1 00:00:00,000 --> 00:00:19,830 *36C3 preroll music* 2 00:00:20,340 --> 00:00:24,480 Heraldangel: Willkommen zu unserem nächsten Talk! Unsere nächste Speakerin 3 00:00:24,480 --> 00:00:31,300 ist Elisabeth Niekrenz. Sie ist Juristin und politische Referentin bei Digitale 4 00:00:31,300 --> 00:00:36,870 Gesellschaft e.V. in Berlin. Elisabeth hat hier quasi vor der Haustür an der 5 00:00:36,870 --> 00:00:41,610 Universität Leipzig Rechtswissenschaften studiert und war während ihres 6 00:00:41,610 --> 00:00:46,760 Referendariats als Repetitorin für Strafrecht und Strafprozessrecht tätig. 7 00:00:46,760 --> 00:00:52,350 2018 hat Elisabeth den Sammelband Chaos zur Konstitution, Subversion und 8 00:00:52,350 --> 00:00:56,360 Transformation von Ordnung mitherausgegeben. Heute geht es aber um 9 00:00:56,360 --> 00:01:02,359 ein etwas anders gelagertes Thema, nämlich die Frage, wie es bei internationalen 10 00:01:02,359 --> 00:01:06,460 Abkommen zur Herausgabe von Metadaten und Inhalten eigentlich um den 11 00:01:06,460 --> 00:01:13,080 Grundrechtsschutz bestellt ist und wie Vorhaben wie die EU E-Evidenz Verordnung, 12 00:01:13,080 --> 00:01:17,570 die grenzüberschreitende Strafverfolgung verändern und zugleich politische 13 00:01:17,570 --> 00:01:22,750 Repression eine neue Dimension verleihen könnten. In diesem Sinne begrüßen wir mit 14 00:01:22,750 --> 00:01:26,730 einem warmen Applaus hier auf der Bühne, Elisabeth Niekrenz. 15 00:01:26,730 --> 00:01:36,362 *Applaus* 16 00:01:36,362 --> 00:01:44,950 Niekrenz: Ja, ganz herzlichen Dank für die Ankündigung. Jetzt muss ich noch, kurz 17 00:01:44,950 --> 00:01:50,300 sehen wir, ah ja, sehr gut. Also ganz lieben Dank für die Ankündigung nochmal. 18 00:01:50,300 --> 00:01:54,998 Ich freue mich sehr, heute über den grenzüberschreitenden Datenzugriff von 19 00:01:54,998 --> 00:01:58,350 Strafverfolgungsbehörden sprechen zu dürfen. Und der Anlass, es wurde auch 20 00:01:58,350 --> 00:02:02,209 schon erwähnt in der Ankündigung, dieses Thema aus einer EU-Perspektive zu 21 00:02:02,209 --> 00:02:06,099 besprechen, das ist natürlich die E-Evidenz Verordnung, die derzeit im 22 00:02:06,099 --> 00:02:09,869 Brüsseler Parlament verhandelt wird und von der sicherlich die eine oder der 23 00:02:09,869 --> 00:02:14,410 andere schon gehört haben. Diese Verordnung soll es Ermittlungsbehörden aus 24 00:02:14,410 --> 00:02:18,250 Spanien, Frankreich, Ungarn oder auch Polen ermöglichen, Dienstleister zum 25 00:02:18,250 --> 00:02:22,570 Beispiel in Deutschland zur Herausgabe von persönlichen Daten in Strafverfahren zu 26 00:02:22,570 --> 00:02:27,080 verpflichten, ohne dass hiesige Behörden ein Wörtchen mitzureden hätten. 27 00:02:27,080 --> 00:02:31,400 Diese Verordnung steht aber auch nicht singulär im Raum, sondern eigentlich 28 00:02:31,400 --> 00:02:34,970 in einem Kontext von einer ganzen Reihe von internationalen Regulierungen der letzten 29 00:02:34,970 --> 00:02:38,819 Jahre, die ich heute ein Stück weit mit beleuchten möchte, um das sozusagen nicht 30 00:02:38,819 --> 00:02:45,079 so singulär zu betrachten. Damit werden auch einige hergebrachte Prinzipien des 31 00:02:45,079 --> 00:02:50,959 Völkerrechts bzw. der internationalen Rechtshilfe durchaus infrage gestellt, und 32 00:02:50,959 --> 00:02:55,980 zwar immer dann, wenn es um elektronisch gespeicherte Beweismittel, um Daten 33 00:02:55,980 --> 00:03:00,180 sozusagen, geht. Ich denke, es ist zu berücksichtigen, dass man sich aus einer 34 00:03:00,180 --> 00:03:04,030 europäischen oder aus einer deutschen Sicht die Frage, ob wir z.B. wollen, dass 35 00:03:04,030 --> 00:03:10,900 ein Unternehmen wie Facebook oder Google Daten in einem hiesigen Strafverfahren 36 00:03:10,900 --> 00:03:15,829 herausgeben muss, wenn es etwa im Kontext von oder um den Kontext von 37 00:03:15,829 --> 00:03:19,810 Hasskriminalität geht, der in Deutschland jetzt gerade wieder ein großes Thema ist. 38 00:03:19,810 --> 00:03:23,150 Diese Frage darf man sich nicht isoliert stellen, sondern man muss sie sich 39 00:03:23,150 --> 