Die Zukunft grenzüberschreitenden Datenzugriffs und politischer Verfolgung
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Title of Series | ||
| Number of Parts | 254 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/53166 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
| |
| Keywords |
00:00
Video projectorLINUXRouter (computing)Content (media)MetadataComputer animationLecture/Conference
01:31
ZugriffService (economics)FacebookPerspective (visual)Parameter (computer programming)Physical lawComputing platformSeries (mathematics)EmailGoogleMittelungsverfahrenContent (media)Lecture/Conference
05:01
IMPACT <Programmierumgebung>InternetPlot (narrative)ZugriffMittelungsverfahrenKommunikationState of matterInternetGebiet <Mathematik>Computer animation
07:36
Wechselseitige InformationState of matterExecution unitGebiet <Mathematik>Abgeschlossenheit <Mathematik>Similarity (geometry)Dynamic rangeInsertion lossSequenceOpen setScheibeComputer animation
11:30
MicrosoftAlgebraic closureACT <Programm>MicrosoftBusiness reportingInstanz <Informatik>IP addressPoint cloudBeam (structure)Lattice (order)Computer animation
13:26
MicrosoftAlgebraic closureACT <Programm>ProviderWeb serviceGebiet <Mathematik>State of matterData storage deviceLibrary (computing)CW-KomplexBusiness reportingConflict (process)Data typeControl engineeringProviderContent (media)HöhePhysical lawScale (map)Electronic data processingCalculationPlot (narrative)FacebookMetadataTwitterAlgebraic closureDatenausgabeComputer animation
21:40
ProviderWeb serviceInternetConstraint (mathematics)Process (computing)Wage labourAnbindung <Informatik>BRIEF <Programm>Lattice (order)State of matterStandard deviationBusiness reportingControl engineeringMobile WebPlane (geometry)Video trackingParameter (computer programming)ZugriffConstraint (mathematics)InternetProviderKAM <Programm>MicrosoftVirtuelles privates NetzwerkComputer animation
29:54
Solar timeThread (computing)Exploit (computer security)Point cloudComputer animation
30:48
ProviderMicrosoftInstanz <Informatik>Length of stayLecture/Conference
31:45
ZugriffWalkthroughConstraint (mathematics)Parameter (computer programming)Conflict (process)Negative numberInternetState of matterMicrosoftSage <Programm>Internationalization and localizationSequenceComputer animation
33:16
SequenceState of matterLösung <Mathematik>Wirkung <Physik>Physical lawReal numberHIT <Programm>Anordnung <Mathematik>Lecture/Conference
35:16
Computer animationLecture/Conference
35:50
InternetForcePoint cloudScale (map)Bus (computing)Content (media)Category of beingNegative predictive valueLecture/Conference
39:48
HTTPopenSUSELecture/ConferenceComputer animation
Transcript: German(auto-generated)
00:20
Wir kommen zu unserem nächsten Talk. Unsere nächste Speakerin ist Elisabeth Niecrenz. Sie ist Juristin und politische Referentin bei Digitale Gesellschaft e.V. in Berlin. Elisabeth hat hier quasi vor der Haustür an der Universität Leipzig Rechtswissenschaften studiert und war während ihres Referendariats als
00:43
Repetitorin für Strafrecht und Strafprozess recht tätig. 2018 hat Elisabeth den Sammelband Chaos zur Konstitution, Subversion und Transformation von Ordnung mit herausgegeben. Heute geht es aber um ein etwas anders gelagertes Thema, nämlich die Frage, wie es bei
01:02
internationalen Abkommen zur Herausgabe von Metadaten und Inhalten eigentlich um den Grundrechtsschutz bestellt ist und wie Vorhaben wie die EU E-Evidenzverordnung die grenzüberschreitende Strafverfolgung verändern und zugleich politische Repression eine neue Dimension verleihen könnten. In diesem Sinne begrüßen wir mit einem warmen Applaus hier auf
01:24
der Bühne Elisabeth Niecrenz. Ja, ganz herzlichen Dank für die Ankündigung.
01:40
Jetzt muss ich noch kurz sehen, wie wir. Ah ja, sehr gut. Also ganz lieben Dank für die Ankündigung nochmal. Ich freue mich sehr, heute über den grenzüberschreitenden Datenzugriff von Strafverfolgungsbehörden besprechen zu dürfen. Und der Anlass, es wurde auch schon erwähnt, in der Ankündigung dieses Thema aus einer EU Perspektive zu besprechen,
02:03
das ist natürlich die E-Evidenz Verordnung, die derzeit im Brüsseler Parlament verhandelt wird und von der sicherlich die eine oder der andere schon gehört haben. Diese Verordnung soll es Ermittlungsbehörden aus Spanien, Frankreich, Ungarn oder auch Polen ermöglichen, Dienstleister zum Beispiel in Deutschland zur Herausgabe von persönlichen Daten
02:21
in Strafverfahren zu verpflichten, ohne dass hiesige Behörden in Wörtchen mitzureden hätten. Diese Verordnung steht aber auch nicht singulär im Raum, sondern eigentlich in einem Kontext von der ganzen Reihe von internationalen Regulierungen der letzten Jahre, die ich heute ein Stück weit mitbeleuchten möchte, um das sozusagen nicht so singulär zu betrachten. Damit werden
02:42
auch einige herbegebrachte Prinzipien des Völkerrechts beziehungsweise der internationalen Rechtshilfe durchaus in Frage gestellt und zwar immer an, wenn es also um elektronisch gespeicherte Beweismittel, um Daten sozusagen geht. Ich denke, es ist zu berücksichtigen, dass man sich aus einer europäischen oder aus einer deutschen Sicht die Frage, ob wir
03:03
zum Beispiel wollen, dass ein Unternehmen wie Facebook oder Google Daten in den hiesigen Strafverfahren herausgeben muss, wenn es etwa im Kontext von oder um den Kontext von Hasskriminalität geht, der in Deutschland jetzt gerade wieder ein großes Thema ist. Diese Frage
03:21
darf man sich nicht isoliert stellen, sondern man muss es sich gemeinsam stellen mit der Frage, ob denn dann auch ungarische oder spanische Ermittlungsbehörden, E-Mail-Anbieter, wie sagen wir, Mailbox, Postillo, etc. verpflichten können sollen, E-Mail-Daten und Transaktions, E-Mail-Inhalte oder Transaktionsdaten herauszugeben, ob wir uns wünschen,
