Cyberspace

E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

Webdienste, Datenbanken, Clouds und Apps sind nicht an Ländergrenzen gebunden. Sie können überall in der Welt bereitgestellt werden und benötigten nicht zwingend eine physische Infrastruktur. Auch brauchen IT-Dienstanbieter keine Firmenpräsenz in dem Land, in sie Dienstleistungen anbieten. In Ermittlungsverfahren, in denen Beweismittel oder Dienstanbieter außerhalb des hoheitlichen Zugriffsbereichs nationaler Ermittlungsbehörden liegen, sind die Möglichkeiten beweisbezogener Informationsbeschaffung begrenzt.[1] Dies stellt Staatsanwaltschaften und Gerichte in der gesamten europäischen Union häufig vor praktische Schwierigkeiten.

Was ist die E-Evidence-Verordnung?

Die EU-Kommission hat einen Entwurf einer Verordnung vorgelegt, welche hinsichtlich der Gewinnung elektronischer Beweismittel die Rechtshilfe innerhalb der EU effizienter gestalten und die länderübergreifende Zusammenarbeit zwischen Strafverfolgungsbehörden innerhalb der EU-Mitgliedstaaten verbessern soll.[2] Bisherige Kooperationsverfahren innerhalb der EU brachten nicht den erhofften Erfolg, da sie zu kompliziert und träge waren.

Bereits seit 2016 wird gefordert, ein gemeines Konzept zu schaffen, um die Zuständigkeitsfrage im Cyberspace verpflichtend zu regeln. Zu den vorhandenen Instrumenten – wie dem EU-Haftbefehl[3] – soll den Strafermittlern daher ein neues Werkzeug in die Hand gegeben werden, welches die Strafermittlung und Strafverfolgung im Cyberspace vereinfachen soll.[4] Die E-Evidence-Verordnung, die 2018 vorgelegt und im Rahmen der Legislaturperiode 2019-2024 weiter diskutiert wird, soll dies ermöglichen.

Konkret sollen mithilfe der E-Evidence-Verordnung (zu Deutsch: Europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel im Strafrecht) Staatsanwaltschaften aller EU-Mitgliedsländer digitale Beweise unbürokratisch und schnell sichern und abgreifen können.

Nach dem aktuellen Entwurf soll den Behörden eines Mitgliedsstaats künftig ein standardisiertes Verfahren zur Verfügung gestellt werden, mit dem europaweite Auskunftsersuchen an Anbieter informationstechnischer Dienste, wie Webmailanbieter, Messenger-Dienste, Cloud-Betreiber, soziale Netzwerke, Hoster und Provider, gestellt werden können. Das Ersuchen verpflichtet die Dienstanbieter zur Sicherung und Herausgabe von Daten.[5]

Voraussetzungen der E-Evidence-Verordnung

Die Europäischen Herausgabe- und Sicherungsanordnung darf nur für Strafverfahren genutzt werden.[6] Die Maßnahme darf nur während eines laufenden Ermittlungs- oder Gerichtsverfahrens angeordnet werden. [7] Nach rechtskräftigem Abschluss des Strafverfahrens darf das Auskunftsverfahren daher nicht (mehr) eingesetzt werden. Es ist davon auszugehen, dass mit „Gerichtsverfahren“ nach deutschem Recht das Zwischenverfahren (§§ 199 ff. StPO), das Hauptverfahren (§§ 212ff. StPO) sowie das Rechtsmittelverfahren (§§ 312 ff StPO) gemeint sind. Die Anordnungen können somit in jedem Zeitpunkt des deutschen Strafverfahrens angewandt werden.

Konkret wird die Herausgabeanordnung vom Anordnungsstaat, dessen nationale Behörde die Ermittlungen führt, erlassen und anschließend vom Vollstreckungsstaat umgesetzt.

Grundsätzlich darf die Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO für alle Straftaten erlassen werden. Eine Beschränkung auf bestimmte Delikte, wie es bspw. die Telekommunikationsüberwachung nach § 100a Abs. 2 StPO oder die Online-Durchsuchung nach § 100b Abs. 2 StPO vorsehen, ist dem Entwurf nicht zu entnehmen. Ob von der Verordnung auch Ordnungswidrigkeiten nach dem OWiG erfasst sind, bleibt offen.

