Zweites Zusatzprotokoll zur Cybercrime-Konvention: Wesentliche Eckpunkte

Am 17. November 2021 hat das Ministerkomitee des Europarates das „Zweite Zusatzprotokoll zur Cybercrime-Konvention betreffend die verstärkte Zusammenarbeit und die Weitergabe von elektronischen Beweismitteln“ (im Original: „enhanced co-operation“ and „disclosure of electronic evidence“) beschlossen. Die unterzeichnenden Staaten erklären in der Präambel, dass die Beweismittel im Strafverfahren zunehmend in elektronischer Form gespeichert sind und sich zugleich immer öfter in ausländischen oder nicht zu lokalisierenden Staaten befinden würden. Der Rechtsstaat müsse aber in der Lage sein, auch solche Beweise im Rahmen der Effizienz der Strafverfolgung erlangen zu können, weswegen neue Maßnahmen notwendig seien. Die unterzeichnenden Staaten wollen sich daher zur gegenseitigen Herausgabe von Daten auf Servern in ihrem Hoheitsgebiet verpflichten. Im Kern würde im Anwendungsbereich dieser neuen Konvention der herkömmliche Rechtshilfeweg in Frage gestellt. Bedeutsam ist dieser Beschluss deswegen, weil er in seiner Reichweite über alles hinausgeht, was bisher an Erleichterungen im Bereich der Beweis-Transfers zwischen Staaten vereinbart wurde. Die Vereinbarung könnte der Einstieg in eine Harmonisierung des elektronischen Beweisrechts und damit der weitere Versuch eines über die Europäische Union hinausgehenden multinationalen Strafprozessrechts werden.

Die wesentlichen Eckpunkte kurz zusammengefasst:

Wie ist der Beschluss des Europarats einzuordnen?

Die Bedeutung des neuen Zusatzprotokolls speist sich daher, dass es sich um eine Ergänzung zu dem bereits bestehenden „Übereinkommen über Computerkriminalität“ des Europarats vom 23. November 2001 (CCC – Cybercrime Convention) handelt.

Der Europarat ist eine Organisation mit 47 Mitgliedsstaaten. Darunter fallen die Mitgliedstaaten der Europäischen Union, aber auch weitere Staaten, wie z.B. die Türkei und Russland. Der Europarat ist somit eine völkerrechtlich eigenständige Organisation und kein Organ der Europäischen Union.

Im Europarat werden internationale Übereinkommen vorbereitet und ausgehandelt (eine Liste findet sich hier). Das vermutlich bekannteste Abkommen des Europarats ist die Europäische Konvention für Menschenrechte von 1950 (EMRK), deren Einhaltung vom Europäischen Gerichtshof für Menschenrechte in Straßburg überwacht wird und die Grundrechte-Rechtsprechung der Mitgliedstaaten und auch der Europäischen Union maßgeblich beeinflusst hat (in Deutschland z.B. wird die EMRK vom Bundesverfassungsgericht als Auslegungshilfe für den Gehalt der Grundrechte herangezogen); hinzu kommen das Europäische Rechtshilfeübereinkommen oder auch das Europäische Auslieferungsübereinkommen, beides „ältere“ Rechtsinstrumente gegenüber den lex speciali der EU, wie der Rahmenbeschluss zum Europäischen Haftbefehl oder die Europäische Ermittlungsanordnung.

Eine weitere Besonderheit des Europarats ist, dass die Übereinkommen des Europarats auch von anderen (außereuropäischen) Regierungen unterzeichnet werden können. Der Beitritt hängt hier also nicht an der Mitgliedschaft im Europarat.

Wann tritt der Vertrag in Kraft?

