Digitale Beweise im EU-/US-Datenschutzkonflikt
Einführung
Nach langen Verhandlungen befindet sich die europäische Verordnung über die Einführung von „Herausgabe- und Sicherungsanordnungen“ (im akademischen und politischen Raum vor allem unter dem Begriff der „E-Evidence-Verordnung“ bekannt) nun auf der gesetzgeberischen Zielgraden: Nachdem im Januar 2023 die politische Einigung zwischen Rat und Parlament erzielt wurde, hat in der vergangenen Woche das Europäische Parlament dem Gesetzesentwurf zugestimmt (hierzu überblicksartig Albus). Ein wichtiger Bestandteil der Neuregelung ist, dass in der Europäischen Union tätige US-Unternehmen auch solche Daten herausgeben müssen, die in den USA gespeichert sind – obwohl das US-Datenschutzrecht eine solche Herausgabe grundsätzlich verbietet. Der Konflikt zwischen unionsrechtlicher Herausgabepflicht und explizit dem US-Datenschutz ist deshalb so relevant, weil die US-Diensteanbieter bekanntlich auch im Binnenmarkt der Europäischen Union eine zentrale Rolle einnehmen – sollte es diesen Unternehmen durch das US-Datenschutzrecht verboten sein, Daten aufgrund einer „Europäischen Herausgabeanordnung“ an die Ermittlungsbehörden der Mitgliedstaaten zu übersenden, hätte dies massiven Einfluss auf die Funktionsfähigkeit des neuen EU-Mechanismus – schließlich werden 92 % der Daten westlicher Staaten in den USA gespeichert (Burwell/Propp, S. 8).
Um diesen Konflikt aufzulösen, verhandeln die EU und die USA derzeit ein Abkommen, durch das es auf der einen Seite den EU-Ermittler:innen ermöglicht wird, in den USA gespeicherte Daten von den US-Unternehmen herauszuverlangen, ohne dass das US-Datenschutzrecht dem entgegensteht. Vice versa sollen durch das Abkommen aber auch US-Ermittler:innen Daten erlangen können, die in der Europäischen Union gespeichert sind, ohne dass das EU-Datenschutzrecht es den Unternehmen verbietet, die Daten an die US-Behörden herauszugeben. Bei den Verhandlungen haben beide Seiten großes Interesse daran, die Daten im jeweils anderen Herrschaftsbereich für die eigene Strafverfolgung zu erhalten – und wollen die in ihrem Territorium gespeicherten Daten gleichzeitig möglichst weitgehend vor dem Zugriff ausländischer Ermittlungsbehörden abschirmen. Damit die US-Unternehmen die Datenherausgabe bei Europäischen Herausgabeanordnungen nicht mit Verweis auf das US-Recht verweigern und so die Funktionsfähigkeit der E-Evidence-Verordnung von vorneherein beeinträchtigt wird, steht die Kommission bei diesen Verhandlungen unter Zugzwang – und lässt ausweislich eines am 21.6.2023 veröffentlichten Zwischenstandes der Verhandlungen den EU-Datenschutz schleifen.
Der vorliegende Beitrag skizziert zunächst den Konflikt, der sich zwischen dem EU-Recht auf der einen und dem US-Recht auf der anderen Seite bei der Ermittlung digitaler Beweise ergibt. Anschließend liegt der Fokus auf den Möglichkeiten zur Auflösung der Spannungslage: Zum einen reagiert die E-Evidence-Verordnung selbst auf Konflikte mit dem Datenschutzrecht von Drittstaaten, in denen die Daten gespeichert sind, da dies jedoch keine praxistaugliche Lösung ist, liegt der Fokus anschließend auf den derzeit stattfindenden Verhandlungen über ein E-Evidence-Abkommen zwischen der Europäischen Union und den USA, die hier kritisch analysiert werden sollen.
Die E-Evidence-Verordnung und der Zugriff auf in den USA gespeicherte Daten
Ausgangspunkt des Konflikts mit dem US-Recht ist die Reichweite der Regelungen der E-Evidence-Verordnung, weshalb der Mechanismus der nun vom Europäischen Parlament beschlossenen „Europäischen Herausgabeanordnung“ kurz skizziert werden muss: Danach haben die Strafverfolgungsbehörden der Mitgliedstaaten die Möglichkeit, gegenüber Anbietern von elektronischer Kommunikation und Cloud-Dienstleistungen (sog. „Diensteanbieter“), die in der Europäischen Union ihre Dienste anbieten, Anordnungen zu erlassen, die auf die Herausgabe von Daten zu strafrechtlichen Ermittlungszwecken gerichtet sind. Die Besonderheit liegt darin, dass die Anordnungen an den Diensteanbieter gerichtet werden dürfen, ohne dass es grundsätzlich einer vorgelagerten Einbeziehung der Behörden des Vollstreckungsstaates erforderlich ist (zum „Notifizierungsverfahren“ siehe Albus). Zur Entgegennahme entsprechender Anordnungen müssen die Diensteanbieter nach der „Vertreter-Richtlinie“ einen Vertreter als zentrale Stelle in einem Mitgliedstaat benennen.