Die Anordnungsmaßnahme muss, unabhängig davon ob es sich um die Herausgabe- oder Sicherungsanordnung handelt, stets notwendig sein und dem Gebot der Verhältnismäßigkeit entsprechen.[8]

Ferner gilt das sog. Herkunftslandprinzip. Die Anordnungsbehörde bewertet mögliche Straftaten allein nach den inländischen Gesetzen des Herkunftslandes. Das Prinzip der beiderseitigen Strafbarkeit[9], wonach das entsprechende Verhalten in beiden Ländern strafbewehrt sein muss, gilt ausdrücklich nicht. Die E-Evidence-VO sieht für die Herausgabeanordnung lediglich vor, dass in beiden Staaten eine vergleichbare Ermächtigungsgrundlage für die konkret durchzuführende Ermittlungsmaßnahme vorhanden sein muss.[10]

Die Anordnungen können auch in Verfahren erlassen werden, die sich gegen eine juristische Person im Anordnungsstaat richtet.[11] Die Maßnahmen könnten ebenfalls Ordnungswidrigkeitsverfahren – sofern diese erfasst sind – gegen Unternehmen (§ 30 OWiG) betreffen. De lege ferenda wären auch Verfahren nach dem Verbandssanktionengesetz, welches sich derzeit noch im Entwurfsstadium befindet[12], von der E-Evidence-VO erfasst.

Weitere Voraussetzung ist, dass der adressierte IT-Dienstanbieter seine Dienste zumindest innerhalb der EU anbietet.

Umfang der Herausgabepflicht nach der E-Evidence-VO

Die E-Evidence-VO unterscheidet bei der Herausgabepflicht zwischen Teilnehmer- und Zugangsdaten sowie Inhalts- und Transaktionsdaten.

  • Unter Teilnehmerdaten fallen Daten wie das Geburtsdatum, die Postanschrift, die Telefonnummer oder die E-Mail-Adresse des Betroffenen.[13] Zugangsdaten sind Daten, anhand derer festgestellt werden kann, wann der Benutzer den betreffenden Dienst genutzt hat, wie bspw. die Uhrzeit und die IP-Adresse. [14] Die Herausgabe von Teilnehmer- und Zugangsdaten kann laut Entwurf stets erlassen werden.[15] Gleiches gilt für die Sicherungsanordnung.[16]
  • Die Herausgabe von Inhalts- und Transaktionsdaten hingegen kann nur bei Straftaten angeordnet werden, die im Anordnungsstaat im Höchstmaß mit einer Freiheitsstrafe von mindestens drei Jahre sanktioniert werden. [17] Unabhängig vom Strafmaß kann sie auch bei ausgewählten Straftaten, die mittels eines Informationssystems begangen werden, durchgeführt werden.[18] Unter den Begriff der Transaktionsdaten fallen Daten, die im Kontext mit der der vom Dienstanbieter angebotenen Leistung stehen.[19] Hierunter fallen Daten, die vom Dienstanbieter selbst generiert werden, wie bspw. ein vorgeschlagener Routenverlauf bei einem Online-Routenplaner. Inhaltsdaten sind Daten, die in digitalen Formaten gespeichert werden, wie bspw. Videos, Bilder oder Tonaufzeichnungen.[20]

Da Transaktions- und Inhaltsdaten sensibler sind, sieht der Entwurf bei der Anordnung der Herausgabe einen Richtervorbehalt vor.[21] Für Teilnehmer- und Zugangsdaten kann die Anordnung der Herausgabe durch die Staatsanwaltschaft erfolgen. [22] Von besonderer Bedeutung ist der Umstand, dass der Richtervorbehalt nur für die ermittelnden Behörde des Anordnungsstaates gilt, nicht jedoch für den Vollstreckungsstaat. Eine Überprüfung grundrechtsinvasiver Herausgabeanordnungen durch die Judikative des Vollstreckungsstaates fehlt ebenso wie dahingehende Rechtsschutzmöglichkeiten des Betroffenen.

Ablauf der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO

Der Ablauf des Verfahrens erfolgt in zwei Schritten:

  • In einem ersten Schritt erlässt die Ermittlungsbehörde des Anordnungsstaates eine Sicherungsanordnung. Diese richtet sie direkt an den betroffenen Dienstanbieter. Das Anliegen wird hierbei in Form eines Zertifikats, dem sog. EPOC-PR, an den Dienstanbieter übermittelt.[23] Das Zertifikat verpflichteten ihn zum „Quick Freeze“[24], also zur unverzüglichen Sicherung der angeforderten Daten für einen Zeitraum von 60 Tagen.[25]
  • In einem zweiten Schritt schickt die Behörde eine europäische Herausgabeanordnung (EPOC), die ebenfalls zertifiziert ist, um an die gesicherten Daten zu gelangen. Der Dienstleister muss innerhalb von zehn Tagen nach Erhalt des EPOC-Anfragezertifikats auf die Anordnung reagieren.[26] In eiligen Verfahren ist diese Frist sogar auf 6 Stunden verkürzt.[27] Sobald die Herausgabeanordnung erfolgt, sind die Daten seitens des Dienstanbieters so lange zu sichern, wie dies zur Herausgabe erforderlich ist.[28]