00:03:28,489 gemeinsam stellen mit der Frage, ob denn dann auch ungarische oder spanische 40 00:03:28,489 --> 00:03:33,060 Ermittlungsbehörden E-Mail Anbieter wie sagen wir, Mailbox, posteo et cetera 41 00:03:33,060 --> 00:03:37,739 verpflichten können sollen, E-Mail-Daten und Transaktionsinhalte oder 42 00:03:37,739 --> 00:03:41,770 Transaktionsdaten herauszugeben. Ob wir uns wünschen, dass in dem Fall deutsche 43 00:03:41,770 --> 00:03:46,689 Behörden eigentlich ein Wörtchen mitzureden haben sollten? Man soll sie 44 00:03:46,689 --> 00:03:49,689 außerdem gemeinsam stellen mit der Frage, wie wir denn eigentlich damit umgehen 45 00:03:49,689 --> 00:03:55,620 würden, wenn eines Tages mal Anbieter wie TikTok aus China oder VK, VKontakte aus 46 00:03:55,620 --> 00:04:00,389 Russland für Ermittlungsbehörden interessant werden würden. Etwa weil 47 00:04:00,389 --> 00:04:04,930 Personen ganz häufig Straftaten über diese Plattformen begehen oder sich darüber dazu 48 00:04:04,930 --> 00:04:10,019 verabreden oder sonst interessante Beweismittel dort liegen. Würden wir dann, 49 00:04:10,019 --> 00:04:13,980 um schnellen Zugriff auf diese Daten zu erlangen, im Gegenzug den chinesischen 50 00:04:13,980 --> 00:04:19,030 oder russischen Ermittlungsbehörden auch ermöglichen wollen, auf Daten, die 51 00:04:19,030 --> 00:04:23,300 hierzulande gespeichert sind, von deutschen Anbietern zugreifen? Und wie 52 00:04:23,300 --> 00:04:26,800 würden wir denn eigentlich darauf reagieren, wenn diese Länder Unternehmen 53 00:04:26,800 --> 00:04:30,450 einfach einseitig verpflichten würden, ihnen Daten aus Deutschland abzuliefern? 54 00:04:30,450 --> 00:04:35,931 Vor dem Hintergrund einer Forderung, die so in etwa lautet, dass das Netz kein 55 00:04:35,931 --> 00:04:39,258 rechtsfreier Raum sein darf und dass man praktisch ja irgendwie an die Daten 56 00:04:39,258 --> 00:04:44,140 rankommen müsse, werden die langfristigen Auswirkungen, die ein solches Law 57 00:04:44,140 --> 00:04:49,160 enforcement auch ein Stück weit auf die internationale Sicherheitsordnung hat, 58 00:04:49,160 --> 00:04:52,510 häufig außen vorgelassen. Und das, obwohl sie in den Fachdebatten eigentlich 59 00:04:52,510 --> 00:04:57,060 durchaus erörtert werden und nachzulesen sind. Deswegen möchte ich hier bei diesem 60 00:04:57,060 --> 00:05:03,527 Anlass einfach mal ein paar von diesen Problemen und Argumenten beleuchten. 61 00:05:03,527 --> 00:05:08,020 Was ist eigentlich das grundlegende Problem, das mit Regulierungen wie der E-Evidenz 62 00:05:08,020 --> 00:05:09,888 Verordnung behoben werden soll? 63 00:05:09,888 --> 00:05:14,060 Es lautet, wie aus einem Papier der EU-Kommission kommt 64 00:05:14,060 --> 00:05:18,460 oder wie dort gesagt wird: "The internet is largely privately owned and 65 00:05:18,460 --> 00:05:23,006 borderless for everyone except authorities pursuing criminal investigations." 66 00:05:23,006 --> 00:05:28,300 Also es ist eine Binsenweisheit, dass Cloud- Dienste, Social-Media und E-Mail-Dienste 67 00:05:28,300 --> 00:05:32,590 eine ganz überragende Bedeutung für unsere Kommunikation und auch für unser Denken 68 00:05:32,590 --> 00:05:36,390 und Arbeiten haben. Es heißt, immer mehr Daten werden sozusagen online von 69 00:05:36,390 --> 00:05:40,570 Anbietern gespeichert, und das weckt Begehrlichkeiten, und zwar ganz besondere 70 00:05:40,570 --> 00:05:44,590 unter Behörden und ganz besonders unter Behörden, die in Strafsachen ermitteln und 71 00:05:44,590 --> 00:05:49,410 für die diese Daten sicherlich im Einzelfall ganz nützlich sein könnten, um 72 00:05:49,410 --> 00:05:55,430 etwas herauszufinden. Problematisch wird es nun immer, wenn Daten im Ausland 73 00:05:55,430 --> 00:05:57,712 gespeichert sind, also woanders als die Ermittlungen stattfinden. Denn dann 74 00:05:57,712 --> 00:06:01,710 gelangen nationalen Rechtsordnungen an ihre Grenzen. Grundsätzlich gebietet es 75 00:06:01,710 --> 00:06:05,990 nämlich der völkerrechtliche Grundsatz der Wahrung territoriale Souveränität, 76 00:06:05,990 --> 00:06:11,651 Strafverfolgungshandlungen nur im eigenen Staatsgebiet durchzuführen. 