Sehr geehrter Herr Oberst,

Die Cybercrime-Konvention des Europarates erlaubt in der Tat den Zugriff nur für Bestandsdaten ("subscriber information"), also Name, Adresse und ähnliche Rechnungsdaten sowie Informationen über die abonnierten Dienste. Es geht ausdrücklich nicht um Verkehrsdaten (dynamische IP-Adressen, Mail-Adressen, URLs etc.) oder Inhaltsdaten, siehe Artikel 18(1(b)) und Artikel 18(3). Daher ist hier die Eingriffstiefe sehr niedrig, etwa vergleichbar mit der automatischen Fahrzeughalterabfrage per KFZ-Kennzeichen in einem anderen EU-Staat im Rahmen des Prümer Vertrages. Die Abfrage ist zudem nur erlaubt, wenn der Provider in dem abfragenden Land seine Dienste auch anbietet. Ob das einem Richtervorbehalt unterliegt, ist Sache der nationalen Strafprozessordnungen und ähnlicher Gesetze der Signatarstaaten der Cybercrime-Konvention und in dieser selber nicht geregelt.

Wir sehen die direkte Abfrage bei einem Provider in einem anderen Land dennoch sehr kritisch. Auf EU-Ebene wird seit 2018 an einem neuen Gesetzesrahmen für den grenzüberschreitenden Zugriff auf elektronische Beweismittel gearbeitet ("e-Evidence"). Wir drängen hier sehr darauf, dass immer die Behörde des Staates, wo der Provider niedergelassen ist, vorher ihre Zustimmung geben muss bzw. die Erbringungsanordnung selber ausführt. Nur so ist sichergestellt, dass sich staatliche Vollzugsgewalt auch weiterhin auf das Territorium ihres Staates beschränkt. Das wird übrigens auch in der offiziellen "Guidance Note" zur Cybercrime-Konvention so ausgelegt: "Agreement to this Guidance Note does not entail consent to the extraterritorial service or enforcement of a domestic production order issued by another State nor creates new obligations or relationships between the Parties."

Zusätzlich drängen wir auf verfahrensmäßige Absicherungen wie eine Informierung der Betroffenen, einen wirksamen Rechtsbehelf, die Bedingung der Strafbarkeit in beiden betroffenen Staaten, oder ein Beweisverwertungsverbot für unrechtmäßig erlangte Bestandsdaten.

Mehr dazu finden Sie in dem Working Document 6 zum "e-Evidence"-Verfahren im Europäischen Parlament, das der Grünen Schattenberichterstatter Romeo Franz MdEP gemeinsam mit der Berichterstatterin Birgit Sippel MdEP (SPD) verfasst hat: Teil A, Teil B, Teil C.

Zu ihrer Frage, wie wir sicherstellen, dass angefragte Nutzerdaten nicht unendlich lange gespeichert werden oder zweckentfremdet werden:

Sofern die abfragenden Staaten EU-Mitglieder sind, gilt für sie die von den Grünen maßgeblich mitverhandelte Richtlinie (EU) 2016/680 zum Datenschutz bei der Strafverfolgung, die seit 2016 in Kraft ist und seit 2018 von allen Mitgliedstaaten umgesetzt sein muss. Sie enthält genau wie die Datenschutzgrundverordnung (DSGVO) klare Bestimmungen zur Speicherbeschränkung, zur Zweckbindung, zur Informierung der Betroffenen etc. Sie binden zwar nicht diejenigen Signatarstaaten der Cybercrime-Konvention, die keine EU-Mitgliedstaaten sind. Für diese gilt aber in fast allen Fällen die Datenschutz-Konvention des Europarates, die gerade an die DSGVO angepasst wurde und auch für die Strafverfolgung gilt.

Die relevante Ausnahme sind hier natürlich die USA, die Mitglied der Cybercrime-Konvention sind, aber nicht der Datenschutz-Konvention. Hier liegt aktuell ein Mandatsentwurf der EU-Kommission zu Verhandlungen mit den USA über die gegenseitige Gestattung der Abfrage elektronischer Beweismittel vor, komplementär zur e-Evidence Gesetzgebung innerhalb der EU bzw. im Rahmen des US Cloud Act. Wir werden diese Verhandlungen kritisch begleiten und unterstützen die Stellungnahme des Europäischen Datenschutzbeauftragten dazu, der u.a. ebenfalls die Überprüfung durch eine Justizbehörde im Land des Providers fordert.

Bei Rückfragen, wenden Sie sich gerne jederzeit an mich.

Mit freundlichem Gruß,

Daniel Freund