen Behörden mit der Überprüfung überfordert wären, steht natürlich nicht im Text. Die überwältigende Mehrheit der Datenzugriffsbegehren wird nämlich Einwohner jenes EU-Staats betreffen, der Zugriff auf Datensätze verlangt, die in einem anderen EU-Land gespeichert werden. Dieses Land wird in den allermeisten Fällen die Republik Irland sein, denn dort sind - von Facebook bis Microsoft - mit wenigen Ausnahmen alle US-Internetkonzerne in Europa niedergelassen.
EU-Ministerrat
Mögliche Szenarien und Sollbruchstellen
Im Oktober 2019 haben die USA bereits mit Großbritannien ein vergleichbares Abkommen unterzeichnet, ratifiziert ist es bis heute offenbar noch nicht.
Irland wiederum hat die Datenschutzgrundverordnung von Anfang an sabotiert, indem Datenschutzbeschwerden gegen diese Konzerne systematisch nicht behandelt werden. Wenn überhaupt, dann geschieht das in der Regel nach jahrelanger Wartezeit, Max Schrems könnte davon ein ganzes Liederbuch singen. Dass Irland nun auf eine weitere, um ein Vielfaches größere Zahl an zu überprüfenden Überwachungsanordnungen, die von Strafverfolgern aus der gesamten EU eingereicht werden, anders reagiert, wird wohl von niemandem erwartet. Dabei fällt völlig unter den Tisch, dass es sich hier zwar um das Gros, aber längst nicht um alle solchen grenzüberschreitenden Datenzugriffswünsche handelt.
Dadurch werden nämlich Überwachungsszenarien möglich, in denen etwa Spanien Kommunikationsdaten der exilierten katalanischen Separatisten verlangt, oder die polnische Regierung von WhatsApp die Stamm-, Kommunikations- und Inhaltsdaten von bestimmten LGBT-Aktivist:innen anfordert, etwa wegen Verhöhnung religiöser Werte. Das Regime Viktor Orban wiederum kann sich das Geld für die „Pegasus“-Schadsoftware, mit der in Ungarn Journalisten und politische Gegner überwacht werden, in Hinkunft sparen. Man schickt dann einfach eine „Preservation Order“ an One Microsoft Place in Dublin, das europäische Hauptquartier des gleichnamigen Internetkonzerns.
Ratspräsidentschaft
Was daraus gefolgert werden kann
Begonnen hat alles im Jänner 2017, als Europol und das FBI unter dem reißerischen Titel „Going Dark“ - „Wir werden blind“ eine Kampagne für polizeiliche Überwachung von Cloud-Services gestartet hat.
Es wird eine noch vielfach größere Zahl von zweifelhaften Fällen geben, bei denen Daten missbräuchlich oder irrtümlich erhoben werden, wenn etwa Aliasnamen (also pseudonyme Daten, die auf eine bestimmte Person verweisen) von den Strafverfolgern einer anderen Person zugeordnet werden. Beides wird bei auf Smartphones basierten Megaplattformen wie etwa WhatsApp keine besondere Ausnahme sein, sondern es wird ein täglicher Prozentsatz solcher Ermittlungsfehler von ungewisser Höhe anfallen. Diese erwartbaren Sachverhalte finden sich in der Position des EU-Parlaments wieder.
Wenn sich Ministerrat und Kommission in einem bestimmten Punkt partout keinen Millimeter in Richtung Kompromiss bewegen wollen, auch wenn die betreffende Regulation dadurch monatelang stagniert, dann muss es einen bestimmten Grund dafür geben. Der steht freilich nie in normalen Ratsdokumenten, in dem die Positionen der Mitgliedsstaaten stets ausgespart sind. Gespräche darüber werden auf höherrangiger diplomatischer Ebene, nämlich im Ausschuss der ständigen Vertreter bei der EU (COREPER) geführt.
Dort gibt es nur mündliche Vorträge, ein Sitzungsprotokoll gibt es nämlich nicht, nur Mitschriften der Delegationen aus den Mitgliedsstaaten selbst. Dort geht es auch um heikle Angelegenheiten wie Junktimierungen oder Vetodrohungen einzelner Staaten. Eines davon oder auch beides sollte dafür verantwortlich sein, dass sich Rat wie Kommission in den umstrittenen Punkten der Verordnung zur Beweissicherung in der Cloud absolut nicht bewegen können.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 03.10.2021