Das nunmehr beschlossene Zweite Zusatzprotokoll geht zurück auf einen Entwurf, den der Ausschuss der Cybercrime-Konvention bereits am 28. Mai 2021 angenommen hatte. Der förmliche Beschluss des Ministerkomitees des Europarates bedeutet nun, dass der Vertragstext des Zusatzprotokolls unwiderruflich festgelegt ist. Damit hat das Zusatzprotokoll aber noch (lange) keine Bindungswirkung, weil es sich bei dem Übereinkommen um einen völkerrechtlichen Vertrag handelt. Völkerrechtliche Verträge entfalten frühestens mit der Zeichnung durch die Vertragsparteien – die Staaten – Bindungswirkung. Das Zweite Zusatzprotokoll tritt sogar erst drei Monate nach Zeichnung durch mindestens fünf Vertragsparteien in Kraft (Art. 16 Abs. 3 des Zweiten Zusatzprotokolls). Die Zustimmung kann durch Unterzeichnung mit oder ohne Vorbehalt der Ratifikation erfolgen. Und auch wenn das Zweite Zusatzprotokoll in Kraft tritt, gilt es nicht unmittelbar für die Behörden. Denn das Protokoll verpflichtet die Vertragsparteien (nur), gesetzgeberische Maßnahmen zu ergreifen. Der Gesetzgeber muss also – soweit nicht bereits entsprechende Regelungen bestehen – die vertraglichen Verpflichtungen – ähnlich wie bei einer Richtlinie der EU – erst noch in nationales Recht umsetzen.

Zur Unterzeichnung veröffentlicht werden soll der Vertrag im Mai 2022. Auch wird er mit seinem Inkrafttreten nur gegenüber den Vertragsparteien Wirkung entfalten und gilt keineswegs automatisch für alle Mitgliedsstaaten des Europarates. Auch seit Zeichnungsauflegung der Cybercrime-Konvention und des ersten Zusatzprotokolls vergingen jeweils drei Jahre, bis überhaupt ausreichend Staaten zugestimmt hatten und die Verträge jeweils in Kraft treten konnten. Und auch Deutschland ließ sich mit der Ratifizierung in der Vergangenheit Zeit: Zwischen der Zeichnung der Cybercrime-Konvention 2001 und ihrer Ratifizierung lagen beinahe acht Jahre.

Allerdings dürfte der Transfer von digitalen Beweismitteln auf das Bedürfnis der Strafverfolgungsbehörden vieler Staaten außerhalb der EU treffen. In allen Ländern wird bei grenzüberschreitenden Ermittlungen der oft mühselige Weg über die Rechtshilfe moniert. Es ist daher gut denkbar, dass die Staaten im eigenen Interesse die Ratifizierung und Umsetzung schneller in Angriff nehmen als 2001. Seit 2001 ist die Bekämpfung der Kriminalität permanent auf der Agenda der Regierungen. Passend dazu formuliert das Zweite Zusatzprotokoll in seiner Präambel, dass die zunehmende Cyberkriminalität eine „Gefahr für die Demokratie und den Rechtsstaat“ darstellt. Solche Erklärungen deuten darauf hin, dass diesmal eine raschere Ratifizierung zu erwarten ist.

Das Übereinkommen über Computerkriminalität von 2001

Das Zweite Zusatzprotokoll ergänzt die Cybercrime-Konvention (CCC) aus dem Jahre 2001. Diese Konvention sollte eine effektivere Bekämpfung der Cyberkriminalität international ermöglichen.

Die Vertragsstaaten, haben damals Vorgaben sowohl für das materielle Strafrecht (Art. 2 ff. CCC) als auch für das formelle Strafverfahrensrecht (Art. 14 ff. CCC) vereinbart. Dem Übereinkommen sind mittlerweile 66 Staaten beigetreten. Prominentester Partner dieser Vereinbarung sind die USA.