Neben dieser strukturellen Veränderung der zwischenstaatlichen Kooperation enthält die E-Evidence-Verordnung eine Regelung, die den hier bereits angedeuteten Konflikt auslöst: Nach der neuen Verordnung ist es irrelevant, wo die Daten, die im Rahmen einer Europäischen Herausgabeanordnung herauszugeben sind, tatsächlich gespeichert sind – dies kann in der Praxis in dem Staat sein, in dem der benannte Vertreter sitzt, in einem anderen EU-Staat, aber eben auch in einem Drittstaat außerhalb der Europäischen Union. Dass die Verpflichtung zur Herausgabe unabhängig vom Datenspeicherort gilt, ergibt sich aus verschiedenen Regelungen der Verordnung (vgl. Art. 1 Abs. 1 S. 1, 17 Abs. 2 lit. b, Erwägungsgrund 21 der VO). Damit Anordnungen an die Unternehmen adressiert werden können, ist es lediglich relevant, dass der jeweilige Diensteanbieter seine Dienste in der Europäischen Union anbietet, was insbesondere auf die großen US-Unternehmen zutrifft. Diese weitreichende Regelung der E-Evidence-Verordnung steht jedoch im Konflikt mit dem US-Datenschutzrecht (namentlich 18 U.S.C. § 2702), nach dem es US-Diensteanbietern grundsätzlich verboten ist, Inhaltsdaten, die auf Servern in den USA gespeichert sind, an ausländische Strafverfolgungsbehörden herauszugeben.
Unzureichende Adressierung von Regelungskonflikten durch die E-Evidence-Verordnung selbst
Zur Auflösung von Konflikten zwischen der Pflicht, einer Europäischen Herausgabeanordnung nachzukommen und dem Datenschutzrecht von Drittstaaten hält die Verordnung selbst einen Mechanismus bereit: Nach Art. 17 VO besteht für Adressat:innen von Herausgabeanordnungen die Möglichkeit, einen „Einwand“ gegen die Herausgabeanordnung zu erheben. Soweit die Anordnungsbehörde die Anordnung aufrechterhalten will, entscheidet nach Art. 17 Abs. 3 VO ein Gericht des Anordnungsstaates anhand einer umfangreichen Abwägung, deren Wertungen sich aus einem ausführlichen Kriterienkatalog (Art. 17 Abs. 6 VO) ergeben, darüber, ob die Anordnung dennoch aufrecht zu erhalten ist: In die Abwägung ist etwa das Datenschutzinteresse des anderen Staates, der Grad der Verbindung der Strafsache mit der Europäischen Union bzw. des die Herausgabe verhindernden Staates zu berücksichtigen. Demnach reagiert die E-Evidence-Verordnung zwar selbst auf den Regelungskonflikt – die einschlägige Vorschrift enthält jedoch nur sehr unklare Maßgaben für die Rechtsprechung, die über entsprechende „Einwände“ zu entscheiden hat, sowie für die Diensteanbieter, die abwägen müssen, wann sie einen solchen Rechtsbehelf erheben. Ziel der Vorschrift ist es, Rechtssicherheit bei konfligierenden rechtlichen Verpflichtungen herzustellen – von Rechtssicherheit kann jedoch bei derart unbestimmten Maßgaben keine Rede sein, weshalb der Mechanismus nicht geeignet ist, eine praxistaugliche Auflösung dieses Konflikts bereitzustellen.
