E-Evidence: Europäisches Parlament verabschiedet Gesetzespaket

Das Europäische Parlament hat in dieser Woche über zwei Rechtsakte zum digitalen Beweisrecht abgestimmt. Mit großer Mehrheit verabschiedete das Parlament die sogenannte e-Evidence-Verordnung in Strafsachen, die es Ermittlungsbehörden in Zukunft ermöglichen wird, digitale Beweismittel unmittelbar von Telekommunikationsanbietern in anderen EU-Staaten herauszuverlangen. Die ebenfalls beschlossene Richtlinie über gesetzliche Vertreter verpflichtet Diensteanbieter darüber hinaus, eine Einrichtung oder einen Vertreter in der EU zu benennen, an den entsprechende Anordnungen zugestellt werden können.

Ziel des Gesetzespakets

Ziel des Gesetzespakets ist eine effektive Strafverfolgung innerhalb der EU in Zusammenhang mit elektronischen Beweismitteln. Bisher müssen Ermittlungsbehörden bei grenzüberschreitenden Sachverhalten aufwändige und zeitintensive Rechtshilfeverfahren anstrengen, um Zugriff auf beweiserhebliche Daten im Ausland zu erlangen (vgl. auf unserem Blog: E-Evidence: Dürfen Strafverfolgungsbehörden auf Daten zugreifen, wenn sie auf Servern im Ausland liegen?). Dabei handelt es sich um keine Seltenheit, denn elektronische Beweismittel sind etwa für 85 % der strafrechtlichen Ermittlungen von Bedeutung und stammen dabei in 65 % der Fälle aus einem anderen EU-Land (vgl. hier). Die Ineffizienz des Rechtshilfeverfahrens stellt für die Ermittlungsbehörden somit regelmäßig ein großes Problem dar, da sie aufgrund der Flüchtigkeit und Manipulierbarkeit von Daten auf ein schnelles Handeln angewiesen sind.

Die e-Evidence-Verordnung soll dieses Hindernis durch die Einführung eines Direktanspruchs der Ermittlungsbehörden gegenüber Dienstanbietern in einem anderen Mitgliedstaat beseitigen. Dabei handelt es sich keinesfalls um ein rechtliches Novum. Die USA hatten bereits 2018 mit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) eine der e-Evidence-Verordnung nicht unähnliche Regelung eingeführt. Ebenso sieht auch das Zweite Zusatzprotokoll zur sog. Cybercrime Konvention einen derartigen Direktanspruch vor (vgl. auf unserem Blog: Zweites Zusatzprotokoll zur Cybercrime-Konvention: Wesentliche Eckpunkte) – gleichwohl geht die e-Evidence Verordnung über die Vorschriften des Zusatzprotokolls deutlich hinaus und ist schon aus diesem Grund ein beachtenswerter Schritt in der europäischen Rechtslandschaft.

Welche Dienste sind betroffen? 

Umfasst sind somit: Internetzugangsdienste und interpersonelle Kommunikationsdienste, Anbieter von Infrastrukturdiensten sowie andere Dienste der Informationsgesellschaft.

Im Ergebnis sind insbesondere folgende Dienste betroffen:

  • Festnetz-, Mobilfunk – oder Satellitenzugänge,
  • Internet-Telefonie (Voice-over-IP) wie Skype,
  • Messenger wie WhatsApp, Threema und Telegram,
  • E-Mail-Dienste wie web.de (= Over-The-Top[OTT]-Dienste,
  • Online-Marktplätze, die es Verbrauchern und Unternehmen ermöglichen, miteinander zu kommunizieren,
  • andere Hosting-Dienste, einschließlich Cloud-Computing-Dienste sowie
  • Plattformen für Online-Spiele und Online-Glücksspiele.

Nicht erfasst sind Videoabrufdienste wie z.B. YouTube und Finanzdienstleistungen im Sinne des Art. 2 Abs. 2 lit.) b der Richtlinie 2006/123/EG.

Vorgesehene Instrumente

Die Verordnung differenziert zwischen der Europäischen Herausgabeanordnung und der Europäischen Sicherungsanordnung. Mittels der Herausgabeanordnung kann ein Diensteanbieter durch eine Anordnungsbehörde eines anderen Mitgliedstaats verpflichtet werden, elektronische Beweismittel innerhalb von 10 Tagen (in Notfällen 8 Stunden) herauszugeben. Mit der Sicherungsanordnung kann ein Diensteanbieter zur Sicherung von elektronischen Daten für die Dauer von bis zu 90 Tagen verpflichtet werden, die später durch ein gesondertes Ersuchen herausverlangt werden können.