03:41
dass in dem Fall deutsche Behörden eigentlich ein Wörtchen mitzureden haben sollten. Man soll sie außerdem gemeinsam stellen mit der Frage, wie wir denn eigentlich damit umgehen würden, wenn eines Tages mal Anbieter wie TikTok aus China oder VK, VKontakte aus Russland für Ermittlungsbehörden hier interessant werden würden, etwa weil Personen
04:01
ganz häufig Straftaten über diese Plattformen gegeben oder sich darüber dazu verabreden oder sonst interessante Beweismittel dort liegen. Würden wir dann, um schnellen Zugriff auf diese Daten zu erlangen, im Gegenzug den chinesischen oder russischen Ermittlungsbehörden auch ermöglichen wollen, auf Daten, die hierzulande gespeichert sind,
04:20
von deutschen Anbietern zugreifen? Und wie würden wir denn eigentlich darauf reagieren, wenn diese Länderunternehmen einfach einseitig verpflichten würden, ihnen Daten aus Deutschland abzuliefern? Vor dem Hintergrund einer Forderung, die so in etwa lautet, dass das Netz kein rechtsfreier Raum sein darf und dass man praktisch ja irgendwie an die Daten rankommen müsse, werden die langfristigen
04:42
Auswirkungen, die ein solches Law Enforcement auch ein Stück weit auf die internationale Sicherheitsordnung hat, häufig außen vor gelassen. Und das, obwohl sie in den Fachredebatten eigentlich durchaus erörtert werden und nachzulesen sind. Deswegen möchte ich hier bei diesem Anlass einfach mal ein paar von diesen Problemen und Argumenten beleuchten. Was ist eigentlich das grundlegende Problem,
05:06
das mit Regulierungen wie der E-Evidenzverordnung behoben werden soll? Es lautet, wie aus einem Papier der EU-Kommission kommt oder wie dort gesagt wird, the Internet is largely privately owned and borderless for everyone except authorities pursuing criminal
05:22
investigations. Also es ist eine Binsenweisheit, dass Cloud-Dienste, Social Media und E-Mail-Dienste eine ganz überragende Bedeutung für unsere Kommunikation und auch für unser Denken und Arbeiten haben. Das heißt, immer mehr Daten werden sozusagen online von Anbietern gespeichert und das weckt natürlich auch Begehrlichkeiten und zwar ganz besonders unter Behörden, die in Strafsachen ermitteln
05:44
und für die diese Daten sicherlich im Einzelfall ganz nützlich sein könnten, um etwas herauszufinden. Problematisch wird es nun immer, wenn Daten im Ausland gespeichert sind, also woanders als die Ermittlungen stattfinden, denn dann gelangen Nationalrechtsordnungen an ihre Grenzen. Grundsätzlich gebietet es nämlich der völkerrechtliche Grundsatz
06:03
der Wahrung territorialer Souveränität, Strafverfolgungshandlungen nur im eigenen Staatsgebiet durchzuführen. Und es gibt nun zwei Trends in einigen Regulierungen der letzten Jahre, nämlich den Trend zum Unilateralismus und zur extraterritorialen Ausweitung nationaler
06:21
Befugnisse. Das heißt einerseits, dass ein Stellen an denen Rechtshilfe und internationale Zusammenarbeit im Sinne einer Zusammenarbeit von Staaten stattgefunden hat, traditionell fangen Staaten an, einseitig zu beschließen, dass sie von ihrem Gebiet aus Zugriff oder zumindest die Möglichkeit, Anbieter zu verpflichten, haben wollen,
06:41
Anbieter die Daten woanders speichern, sozusagen diese Daten herausgeben zu lassen. Auf der anderen Seite werden durchaus auch Abkommen geschlossen, also sozusagen wird multilateral gehandelt, die dann allerdings häufig davon leben, dass auch keine Zusammenarbeit mehr stattfinden soll auf der Seite der staatlichen Akteure,
07:00
sondern dass Staaten eigentlich auf die Ausübung ihrer souveränen Rechte, das heißt darüber zu entscheiden, welche Strafverfolgungsbehörden Auswirkungen auf ihr Staatsgebiet haben können, verzichtet wird und sich gegenseitig ungehinderte Befugnisse einräumen. Und das ist, wenn wir an das Konzept der territorialen Souveränität denken, vor allem deshalb problematisch, weil nationale Souveränität bei aller
07:24
Kritik, die man am Konzept Nationalstaat durchaus haben kann, innerhalb des Staaten- und Rechtssystems, in dem wir leben, unter anderem die Funktion hat festzulegen, wer für den Schutz von Grundrechten zuständig ist. Und da gibt es einige Probleme mit den Regulierungen, die nun gemacht
07:41
werden. Um das verstehen zu können, nochmal einen kleinen Blick sozusagen zurück oder auch durchaus noch in die Gegenwart. Wie funktioniert denn eigentlich Zusammenarbeit in Strafsachen, wenn man es mit grenzüberschreitender Kriminalität zu tun hat oder ja sozusagen mit Verfahren, die irgendwie in grenzüberschreitenden Bezug aufweisen bisher. Es gibt seit vielen Jahren
08:02
beziehungsweise fast schon Jahrhunderten Mutual Legal Assistance Treaties auf Englisch, kurz AMLEDS. Das heißt, es gibt viele bilaterale und multilaterale Abkommen, die zwischen Staaten regeln, die man zusammenarbeiten will. Ein wesentlicher Ursprung oder als ein wesentlicher Ursprung gilt das Belgische Auslieferungsgesetz
08:20
von 1833. Belgien wollte damals seine eigene politische Neutralität wahren und hat gesagt, wir liefern schon Personen aus, die gesucht werden wegen Straftaten, allerdings nicht bei politischen Delikten. Ich denke, daran kann man schon ganz gut erkennen, dass in dem Fall das Auslieferungsrecht, aber auch insgesamt die gegenseitige Rechtshilfe durchaus
08:41
eine ziemlich hohe außenpolitische Relevanz haben kann, weil tatsächlich auch nicht alle Staaten sich darüber einig sind, was Straftaten sind und was nicht. Dieses Rechtsgebiet betrifft also sowas wie Auslieferungen, aber auch Maßnahmen auf einer niedrigeren Schwelle, wenn es also darum geht, eine Beweisaufnahme in einem anderen Land durchzuführen, Dokumente zu beschlagnahmen, Zeugen zu befragen und Ähnliches.
