Direktzugriff von Sicherheitsbehörden auf Cloud-Daten in Europa und den USA
der Abgeordneten Andrej Hunko, Heike Hänsel, Ulla Jelpke, Dr. Alexander S. Neu, Martina Renner, Dr. Petra Sitte, Alexander Ulrich, Kathrin Vogler und der Fraktion DIE LINKE.
Vorbemerkung
Die Europäische Union plant die Erweiterung eines geplanten Rechtsaktes, um direkt auf Daten bei Internetdienstleistern zugreifen zu können. Dies würde auch für US-Firmen gelten. Hierzu soll die im April von der Europäischen Kommission vorgeschlagene Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (SWD (2018) 118 final und SWD(2018) 119 final) entsprechend ergänzt werden. Im Verordnungsentwurf hatte die Kommission mehrere Optionen vorgestellt und gegeneinander abgewogen. Durchgesetzt hat sich schließlich ein Rechtshilfeverfahren für Inhaltsdaten, Verkehrsdaten und Bestandsdaten, an das die Firmen mit bestimmten Fristen gebunden sind. Ein Direktzugriff („Option D“) ging der Kommission zu weit. Die bulgarische Ratspräsidentschaft schreibt nun, dass ein solcher Direktzugriff sowie ein Abhören in Echtzeit („real-time interception of data“) in die Verordnung gehievt werden könnte. Die europäischen Ermittlerinnen und Ermittler müssten hierzu mit allen Werkzeugen ausgestattet werden, „die auch ihren US-Kollegen zur Verfügung stehen“. Die Minister aus Belgien, Portugal, Zypern, Frankreich, Griechenland, Italien und Estland hätten sich laut einem Medienbericht „deutlich dafür aus[gesprochen], Maßnahmen einzuführen, die das Abfangen von Kommunikationsdaten in Echtzeit ermöglichen“ („Zugriff auf Daten: EU-Justizminister uneins über Polizei-Befugnisse“, euractiv.de vom 5. Juni 2018). Allerdings ist weiterhin unklar, wie mit Daten umgegangen werden soll, deren Speicherort oder Hoster unbekannt ist. Einem Papier der Kommission zufolge (http://gleft.de/2hQ) könnten dann „Möglichkeiten des Zugangs“ genutzt werden, mit denen Behörden der Mitgliedstaaten bereits jetzt auf die betroffenen Server zugreifen und Daten „direkt von den Computersystemen“ kopieren können.
Die US-Regierung wird nach Einschätzung der Fragestellerinnen und Fragesteller einem Direktzugriff auf ihrem Hoheitsgebiet jedoch nur zustimmen, wenn auch US-Behörden in der Europäischen Union eine solche Maßnahme zugestanden würde. Die geplante EU-Verordnung zu „elektronischen Beweismitteln“ kann insofern als Antwort auf den jüngst in den USA erlassenen „Clarifying Lawful Overseas Use of Data (CLOUD) Act“ („CLOUD Act“) verstanden werden, der dort niedergelassene Firmen zur Offenlegung von Bestands-, Verkehrs- und Inhaltsdaten zwingt (http://gleft.de/2hK).
Der „CLOUD Act“ enthält eine Klausel, wonach einzelne EU-Mitgliedstaaten mit der US-Regierung als „Partnerstaaten“ ein Durchführungsabkommen schließen können. Die europäischen Behörden wären den US-Behörden dann in Bezug auf Anordnungen zur Herausgabe „elektronischer Beweismittel“ gleichgestellt. Anstatt eines Durchführungsabkommens für jeden einzelnen EU-Mitgliedstaat soll nun der Rat ein Gesamtabkommen mit der US-Regierung für die gesamte Europäische Union aushandeln. Vor zwei Wochen stand das Thema auf der Agenda des EU-US-Ministertreffens in Sofia (http://gleft.de/2hL). Am 4. Juni 2018 berieten darüber die EU-Justizminister in Luxemburg. Die Debatte zur grenzüberschreitenden Herausgabe „elektronischer Beweismittel“ soll laut der bulgarischen Ratspräsidentschaft möglichst offen geführt werden, um in der Angelegenheit ein „klares Signal“ für die Entschlossenheit der Europäischen Union und ihrer Mitgliedstaaten auszusenden.
Wir fragen die Bundesregierung:
Fragen21
Welche Haltung vertritt die Bundesregierung zur Frage der Notwendigkeit eines Direktzugriffs europäischer Behörden auf Daten bei international tätigen Internetdienstleistern (bitte begründen)?
Sofern die Meinungsbildung hierzu noch nicht fortgeschritten ist, welche Möglichkeiten der grenzüberschreitenden Datenherausgabe unter Wahrung des geltenden Grundrechtsschutzniveaus kämen überhaupt infrage (Bundestagsdrucksache 19/1493, Antwort zu Frage 3)?
Inwiefern sollte eine EU-Verordnung zu „elektronischen Beweismitteln“ aus Sicht der Bundesregierung auch das Abhören in Echtzeit regeln (bitte die Zustimmung oder Ablehnung begründen)?
Inwiefern sollte eine EU-Verordnung zu „elektronischen Beweismitteln“ aus Sicht der Bundesregierung auch für abgehörte Telefonate gelten (bitte die Zustimmung oder Ablehnung begründen)?
Wie dringend sollte eine Vereinbarung für einen solchen Direktzugriff aus Sicht der Bundesregierung mit der US-Regierung getroffen werden (Ratsdokument 9117/18)?
