ePrivacy-Verordnung: EU startet neuen Anlauf zur Vorratsdatenspeicherung
Die EU-Mitgliedstaaten sollen neue Vorschläge machen, wie gespeicherte Verbindungsdaten von Nutzern zur Verbrechensbekämpfung verwendet werden können. Das geht aus einem vertraulich eingestuften Papier der estnischen Ratspräsidentschaft hervor, das von der britischen Bürgerrechtsorganisation Statewatch veröffentlicht wurde(öffnet im neuen Fenster) . Auf ihrem Treffen Anfang Juli in Tallinn hätten die Justiz- und Innenminister der EU einer entsprechenden Arbeitsgruppe den Auftrag erteilt, "alle gesetzgeberischen und sonstigen Optionen" zur Vorratsdatenspeicherung zu prüfen, heißt es in dem sechsseitigen Schreiben.
Dabei sei auch vorgeschlagen worden, die geplante EU-Verordnung zur digitalen Privatsphäre (ePrivacy-Verordnung) in die Überlegungen mit einzubeziehen.
Reichen bestehende Datensammlungen aus?
In diesen Zusammenhang geht es jedoch nicht wie in der deutschen Vorratsdatenspeicherung darum, die Telekommunikationsprovider zur anlasslosen und verdachtsunabhängigen Speicherung von Verbindungs- und Standortdaten zu verpflichten. Vielmehr wird auf die Entscheidung des Europäischen Gerichtshofs (EuGH) vom Dezember 2016 verwiesen , wonach eine solche Speicherung nicht mit der europäischen Grundrechtecharta vereinbar ist. Anders als die bisherige ePrivacy-Richtlinie (Artikel 15) sieht die neue Verordnung eine solche Möglichkeit bislang nicht vor.
Daher sollen die Mitgliedstaaten zunächst prüfen, inwieweit die Verfügbarkeit von Daten angesichts der neuen Verordnung sichergestellt werden könne. Zudem solle die Frage beantwortet werden, ob Behörden sich auf die ohnehin von den Providern und IT-Dienstleistern bereitgehaltenen Daten stützen könnten und damit die "operativen Bedürfnisse" der Ermittler zu Bekämpfung und Verhinderung von Straftaten erfüllt würden. Solche Daten können die Provider beispielsweise zu Abrechnungszwecken oder zur Bekämpfung von Betrugsfällen speichern.
Metadaten von Messengerdiensten
Darüber hinaus fragt die estnische Ratspräsidentschaft, ob die sogenannten Over-the-top-Anbieter wie Whatsapp künftig exponentiell mehr Daten mit Zustimmung ihrer Nutzer verarbeiteten. "Falls Strafverfolgungsbehörden auf diese Daten unter bestimmten Bedingungen zugreifen könnten, wäre das für die Bekämpfung von Straftaten relevant?" , heißt es in dem Papier.
Facebook-Managerin Sheryl Sandberg versicherte vor wenigen Tagen(öffnet im neuen Fenster) , dass die Firmentochter Whatsapp zwar die Kommunikation verschlüssele, aber die Metadaten bei der Aufklärung von schweren Straftaten wie Terroranschlägen an Behörden weitergeben könne. Sollten der Messengerdienst zum Einbau von Hintertüren verpflichtet werden, könnten Kriminelle zu Diensten abwandern, die ihre Metadaten nicht mit den Behörden teilten, sagte Sandberg. Allerdings ist unklar, in welchen Umfang beispielsweise Whatsapp Metadaten speichert(öffnet im neuen Fenster) und nachträglich herausgeben kann.
Was ist überhaupt noch möglich?
In einem vierten und letzten Punkt werfen die Esten die Frage auf, ob auch mit einer Pseudonymisierung von Daten der Schutz der Privatsphäre und die Vertraulichkeit der Kommunikation gewahrt werden könne. Der Hintergedanke: Durch eine De-Pseudonymisierung könnten Ermittler unter bestimmten Bedingungen wieder auf die Daten zugreifen. So werden bei der europäischen Fluggastdatenbank die Daten nach 30 Tagen "maskiert" . Die maskierten Daten sind danach nur noch einem eingeschränkten Personenkreis zugänglich .
Im Zusammenhang mit den EuGH-Urteilen von 2014 und 2016 hat die Ratspräsidentschaft zudem eine grafische Übersicht erstellt(öffnet im neuen Fenster) , wie sich die höchstrichterliche Entscheidung auf die Möglichkeiten der Vorratsdatenspeicherung auswirkt. In dieser "Mindmap" geht es unter anderem darum, wer noch Zugriff auf Vorratsdaten haben kann und wie diese Daten nicht mehr anlasslos und verdachtsunabhängig, sondern gezielter gespeichert werden können.
EuGH-Vorgaben sind "problematisch"
Allerdings heißt es darin auch, dass "alle Daten" relevant sein könnten. Zudem müsse eine Regelung zukunftsfest sein, da das Risiko bestehe, dass auf Kommunikationsmittel ausgewichen werde, die nicht von einer Vorratsdatenspeicherung betroffen seien. Eine Datensicherung wie im Quick-Freeze-Verfahren könnte dabei die Vorratsdatenspeicherung nicht ersetzen, heißt es. Als "problematisch" wird die EuGH-Vorgabe eingeschätzt, die Speicherung auf verdächtige Personengruppen oder bestimmte Regionen einzugrenzen. Gegen die Umsetzung dieser Vorgabe sprächen prinzipielle Schwierigkeiten wie diskriminierende Effekte und praktische Probleme wie eine geografisch eingegrenzte Speicherung.
Die Mitgliedstaaten sollen bis 4. September 2017 ihre Vorschläge einreichen. Sollten die Länder der Ansicht sein, dass auf Basis der bestehenden und geplanten Regelungen keine sinnvolle Datennutzung durch Ermittlungsbehörden möglich ist, könnten zusätzliche Verpflichtungen für die Provider sowie Ermächtigungen für Behörden vorgeschlagen werden. Diese müssten dann allerdings noch die Zustimmung von EU-Kommission und EU-Parlament finden.
Deutsche Regelung ausgesetzt
In Deutschland wurde die Wiedereinführung der Vorratsdatenspeicherung vor gut einem Monat faktisch gestoppt. Unter Berücksichtigung eines Gerichtsurteils hatte die Bundesnetzagentur entschieden, die seit 1. Juli 2017 geltende Speicherpflicht nicht durchzusetzen und keine Bußgeldverfahren gegen Provider einzuleiten . Das Bundesjustizministerium behauptete bei dieser Gelegenheit , die Auswirkungen des EuGH-Urteils vom Dezember 2016 weiterhin zu prüfen. Sollte diese Prüfung immer noch nicht abgeschlossen sein, dürfte die Beantwortung der Fragen aus Estland schwierig werden.