FM4-Logo

jetzt live:

Aktueller Musiktitel:

EU-Karte

Radio FM4 | d-maps.com/carte.php?num_car=260683

Erich Moechel

Rabiater „Kompromiss“ zur EU-weiten Überwachung

Um das Patt zwischen Ministerrat und EU-Parlament bei der „E-Evidence“-Verordnung aufzulösen, hat die slowenische Ratspräsidentschaft eine salomonische Lösung parat: Das Parlament soll seine zentralen Forderungen einfach fallenlassen.

Von Erich Moechel

Die slowenische Ratspräsidentschaft hat einen ersten Kompromissvorschlag vorgelegt, der die gestrandete Verordnung zur grenzüberschreitenden Beweissicherung in der Cloud („E-Evidence“) wieder flottmachen soll. Das geht aus einem internen Dokument des EU-Ministerrats hervor, das ORF.at vorliegt.

Dieser ziemlich rabiate „Kompromiss“ schlägt dem EU-Parlament vor, seine wichtigsten Forderungen einfach fallenzulassen. Dabei geht es um eine Benachrichtigungspflicht an die Justiz im betroffenen Staat, wenn ausländische Strafverfolger von dort niedergelaѕsenen Providern die Herausgabe von Stamm- und Kommunikationsdaten verlangen.

Text

EU-Ministerrat

Das sind die primären Konfliktpunkte zwischen dem EU-Parlament einerseits sowie Rat und Kommission auf der anderen Seite. Das Dokument trägt das Datum 16. September und wurde von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht

Aufforderung, klein beizugeben

Die großen Differenzen haben sich bereits im Jänner in einem von der Ratspräsidentschaft versehentlich selbst geleakten Statusreport abgezeichnet.

Nach Ansicht der Ratspräsidentschaft ist die Voraussetzung für die Finalisierung der Verordnung, dass sich Parlament, Kommission und Rat darauf einigen, dass es für sogenannte „Aufbewahrungsanordnungen“ („Preservation Orders“) keine Benachrichtigungspflicht für die Behörden in jenem Land geben soll, in dem die Daten gespeichert und sozusagen als Kopie beschlagnahmt werden. Zudem soll eine solche Benachrichtigung keine aufschiebende Wirkung haben. Beides sind aber Kernforderungen des Parlaments, nach dessen Rechtsverständnis die Behörden in jenem Staat, in dem die Überwachung durchgeführt wird, ja Kenntnis darüber haben müssten.

Diese Behörden müssten in der Lage sein, die Rechtmäßigkeit dieser „Preservation Orders“ zu überprüfen, etwa um die Grundrechte ihrer eigenen Bevölkerung schützen zu können, heißt es seitens des Parlaments. Ministerrat und Kommission sind vehement dagegen, ihr einziges Argument ist kein juristisches, sondern ein bürokratisches, es betrifft nur die Durchführung dieser Anordnungen. Die Forderung des Parlaments würde zu einer Flut an verpflichtenden Benachrichtigungen an die Behörden in jenem Staat zur Folge haben, in dem die Überwachungsanordnung aus dem Ausland durchgeführt bzw. bei Nichtbeachtung sanktioniert werden muss.

Text

EU-Ministerrat

Das sind die Forderungen des Parlaments: Solchermaßen Überwachte haben ex post grundsätzlich das Recht auf Information, außer die anfragenden Behörden verlangen eine Informationssperre und können diese auch begründen. Punkt zwei ist, dass die betroffenen Personen sowohl in ihrem Wohnsitzland wie auch im Datenabgriffsstaat Beschwerde einlegen können. Dass es nicht einmal selbstverständlich ist, dass zu Unrecht abgegriffene personenbezogene Datensätze gelöscht werden müssen, zeigt, wie fest sich Rat und Kommission bei dieser Verordnung einbetoniert haben.

Geschwindigkeit vor Rechtsstaatlichkeit

Obwohl „E-Evidence“ EU-intern noch längst nicht akkordiert ist, hat der Ministerrat schon im April Verhandlungen mit den USA über ein gleichartiges Abkommen aufgenommen.

Ein solches Aufkommen von Benachrichtigungen sei nicht zu bewältigen, schreibt die Ratspräsidentschaft. Die gesamte Verordnung sollte ja in erster Linie die Durchführung von solcher grenzüberschreitender Überwachung beschleunigen. Der herkömmliche Weg im Rahmen von Rechtshilfeansuchen nimmt in der Praxis nämlich jeweils Monate in Anspruch. Ebenfalls uneinig ist man sich über die Rechte von Personen, deren Daten rechtens oder auch zu Unrecht abzogen wurden.

Wie Rat und Kommission zur Annahme kommen, dass so viele Überwachungsorders an Internet- und Serviceprovider in einem EU-Land zu erwarten sind, dass dessen Behörden mit der Überprüfung überfordert wären, steht natürlich nicht im Text. Die überwältigende Mehrheit der Datenzugriffsbegehren wird nämlich Einwohner jenes EU-Staats betreffen, der Zugriff auf Datensätze verlangt, die in einem anderen EU-Land gespeichert werden. Dieses Land wird in den allermeisten Fällen die Republik Irland sein, denn dort sind - von Facebook bis Microsoft - mit wenigen Ausnahmen alle US-Internetkonzerne in Europa niedergelassen.