77 00:06:11,651 --> 00:06:15,760 Es gibt nun zwei Trends in einigen Regulierungen der letzten Jahre, 78 00:06:15,760 --> 00:06:17,825 nämlich den Trend zum Unilateralismus 79 00:06:17,825 --> 00:06:22,251 und zur extraterritorialen Ausweitung nationaler Befugnisse. 80 00:06:22,251 --> 00:06:27,681 Das heißt einerseits, dass an Stellen, an denen Rechtshilfe und internationale 81 00:06:27,681 --> 00:06:31,102 Zusammenarbeit im Sinne einer Zusammenarbeit von Staaten stattgefunden hat. 82 00:06:31,102 --> 00:06:35,122 Traditionell fangen Staaten an, einseitig zu beschließen, dass sie von 83 00:06:35,122 --> 00:06:39,540 ihrem Gebiet aus Zugriff oder zumindest die Möglichkeit, Anbieter zu verpflichten, 84 00:06:39,540 --> 00:06:46,216 haben wollen, Anbieter die Daten woanders speichern diese Daten herausgeben zu lassen. 85 00:06:46,216 --> 00:06:50,070 Auf der anderen Seite werden durchaus auch Abkommen geschlossen, also 86 00:06:50,070 --> 00:06:54,940 sozusagen wird multilateral gehandelt, die dann allerdings häufig davon leben, dass 87 00:06:54,940 --> 00:06:59,540 auch keine Zusammenarbeit mehr stattfinden soll, auf der Seite der staatlichen 88 00:06:59,540 --> 00:07:04,380 Akteure, sondern dass Staaten eigentlich auf die Ausübung ihrer souveränen Rechte, 89 00:07:04,380 --> 00:07:08,500 das heißt darüber zu entscheiden, welche Strafverfolgungsbehörden Auswirkungen auf 90 00:07:08,500 --> 00:07:12,670 ihr Staatsgebiet haben können, verzichtet wird und sich gegenseitig ungehinderte 91 00:07:12,670 --> 00:07:17,750 Befugnisse einräumen. Und das ist, wenn wir an das Konzept der territorialen 92 00:07:17,750 --> 00:07:22,830 Souveränität denken, vor allem deshalb problematisch, weil nationale Souveränität 93 00:07:22,830 --> 00:07:27,640 bei aller Kritik, die man am Konzept Nationalstaat durchaus haben kann, 94 00:07:27,640 --> 00:07:31,050 innerhalb des Staaten und Rechtssystems, in dem wir leben, unter anderem die 95 00:07:31,050 --> 00:07:35,562 Funktion hat festzulegen, wer für den Schutz von Grundrechten zuständig ist. 96 00:07:35,562 --> 00:07:41,494 Und da gibt es einige Probleme mit den Regulierungen, die nun gemacht werden. 97 00:07:41,494 --> 00:07:46,060 Um das verstehen zu können, nochmal einen kleinen Blick sozusagen zurück oder auch 98 00:07:46,060 --> 00:07:49,600 durchaus noch in die Gegenwart. Wie funktioniert denn eigentlich Zusammenarbeit 99 00:07:49,600 --> 00:07:52,790 in Strafsachen, wenn man es mit grenzüberschreitende Kriminalität 100 00:07:52,790 --> 00:07:57,990 zu tun hat? Oder mit Verfahren, die irgendwie einen grenzüberschreitenden 101 00:07:57,990 --> 00:08:03,110 Bezug aufweisen, bisher? Es gibt seit vielen Jahren bzw. fast schon 102 00:08:03,110 --> 00:08:07,121 Jahrhunderten Mutual legal Assistance Treaties auf Englisch, kurz MLATs. Das 103 00:08:07,121 --> 00:08:13,850 heißt, es gibt viele bilaterale und multilaterale Abkommen, die zwischen 104 00:08:13,850 --> 00:08:17,710 Staaten regeln, wie man zusammenarbeiten will. Ein wesentlicher Ursprung oder als 105 00:08:17,710 --> 00:08:22,590 ein wesentlicher Ursprung gilt das belgische Auslieferungsgesetz von 1833. 106 00:08:22,590 --> 00:08:26,580 Belgien wollte damals seine eigene politische Neutralität wahren und hat 107 00:08:26,580 --> 00:08:30,580 gesagt, wir liefern schon Personen aus, die gesucht werden wegen Straftaten, 108 00:08:30,580 --> 00:08:33,510 allerdings nicht bei politischen Delikten. Ich denke, daran kann man schon ganz gut 109 00:08:33,510 --> 00:08:38,310 erkennen, dass in dem Fall das Auslieferungsrecht, aber auch insgesamt 110 00:08:38,310 --> 00:08:42,300 die gegenseitige Rechtshilfe durchaus eine ziemlich hohe außenpolitische Relevanz 111 00:08:42,300 --> 00:08:46,279 haben kann, weil tatsächlich auch nicht alle Staaten sich darüber einig sind, was 112 00:08:46,279 --> 00:08:51,000 Straftaten sind und was nicht. Dieses Rechtsgebiet betrifft also so etwas wie 113 00:08:51,000 --> 00:08:55,070 Auslieferungen, aber auch Maßnahmen auf einer niedrigeren Schwelle, wenn es darum 114 00:08:55,070 --> 00:08:58,629 geht, eine Beweisaufnahme in einem anderen Land durchzuführen, Dokumente zu 115 00:08:58,629 --> 00:09:02,660 beschlagnahmen, Zeugen zu befragen und ähnliches. Deutschland ist Teil 116 00:09:02,660 --> 00:09:07,800 verschiedener bilaterale und multilaterale Abkommen. Viele davon wurden im 20. 