Für die verfahrensrechtliche Zusammenarbeit im internationalen Kontext waren jedoch besonders Art. 25 ff. CCC relevant. Danach hatten die Vertragspartner sicherzustellen, dass in den Vertragsstaaten Rechtshilfeverfahren bestehen, nach denen ausländische Behörden elektronische Beweismittel erhalten können. Im Kern wurde im Bereich der Computerkriminalität das Rechtshilferecht umfassend und teilweise neu geregelt. Deutsche Behörden können Daten, die z.B. in den USA gespeichert sind, allerdings nicht selbst erheben, sondern müssen die US-amerikanischen Behörden ersuchen, die Daten sicherzustellen und zu übermitteln. Prominente Ausnahme bildet nur Art. 32 CCC. Danach ist der grenzüberschreitende Zugriff auf Computerdaten möglich, soweit die Daten aus offenen Quellen stammen oder die Zustimmung einer Person vorliegt, die rechtmäßig befugt ist, die Daten mittels eines Computersystems weiterzugeben. Außerdem sieht Art. 29 CCC vor, dass eine Vertragspartei eine umgehende Sicherung gespeicherter Computerdaten verlangen kann, um im Anschluss daran ein Herausgabeverlangen stellen zu können.

Trotz dieser Vereinfachung wurde und wird immer wieder reklamiert, dass der Transfer von digitalen Beweismitteln immer noch zu lange dauert, weil ein direkter Zugriff auf die Diensteanbieter nicht erfolgen kann und der Umweg über die örtlichen Behörden zu lange dauert. Bei digitalen Beweismitteln besteht die Gefahr, dass ohne einen schnellen Zugriff volatile Informationen verloren gehen können.

2016 kam auch eine Arbeitsgruppe des Europarates in ihrem Report zu dem Schluss, dass „die Cyberkriminalität, die Zahl der Geräte, Dienste und Nutzer und damit auch die Zahl der Opfer Ausmaße erreicht haben, die dazu führen, dass nur ein verschwindend geringer Teil der Cyberkriminalität oder anderer Straftaten, bei denen elektronische Beweise verwendet werden, jemals erfasst und untersucht wird“. Die Gruppe identifizierte als wichtigste Herausforderungen „Cloud Computing, Territorialität und Gerichtsbarkeit“ und damit die Schwierigkeiten, einen effizienten Zugang zu elektronischen Beweismitteln zu erhalten.

Das Zweite Zusatzprotokoll soll nun die Zusammenarbeit und die Möglichkeiten der Strafverfolgungsbehörden zur Erlangung elektronischer Beweismittel deutlich verbessern.

Was regelt das Zweite Zusatzprotokoll zur Cybercrime-Konvention?

Kernelement des Zweiten Zusatzprotokolls ist es, dass die Vertragsparteien sich dazu verpflichten, Verfahren einführen, die es im Zuge strafrechtlicher Ermittlungen ermöglichen, auf direktem Wege von Anbietern auf dem Gebiet einer anderen Vertragspartei Informationen zu erhalten. Im Kern geht es um die Beschleunigung des Rechtshilfeverfahrens im Anwendungsbereich der Vertragsparteien. Konsequent sollen die neuen Vorschriften des Zweiten Zusatzprotokolls zur verbesserten Zusammenarbeit bei den meisten neuen Regelungen auch dann gelten, wenn zwischen den betroffenen Parteien bereits ein Rechtshilfeübereinkommen vorliegt. Dies wird als Prinzip in Art. 5 des Zusatzprotokolls verankert. Gleichwohl ist es auch das Ziel dieses Zusatzprotokolls die Zusammenarbeit der Parteien nicht einzuschränken, sodass andere bilaterale oder multilaterale Vereinbarungen, die über die Regelungen des Zweiten Zusatzprotokolls hinausgehen, weiter Bestand haben (Art. 5 Nr. 7 des Zusatzprotokolls).

Direktzugriff bei Diensteanbietern auf Bestandsdaten

Für folgende Bereiche soll nach dem Zusatzprotokoll in Zukunft ein direkter Zugriff auf Daten bei Diensteanbietern im Ausland möglich sein:

Artikel 6 betrifft Anbieter von Registrierungsdiensten für Domänenamen. Hintergrund ist hier, dass viele Formen der Online-Kriminalität durch Domains begünstigt werden, die eigens für inkriminierte Zwecke geschaffen werden. Während der Covid 19-Pandemie kam es beispielsweise zum Missbrauch von Domain-Namen, um für gefälschte Impfstoffe, Behandlungen und Heilmittel zu werben. Die Domains können aber auch als Plattform für Cyberattacken dienen. Zur Identifikation potenzieller Verdächtiger benötigen die Ermittler zumeist einen direkten Zugriff auf den Inhaber. Das Zweite Zusatzprotokoll sieht daher in Art. 6 vor, dass auch ausländische Behörden die dafür nötigen Informationen direkt von Unternehmen, die Domänenamenregistrierungsdienste anbieten, verlangen können.