09:03
Deutschland ist Teil verschiedener bilateraler und multilateraler Abkommen. Viele davon wurden im 20. Jahrhundert nach dem Zweiten Weltkrieg abgeschlossen. Und der Weg, den man da geht, läuft also grundsätzlich so. Ein Staat stellt eine Anfrage an oder für eine Ermittlungsmaßnahme, eine Auslieferung oder etwas ähnliches
09:20
an den Staat B. Und der Staat B prüft dann zunächst mal die Anfrage und fragt sich, will ich die in meinem, auf meinem Staatsgebiet so beantworten, will ich der nachkommen? Und hat auch die Möglichkeit, diese Anfrage oder die Befolgung sozusagen zu versagen. Und es schließlich erlaubt er auch nicht, Staat A eigenmächtig auf seinem Gebiet diese Maßnahme sozusagen durchzuführen, sondern der Staat B würde sie selbst durchführen,
09:44
wie man hier sieht. Und es gibt so ein paar Gründe. Das gilt sozusagen nicht ganz uneingeschränkt für alle Abkommen. Aber das sind so vier Kriterien, die sehr häufig Gründe dafür sind, eine angefragte Maßnahme nicht auszuführen. Da ist zum einen die Verfolgung politischer Vergehen,
10:02
die häufig ausgeschlossen wird. Ich hatte es schon erwähnt. Auf der anderen Seite liegt die beidseitige Strafbarkeit, Englisch Dual Criminality. Das ist ein Kriterium, das fordert, dass die Tat in beiden betroffenen Staaten eine Straftat ist. Beispiel, was vielleicht alle kennen, ist der Fall Butch de Mont, der schließlich nicht wegen Rebellion an die spanischen Behörden aus Deutschland
10:20
mittels des europäischen Haftbefehls ausgeliefert werden konnte, weil es den Straftatbestand der Rebellion so im deutschen Strafgesetzbuch nicht gibt. Das ist also gewissermaßen auch einleuchtend, dass man als Staat sagt, Mensch, dieses Verhalten, das finden wir hier eigentlich in Ordnung. Wir haben dann eine andere moralische, gesellschaftliche, strafrechtliche Vorstellung. Deswegen nehmen wir in dieser Verfolgung nicht
10:40
teil. Es sind Verstöße gegen den sogenannten Ord Republic. Das sind sozusagen Verstöße gegen ziemlich grundlegende inländische Wertvorstellungen. Also auch für solche Fälle muss es immer sozusagen eine Ausdrucks- oder keine Ausdrucksmöglichkeit, aber eine Möglichkeit der Versagung geben. Und es ist das Prinzip nebisine idem. Das bedeutet, dass wegen einer Tat
11:01
ein Mensch oder eine Person nicht zweimal verfolgt werden darf. Das Problem mit diesen Amlets ist nun, dass das ein Weg ist, der häufig über den diplomatischen Weg verläuft. Da sind viele Behörden auf unterschiedlichen Stellen involviert und der deshalb sehr lange dauert. Also laut EU-Kommission
11:21
sind zehn Monate innerhalb der Europäischen Union derzeit nicht ungewöhnlich. Deshalb besteht eigentlich eine weitgehende Einheitigkeit darüber, dass das System verbessert werden muss, vor allem im Bereich elektronische Daten, weil diese sehr flüchtig sein, gerade so was wie einer dynamischen IP-Adresse kann man gar nicht mal so lange was anfangen. Das sind so
11:40
die Erwägungen. 2013 haben US-Behörden unter anderem deshalb was Neues aufprobiert, kann man so sagen. Sie haben nämlich ein Beschluss erlassen gegen Microsoft, mit dem sie Microsoft verpflichtet haben, Daten aus dem E-Mail-Konto eines Nutzers für ein Strafverfahren zu erhalten oder herauszugeben. Und das Besondere war, dass diese Daten
12:01
auf einem Microsoft Data Center in Irland gespeichert waren. Microsoft hat die Herausgabe verweigert und hatte gesagt, ihr habt gar keine, gar kein Rechtsregime sozusagen über diese Daten und europäisches Datenschutzrecht hindert uns auch daran, die zu übermitteln. Die Behörde hat dann zunächst in erster Instanz im gerichtlichen
12:20
Verfahren gewonnen. Da hat das Gericht also gesagt, Unternehmen auf die US-Rechtanwendung findet, sind verpflichtet, Daten herauszugeben, wenn sie in ihrer Kontrolle sind, egal wo. In der zweiten Instanz im Berufungsverfahren hat allerdings Microsoft obsiegt und es hieß dann, dass die damalige Rechtsgrundlage im Stored Communications Act nicht reicht
12:41
für eine Übermittlung von Daten, die außerhalb der USA gespeichert sind, sodass das Verfahren schließlich vor dem Supreme Court gelandet ist. Und währenddessen wurde es auch einigermaßen zum Politikum, also sowohl Irland als auch die europäische, die EU-Kommission. Viele Verbände, Reporter ohne Grenzen, andere Interessenträger haben sogenannte Amicus Curia Briefings eingereicht. Es wurden Stellungnahmen
13:03
eingereicht und auch so einige akademische Texte. Und all dies hat schließlich dazu geführt, dass die USA ein neues Gesetz erlassen haben, nämlich den Cloud Act. Cloud steht hier für Clarifying Lawful Overseas Use of Data. Und der Cloud Act besagt, dass US-Anbieter verpflichtet sind,
13:23
Daten herauszugeben an US-Behörden, egal wo sie gespeichert sind. Er sieht eine gewisse Möglichkeit zur Regelung von Normkonflikten vor, wenn man da zu einem Konflikt mit dem Rechnen des anderen Landes kommt. Und zwar dürfen sich Anbieter wehren, wenn die Kunden keine US-Personen
13:41
sind und wenn die Offenlegung der Daten die Gefahr begründet, dass der Anbieter Gesetze einer ausländischen Regierung verletzt. Allerdings nicht irgendeiner ausländischen Regierung, sondern nur eines sogenannten Qualifying Foreign Governments. Und das wäre ein Staat, mit dem die USA ein Exekutivabkommen geschlossen haben, darüber, wie solche Datenausgaben funktionieren.
14:03
Derzeit gibt es noch nicht so viele Staaten, mit denen die USA ein solches Abkommen geschlossen haben. Insbesondere mit UK ist das im Oktober jetzt kürzlich passiert. Das bedeutet für Unternehmen mit Sitz in den USA, die in der EU Daten speichern derzeit, dass sie eigentlich regelmäßig gezwungen sind, gegen eines dieser beiden Rechtsregime zu verstoßen.
14:22
Denn tatsächlich verbietet es die Datenschutz-Grundverordnung derzeit, Daten aufgrund solcher Anfragen in die USA herauszugeben. Auf der anderen Seite können sie aber eben durch US-Sitz recht dazu gezwungen werden. Es gibt noch einen anderen Anreiz für Staaten, ein solches Agreement abzuschließen.
14:41
Denn dann kann man auch Anbieter dazu zwingen, Daten herauszugeben an zum Beispiel dann die europäischen Staaten, die in den USA gespeichert sind. Darauf sind natürlich Strafverfolgungsbehörden in der Europäischen Union häufig sehr erpicht, weil ja viele sehr wesentliche Dienste in den USA sitzen. Deshalb hat auch das Vereinigte Königreich im Oktober,
15:02
ich habe es schon erwähnt, ein solches Abkommen geschlossen, was zum Teil auch sehr stark kritisiert wurde. Der Grund ist vor allem, dass dieses Abkommen als das erste seine Art Vorbild für weitere sein kann und dass im Abkommen selbst keine sehr hohen Schutzanforderungen reingeschrieben worden sind. Das heißt, man ließ dann zwar so ein Stück weit das US-Recht und das britische Recht hinein, insoweit es um
15:23
Informationspflichten, Richtervorbehalt, Hürden sozusagen, unter welchen Umständen Daten herausgegeben werden können, geht. Wenn man sich aber vorstellt, dass das Abkommen so auch Vorbild für Abkommen mit Staaten mit einem deutlich niedrigeren Schutzniveau sein könnte, dann steht da leider
15:41
sehr, sehr wenig drin. Mit der EU haben die Verhandlungen für den Abschluss eines solchen Abkommens kürzlich begonnen. Im September fand also ein erstes Treffen statt. Ja, und das verlangt so ein Stück weit logisch eigentlich die Voraussetzung oder zumindest politisch die Voraussetzung, dass man erst mal regelt, wie denn EU-Staaten eigentlich
16:03
untereinander auf Daten zugreifen können, die in einem anderen Staat gespeichert sind. Und damit kommen wir zu E-Evidenz-Verordnungen. So ein kleiner Teil des Skandals ist sozusagen, dass die Kommission bereits Verhandlungen mit den USA begonnen hat, bevor sich das Parlament überhaupt auf den Standpunkt zur E-Evidenz geeinigt hat.
16:22
Das heißt, die Regeln für ein innereuropäisches Vorgehen, die sollten eigentlich so ein Stück weit feststehen, bevor man mit Drittstaaten wie den USA verhandeln kann. Was sieht nun die E-Evidenz-Verordnung vor? In dieser Verordnung soll es darum gehen, dass nach dem Kommissionsentwurf im Verhältnis der EU-Staaten
16:45
zueinander Staaten, sowohl Metadaten als auch Inhaltsdaten, da gibt es einige komplexe Differenzierungen zwischen den Datentypen, herausverlangt werden dürfen, und zwar egal, wo sie gespeichert werden, wo in der EU und egal, wo der Provider sitzt.
17:00
Das funktioniert dann also nicht mehr so, dass der Staat A sich an den Staat B wenden würde, dieser sozusagen eine Prüfung macht und sich schließlich dazu entscheidet, an den Provider heranzutreten oder nicht, sondern hier würde der Staat A, sagen wir mal, Bulgarien, sich direkt an einen möglicherweise in Österreich sitzenden Anbieter wenden mit einer Herausgabeanordnung.
17:24
Und Österreich hätte eigentlich alleine die Rolle, in dem Fall, in dem der Provider nicht compliant ist, also sagt, ich halte mich nicht daran, aus irgendwelchen Gründen sozusagen die Pflicht, eine Sanktion zu verhängen und im Zweifelsfall auch zu vollstrecken. Das ist geknüpft an eine ziemlich kurze Herausgabeflurst
17:42
von zehn Tagen, in Notfällen sogar nur sechs Stunden. Und ja, die Non-Compliance sollen mit Sanktionen bis zu zwei Prozent des weltweiten Jahresumsatzes sanktioniert werden. Damit wird also dem Staat, in dem ein Anbieter sitzt oder seine Daten speichert, die Möglichkeit,
18:02
den Grundrechtsschutz auf seinem Gebiet sicherzustellen, sehr stark genommen. Auch Verpflichtungen Betroffene zu informieren, so wie viele andere Punkte in diesem Beschluss sind ziemlich problematisch und sind sehr eingeschränkt, was den Grundrechtsschutz einbelangt. Das größte Problem aber ist, dass das Kriterium der beidseitigen Strafbarkeit, das ich schon mal angesprochen hatte, nicht erforderlich ist
18:25
für so eine Herausgabe. Was heißt das? Das Strafrecht in der EU ist eigentlich so gut wie gar nicht harmonisiert bis auf wenige Bereiche. Etwa in Malta ist ein Schwangerschaftsabbruch in fast allen Konstellationen eine Straftat. Das heißt, wenn eine maltesische Ärztin
18:41
dort illegale Schwangerschaftsabbrüche anbieten würde und mit ihren Patientinnen zum Beispiel über einen privaten deutschen Anbieter in etwa Posteo kommunizieren würde, dann könnte Posteo dazu gezwungen werden, Daten an maltesische Strafverfolgungsbehörden herauszugeben. In Polen ist es eine Straftat,
19:01
eine Beteiligung von polnischen Personen am Holocaust zu behaupten. Wenn also Leute in Polen Aufklärungsarbeit über solche historischen Geschehnisse leisten würden und vielleicht über einen Facebook- oder Twitter-Account publizieren würden, dann wären auch diese Unternehmen gezwungen, wenn sie zum Beispiel in Irland speichern, Daten an die Behörden herauszugeben. Und so kann man sich verschiedene Fälle denken,
19:22
die in der Spannungslage sozusagen daraus resultiert, dass ich in einem Staat lebe, in dem eine Handlung legal ist, überhaupt nicht damit einverstanden bin, dass diese Handlungen als illegal gelten sollen in einem anderen Staat. Aber ich muss eben Daten herausgeben, muss an dieser Strafverfolgung mitwirken als Provider, als Mitarbeiter eines solchen Dienstes.
19:42
Es hat zudem zur Folge, vor allem diese Direktzugriff, dass ich als Betroffene dieser Datenverarbeitung, wenn ich denn überhaupt, oder dieser Daten herausgabe, wenn ich denn überhaupt darüber informiert werde, mich möglicherweise in der Fremdenrechtsordnung zu wehrsetzen muss, was an sich schon ziemlich komplex ist. Und zweitens ist es so,
20:00
dass in gleich mehreren EU-Staaten es derzeit ziemlich starke Probleme mit Rechtsstaatlichkeit gibt, also alles andere als sichergestellt ist, dass ich dort ein faires Verfahren bekomme. Der Maßstab ist die Zulässigkeit einer Maßnahme im Anordnungsstaat. Das heißt, wenn wir auf das Beispiel zurückkommen würden, Bulgarien erließe eine Anordnung
20:20
für einen Provider, der in Österreich sitzt und dort Daten speichert, dann würde sich die Rechenmäßigkeit dieser Anordnung nach bulgarischem Recht richten und nicht danach, was in Österreich eigentlich legal wäre. Also es wäre möglich, dass bulgarische Behörden in Österreich stärkere Beingriffsbefugnisse hätten,
20:42
mehr dürften, als es die österreichischen Strafverfolgungsberatungen überhaupt. Das ist natürlich auch nicht sehr schlüssig und ist auch dazu geeignet, gerade nationale Schutzvorschriften. In Deutschland wären das etwa die Regelungen der Strafprozessordnung oder aber insbesondere auch solche, die das Bundesverfassungsgericht aufgestellt hat, zu umgehen.
21:00
Bislang ist überhaupt kein Beturecht. Bislang heißt in den Entwürfen von Rat und Kommission vorgesehen in diesem Entwurf. Das heißt, ich hätte als Vollstreckungsstaat, also hier als Staat B, eigentlich keine Chance dagegen vorzugehen, gegen diese Herausgabe oder zu sagen, nein, das darf nicht passieren.
21:24
Ein Stück weit anders sieht das im derzeitigen Bericht des Parlamentsausschuss oder im derzeitigen Entwurf. Der Bericht selbst ist als solche noch nicht fertig. Die Berichterstatterin Birgit Züppel im Lieberausschuss, das ist also der Ausschuss für bürgerliche Freiheiten im Europäischen Parlament.
21:41
Sie sieht in ihrem Entwurf von Anfang November dieses Jahres vor, dass es ein Beturecht geben soll. Das heißt also binnen dieser zehn Tage, in denen die oder innerhalb der Provider auf die Anordnung reagieren soll, wäre es dem Staat, dem Vollstreckungsstaat möglich,
22:02
von seinem Beturecht Gebrauch zu machen und zu sagen, diese Herausgabe stimmen wir nicht zu, zum Beispiel eben, weil die Tat bei ihm keine Straftat ist. Das erfordert allerdings keine obligatorische Prüfung. Das heißt, es ist gut möglich, dass diese Anordnung auf dem Schreibtisch von einem Richter landet.
22:21
Dieser hat dann die Möglichkeit, binnen zehn Tagen, was ziemlich kurz ist, entweder hineinzuschauen und eine ablehnende Entscheidung zu schreiben oder aber nichts zu tun in dieser Sache, was angesichts der arbeitsökonomischen Prozesse nicht ganz fernliegend ist. Also wir gehen als digitale Gesellschaft davon aus, dass diese Maßnahme nicht dazu fassen würde, dass es zu einer guten flächendeckenden Kontrolle
22:43
der inländischen Justiz von diesen Maßnahmen käme. Problematisch sind aber nicht nur die Regelungen, wie sie zwischen zwei Mitgliedsstaaten vorgesehen sind, sondern auch, was passieren soll, wenn ein Anbieter eigentlich in einem Drittstaat, also in einem Nicht-EO-Staat sitzt
23:00
oder dort seine Daten speichert. Dieser Drittstaat soll nämlich schon gar nicht gefragt werden, bevor eine Anordnung erlassen wird. Es gibt zum Teil so ein Stück weit die Möglichkeit des Providers zu sagen, dann bekomme ich hier Probleme, weil ich gegen das Recht dieses Drittstaates verstoße. Das ist allerdings nur sehr eingeschränkt möglich. Also es gibt dann eine Prüfung, in die dieser Staat nicht involviert wird
23:21
und in der auch nur bestimmte Regelungen respektiert werden. Das heißt, diese Verordnung ist zwar im Verhältnis der EU-Staaten zueinander multilateral, weil sie miteinander was aushandeln, im Verhältnis zu Drittstaaten, allerdings eher als unilateral zu betrachten. Da wird also einseitig vorgegeben, unter diesen Umständen wollen wir Daten,
23:41
die bei euch gespeichert sind, herausgegeben bekommen. Und das regt natürlich auch andere Staaten durchaus dazu an, zu sagen, naja, dann stellen wir jetzt auch mal Regelungen auf, oder Voraussetzungen, unter denen Daten aus der Europäischen Union vielleicht herausgegeben werden müssen.
24:00
Die digitale Gesellschaft hat sich deshalb Ende Oktober in einem offenen Brief an die Europa-Abgeordneten aus Deutschland gewandelt, gemeinsam mit zwölf weiteren Organisationen. Mittlerweile gibt es auch noch eine englischsprachige Fassung des Briefs, die von CEPES, dem Europäischen Informatikberufsverband, an Ausschlussmitglieder gesandt wurde. Wir stehen im Austausch mit einigen der Berichterstattern,
24:24
um so ein Stück weit unsere Belange oder unsere Einschätzungen damit einfließen zu lassen. Eine letzte Regulierung, die ich vielleicht nur ganz kurz anreißen würde, wäre die Cybercrime-Konvention, die eigentlich schon von 2001 stammt. Da geht es im Allgemeinen so ein Stück weit um eine Harmonisierung von Straftatbeständen
24:41
und um Verpflichtungen zur gegenseitigen Rechtshilfe. Und seit 2017 gibt es Verhandlungen über das zweite Zusatzprotokoll oder über ein zweites Zusatzprotokoll. Und das würde vorsieht, dass die teilnehmenden Staaten Teilnehmerdaten ebenso direkt und ohne beidseitige Strafbarkeit von Unternehmen in anderen Staaten
25:02
heraus verlangen können. Und neben einer Vielzahl der Staaten, die am Europarat beteiligt sind, sind hier noch viel, viel mehr Staaten beteiligt. Insgesamt 64 zum Stand 2019 und darunter auch die Türkei, Marokko, Argentinien. Ein paar habe ich auch geschrieben, Japan, die Philippinen, viele.
25:22
Das heißt sozusagen, die Probleme, die wir schon in der Europäischen Union mit Rechtsstaatlichkeit haben, werden dort vielleicht noch mal stärker. Was haben wir gesehen? Wir haben es also mit einer extraterritorialen Ausweitung von nationalen Befugnissen zu tun.
25:40
Das heißt, dass diese Gesetzgebungen in vielen Fällen oder in der Regel davon abweichen, dass der physische Speicherorten-Kriterium für das Rechtsregime dem Daten unterworfen sind, wehren. Das wird so ein Stück weit gestützt durch einige theoretische Konzepte darüber, dass Daten nicht territorial betrachtet werden sollten.
26:01
Zum Beispiel eine US-amerikanische Rechtswissenschaftlerin Jennifer Daskal, ich habe auch noch eine Quellenangabe am Ende, nennt auch ein paar Argumente darum, warum sie das eigentlich auch für richtig hält, sozusagen nicht am Speicherort anzuknüpfen. Das liegt daran, dass Daten auf eine andere Art und Weise mobil sind als diese Wasserflasche in etwa, die sich auch bewegen kann,
26:21
denn sie bewegen sich mit Lichtgeschwindigkeit. Daran, dass Daten teilbar sind, an mehreren Orten zugleich vorliegen können, dass der Ort des Zugangs nicht vom Speicherort abhängig ist und dass auch sie unter der Kontrolle von dritten Stunden, das heißt, die Nutzenden, würden den Speicherort nicht wählen. Es würden sich allerdings, aus meiner Sicht und aus Sicht vieler anderer,
26:44
wenn sich diese Anschauung von der Nichtterritorialität von Daten durchsetzte, einige ganz wesentliche Probleme ergeben. Es hat zunächst etwas zu tun, ich habe es schon erwähnt damit, dass der Grundrechtsschutz in dem Staat, in dem die Daten gespeichert werden, nicht mehr gewährleistet wäre.
27:01
Ja, und wie gesagt, ungeachtet aller Kritik am Konzept, würde also die Souveränität in ihrer Funktion so ein Stück weit Rechtsstaatlichkeit und Grundrechte oder zumindest die Verantwortung dafür sicherzustellen, unterlaufen. Und ich würde auch sagen, dass es sich hier jetzt nicht direkt um eine Internationalisierung von einem Vorgehen handelt, in dem Sinne, dass Staaten gemeinsame Standards finden würden,
27:23
die vielleicht auch durch unabhängige oder gemeinsame Stellen eingehalten würden, sondern eigentlich um eine relativ starke Nationalisierung, weil es immer nationale Bedürfnisse sind, die aufgestockt und verstärkt werden. Es ist so, man sollte das vielleicht nicht zu stark romantisieren,
27:40
aber ich würde schon daran festhalten, dass das Internet Räume schafft, in denen politische Opposition manchmal agieren kann und dies vielleicht sozusagen mit einer stärkeren Anbindung an den Staat, in dem man sich befindet, nicht gebe. Also gerade die Möglichkeit, dass ich in einem Land sein kann und den Dienst nutze, dessen Regulierung in den Händen eines anderen Staates liegt,
28:03
die kann unter Umständen einen gewissen Freiraum schaffen. Man kann das vielleicht irgendwie eine Art von kleinem Asyl nennen. Das heißt also, wenn diese Dienste, die woanders sitzen, keine Daten an Verfolger im eigenen Land herausgeben, sich nicht insinieren lassen, dann können sie so ein Stück weit Aktionsräume schaffen. Wenn wir jetzt zum Beispiel an Hongkong denken,
28:22
wo ja die Anonymität der Aktivistinnen und Aktivisten eine ganz große Rolle spielt, dann ist da natürlich auch sehr wichtig, dass man sozusagen Dienste wie Reddit oder Telegram oder sicherlich auch viele andere verwenden kann, die nicht in Hongkong sitzen, auch nicht in China sitzen und auf die chinesische oder Hongkong Behörden
28:42
aus Hongkong keinen Zugriff haben. Eine Vielzahl von Unternehmen, die in den USA oder auch woanders ansässig sind, geben an zum Beispiel Staaten wie die Türkei per se keine Daten heraus und das mit sehr gutem Grund, wie ich denke. Und wenn man nun solche Dienste im Rahmen von Abkommen verpflichten würde,
29:01
auch an autoritäre Staaten Daten herauszugeben und das ist zwar noch nicht so direkt geschehen, wäre aber eigentlich der nächste logische Schritt, wenn man sich das sozusagen auf einer weltweiten Ebene vorstellt, dann würden doch einige Türen zu diesen Aktionsräumen geschlossen. Das heißt natürlich nicht, dass so eine digitale Vernetzung nicht weiterhin möglich wäre, dass man nicht neue Wege finden würde
29:22
und dass man nicht ohnehin, wenn man besser beraten ist, in solchen Situationen einen Tor-Server und einen VPN zu benutzen. Aber natürlich nimmt es sozusagen oder erhöht es so ein Stück weit, die Hürden sich anonym bewegen zu können. Wenn man sich die Stellungnahmen von Reportern ohne Grenzen
29:43
und weiteren Presseverbänden im Microsoft Warrant-Case anschaut, dann sieht man, dass dort ganz massive Einschränkungen von Pressefreiheit befürchtet werden. Die tragen also vor, dass Newsrooms heutzutage verstärkt in der Cloud stattfinden und die Zusammenarbeit von weit voneinander entfernten arbeitenden Personen
30:02
sich halt relativ einfach abwickeln lässt und so nicht mehr funktionieren würde. Konkret schreiben sie, Expanding the US government's ability to reach electronic records stored outside its borders sets a dangerous international example that foreign governments hostile towards journalists may exploit.
30:22
Also sie haben sozusagen damals in diesem Fall vor dem Supreme Court gesagt, wenn jetzt die USA als Diensten oder wenn jetzt die USA sozusagen sich selbst herausnehmen, Dienste zu verpflichten, Daten, die anderswo gespeichert sind, herauszugeben, dann würden andere Länder das auch so machen.
30:43
Auch das Argument, dass die Speicherort für Nutzense häufig gleichgültig sei und nicht von denen gewählt würde, ist so nicht ganz richtig, wenn auch sicherlich in einigen Fällen. Denn ich denke, es gibt sehr viele Fälle und das könnte gerade für politisch aktive Leute relevant sein, in denen Nutzense sehr wohl ihren Speicherort bewusst wählen
31:02
und sich Gedanken darüber machen, an wen Daten gegebenenfalls herausgegeben würden. Und so als ganz pragmatisches Argument hätte das auch die Folge, diese Entscheidung sozusagen zu übergehen, dass die Idee vom Datenschutz als Standortvorteil eigentlich unmöglich gemacht wird. Dann hat man es natürlich mit einer starken Privatisierung der Rechtshilfe zu tun.
31:21
Also letztlich bleibt im Zweifelsfall der Provider übrig, als die Instanz, die irgendwie noch sagen könnte, wollen wir eigentlich nicht befolgen, diese Anordnung, weil wir sehen hier ein grundrechtliches Problem. Und ich denke, das können und sollen eigentlich diese Dienste nicht machen, sondern genau dazu sind ja staatliche Stellen oder sollten staatliche Stellen im System der Internationalen Rechtshilfe da sein.
31:45
Ganz spannend ist auch eine Stellungnahme von ehemaligen Geheimdienst- und Sicherheitsbehörden, Personal der USA, UK und Frankreich, ebenfalls im Microsoft Warren Case. Die warnen nämlich extrem davor, dass die extraterritoriale Anwendung
32:01
von US-Rechten negativer Auswirkungen haben könnte. Sie sagen nämlich, dass durch Normkonflikte die ganze Effektivität der internationalen Zusammenarbeit in Strafsachen geschädigt wird. Gehen also davon aus, dass der Unilateralismus tendenziell zu Konflikten zwischen Staaten führen wird, der die Zusammenarbeit auch in diesen Fragen stören wird.
32:20
Und auf der anderen Seite, dass es wahrscheinlich massiv zu Datenlokalisierungspflichten kommen wird, die wir jetzt schon in Russland haben. Man kommt also zu einer weiteren Versplitterung von Internet. Noch ein paar Literaturempfehlungen. Ich sage mal so ein bisschen für den Einstieg für alle, die sich ein Stück weit tiefer für das Thema interessieren.
32:42
Borchardt legt in der CIS einige der hier genannten Argumente noch mal ganz grundlegend dar. Jennifer Dasker, wie gesagt, spricht sich so ein bisschen für eine Deterritorialisierung von Daten aus. Und Martin Bösert ein sehr umfangreiches Gutachten über die E-Evidenz-Verordnung, die geplante geschrieben.
33:03
Man begegnet auch strafrechtlich im Terror ganz häufig der Forderungen, dass eigentlich alles verfolgbar sein müsse, ohne Einschränkungen. Und die Verhältnismäßigkeiten, eigentlich ziemlich grundlegendes rechtsstaatliches Prinzip, also sich mal zu überlegen, wenn ich jetzt diese gesetzliche Maßnahme implementiere, welche negativen Folgen hat das noch?