Der Dienstanbieter kann eine Erstattung seiner Kosten durch den Anordnungsstaat geltend machen.[29] Sofern der adressierte Dienstanbieter seinen Verpflichtungen aus der Anordnung nicht nachkommt, muss er mit finanziellen Sanktionen, wie bspw. einem Bußgeld, rechnen. Zur Höhe der finanziellen Sanktion schweigt die E-Evidence-VO. Dem Entwurf ist lediglich zu entnehmen, dass die Sanktion wirksam, verhältnismäßig und abschreckend sein muss.[30]

Anmerkungen und Kritik zum Entwurf der E-Evidence-VO

Die zunehmende Digitalisierung und Internationalisierung, die beinahe jeden Lebensbereich zu erfassen scheint, betrifft auch das Strafrecht. Die Gewinnung elektronischer Daten, die sich innerhalb einer Cloud befinden, die nicht selten auf einem ausländischen Server gehostet wird, führt im Rahmen von Strafermittlungen zu faktischen und juristischen Schwierigkeiten.

Dass die E-Evidence-VO diesem Problem begegnen will und zur Effektivität und Praxistauglichkeit im Rahmen grenzüberschreitender elektronischer Ermittlungstätigkeit beitragen möchte, ist verständlich und nachvollziehbar. Jedoch birgt die Harmonisierung des europäischen Strafverfahrens, insbesondere wenn sie übereilt erfolgt, untrügliche Gefahren.

Mit der E-Evidence-VO wird eine EU-weite Erweiterung einzelner Ermittlungsbefugnisse angestrebt, obwohl innerhalb der EU weder ein gleichwertiger Mindeststandard an Bürgerrechten besteht noch ein einheitliches europäisches Strafrecht vorhanden ist. Insbesondere die EU-weiten Unterschiede im materiellen Strafrecht, also der Strafgesetze, die ein konkretes Verhalten mit Strafe sanktionieren, können zu perfiden Situationen führen. Als Beispiel wird die Abtreibung genannt. Auf Malta kann der durchführende Arzt mit einer Freiheitsstrafe von bis zu vier Jahren sowie einem Berufsverbot bestraft werden. In Deutschland ist die Durchführung der Abtreibung grundsätzlich straflos. Sollte der betroffene maltesische Arzt ein E-Mail-Konto bei einem deutschen Anbieter unterhalten, so kann die Maßnahme der Sicherung und Herausgabe bei diesem vollstreckt werden, obwohl nach deutschem Recht nicht einmal ein Anfangsverdacht im Sinne von § 152 Abs. 2 StPO vorliegt.

Der Vorschlag der Europäischen Kommission mag zwar gut gemeint sein, er zäumt das Pferd aber von hinten auf. In der Bundesrepublik genießen wir einen vergleichsweise hohen Grundrechtsschutz. Anderen Mitgliedsstaaten der EU, die keinen gleichwertigen Standard garantieren, unmittelbare Eingriffsbefugnisse zu gestatten, bringt den Verzicht an Hoheitsrechten und staatlichen Souveränität mit sich. Die europäische Generalermächtigung in Form der E-Evidence-VO führt gleichzeitig dazu, dass nationales Verfassungsrecht umgangen wird, was unweigerlich zu einem Verlust an Rechtsstaatlichkeit führt.

Sinnvoller erscheint es, zunächst ein grundrechtlicher Mindeststandard innerhalb der EU zu etablieren, bevor eine grundrechtsinvasive Verordnung, wie die E-Evidence-VO, in Kraft tritt.

Des Weiteren sollten zunächst eine unabhängige Institution geschaffen werden, welche die Einhaltung der Rechtmäßigkeit und Verhältnismäßigkeit der Europäischen Herausgabe- und Sicherungsanordnungen EU-weit überprüfen soll und an die sich der Adressat der Maßnahme wenden kann. Der Entwurf sieht weder einheitliche Rechtsschutzmöglichkeiten für den Betroffenen vor, noch lässt sich dem Entwurf entnehmen, wohin sich der Betroffene im Bedarfsfall wenden soll. Auch thematisiert der Entwurf nicht, ob der Vollstreckungsstaat, der nicht einmal konkrete Kenntnis von der Durchführung der Maßnahme erhält, die Maßnahme des Anordnungsstaates im Zweifelsfall überprüfen darf. Der Grundrechtsschutz soll allein durch das vorherige Einschalten einer Justizbehörde beim Erlass der Anordnung gewährleistet sein. Nach Ansicht des Deutschen Richterbundes führt dies jedoch zu einer weitestgehenden Rechtslosigkeit für die Betroffenen.[31]

Strafverfolgungsbehörden weitere internationale Eingriffsbefugnisse zu geben, ohne die Einhaltung des Grundrechtsschutzes für die Betroffenen Bürger zu garantieren, ist aus rechtsstaatlicher Sicht nicht vertretbar. Ebenso ist rechtsstaatlich unvertretbar, ausländische Gerichte und Ermittlungsbehörden mit hoheitlichen Befugnissen auszustatten, ohne den eigenen Institutionen Machtmittel in die Hand geben, um die exterritorialen angeordneten Maßnahmen erkennen und überprüfen zu können.