Wichtiger dürfte in Zukunft allerdings der neue Art. 7 werden. Dieser soll den Ermittlungspersonen der Vertragsparteien die direkte Abfrage bestimmter bei Dienstanbietern gespeicherten Bestandsdaten ermöglichen. In diesen Fällen würde in Zukunft der „Umweg“ über die Behörden bei den Ermittlungsbehörden, in denen der Diensteanbieter lokalisiert ist, entfallen. Diensteanbieter sind nach Art. 1 lit. c CCC jede Stelle, die es den Nutzern ihres Dienstes ermöglicht, mit Hilfe eines Computersystems zu kommunizieren oder die für einen solchen Dienst oder für seine Nutzer Computerdaten verarbeitet oder speichert. Zu den Bestandsdaten zählen alle Daten, die keine Verkehrs- oder Inhaltsdaten sind, also etwa die Adresse, Telefonnummer oder die Art des genutzten Kommunikationsdienstes (Art. 18 Abs. 2 CCC). Der Vertragsstaat, in dem der Anbieter sitzt, kann – aber muss nicht – in der nationalrechtlichen Umsetzung voraussetzen, dass die Anfrage durch einen Staatsanwalt oder Richter zu erfolgen hat. Zudem kann der Vertragsstaat regeln, dass der Anbieter erst die inländischen Behörden konsultieren muss. Diese können dann entscheiden, dass die Daten nicht herausgegeben werden.

Beschleunigte Rechtshilfe bei Bestands- und Verkehrsdatenauskunft von Diensteanbietern

Wollen die Behörden nicht nur Bestands- sondern auch Verkehrsdaten von Diensteanbietern im Ausland erheben, sieht Art. 8 ein verschlanktes Rechtshilfeverfahren für die Auskunft von Diensteanbietern vor. Anders als bei Art. 7 können die Daten also nicht direkt bei den Anbietern angefragt werden. Vielmehr wird die Anordnung zur Datenauskunft durch die inländische Behörde durchgesetzt. Die Informationen, die die ersuchende Vertragspartei bereitstellen muss, sind jedoch begrenzter als bei bisherigen Rechtshilfeverfahren. Auch verpflichten sich die Vertragsparteien, Ersuchen nach Art. 8 in elektronischer Form anzunehmen sowie feste Bearbeitungs- und Übermittlungsfristen einzuhalten. Das Verfahren, um die Daten zu beschaffen, soll dadurch schneller werden.

Verkehrsdaten ermöglichen es, Ursprung, Ziel, Weg, Uhrzeit, Datum sowie Umfang oder Dauer der Kommunikation oder die Art des für die Kommunikation genutzten Dienstes zu ermitteln. Sie unterscheiden sich damit grundlegend von Bestandsdaten, die im Wesentlichen nur preisgeben, wer einen Dienst genutzt hat. Weil offenbar nicht alle potenziellen Vertragsparteien bereit sind, Art. 8 auch auf Verkehrsdaten zu erstrecken, sieht Art. 8 in Abs. 13 vor, dass sie das Verfahren nicht auf diese anwenden. Ob sich der Weg über Art. 8 gegenüber den Möglichkeiten aus Art. 7 für Behörden lohnt, wird daher maßgeblich davon abhängen, wie weit das Verfahren durch die Vertragsparteien umgesetzt wird.