117 00:09:07,800 --> 00:09:12,449 Jahrhundert nach dem 2.Weltkrieg abgeschlossen. Und der Weg, den man da 118 00:09:12,449 --> 00:09:17,810 geht, läuft also grundsätzlich so: Ein Staat stellt eine Anfrage an oder für ein 119 00:09:17,810 --> 00:09:21,999 Ermittlungsmaßnahme, eine Auslieferung oder etwas ähnliches an den Staat B und 120 00:09:21,999 --> 00:09:25,411 Staat B prüft dann zunächst einmal die Anfrage und fragt sich, will ich die in 121 00:09:25,411 --> 00:09:31,170 meinem Staatsgebiet so beantworten, will ich der nachkommen und hat auch die 122 00:09:31,170 --> 00:09:34,779 Möglichkeit, diese Anfrage oder die Befolgung sozusagen zu versagen. 123 00:09:34,779 --> 00:09:39,860 Schließlich erlaubt ja auch nicht, Staat A eigenmächtig auf seinem Gebiet diese 124 00:09:39,860 --> 00:09:44,181 Maßnahme durchzuführen, sondern der Staat B würde sie selbst durchführen, wie man 125 00:09:44,181 --> 00:09:49,430 hier sieht. Und es gibt so ein paar Gründe. Das gilt sozusagen nicht ganz 126 00:09:49,430 --> 00:09:54,290 uneingeschränkt für alle Abkommen. Aber das sind vier Kriterien, die sehr häufig 127 00:09:54,290 --> 00:09:59,489 Gründe dafür sind, eine angefragte Maßnahme nicht auszuführen. Da ist zum 128 00:09:59,489 --> 00:10:03,189 einen die Verfolgung politischer Vergehen, die häufig ausgeschlossen wird. Ich hatte 129 00:10:03,189 --> 00:10:07,510 es schon erwähnt. Auf der anderen Seite liegt die beidseitige Strafbarkeit 130 00:10:07,510 --> 00:10:11,870 (Englisch: dual criminality). Das ist ein Kriterium, das fordert, dass die Tat in 131 00:10:11,870 --> 00:10:16,149 beiden betroffenen Staaten eine Straftat ist. Beispiel, was vielleicht alle kennen, 132 00:10:16,149 --> 00:10:19,610 ist der Fall Puigdemont, der schließlich nicht wegen Rebellion an die spanischen 133 00:10:19,610 --> 00:10:22,589 Behörden aus Deutschland mittels eines europäischen Haftbefehls ausgeliefert 134 00:10:22,589 --> 00:10:26,094 werden konnte, weil es den Straftatbestand der Rebellion so im deutschen 135 00:10:26,094 --> 00:10:29,931 Strafgesetzbuch nicht gibt. Es ist also gewissermaßen auch einleuchtend, dass man 136 00:10:29,931 --> 00:10:33,379 als Staat sagt Mensch, dieses Verhalten, das finden wir hier eigentlich in Ordnung. 137 00:10:33,379 --> 00:10:36,730 Wir haben eine andere moralische, gesellschaftliche, strafrechtliche 138 00:10:36,730 --> 00:10:43,050 Vorstellung. Deswegen nehmen wir an dieser Verfolgung nicht teil. Es sind Verstöße 139 00:10:43,050 --> 00:10:47,730 gegen den sogenannten Ordre Public. Das sind Verstöße gegen ziemlich grundlegende 140 00:10:47,730 --> 00:10:52,560 inländische Wertvorstellungen. Also auch für solche Fälle muss es immer ein 141 00:10:52,560 --> 00:10:54,871 Austritt oder keine Auftrittsmöglichkeiten, aber eine 142 00:10:54,871 --> 00:10:59,309 Möglichkeit der Versagung geben. Und es ist das Prinzip ne bis in idem. Das 143 00:10:59,309 --> 00:11:04,220 bedeutet, dass wegen einer Tat ein Mensch oder eine Person nicht zweimal verfolgt 144 00:11:04,220 --> 00:11:11,189 werden darf. Das Problem mit diesen MLATs ist nun, dass das ein Weg ist, der häufig 145 00:11:11,189 --> 00:11:15,060 über den diplomatischen Weg verläuft. Da sind viele Behörden auf unterschiedlichen 146 00:11:15,060 --> 00:11:21,579 Stellen involviert und der deshalb sehr lange dauert. Laut EU-Kommission sind zehn 147 00:11:21,579 --> 00:11:25,759 Monate innerhalb der Europäischen Union derzeit nicht ungewöhnlich. Deshalb 148 00:11:25,759 --> 00:11:29,790 besteht eigentlich eine weitgehende Einigkeit darüber, dass das System verbessert 149 00:11:29,790 --> 00:11:32,790 werden muss, vor allem im Bereich elektronische Daten, weil diese sehr 150 00:11:32,790 --> 00:11:36,939 flüchtig seien. Gerade mit so etwas wie einer dynamischen IP-Adresse kann man gar 151 00:11:36,939 --> 00:11:44,550 nicht einmal so lange was anfangen. Das sind so die Erwägungen. 