Auch die praktische Handhabung der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO wirft viele Fragen auf. Wie beschrieben soll die Herausgabenanordnung in bestimmten Fällen innerhalb von 6 Stunden nach Erhalt der Anfrage erfolgen. Dienstanbieter werden bereits Schwierigkeiten damit haben, die angeforderten Daten innerhalb dieses kleinen Zeitfensters ausfinding zu machen, zu isolieren und zu sichern. Wie sie gleichzeitig überprüfen sollen, ob die von einer ausländischen Behörde angefragten Daten überhaupt herausgeben werden dürfen, bleibt fraglich. Viele kleinere IT-Dienstleister verfügen jedenfalls nicht über die hierfür notwendige rechtliche Kompetenz oder eine eigene Rechtsabteilung. Sie müssten sich daher zunächst extern um Rechtsrat bemühen. [32] Dienstanbieter können sich zwar um Kostenerstattung bemühen. Ob hierbei auch die Erstattung von Rechtsberatungskosten umfasst ist, bleibt unklar. Eine rechtliche Unterstützung (bspw. im Falle rechtlicher Unklarheiten) durch inländische Institutionen ist jedenfalls vorgesehen. Auch bleiben Haftungsfragen im Falle der unberechtigten Herausgabe von Daten ungeklärt.

Sollten die Institutionen der EU weiter an ihrem Plan der Umsetzung der Verordnung festhalten wollen, sind noch viele Fragen zu klären. Es lohnt sich für den Praktiker in jedem Fall die E-Evidence-VO weiter im Blick zu behalten.

Fußnoten

[1] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[2] Der Entwurf ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52018PC0225&from=EN

[3] Vgl. zum EU-Haftbefehl bspw. Gaede, NJW 2013, 1279f.

[4] S. 3 d. Entwurfs.

[5] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[6] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[7] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[8] Vgl. Art. 5 Abs. 2 und Art. 6 Abs. 2 E-Evidence-VO vom 17.4.2018.

[9] Das Prinzip gilt bei internationalen Auslieferungsersuchen. Vgl. Grundsatz der Grundsatz der Gegenseitigkeit nach § 5 IRG.

[10] Vgl. Art. 5 Abs. 2 E-Evidence-VO vom 17.4.2018.

[11] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[12] Vgl. zum aktuellen Referentenentwurf zum Verbandssanktionengesetz: Gercke/Grözinger auf LTO https://www.lto.de/recht/hintergruende/h/verbandssanktionengesetz-entwurf-bmjv-compliance-interne-untersuchungen-trennung-strafverteidigung-gastkommentar/

[13] Vgl. Art. 2 Nr. 7 E-Evidence-VO vom 17.4.2018.

[14] Vgl. Art. 2 Nr. 8 E-Evidence-VO vom 17.4.2018.

[15] Vgl. Art. 5 Abs. 3 E-Evidence-VO vom 17.4.2018.

[16] Vgl. Art. 6 Abs. 2 a. E. E-Evidence-VO vom 17.4.2018.

[17] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[18] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[19] Vgl. Art. 2 Nr. 9 E-Evidence-VO vom 17.4.2018.

[20] Vgl. Art. 2 Nr. 10 E-Evidence-VO vom 17.4.2018.

[21] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[22] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[23] Vgl. Art. 10 Abs. 1 E-Evidence-VO vom 17.4.2018.

[24] Zu technischen Hintergründen: Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

[25] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[26] Vgl. Art. 9 Abs. 1 E-Evidence-VO vom 17.4.2018.

[27] Vgl. Art. 9 Abs. 2 E-Evidence-VO vom 17.4.2018.

[28] Vgl. Art. 10 Abs. 2 E-Evidence-VO vom 17.4.2018.

[29] Vgl. Art. 12 E-Evidence-VO vom 17.4.2018.

[30] Vgl. Art. 13 E-Evidence-VO vom 17.4.2018.

[31] Siehe: https://www.drb.de/positionen/stellungnahmen/stellungnahme/news/618/

[32] Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

Posted by Dr. Mathias A. Grzesiek in Internationalisierung des Strafrechts, IT-Strafrecht