Beschleunigte Verfahren im „Notfall“: Zugriff auch auf Inhaltsdaten

Das Zweite Zusatzprotokoll sieht zudem zwei Notfallverfahren vor. Gemeint sind Situationen, in denen eine erhebliche und unmittelbare Gefahr für das Leben oder die Sicherheit einer natürlichen Person besteht.  Das Verfahren soll auch greifen, wenn Bedrohungen der Sicherheit kritischer Infrastrukturen mit erheblicher und unmittelbarer Gefahr für das Leben oder die Sicherheit einer natürlichen Person bestehen. Diese Verfahren tragen den Charakter klassischer Polizeigesetze.

Das Auskunftsverfahren in Art.  9 ermöglicht im Notfall den Zugriff auf Bestands-, Verkehrs- und sogar Inhaltsdaten. Zwar erfolgt der Zugriff nicht direkt bei den Diensteanbietern wie bei Bestandsdaten nach Art. 6 und 7. Doch die Vertragsparteien hatten bereits unter Geltung der Cybercrime-Konvention eine 24/7-erreichbare Kontaktstelle einzurichten. Über diese Kontaktstelle ist der Informationsaustausch in Echtzeit möglich. Nach Art. 9 soll diese Kontaktstelle nun im Notfall das Ersuchen ausländischer Behörden entgegennehmen können und von den betreffenden Diensteanbietern die Daten einholen und an die ausländische Behörde übermitteln – ohne aufwändiges Rechtshilfeersuchen. Darzulegen ist jedoch, dass ein Notfall vorliegt und wie die ersuchten Daten damit zusammenhängen. Erforderlich ist darüber hinaus im Wesentlichen nur, dass das Ersuchen enthält, welche Daten durch welche zuständige Behörde von welchem Diensteanbieter verlangt werden.

Artikel 10 sieht im Notfall zudem ein „zügig beschleunigtes“ (im Original: „rapidly expedited“) Rechtshilfeverfahren vor. Dieses ergänzt die Rechtshilfeverfahren aus der Konvention und soll noch schneller als das bisherige beschleunigten Verfahren sein. Art. 10 ist nicht auf Bestands- und Verkehrsdaten wie in Art. 8 und auch nicht auf Daten von Diensteanbietern wie in Art. 9 beschränkt. Welche Daten genau über das Verfahren erlangt werden können, ist nicht festgelegt. Darzulegen ist durch die ersuchende Behörde, dass ein Notfall vorliegt, welche Tatsachen dies belegen, und in welcher Weise die erbetenen Hilfeleistungen erforderlich sind, um auf den Notfall zu reagieren. Welche weiteren Informationen erforderlich sind, richtet sich nach dem anwendbaren Vertrag oder dem innerstaatlichen Recht der ersuchten Vertragspartei. Feste Fristen wie in Art. 8 sind für die Bearbeitung nicht vorgesehen. Die Vertragsparteien verpflichten sich jedoch, das Verfahren so einzurichten, dass das Ersuchen so schnell wie möglich bearbeitet und die Daten übermittelt werden können. Sicherzustellen ist zudem, dass die Rechtshilfe auch außerhalb der üblichen Geschäftszeiten 24/7 geleistet werden kann. Es soll auch die Möglichkeit bestehen, die Daten direkt an die Ermittlungsbehörde zu übermitteln, statt die gegebenenfalls übliche Behördenkette zu durchlaufen.

Kritisch zu hinterfragen ist, warum eine Behörde angesichts der Möglichkeiten von Art. 9 überhaupt auf ein beschleunigtes Rechtshilfeverfahren aus Art. 10 zurückgreifen wollen sollte. Das Verfahren nach Art. 10 bietet jedoch einige Vorteile: So ist es möglich, dass z.B. bei besonders engen Arbeitsbeziehungen zwischen den betroffenen Behörden nur wenig oder gar keine Zeit durch das Verfahren verloren geht. Zudem bietet die Amtshilfe nach Art. 10 eine zusätzliche Form der Zusammenarbeit, die über die Übermittlung von bei den Anbietern vorgehaltenen Daten hinausgehen kann. Auch kann es einfacher sein, die im Rahmen der Amtshilfe erlangten Beweismittel zu authentifizieren. Es bleibt letztlich den Vertragsparteien überlassen, den bevorzugten Verfahrensweg gesetzlich umzusetzen.