Betroffen sind bereits gespeicherte Daten, unabhängig von ihrem Speicherort. Die e-Evidence-VO unterscheidet dabei zwischen Teilnehmerdaten (z.B. Name, Geburtsdatum, Postanschrift und E-Mail-Adresse des Teilnehmers oder Kunden), Verkehrsdaten (z.B. Zeitstempel, Standortdaten Informationen über Quelle und Ziel einer Nachricht) und Inhaltsdaten (z.B. Text, Bild, Video oder Ton). Nicht umfasst sind zukünftig entstehende Daten oder Echtzeit-Überwachungen. Eine Herausgabeanordnung in Bezug auf Verkehrs- und Inhaltsdaten setzt zusätzlich voraus, dass die verfahrensgegenständliche Straftat im Höchstmaß mindestens mit 3 Jahren Freiheitsstrafe bedroht ist.

Eine Herausgabe- oder Sicherungsanordnung kann an alle Anbieter adressiert werden, die digitale Dienste in einem EU-Mitgliedsstaat zur Verfügung stellen. Dies gilt unabhängig davon, ob der Diensteanbieter in einem Staat ansässig ist, der an der e-Evidence-VO nicht teilnimmt (z.B. Dänemark) oder außerhalb der EU liegt (z.B. USA, UK). Die Richtlinie über gesetzliche Vertreter führt dazu, dass grundsätzlich jeder Anbieter digitaler Dienste entweder eine „benannte Niederlassung“ oder einen „rechtlichen Vertreter“ auf dem Gebiet der EU benennen muss, an den Herausgabe- und Sicherungsanordnungen zugestellt werden können.

Notifikation des Vollstreckungsstaats

Nachdem die Kommission im April 2018 ihren Entwurf für eine e-Evidence-VO vorgelegt hatte, haben sich das Parlament und der Rat bereits im November 2022 nach umfassenden Verhandlungen auf einen gemeinsamen Vorschlag geeinigt. Mit der Einführung eines Notifizierungsverfahrens bei Inhalts- und Verkehrsdaten sind sie der Kritik begegnet, dass eine Herausgabeanordnung ohne wirksame Rechtmäßigkeits- und Verhältnismäßigkeitsprüfung durch den Vollstreckungsstaat (= Staat, in dem der Diensteanbieter niedergelassen oder der Vertreter ansässig ist) ergehen könnte. Nunmehr stehen der unterrichteten Behörde in bestimmten Konstellationen Versagungsgründe zu, die Herausgabe oder Sicherung von Daten abzulehnen. Ein solcher Ablehnungsgrund liegt beispielsweise vor, wenn die angeforderten Daten durch Immunitäten oder Vorrechte bestimmter Personengruppen besonders geschützt sind (z.B. Diplomaten, Berufsgeheimnisträger, Journalisten in Bezug auf Quellenschutz) oder wenn das dem Strafverfahren zugrunde liegende Verhalten im Vollstreckungsstaat nicht strafbar ist (Prinzip der beiderseitigen Strafbarkeit). Darüber hinaus sieht die Verordnung die Einführung eines dezentralisierten IT-Systems vor, das der Kommunikation zwischen Behörden und Diensteanbietern sowie der Bereitstellung der Daten dienen soll.

Verweigerung durch den Diensteanbieter

Diensteanbieter dürfen die Herausgabe oder Sicherung der Daten nur verweigern, wenn die notifizierte Behörde einen Versagungsgrund geltend macht oder der Diensteanbieter die Vollstreckung in zulässiger Weise ablehnt, etwa wenn mit der Ausführung der Anordnung eine offensichtliche Verletzung eines einschlägigen Grundrechts gemäß Artikel 6 EUV und der Grundrechtecharta einhergehen würde. In allen anderen Fällen der Nichtbefolgung einer Anordnung drohen dem Diensteanbieter Sanktionen in Höhe von bis zu 2 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr.

Ausblick

Nun liegt der Ball beim Rat der EU, der bereits im Januar 2023 zugesagt hat, den Standpunkt des Europäischen Parlaments zu billigen. Die e-Evidence-Verordnung wäre dann drei Jahre nach ihrem Inkrafttreten anwendbar. Die Richtlinie über Vertreter wäre spätestens 30 Monate nach Inkrafttreten durch die Mitgliedstaaten umzusetzen. Das Gesetzespaket wird in Zukunft wesentliche Auswirkungen auf strafrechtliche Ermittlungsverfahrenen haben.

Sie haben Fragen zum Thema? Sprechen Sie uns gerne direkt an.