Text

EU-Ministerrat

Das ist der „Kompromiss“, den die slowenische Ratspräsidentschaft in den Raum gestellt hat. Statt zeitnaher, individueller Benachrichtigungen sollte es einmal jährlich aggregierte Zahlen in Form einer pauschalen Abrechnung zwischen den beteiligten Staaten geben.

Mögliche Szenarien und Sollbruchstellen

Im Oktober 2019 haben die USA bereits mit Großbritannien ein vergleichbares Abkommen unterzeichnet, ratifiziert ist es bis heute offenbar noch nicht.

Irland wiederum hat die Datenschutzgrundverordnung von Anfang an sabotiert, indem Datenschutzbeschwerden gegen diese Konzerne systematisch nicht behandelt werden. Wenn überhaupt, dann geschieht das in der Regel nach jahrelanger Wartezeit, Max Schrems könnte davon ein ganzes Liederbuch singen. Dass Irland nun auf eine weitere, um ein Vielfaches größere Zahl an zu überprüfenden Überwachungsanordnungen, die von Strafverfolgern aus der gesamten EU eingereicht werden, anders reagiert, wird wohl von niemandem erwartet. Dabei fällt völlig unter den Tisch, dass es sich hier zwar um das Gros, aber längst nicht um alle solchen grenzüberschreitenden Datenzugriffswünsche handelt.

Dadurch werden nämlich Überwachungsszenarien möglich, in denen etwa Spanien Kommunikationsdaten der exilierten katalanischen Separatisten verlangt, oder die polnische Regierung von WhatsApp die Stamm-, Kommunikations- und Inhaltsdaten von bestimmten LGBT-Aktivist:innen anfordert, etwa wegen Verhöhnung religiöser Werte. Das Regime Viktor Orban wiederum kann sich das Geld für die „Pegasus“-Schadsoftware, mit der in Ungarn Journalisten und politische Gegner überwacht werden, in Hinkunft sparen. Man schickt dann einfach eine „Preservation Order“ an One Microsoft Place in Dublin, das europäische Hauptquartier des gleichnamigen Internetkonzerns.

Dokument der Ratspräsidentschaft

Ratspräsidentschaft

Insgesamt sind es vier verschiedene Kategorien von Daten, die - je nach Bestand - europäische Strafverfolger von Telekoms & Internetservices anfordern können. Stammdaten: Namen und Adressen von Benutzern, gebuchte Services und Zahlungsmodalitäten inklusive Bankverbindungen. Zugangsdaten: Daten und Uhrzeiten der Benutzung, IP-Adressen, interne User-ID. Metadaten: Absender und Empfänger von E-Mails, Geodaten der Endgeräte, genutzte Protokolle usw. Sowie alle Inhaltsdaten, die gespeichert wurden, also Texte, Bilder, Audios oder Videos. Der Screenshot stammt aus dem letzten durch ein Leak bekanntgewordenen Dokument der vorangegangenen portugiesischen Ratspräsidentschaft.

Was daraus gefolgert werden kann

Begonnen hat alles im Jänner 2017, als Europol und das FBI unter dem reißerischen Titel „Going Dark“ - „Wir werden blind“ eine Kampagne für polizeiliche Überwachung von Cloud-Services gestartet hat.

Es wird eine noch vielfach größere Zahl von zweifelhaften Fällen geben, bei denen Daten missbräuchlich oder irrtümlich erhoben werden, wenn etwa Aliasnamen (also pseudonyme Daten, die auf eine bestimmte Person verweisen) von den Strafverfolgern einer anderen Person zugeordnet werden. Beides wird bei auf Smartphones basierten Megaplattformen wie etwa WhatsApp keine besondere Ausnahme sein, sondern es wird ein täglicher Prozentsatz solcher Ermittlungsfehler von ungewisser Höhe anfallen. Diese erwartbaren Sachverhalte finden sich in der Position des EU-Parlaments wieder.

Wenn sich Ministerrat und Kommission in einem bestimmten Punkt partout keinen Millimeter in Richtung Kompromiss bewegen wollen, auch wenn die betreffende Regulation dadurch monatelang stagniert, dann muss es einen bestimmten Grund dafür geben. Der steht freilich nie in normalen Ratsdokumenten, in dem die Positionen der Mitgliedsstaaten stets ausgespart sind. Gespräche darüber werden auf höherrangiger diplomatischer Ebene, nämlich im Ausschuss der ständigen Vertreter bei der EU (COREPER) geführt.

Dort gibt es nur mündliche Vorträge, ein Sitzungsprotokoll gibt es nämlich nicht, nur Mitschriften der Delegationen aus den Mitgliedsstaaten selbst. Dort geht es auch um heikle Angelegenheiten wie Junktimierungen oder Vetodrohungen einzelner Staaten. Eines davon oder auch beides sollte dafür verantwortlich sein, dass sich Rat wie Kommission in den umstrittenen Punkten der Verordnung zur Beweissicherung in der Cloud absolut nicht bewegen können.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: