Missbrauchspotenzial in neuer EU-Verordnung zu digitalen Beweismitteln

Im Gastblog erläutern Lukas Feiler, Mark Nemeth und Ariane Müller welche Auswirkungen die neue EU-E-Evidence-Verordnung auf die Strafverfolgung haben wird und welche Risiken dabei lauern.

Die neue E-Evidence-VO wird es Strafverfolgungsbehörden aus einem EU-Mitgliedsstaat ermöglichen, die Herausgabe digitaler Beweismittel IT-Diensteanbietern gegenüber in anderen EU-Mitgliedsstaaten anzuordnen. Wer nicht binnen zehn Tagen oder in dringenden Fällen sogar binnen acht Stunden antwortet, dem drohen Geldbußen von bis zu zwei Prozent des weltweiten Konzernumsatzes.

Der Kalender wird online geführt, Fotos in der Cloud gespeichert, ein Bankgebäude haben viele seit Langem nicht mehr von innen gesehen, KI-Systeme beantworten alle unsere Fragen und Briefe werden nur mehr in Ausnahmesituationen verschickt. Unser Leben spielt sich vermehrt im digitalen Raum ab – sowohl im privaten als auch im beruflichen Kontext. Stetig wachsende Fallzahlen im Bereich der Cyberkriminalität sind logische Konsequenz dieser Entwicklung. Ob Phishing, Hasspostings oder Cyberstalking: Bei der Aufdeckung solcher Straftaten spielen elektronische Beweismittel eine entscheidende Rolle. Besonders IP-Adressen stellen oftmals einen wichtigen Anknüpfungspunkt für Ermittlungen dar.

Nahaufnahme eines Paragrafzeichen auf Holzblock auf Computertastatur — Mehr und mehr Daten aus dem Leben werden online geteilt. Das ist auch für Ermittlungsbehörden und deren Methoden nicht irrelevant.

Elektronische Beweismittel gewinnen an Relevanz

Elektronische Daten sind aber selbst bei "klassischen" Delikten wie Körperverletzung, Diebstahl oder Betrug besonders aussagekräftige Beweismittel. Gerade in Österreich ist die Relevanz solcher Daten hinlänglich bekannt – man denke an Chat-Nachrichten von Personen der Politik oder die Instagram-Storys eines Terroristen. Bereits in 85 Prozent aller strafrechtlichen Ermittlungen im europäischen Raum kommen laut Statistik des Rats der Europäischen Union digitale Daten zum Einsatz. Diese Tendenz dürfte sich in Zukunft sogar noch verstärken. Verbunden mit einer zunehmenden Internationalisierung von Kriminalität, stellt dies Strafverfolgungsbehörden vor neue Herausforderungen.

Schwierigkeiten bei Daten im Ausland

In Österreich können strafrechtliche Ermittlungen im Zusammenhang mit elektronischen Beweismitteln auf die Strafprozessordnung (StPO) gestützt werden. Befinden sich die Daten jedoch im Ausland, können diese nur im Rahmen von zwischenstaatlichen Abkommen erlangt werden. Eine solche Erledigung kann mitunter zehn Monate oder länger dauern – wenn die benötigten Daten bis dahin überhaupt noch vorhanden sind.

Die seit 2017 bestehende Europäische Ermittlungsanordnung, die es Gerichten und Staatsanwaltschaften von EU-Mitgliedsstaaten ermöglicht, Beweiserhebungen durch Behörden anderer Mitgliedstaaten zu veranlassen, bietet ebenfalls keine zufriedenstellende Lösung. Dies schon deshalb, weil auch hier zwischen Ausstellung der Ermittlungsanordnung und deren Erledigung bis zu 120 Tage vergehen dürfen. In Anerkennung dieses Problems hat die Europäische Kommission bereits 2018 die E-Evidence-VO erarbeitet. Nun haben sich Rat und Parlament der EU endlich auf einen finalen Text geeinigt.

Anbieter werden direkt adressiert

Zentrales Element der E-Evidence-VO ist die Schaffung einer Europäischen Herausgabeanordnung sowie einer Europäischen Sicherungsanordnung, welche direkt an Dienstanbieter (also zum Beispiel Online-Plattform-Anbieter oder Mobilfunkanbieter) gerichtet werden. Wo sich die Daten befinden, ist dabei egal – erfasst sind alle genannten, die ihre Dienste in der EU anbieten sowie eine Niederlassung beziehungsweise einen Sitz oder eine erhebliche Zahl von Nutzerinnen und Nutzern in der EU haben, oder Aktivitäten auf Nutzerinnen und Nutzer in der EU ausrichten.

Bahnbrechend ist, dass die betroffenen Diensteanbieter innerhalb von zehn Tagen nach Erhalt der Anforderung von elektronischen Beweismitteln antworten müssen – in Notfällen sogar innerhalb von acht Stunden. Dies kann Ermittlungsverfahren erheblich beschleunigen.

Anordnungsbefugnisse mit Einschränkungen

Als elektronische Beweismittel kommen Teilnehmerdaten, Transaktionsdaten sowie Inhaltsdaten in Betracht. Das können beispielweise Informationen zur Identität von Kundinnen und Kunden, IP-Adressen, Standortdaten, aber auch Nachrichten oder Fotos sein. Der Anwendungsbereich ist also sehr weit gefasst, die Verordnung soll jedoch nur für Strafverfahren und die Fahndung nach verurteilten Straftätern gelten. Eine präventive Gefahrenerforschung – etwa um Terroranschlägen vorzubeugen – ist hingegen nicht umfasst.

Die Herausgabeanordnung wird von einer Justizbehörde an einen im Ausland ansässigen Diensteanbieter gerichtet und ordnet die Übermittlung elektronischer Beweismittel an. Um zu verhindern, dass die betreffenden Daten frühzeitig gelöscht werden, gibt es zusätzlich die Möglichkeit der Sicherungsanordnung.

Die Befolgung einer Herausgabe- oder Sicherungsanordnung kann von Diensteanbietern aus mehreren Gründen verweigert werden, etwa wenn diese der Pressefreiheit oder Rechtsvorschriften eines Nicht-EU-Staates widerspricht oder die Befolgung faktisch unmöglich ist. Die Verweigerung der Befolgung stellt jedoch für Dienstanbieter in der Regel ein großes Risiko dar. Bei unberechtigter Ablehnung drohen nämlich Strafen von bis zu zwei Prozent des weltweiten jährlichen Konzernumsatzes.

Diensteanbieter werden sich daher zweimal überlegen, ob sie eine Anordnung nicht befolgen wollen – auch wenn augenscheinlich ein Ablehnungsgrund vorliegt. Dies stellt ein Einfallstor für Missbrauch dar: Auch überschießende oder verordnungswidrige Anordnungen haben durch das drohende Risiko der Vollstreckung eine höhere Befolgungswahrscheinlichkeit.

Erhebliches Missbrauchspotenzial

Für Diskussion sorgt insbesondere auch die Frage der Vereinbarkeit der geplanten Verordnung mit der EU-Grundrechtecharta (insbesondere den Grundrechten auf Achtung des Privat- und Familienlebens und auf Schutz personenbezogener Daten). Zwar müssen die Herausgabe beziehungsweise die Sicherung der Beweismittel grundsätzlich von Richterinnen, Richtern oder der Staatsanwaltschaft angeordnet werden. In Notfällen darf jedoch die Polizei von sich aus tätig werden. In diesen Fällen kann die Rechtmäßigkeit der Anordnung erst im Nachhinein überprüft werden. Dies birgt ein erhebliches Missbrauchspotenzial.

Zudem ist fraglich, wie wirksam sich die in der E-Evidence-VO anvisierten Rechtsschutzmechanismen in der Praxis erweisen. Die Verordnung sieht die Einrichtung wirksamer Rechtsbehelfe vor einem staatlichen Gericht vor. Die konkrete Ausgestaltung dieser Rechtsbehelfe wird aber den einzelnen Mitgliedstaaten überlassen. Dass diese Ausgestaltung in tatsächlich wirksame Rechtsbehelfe mündet, ist insbesondere bei Mitgliedstaaten mit Rechtsstaatlichkeitsdefizit anzuzweifeln.

Rechtlicher Spießrutenlauf

Für Diensteanbieter bringt die E-Evidence-Verordnung jedenfalls einen nicht vernachlässigbaren Kostenaufwand und neue Compliance-Risiken mit sich. Einen Ersatz für die Kosten der Datenübermittlung oder Datensicherung können Diensteanbieter nur dann beantragen, wenn das Recht des Staates, der die Anordnung ausstellt, für vergleichbare innenstaatliche Anordnungen einen Kostenersatz vorsieht. Ein solcher Kostenersatz ist in Österreich nach der Überwachungskostenverordnung nur in manchen Fällen und nur in der Höhe von 80 Prozent des Aufwands vorgesehen. Die Kosten der Strafverfolgung den Diensteanbietern aufzuerlegen, wäre im Lichte des Grundrechts auf Eigentum sowie der unternehmerischen Freiheit jedenfalls unzulässig. Wenig nachvollziehbar ist daher, weshalb der Unionsgesetzgeber die Kostenersatzpflicht nicht einheitlich geregelt hat.

Immerhin soll die neue Verordnung das Risiko von Schadenersatzklagen der betroffenen Personen gegen Diensteanbieter durch einen Haftungsausschluss adressieren. Dies gilt für den Fall, dass der Schaden aus der gutgläubigen Befolgung einer Übermittlungs- oder Sicherungsanordnung resultiert. Aus dem Verordnungstext ergibt sich aber wiederum nicht, wo die Grenze der Gutgläubigkeit liegt. Gemeinsam mit dem finanziellen Risiko im Fall der Nichtbefolgung einer Anordnung ergibt das für Diensteanbieter eine erhebliche Herausforderung.

Mit einer Veröffentlichung der E-Evidence-VO ist innerhalb von wenigen Monaten zu rechnen. Sie wird drei Jahre danach in Geltung treten. Insgesamt ist die neue Verordnung aus mehreren Blickwinkeln problematisch. Missbrauchspotenzial besteht offensichtlich, Grundrechte werden nicht effektiv geschützt, und Dienstanbieter werden durch eine hohe Anzahl an Anordnungen herausgefordert werden. (Lukas Feiler, Mark Nemeth, Ariane Müller5.6.2023)

Blog: IT-Recht entschlüsselt