Schwierige Ausgangsbedingungen für den Abschluss eines EU-/US-Übereinkommens für digitale Beweismittel
Doch wie kann sonst eine Entflechtung des Konflikts erreicht werden? Bereits parallel zur unionsinternen Verhandlung der E-Evidence-Verordnung hat der Rat 2019 die Kommission damit beauftragt, ein Abkommen zwischen der Europäischen Union und den USA über digitale Beweise zu verhandeln. Ziel aus EU-Sicht ist dabei, dass das US-Datenschutzrecht es den US-Diensteanbietern nicht mehr verbietet, Europäischen Herausgabeanordnungen, die sich auf in den USA gespeicherte Daten beziehen, nachkommen zu dürfen. Jedoch verfolgen auch die US-Verhandler:innen ein ähnliches Ziel für die umgekehrte Situation: Sie möchten verhindern, dass sich die US-Diensteanbieter gegenüber US-Anordnungen (nach dem US CLOUD Act, siehe hierzu Abraha, S. 324 [330]) zur Herausgabe von Daten, die auf Servern in der Europäischen Union gespeichert sind, auf das EU-Datenschutzrecht und dabei insbesondere die Art. 44 ff. DSGVO berufen können. Nach diesen Vorschriften ist die Herausgabe von in der EU verarbeiteten Daten ohne ein Abkommen zwischen der Europäischen Union und dem jeweiligen Drittstaat, an den die Daten übermittelt werden sollen, grundsätzlich verboten. Hierdurch kommt es zu einer Verknüpfung zwischen der E-Evidence-Verordnung auf der einen und dem Zugriff der US-Ermittler:innen auf in der Europäischen Union gespeicherte Daten auf der anderen Seite.
Aus unionsrechtlicher Sicht tritt bei der Auflösung dieser Gemengelage ein prominenter Datenschutzkonflikt aus der Vergangenheit auf den Plan: Der EuGH hat in der Vergangenheit zur Übermittlung von in der EU verarbeiteten personenbezogenen Daten in die USA mehrfach angenommen, dass es hierdurch zu einer unzulässigen Verringerung des Datenschutzniveaus kommen würde (vgl. die Urteile „Schrems I“ und „Schrems II“). Aktuell finden intensive Verhandlungen um ein neues, grundlegendes Datenschutzabkommen zwischen der Europäischen Union und den USA statt, wobei fraglich ist, ob hierdurch die Datenschutzbedenken ausgeräumt werden können.
Vernachlässigung des EU-Datenschutzrechts bei den bisherigen Verhandlungen durch die Kommission?
Die Verhandlungen hinsichtlich eines E-Evidence-Übereinkommens wurden zwischenzeitlich wegen der geringen Fortschritte bei der Verabschiedung der E-Evidence-Verordnung ausgesetzt, im März 2023 jedoch wieder aufgenommen, nachdem im Januar 2023 in der Europäischen Union die politische Einigung erreicht wurde. In seinen Verhandlungsleitlinien (insb. S. 6) zu einem E-Evidence-Abkommen betont der Rat zwar, dass es nicht zu einer Verringerung des unionsgrundrechtlichen Schutzniveaus kommen dürfe. Nach einer am 21.6.2023 veröffentlichten gemeinsamen Erklärung der EU- und US-Innen- und Justizminister:innen soll zur Sicherstellung von hinreichenden Verfahrens- und Grundrechten eine im vergangenen Jahr auf OECD-Ebene verabschiedete Erklärung als eine Grundlage für das E-Evidence-Übereinkommen dienen. Durch diese Erklärung werden bestimmte Mindeststandards festgeschrieben, etwa dass es für den Zugriff auf Daten einer rechtlichen Grundlage bedarf und dies nur für legitime Zwecke zulässig ist. Außerdem wird ein Gebot der Zweckbindung sowie ein gewisses Maß an Transparenz betont. Die Formulierungen sind jedoch so vage, dass es mehr als fraglich erscheint, ob hierdurch den Art. 44 ff. DSGVO hinreichend Rechnung getragen wird.
Dass die Kommission ein großes Interesse daran hat, ein Abkommen zu schließen, bevor die E-Evidence-Verordnung in Kraft tritt, um so Rechtsunsicherheiten von vorneherein zu verhindern und der Europäischen Herausgabeanordnung zu möglichst weitreichender Effektivität zu verhelfen, ist gut verständlich. Auch dass sich die Kommission wegen des Zeitdrucks und der Asymmetrie, die dadurch entsteht, dass es doch grade die Daten der US-Unternehmen sind, die für die EU-Ermittlungsbehörden von Interesse sind, in einer schlechten Verhandlungsposition befindet, ist ihr zuzugestehen. Der Preis für die Effektivierung der EU-Strafverfolgung zur Erlangung digitaler Beweise ist jedoch zu hoch, wenn umgekehrt US-Ermittler:innen ein nahezu unregulierter Zugriff auf in der EU gespeicherte Daten ermöglicht wird. Der weitere Verlauf der Verhandlungen des Abkommens muss deshalb sehr kritisch verfolgt werden.