Was ist mit Datenschutz? Was ist mit Rechtsschutz?

Die Bewertung aus Sicht der Ermittlungsbehörden ist sicher positiv: Sie können absehbar schneller an die begehrten Daten gelangen. Doch wie sieht es auf der anderen Seite aus? Wie stellt sich das Zweite Zusatzprotokoll den Daten- und Rechtsschutz vor? Zum einen stellen sich diese Frage Betroffene – also die Bürger, um deren persönliche Daten es im Zweifel geht. Zum anderen sehen sich Unternehmen absehbar mit Auskunftsersuchen nicht nur ihrer eigenen Behörden, sondern auch solchen aus dem Ausland konfrontiert.

Das Zweite Zusatzprotokoll statuiert hierzu in Art. 13 zunächst, dass jede Vertragspartei sicherstellen müsse, dass die Einrichtung, Durchführung und Anwendung der vorgesehenen Befugnisse und Verfahren den Bedingungen und Rechtsgarantien unterliegen, die in ihrem innerstaatlichen Recht vorgesehen sind und die einen angemessenen Schutz der Menschenrechte und Freiheiten gewährleisten. Bedenkt man, dass absehbar nicht nur Mitgliedsstaaten der EU und nicht nur europäische Staaten, Vertragsparteien werden, sondern auch etwa die USA, mag das beunruhigen. Immerhin gilt zwar innerhalb der EU ein vergleichsweise strenges Datenschutzregime – Staaten außerhalb der EU pflegen aber mitunter ein weniger inniges Verhältnis mit dem Datenschutz.

Doch das Zweite Zusatzprotokoll überlässt es nicht vollends dem Gusto der Vertragsparteien, wie der Datenschutz ausgestaltet ist: Art. 14 macht Mindestvorgaben zum Datenschutz, an die sich die Vertragsparteien zu halten haben. Dies gilt jedoch nur, sofern die betreffenden Vertragsparteien nicht bereits datenschutzrechtliche Vereinbarungen zur Datenübermittlung zu Strafverfolgungszwecken geschlossen haben. Relevant werden hier insbesondere Vereinbarungen wie etwa das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den EU-Ländern. Gibt es eine solche Vereinbarung nicht, steht es den Vertragsparteien zudem frei, eine solche anstelle der Vorgaben aus Art. 14 des Zweiten Zusatzprotokolls zu schaffen.

Soweit Art. 14 also überhaupt anwendbar ist, macht das Zweite Zusatzprotokoll zur Vorgabe, dass die empfangenen Daten nur zu den im Zweiten Zusatzprotokoll vereinbarten Zwecken und nur in Übereinstimmung mit dem innerstaatlichen Datenschutzrecht verarbeitet werden dürfen. Daten aus der EU werden also nach dem – im Zweifel weniger strengen – Datenschutzrecht der empfangenden Vertragspartei verarbeitet. Art. 14 Abs. 2 verpflichtet jedoch den empfangenden Staat zumindest, dass die Verarbeitung nur erfolgt, soweit sie für den Zweck relevant ist und nicht darüber hinausgeht.

Im Übrigen stellt Art. 14 Anforderungen an den Datenschutz auf für:

  • die Datenqualität und -integrität,
  • den Umgang mit sensiblen Daten,
  • die Einhaltung angemessener Speicherfristen,
  • die Möglichkeiten automatisierter Entscheidungen,
  • Datensicherheit und Sicherheitsvorfälle,
  • Dokumentationspflichten,
  • die Weitergabe der Daten an andere Vertragsparteien oder andere Staaten und internationale Organisationen,
  • Transparenz- und Benachrichtigungspflichten,
  • Informationsrechte Betroffener inklusive Rechtsbehelfsbelehrung und Berichtigungs- und Löschpflichten, und
  • Informationspflichten für den Fall der Verweigerung der Betroffenenrechte sowie für eine entsprechende Rechtsmittelbelehrung.