2013 haben US- 152 00:11:44,550 --> 00:11:49,037 Behörden unter anderem deshalb etwas Neues ausprobiert, kann man, so sagen. Sie haben 153 00:11:49,037 --> 00:11:52,290 nämlich einen Beschluss erlassen gegen Microsoft, mit dem Sie Microsoft 154 00:11:52,290 --> 00:11:56,120 verpflichtet haben, Daten aus dem E-Mail- Konto eines Nutzers für ein Strafverfahren 155 00:11:56,120 --> 00:12:01,509 zu erhalten oder herauszugeben? Und das Besondere war, dass diese Daten in einem 156 00:12:01,509 --> 00:12:06,060 Microsoft Data Center in Irland gespeichert waren. Microsoft hat die 157 00:12:06,060 --> 00:12:11,699 Herausgabe verweigert und hat gesagt ihr habt gar kein Rechtsregime über diese 158 00:12:11,699 --> 00:12:15,259 Daten. Und europäisches Datenschutzrecht hindert uns auch daran, die zu 159 00:12:15,259 --> 00:12:20,279 übermitteln. Die Behörde hat dann zunächst in erster Instanz im gerichtlichen 160 00:12:20,279 --> 00:12:25,189 Verfahren gewonnen. Da hat das Gericht also gesagt, Unternehmen, auf die US-Recht 161 00:12:25,189 --> 00:12:29,240 Anwendung findet, sind verpflichtet, Daten herauszugeben, wenn sie in ihrer Kontrolle 162 00:12:29,240 --> 00:12:33,740 sind, egal wo. In der zweiten Instanz im Berufungsverfahren hat allerdings 163 00:12:33,740 --> 00:12:38,930 Microsoft obsiegt. Und es hieß dann, dass die damalige Rechtsgrundlage im Stored 164 00:12:38,930 --> 00:12:42,610 Communications Act nicht reicht für eine Übermittlung von Daten, die außerhalb der 165 00:12:42,610 --> 00:12:47,490 USA gespeichert sind, sodass das Verfahren schließlich vor dem Supreme Court gelandet ist. 166 00:12:47,490 --> 00:12:51,680 Und währenddessen wurde es auch einigermaßen zum Politikum. Also sowohl 167 00:12:51,680 --> 00:12:57,140 Irland als auch die EU-Kommission, viele Verbände, Reporter ohne Grenzen, andere 168 00:12:57,140 --> 00:13:02,850 Interessenträger haben sogenannte Amicus Curiae briefings eingereicht. Es wurden 169 00:13:02,850 --> 00:13:07,660 Stellungnahmen eingereicht und auch einige akademische Texte. Und all dies hat 170 00:13:07,660 --> 00:13:12,110 schließlich dazu geführt, dass die USA ein neues Gesetz erlassen haben, nämlich den 171 00:13:12,110 --> 00:13:20,720 Clout Act. Cloud steht hier für Clarifying Lawful Overseas Use of Data, und der Cloud 172 00:13:20,720 --> 00:13:25,670 Act besagt, dass US-Anbieter verpflichtet sind, Daten herauszugeben an US-Behörden, 173 00:13:25,670 --> 00:13:30,334 egal wo sie gespeichert sind. Er sieht eine gewisse Möglichkeit zur Regelung von 174 00:13:30,334 --> 00:13:34,209 Norm-Konflikten vor. Wenn man also einen Konflikt mit dem Recht eines anderen 175 00:13:34,209 --> 00:13:40,819 Landes kommt. Und zwar dürfen sich Anbieter wehren, wenn die Kunden keine US 176 00:13:40,819 --> 00:13:45,180 Personen sind. Und wenn die Offenlegung der Daten die Gefahr begründet, dass der 177 00:13:45,180 --> 00:13:48,950 Anbieter Gesetze einer ausländischen Regierung verletzt, allerdings nicht 178 00:13:48,950 --> 00:13:52,649 irgendeiner ausländischen Regierung, sondern nur eines sogenannten Qualifying 179 00:13:52,649 --> 00:13:57,160 Foreign Governments. Und das wäre ein Staat, mit dem die USA ein exekutiv 180 00:13:57,160 --> 00:14:02,857 Abkommen geschlossen haben. Darüber, wie solche Datenherausgaben funktionieren. 181 00:14:02,857 --> 00:14:07,110 Derzeit gibt es noch nicht so viele Staaten, mit denen die USA ein solches Abkommen 182 00:14:07,110 --> 00:14:12,626 geschlossen haben. Insbesondere mit UK ist es im Oktober kürzlich passiert. Das 183 00:14:12,626 --> 00:14:17,540 bedeutet für Unternehmen mit Sitz in den USA, die in der EU Datenspeichern derzeit, 184 00:14:17,540 --> 00:14:19,749 dass sie eigentlich regelmäßig gezwungen sind, gegen eines dieser beiden 185 00:14:19,749 --> 00:14:23,639 Rechtsregime zu verstoßen. Denn tatsächlich verbietet es die Datenschutz- 186 00:14:23,639 --> 00:14:30,190 Grundverordnung derzeit, Daten aufgrund solcher Anfragen in die USA herauszugeben. 