Zwei Vorhaben auf europäischer Ebene mit Bezug auf den Datenschutz sind derzeit von besonderer Bedeutung: Die ePrivacy-Verordnung und die eEvidence-Verordnung. Während ePrivacy die Rechte der Nutzerinnen und Nutzer von Kommunikationsdiensten gegenüber den Anbietern stärken soll, geht es bei eEvidence um zusätzliche Befugnisse der Strafverfolgungsbehörden zu Lasten der Grundrechte auf Datenschutz und Privatheit.
Der Europäische Rat, in dem die Regierungen zusammenwirken, übt offenbar erheblichen Druck auf die die Kommission und das Europäische Parlament aus, den im April 2017 gestarteten Legislativprozess zum eEvidence-Paket zu Ende zu bringen, während er sich bis heute nicht auf eine gemeinsame Position zum im Januar 2017 vorgelegten Entwurf der ePrivacy-Verordnung verständigen konnte. Damit erscheint es fraglich, ob die aus dem EP ins Gespräch gebrachte Koppelung beider Rechtsakte zu erreichen ist.
Die Abgeordnete des Europäischen Parlaments (MdEP) Birgit Sippel (S&D), Berichterstatterin des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), hat am 11. November 2019 ihren Berichtsentwurf (https://www.europarl.europa.eu/doceo/document/LIBE-PR-642987_DE.pdf) zum “E-Evidence“-Paket der Europäischen Kommission vorgelegt. Sippel hatte ihre Position bereits auf der EAID-Veranstaltung anlässlich des Europäischen Datenschutztags am 1. Februar 2019 in Berlin dargelegt.
Zudem hat amtierende der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski Anfang November 2019 eine Stellungnahme zu den Kommissionsvorschlägen abgegeben.
Mit dem Kommissionsvorschlag, dessen Kern eine „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“ bildet, soll Ermittlungsbehörden der unkomplizierte grenzüberschreitende Zugriff auf elektronisch gespeicherte Daten ermöglicht werden, die außerhalb des eigenen staatlichen Territoriums gespeichert werden.
Das E-Evidence-Paket ist nicht nur bei Bürgerrechtsorganisationen und Datenschützern auf erhebliche Kritik gestoßen, sondern auch bei Anbietern von Clouddiensten und Telekommunikationsunternehmen. Auch das Bundesjustizministerium beklagte unzureichende rechtsstaatliche Sicherungen in der Kommissionsvorlage, während die Regierungen der meisten anderen Mitgliedsstaaten den Kommissionsentwurf unterstützen.
Die zentralen Änderungsvorschläge der EP-Berichterstatterin Birgit Sippel:
- Die Hürden für den grenzüberschreitenden Datenzugriff sollen gegenüber dem Kommissionsvorschlag erhöht werden. Sicherheits- und Herausgabeanordnungen sollen nur dann erlassen werden, wenn der jeweilige Tatbestand sowohl im Land, indem die Anordnung erlassen wird als auch in dem EU-Mitgliedsstaat, in dem die Anordnung vollstreckt werden soll (Vollstreckungsstaat) strafbar ist und – bei Verkehrs- und Inhaltsdaten – eine Mindesthöchststrafe von im Regelfall fünf (statt wie von der Kommission vorgeschlagen drei) Jahren im nationalen Recht vorgesehen ist. Zudem müssen schwerwiegende Verdachtsmomente vorliegen.
- Ein zentraler Mangel des Kommissionsvorschlags besteht darin, dass er es jeder Strafverfolgungsbehörde oder jedem Gericht in der EU ermöglichen würde, Unternehmen wie Telekommunikations-, Cloud- und E-Mail-Anbieter und soziale Netzwerke in anderen EU-Ländern zu zwingen, die personenbezogenen Daten ihrer Nutzer direkt weiterzugeben. Die Justizbehörden Vollstreckungsstaats würden nicht mehr beteiligt sein und deshalb nie etwas über den Datenzugang der ausländischen Behörde erfahren. Um diese Risiken zu verringern, schlägt die EP-Berichterstatterin eine Meldepflicht gegenüber der zuständigen Behörde des Landes vor, in dem der Online-Anbieter seinen Sitz hat (Vollstreckungsbehörde). Damit bekämen die Vollstreckungsbehörden die Chance, ungerechtfertigte Datenzugriffe zu unterbinden. Zudem sollen die Justizbehörden des Landes zu konsultieren sein, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat. Nur so könnten besondere Schutzmaßvorkehrungen des nationalen Rechts gewährleistet werden, die etwa Ärzte oder Journalisten besonders schützen.
- In Eilfällen sollen die Daten nicht innerhalb von sechs sondern in 24 Stunden zu übermitteln sein. Diese Verlängerung ermöglicht der Vollstreckungsbehörde und dem verpflichteten Unternehmen zumindest theoretisch die Prüfung, ob schwerwiegene Mängel der Anordnung vorliegen.
- Der Berichtsentwurf enthält eine umfassende Liste möglicher Gründe für die Nichtanerkennung oder Nichtausführung von Anträgen auf Zugang zu ausländischen Daten. Zu den Ablehnungsgründen gehört die Nichteinhaltung der Grundsätze von ne bis in idem (man kann nicht zweimal wegen derselben Straftat verurteilt werden) und der doppelten Strafbarkeit (das ermittelte Verhalten muss in allen betroffenen Rechtsordnungen eine Straftat sein).
- Das Recht des Betroffenen auf wirksame Rechtsbehelfe und ein faires Verfahren sollen gestärkt werden, etwa eine grundsätzliche Benachrichtigungspflicht der Person, die von einer Datenzugriffsanfrage betroffen ist, es sei denn, eine solche Benachrichtigung würde sich negativ auf eine Untersuchung auswirken. In einem solchen Fall muss der Staat, der die Daten anfordert (Ausstellungsstaat), einen Gerichtsbeschluss einholen, um sie zu erhalten.