33:21
Die wird in vielen politischen Diskursen über Strafrechtsverschärfungen eigentlich nicht so richtig gehört. Ich denke, es ist einigermaßen deutlich geworden, dass gerade auch außenpolitische Interessenlagen und Lehrläufe in der internationalen Zusammenarbeit in Strafsachen irgendwie Aktionsräume
33:40
für politische Opposition bilden können, also gerade Fälle in den Staaten nicht miteinander zusammenarbeiten, sei es jetzt die Situation, ja, in der Personen vielleicht sogar Asyl finden können oder in denen einfach Daten nicht herausgegeben werden. Ich denke, wenn sogar ehemalige Geheimdienstleute
34:00
vor wahren Gesetzen extra-toritariale Wirkungen zukommen zu lassen, dann lässt sich eigentlich erkennen, dass selbst wenn man jetzt eine Maximalstrafverfolgung befürworten würde, diese vermeintlichen Lösungen nicht so richtig zu Ende gedacht sind. Ob wir mit diesen Tendenzen jetzt am Ende zu einem Netz von internationalen Herausgabeverpflichtungen wirklich kommen werden oder ob man relativ schnell
34:23
zu Situationen kommt, in denen Staaten merken, eigentlich passt uns das jetzt hier überhaupt nicht, dass jetzt dieses Land Daten von unserem Anbieter heraus verlangt und das System uns dann eher über dem Kopf zusammenbrechen wird, das kann ich nicht so richtig vorhersehen. Wenn man tatsächlich Strafverfolgung so ein Stück weit effektiv und unter Berücksichtigung
34:41
von Grundrechtsschutz verbessern will, dann müsste man wohl oder übel die EMLAD-Verfahren verbessern, dann müsste in der EU die Europäische Ermittlungsanordnung, die es seit 2014 gibt und deren Umsetzungsfrist erst 2017 abgelaufen ist, sozusagen ein Stück weit erst mal evaluieren
35:01
und dann schauen, wo man verbessern kann. Aber so auf die Schnelle sozusagen solche Befugnisse einzuführen, die ziemlich weitgehende Konsequenzen im internationalen Bereich haben können, halte ich eher für eine sehr problematische Herangehensweise. Genau, das war es erst mal von mir.
35:21
Wenn ihr die Arbeit, die ihr jetzt gut findet, wenn ihr wollt, dass wir weiterhin aufklären, offene Briefe schreiben und so weiter, dann freuen wir uns auf jeden Fall, wenn ihr spenden möchtet, Fördermitglied werdet oder euch auch sonst mal bei uns meldet, gerne mal beim Netzpolitischen Abend in Berlin vorbeischaut. Ja, danke.
35:46
Ja, und jetzt haben wir noch ein wenig Zeit für Fragen, die ihr habt. Hier gibt es drei Mikrofone im Saal. Bitte stellt euch da hin, damit ich sehen kann, wer Fragen hat. Ansonsten frage ich wie immer einfach erst mal das Internet.
36:03
Gibt es aus dem Internet Fragen? Nein, das ist ja ein First Time sozusagen. Dann nehmen wir hier mal bitte Mikro 2, deine Frage bitte, kurz und knackig. Hallo und Dankeschön. Kannst du was zum Richtervorbehalt sagen, aktuell und nach der Verordnung, wenn sie so in Kraft tritt?
36:21
Also von der E-Evidenzverordnung gibt es ja gerade drei Versionen. Eine von Kommission und Rat und die vom Parlament ist sozusagen als solche noch nicht fertig. In dem Entwurf, den Birgit Zippel vorgelegt hat und der möglicherweise einen maßstab bietet sozusagen, an den man jetzt anknüpfen kann, für eine mögliche Parlamentsversion steht drin,
36:43
dass es eine unabhängige Behörde sein muss. Das heißt, dass zumindest für Deutschland nach dem EuGH-Urteil zum europäischen Haftbefehl, dass tatsächlich Richter auch das sein müssen, weil Staatsanwälte in Deutschland nicht unabhängig sind,
37:00
sondern weitungsgebunden. Sozusagen in der Situation, in der der Zielstaat diese Anordnung kontrolliert. In den Versionen von Kommission und Rat gibt es einen Richtervorbehalt, allerdings nur sehr eingeschränkt. Und zwar für empfindlichere Datenkategorien.
37:21
Das wären sozusagen Inhaltsdaten. Und ich meine für Transaktionsdaten, für Bestandsdaten gilt das allerdings nicht. Dankeschön. Am Mikro eins bitte die Frage. Mich würde interessieren, wenn es jetzt ein Konflikt gibt zwischen der EU-DSGVO und der E-Evidence-Verordnung,
37:42
wie das ausgehen könnte und welche Institution diesen Konflikt dann bereinigen wird. Also den Konflikt, den es derzeit gibt, und ich weiß nicht, ob du den vielleicht meintest, der spielt sozusagen sich zwischen dem Cloud Act und der DSGVO ab. Meinst du das?
38:02
Das meinte ich und gesetzt der Fall. Es kommt diese E-Evidence-Verordnung und jemand stellt fest, das ist ja gar nicht DSGVO-kompatibel. Was passiert jetzt? Okay, also erst mal zur Cloud Act E-Evidence-Situation. Faktisch ist es so, dass ich als Anbieter,
38:21
wenn ich eine Herausgabeanordnung aus den USA bekomme, dort zunächst mal einen größeren Handlungsdruck habe. Mir ist ehrlich gesagt nicht bekannt, ob es schon Fälle gegeben hat, in denen Anbieter DSGVO-widrigstaaten an die USA herausgegeben haben. Ich gehe aber davon aus, dass das der Fall ist. Ich habe noch nicht gehört, dass daraufhin europäische Behörden irgendwie aktiv geworden seien,
38:40
wenn sie ein Bußgeld verhängt hätten oder so. Wenn man Bußgeld verhängen wollte, müsste man ein Stück weit sicherlich berücksichtigen, dass die Anbieter sich in so einer Normkonfliktsituation befinden und ich sage mal nicht so richtig böswillig gehandelt haben. Ich denke, da die europäischen Datenschutzbehörden mit relativ vielen problematischen Fragen beschäftigt sind,
39:01
ist es so ein Stück weit zweitrangig eher. Wie die E-Evidence gegen die DSGVO verstößt könnte, zu einem richtigen Normkonflikt kann ich jetzt so nicht sagen, weil sich der Konflikt, den ich mit dem Claudek meine, dann ergibt, wenn man Daten aus der EU in ein anderes Land,
39:21
also in den Drittstaat transferiert. Und diese Befugnis sieht die E-Evidence zunächst mal nicht vor. Okay, dann war es das leider auch schon mit den Fragen. Es tut mir leid, ihr hier vorne wartet. Ihr könnt ja Elisabeth Niecrenz auch gleich nochmal ansprechen. Und ansonsten, die digitale Gesellschaft
39:40
ist ja hier auch auf dem Kongress präsent. In diesem Sinne noch einmal herzlichen Dank und einen warmen Applaus für Elisabeth Niecrenz.
Recommendations
Series of 5 media
Series of 6 media