187 00:14:30,190 --> 00:14:35,271 Auf der anderen Seite können sie aber durch US Recht dazu gezwungen werden. 188 00:14:35,271 --> 00:14:38,970 Es gibt noch einen anderen Anreiz für Staaten, ein solches Agreement 189 00:14:38,970 --> 00:14:44,574 abzuschließen. Denn dann kann man auch Anbieter dazu zwingen, Daten 190 00:14:44,574 --> 00:14:48,819 herauszugeben, an zum Beispiel an die europäischen Staaten, die in den USA 191 00:14:48,819 --> 00:14:53,029 gespeichert sind. Darauf sind die Strafverfolgungsbehörden in der 192 00:14:53,029 --> 00:14:57,320 Europäischen Union häufig sehr erpicht, weil ja viele sehr wesentliche Dienste in 193 00:14:57,320 --> 00:15:02,480 den USA sitzen. Deshalb hat auch das Vereinigte Königreich im Oktober, 194 00:15:02,480 --> 00:15:06,269 ich habe es schon erwähnt, ein solches Abkommen geschlossen, was zum Teil auch 195 00:15:06,269 --> 00:15:09,839 sehr stark kritisiert wurde. Der Grund ist vor allem, dass dieses Abkommen als das 196 00:15:09,839 --> 00:15:14,220 erste seiner Art Vorbild für weitere sein kann und dass in dem Abkommen selbst keine 197 00:15:14,220 --> 00:15:18,750 sehr hohen Schutzanforderungen reingeschrieben worden sind. Das heißt, 198 00:15:18,750 --> 00:15:22,480 man liest also ein Stück weit das US-Recht und das britische Recht hinein, insoweit 199 00:15:22,480 --> 00:15:26,970 es um Informationspflichten, Richtervorbehalt, Hürden sozusagen, unter 200 00:15:26,970 --> 00:15:32,189 welchen Umständen Daten heraus gegeben werden können, geht. Wenn man sich aber 201 00:15:32,189 --> 00:15:36,279 vorstellt, dass das Abkommen so auch Vorbild für Abkommen mit Staaten mit einem 202 00:15:36,279 --> 00:15:41,100 deutlich niedrigeren Schutzniveau sein könnte, dann steht da leider sehr, sehr 203 00:15:41,100 --> 00:15:46,220 wenig drin. Mit der EU haben die Verhandlungen für den Abschluss eines 204 00:15:46,220 --> 00:15:51,610 solchen Abkommens kürzlich begonnen. Im September fand ein erstes Treffen statt. 205 00:15:51,610 --> 00:15:56,810 Ja, und das verlangt ein stückweit, logisch eigentlich, die Voraussetzung oder 206 00:15:56,810 --> 00:16:01,850 zumindest politisch die Voraussetzung, dass man erstmal regelt, wie denn EU- 207 00:16:01,850 --> 00:16:06,009 Staaten eigentlich untereinander auf Daten zugreifen können, die in einem anderen 208 00:16:06,009 --> 00:16:11,149 Staat gespeichert sind. Und damit kommen wir zur E-Evidenz Verordnung. Ein kleiner 209 00:16:11,149 --> 00:16:15,737 Teil des Skandals ist sozusagen, dass die Kommission bereits Verhandlungen mit den 210 00:16:15,737 --> 00:16:20,459 USA begonnen hat, bevor sich das Parlament überhaupt auf den Standpunkt zu E-Evidenz 211 00:16:20,459 --> 00:16:24,790 geeinigt hat. Das heißt, die Regeln für den innereuropäischen Vorgehen sollten 212 00:16:24,790 --> 00:16:29,670 eigentlich ein Stück weit feststehen, bevor man mit Drittstaaten wie den USA 213 00:16:29,670 --> 00:16:37,119 verhandeln kann. Was sieht nun die E-Evidenz Verordnung vor? In dieser 214 00:16:37,119 --> 00:16:41,300 Verordnung soll es darum gehen, dass nach dem Kommissionsentwurf im Verhältnis der 215 00:16:41,300 --> 00:16:48,690 EU-Staaten zueinander, Staaten sowohl Metadaten als auch Inhaltsdaten, da gibt 216 00:16:48,690 --> 00:16:53,269 es einige komplexe Differenzierungen zwischen den Datentypen, heraus verlangt 217 00:16:53,269 --> 00:16:57,959 werden dürfen, und zwar egal, wo sie gespeichert sind, wo in der EU, und egal, 218 00:16:57,959 --> 00:17:03,089 wo der Provider sitzt. Das funktioniert dann nicht mehr so, dass der Staat A sich 219 00:17:03,089 --> 00:17:08,640 an Staat B wenden würde. Dieser sozusagen eine Prüfung macht und schließlich dazu 220 00:17:08,640 --> 00:17:14,610 entscheidet, an den Provider heranzutreten oder nicht, sondern hier würde der Staat A, 221 00:17:14,610 --> 00:17:18,610 sagen wir mal Bulgarien, sich direkt an einen möglicherweise in