Für welche Internetanbieter bzw. Dienstleistungen ist ein solcher Direktzugriff aus Sicht der Bundesregierung nicht notwendig (etwa weil eine bestimmte Anzahl von Nutzerinnen und Nutzern nicht überschritten wird)?
Welche Fristen für die Erledigung einer „Herausgabeanordnung“ hält die Bundesregierung hinsichtlich Inhaltsdaten, Verkehrsdaten und Bestandsdaten für angemessen, bzw. inwiefern stimmt sie den entsprechenden Vorschlägen der Kommission zu (Erledigung innerhalb von zehn Tagen, im „Notfall“ sechs Stunden, siehe Kommissionsdokumente SWD(2018) 118 final und SWD(2018) 119 final)?
Inwiefern stimmt die Bundesregierung mit dem Verordnungsentwurf der Kommission überein, wonach Firmen in einer „Herausgabeanordnung“ auch Zugangsdaten (etwa PIN- und PUK-Nummern oder Passwörter) herausgegeben werden sollen?
Inwiefern gelten Zugangsdaten aus Sicht der Bundesregierung als Bestandsdaten?
Welche Haltung vertritt die Bundesregierung zur Frage, inwiefern eine Herausgabe von Teilnehmer- und Bestandsdaten (auch Zugangsdaten) für „jede Art von Straftaten“ erfolgen sollte?
Ab welcher Mindeststrafe der verfolgten Straftat sollten aus Sicht der Bundesregierung Anordnungen zur Herausgabe von Transaktions- und Inhaltsdaten befolgt werden müssen?
Wie sollte aus Sicht der Bundesregierung in einer etwaigen EU-Verordnung zu „elektronischen Beweismitteln“ mit Daten umgegangen werden, deren Speicherort oder Hoster unbekannt ist?
a) Welche Möglichkeiten des Zugangs zu solchen Daten, die wie von der Europäischen Kommission erwähnt den „US-Kollegen zur Verfügung stehen“, sind der Bundesregierung bekannt (http://gleft.de/2hQ)?
b) Welche eigenen Techniken setzt sie zum Zugang zu solchen Daten ein?
Welche Einschätzung vertritt die Bundesregierung zur Frage, inwiefern die USA einem Direktzugriff auf ihrem Hoheitsgebiet zustimmen würden, ohne dass auch US-Behörden in der Europäischen Union eine solche Maßnahme zugestanden würde?
Über welche internationalen oder multilateralen Verträge könnte oder sollte ein solcher US-Direktzugriff in Europa aus Sicht der Bundesregierung ausgestaltet werden?
Welche eigenen Anstrengungen unternimmt die Bundesregierung, um im Rahmen des neuen „CLOUD Act“ der USA ein Durchführungsabkommen als „Partnerstaat“ zu schließen, um die dort ansässigen Internetdienstleister im Rahmen der Rechtshilfe zur Herausgabe von Daten zwingen zu können?
a) Inwiefern sollte die Europäische Union aus Sicht der Bundesregierung ein Durchführungsabkommen mit den USA verhandeln, das für alle Mitgliedstaaten gelten würde, und mit welchem Mandat ist die Europäische Kommission hierzu bereits ausgestattet?
b) Wer sollte ein solches Rahmenabkommen schließlich verhandeln (Ratsdokument 9117/18)?
Inwiefern haben die Europäische Kommission und/oder der Rat nach Kenntnis der Bundesregierung die Kompetenz für die Verhandlung eines Rahmen-Durchführungsabkommens auf dem jüngsten EU-US-Ministertreffen in Sofia, an dem neben dem österreichischen Innenminister Herbert Kickl der US-Justizsenator Jeff Sessions und die Heimatschutz-Vizeministerin Claire Grady teilnahmen, deutlich gemacht (http://gleft.de/2hL)?
Welche Verabredungen wurden nach Kenntnis der Bundesregierung auf dem EU-US-Ministertreffen hinsichtlich der Verhandlung eines solchen EU-US-Durchführungsabkommens getroffen?
Welche Bedingungen sind der Bundesregierung für ein solches EU-US-Rahmenabkommen von der US-Seite bekannt (etwa der reziproke Zugriff im Rahmen der Rechtshilfe auf Daten in der Europäischen Union)?
Auf welche Weise wird die Europäische Union prüfen, inwiefern europäische oder amerikanische Internetdienstleister durch die EU-Teilnahme am „CLOUD Act“ der USA in rechtliche Schwierigkeiten geraten, etwa wenn die Bestimmungen einer EU-Verordnung und des „CLOUD Acts“ konflikieren?
Was ist der Bundesregierung über den Zeitplan der österreichischen Ratspräsidentschaft bekannt, eine Verordnung zu „elektronischen Beweismitteln“ als Dossier zu behandeln, und für wann ist ein Abschluss angestrebt?
Inwiefern sollte die Debatte zur grenzüberschreitenden Herausgabe „elektronischer Beweismittel“ aus Sicht der Bundesregierung wie von der bulgarischen Ratspräsidentschaft angeregt möglichst offen geführt werden (Ratsdokument 9117/18), um in der Angelegenheit ein „klares Signal“ für die Entschlossenheit der Europäischen Union und ihrer Mitgliedstaaten auszusenden, und wie könnte diese Offenheit erzielt werden?
Inwiefern wird sich die Bundesregierung weiter dafür einsetzen, ihren Vorschlag einer sogenannten Notifikationslösung in den Verordnungsentwurf hinein zu verhandeln, wonach Behörden des Staates, in dem Daten liegen oder vermutet werden, nicht im Vorfeld des Zugriffs informiert werden, sondern im Nachhinein (Bundestagsdrucksache 19/1493, Antwort zu Frage 10)?