Soweit Art. 14 Anwendung findet, müssen die Vertragsparteien für wirksame gerichtliche und außergerichtliche Rechtsbehelfe sorgen, um bei Verstößen Abhilfe zu ermöglichen. Zudem verpflichten sich die Vertragsparteien, eine Aufsicht über die Einhaltung der Vorgaben aus Art. 14 zu schaffen.

Es fällt auf, was schon aus anderen Bereichen bekannt ist: Zwar ist in Art. 14 an Betroffenenrechte gedacht, zu den Adressaten der Auskunftsverlangen – die Unternehmen – schweigt sich das Zweite Zusatzprotokoll jedoch aus.

Fazit

Der Europarat präsentiert mit diesem Beschluss einen Meilenstein in der digitalen Beweiserhebung. In Zukunft soll es für Ermittler möglich sein, auf vereinfachtem Weg Zugriff auf digitale Beweismittel zu erhalten. Unterstellt die Parteien ratifizieren den Vertrag und setzen die Regelungen in innerstaatliches Recht um, werden strukturell multinationale, kohärente Strafprozess-/Rechtshilferechtstrukturen geschaffen. Anders als die von der EU geplante E-Evidence-Verordnung, die eine ähnliche Regelungsreichweite innerhalb der EU vorsieht, könnte der geographische Anwendungsbereich des Zusatzprotokolls deutlich größer sein. Die notwendige verfahrensrechtliche „Synchronisation“ im Überschneidungsbereich EU/Europarat wird spannend zu beobachten sein, vor allem aus der kritischen Perspektive des garantierten Rechtswegs.

Mit dem Zweiten Zusatzprotokoll werden weitreichende Möglichkeiten geschaffen, nicht nur an Bestands-, sondern auch Verkehrs- und sogar Inhaltsdaten aus fremdem Hoheitsgebiet zu gelangen. Die behaupteten Beschwerlichkeiten des Rechtshilfeverfahrens lässt das Zusatzprotokoll dabei in weiten Teilen hinter sich oder sorgt für erhebliche Erleichterungen auf Seiten der Ermittlungsbehörden. Wie üblich im Bereich der Rechtshilfeverfahren zeigt sich jedoch auch hier die Tendenz, dass der Rechtsschutz keine allzu präsente Rolle spielt. Entweder es bleibt bei den Regelungen der bestehenden Abkommen oder es greifen die Mindestvorgaben des Zweiten Zusatzprotokolls. In diesem ist zwar an Betroffenenrechte gedacht, Unternehmen als Adressaten der Auskunftsersuchen erfahren jedoch aus dem Zweiten Zusatzprotokoll wenig Konkretes. Problematisch ist das insbesondere hinsichtlich des Direktzugriffs ausländischer Behörden. Möchte man ein multinationales Verfahrensrecht schaffen, hätte dabei auch der Rechtsschutz stärker in den Blick genommen werden müssen.

Die Problematik, dass der grenzüberschreitende Datenzugriff Ermittlungen erschwert, betrifft alle Prozessordnungen. Insofern dürfte eine schnelle Ratifizierung im Interesse aller Vertragsparteien liegen. Es ist gut denkbar, dass es zu einer schnellen Umsetzung kommen wird. Dies ist aber nur dann zu begrüßen und zu unterstützen, wenn der Rechtsschutz und eine gerichtliche Kontrolle sichergestellt ist.

Sie haben Fragen zum Thema? Sprechen Sie uns gerne direkt an.

Mathea Buchholz promoviert zu Data Mining im Ermittlungsverfahren und ist wissenschaftliche Mitarbeiterin bei der Kanzlei Freshfields Bruckhaus Deringer im Bereich Wirtschaftsstrafrecht am Standort Düsseldorf. Sie war von 2020 bis 2022 wissenschaftliche Mitarbeiterin bei Wessing & Partner.