Österreich 222 00:17:18,610 --> 00:17:24,390 sitzenden Anbieter wenden mit einer Herausgabeanordnung. Und Österreich hätte 223 00:17:24,390 --> 00:17:28,260 eigentlich alleine die Rolle in dem Fall, in dem der Provider nicht compliant ist, 224 00:17:31,217 --> 00:17:35,179 also sagt, ich halte mich nicht daran, aus irgendwelchen Gründen, die Pflicht eine 225 00:17:35,179 --> 00:17:40,030 Sanktion zu verhängen und im Zweifelsfall auch zu vollstrecken. Das ist eine 226 00:17:40,030 --> 00:17:44,350 ziemlich kurze Herausgabefrist von zehn Tagen, in Notfällen sogar nur sechs 227 00:17:44,350 --> 00:17:49,260 Stunden. Und die None-Compliance soll mit Sanktionen bis zu zwei Prozent des 228 00:17:49,260 --> 00:17:58,590 weltweiten Jahresumsatzes sanktioniert werden. Damit wird also dem Staat, in dem 229 00:17:58,590 --> 00:18:01,990 ein Anbieter sitzt, oder seine Daten speichert, die Möglichkeit, ein 230 00:18:01,990 --> 00:18:06,450 Grundrechtsschutz auf seinem Gebiet sicherzustellen, sehr stark genommen. Auch 231 00:18:06,450 --> 00:18:09,700 Verpflichtungen, Betroffene zu informieren, so wie viele andere Punkte in 232 00:18:09,700 --> 00:18:13,220 diesem Beschluss, sind ziemlich problematisch und sind sehr eingeschränkt, 233 00:18:13,220 --> 00:18:17,500 was den Grundrechtsschutz anbelangt. Das größte Problem aber ist, dass das 234 00:18:17,500 --> 00:18:23,960 Kriterium der beiderseitigen Strafbarkeit, das ich schon mal angesprochen hatte, 235 00:18:23,960 --> 00:18:26,790 nicht erforderlich ist für eine Herausgabe. Was heißt das? Das 236 00:18:26,790 --> 00:18:31,240 Strafrecht in der EU ist eigentlich so gut wie gar nicht harmonisiert bis auf wenige 237 00:18:31,240 --> 00:18:36,519 Bereiche. Etwa in Malta, ist ein Schwangerschaftsabbruch in fast allen 238 00:18:36,519 --> 00:18:41,289 Konstellationen eine Straftat. Das heißt, wenn eine maltesische Ärztin dort illegale 239 00:18:41,289 --> 00:18:46,580 Schwangerschaftsabbrüche anbieten würde und mit ihren Patientinnen z.B. über einen 240 00:18:46,580 --> 00:18:51,549 privaten deutschen Anbieter etwa Posteo kommunizieren würde, dann könnte Posteo 241 00:18:51,549 --> 00:18:57,260 dazu gezwungen werden, Daten an maltesische Strafverfolgungsbehörden 242 00:18:57,260 --> 00:19:02,070 herauszugeben. In Polen ist es eine Straftat, eine Beteiligung von polnischen 243 00:19:02,070 --> 00:19:07,320 Personen am Holocaust zu behaupten. Wenn also Leute in Polen Aufklärungsarbeit über 244 00:19:07,320 --> 00:19:10,910 solche historischen Geschehnisse leisten würden und vielleicht über einen Facebook oder 245 00:19:10,910 --> 00:19:14,820 Twitter Account publizieren würden, dann werden auch diese Unternehmen gezwungen, 246 00:19:14,820 --> 00:19:19,690 wenn sie zum Beispiel in Irland speichern, Daten an die Behörden herauszugeben. Und 247 00:19:19,690 --> 00:19:22,630 so kann man sich verschiedene Fälle denken, die die Spannungslage 248 00:19:22,630 --> 00:19:27,500 sozusagen daraus resultiert, dass ich in einem Staat lebe, in dem eine Handlung 249 00:19:27,500 --> 00:19:30,010 legal ist, überhaupt nicht damit einverstanden bin, dass eine bestimmte 250 00:19:30,010 --> 00:19:33,330 andere Handlung, also dass diese Handlung als illegal gelten soll, in einem anderen 251 00:19:33,330 --> 00:19:36,100 Staat. Aber ich muss eben Daten herausgeben, muss an dieser 252 00:19:36,100 --> 00:19:42,580 Strafverfolgung mitwirken als Provider, als Mitarbeiter eines solchen Dienstes. 253 00:19:42,580 --> 00:19:46,640 Es hat zudem zur Folge, vor allem diese direkt Zugriff, dass ich als Betroffene 254 00:19:46,640 --> 00:19:51,040 dieser Datenverarbeitung, wenn ich denn überhaupt, oder diese Datenherausgabe, 255 00:19:51,040 --> 00:19:54,429 wenn ich denn überhaupt darüber informiert werde, mich möglicherweise in einer 256 00:19:54,429 --> 00:19:57,820 fremden Rechtsordnung zur Wehr setzen muss, was an sich schon ziemlich komplex 257 00:19:57,820 --> 00:20:02,760 ist. Und zweitens ist es so, dass in gleich mehreren EU-Staaten, es derzeit 258 00:20:02,760 --> 00:20:05,970 ziemlich starke Probleme mit Rechtsstaatlichkeit gibt. Alles andere, 259 00:20:05,970 --> 00:20:11,260 als sichergestellt ist, dass sich dort ein faires Verfahren bekomme. Der Maßstab ist 260 00:20:11,260 --> 00:20:15,460 die Zulässigkeit einer Maßnahme im Anordnungsstaat. Das heißt, wenn wir auf 261 00:20:15,460 --> 00:20:21,149 das Beispiel zurückkommen würden, Bulgarien erließ eine Anordnung für einen 262 00:20:21,149 --> 00:20:26,350 Provider, der in Österreich sitzt und dort Daten speichert. Dann würde sich die 263 00:20:26,350 --> 00:20:30,600 Rechtmäßigkeit dieser Anordnung nach bulgarischen Recht, nach bulgarischem 264 00:20:30,600 --> 00:20:36,519 Recht richten und nicht danach, was in Österreich eigentlich legal wäre. Also es 265 00:20:36,519 --> 00:20:41,205 wäre möglich, dass bulgarische Behörden in Österreich stärkere Eingriffsbefugnisse 266 00:20:41,205 --> 00:20:44,769 hätten, mehr dürften, als es die österreichischen Strafverfolgungsbehörden 267 00:20:44,769 --> 00:20:48,690 überhaupt. Das ist natürlich auch nicht sehr schlüssig und ist auch dazu geeignet, 268 00:20:48,690 --> 00:20:51,440 gerade nationale Schutzvorschriften in Deutschland, wären es etwa die 269 00:20:51,440 --> 00:20:56,260 Regelungen der Strafprozessordnung oder aber insbesondere auch solche, die das 270 00:20:56,260 --> 00:21:01,650 Bundesverfassungsgericht aufgestellt hat, zu umgehen.Bislang ist überhaupt kein 271 00:21:01,650 --> 00:21:06,651 Vetorecht, bislang heißt in den Entwürfen von Rat und Kommission, vorgesehen in 272 00:21:06,651 --> 00:21:15,519 diesem Entwurf. Das heißt, ich hätte als Vollstreckungsstaat, also hier als Staat B, 273 00:21:15,519 --> 00:21:19,360 eigentlich keine Chance dagegen vorzugehen, gegen diese Herausgabe oder zu 274 00:21:19,360 --> 00:21:26,039 sagen, nein, das darf nicht passieren. Ein Stück weit anders sieht das im derzeitigen 275 00:21:26,039 --> 00:21:29,929 Bericht des Parlamentsausschuss oder im derzeitigen Entwurf. Der Bericht selbst als 276 00:21:29,929 --> 00:21:36,567 solcher noch nicht fertig. Die Berichterstatterin Birgit Sippel, LIBE- 277 00:21:36,567 --> 00:21:39,440 Ausschusses, also der Ausschuss für bürgerliche Freiheiten im Europäischen 278 00:21:39,440 --> 00:21:45,320 Parlament. Sie sieht in ihrem Entwurf von Anfang November dieses Jahres vor, dass es 279 00:21:45,320 --> 00:21:49,799 ein Vetorecht geben soll. Das heißt also, binnen dieser zehn Tage, in denen die oder 280 00:21:49,799 --> 00:21:59,270 innerhalb deren der Provider auf die Anordnung reagieren soll, wäre es dem Staat, dem 281 00:21:59,270 --> 00:22:04,080 Vollstreckungsstaat möglich, sozusagen ein Vetorecht, von seinem Vetorecht Gebrauch zu 282 00:22:04,080 --> 00:22:09,250 machen und zu sagen, diese Herausgabe stimmen wir nicht zu. Zum Beispiel eben, weil die 283 00:22:09,250 --> 00:22:14,889 Tat bei ihnen keine Straftat ist. Das erfordert allerdings keine obligatorische 284 00:22:14,889 --> 00:22:19,120 Prüfung. Das heißt, es ist gut möglich, dass diese Anordnung auf dem Schreibtisch 285 00:22:19,120 --> 00:22:23,399 von einem Richter landet. Dieser hat dann die Möglichkeit, binnen zehn Tagen, was ziemlich 286 00:22:23,399 --> 00:22:28,549 kurz ist, entweder hineinzuschauen und eine ablehnende Entscheidung zu schreiben 287 00:22:28,549 --> 00:22:32,789 oder aber nichts zu tun in dieser Sache, was angesichts der arbeitsökonomischen 288 00:22:32,789 --> 00:22:37,980 Prozesse nicht ganz fern liegend ist. Wir gehen als digitale Gesellschaft davon aus, 289 00:22:37,980 --> 00:22:41,690 dass diese Maßnahme nicht dazu passen würde, dass es zu einer guten, 290 00:22:41,690 --> 00:22:46,019 flächendeckenden Kontrolle der inländischen Justiz von diesen Maßnahmen 291 00:22:46,019 --> 00:22:52,080 käme. Problematisch ist aber nicht nur die, sind nicht nur die Regelungen, wie 292 00:22:52,080 --> 00:22:56,159 sie zwischen zwei Mitgliedsstaaten vorgesehen sind, sondern auch, was 293 00:22:56,159 --> 00:22:59,350 passieren soll, wenn ein Anbieter eigentlich in einem Drittstaat, also nicht 294 00:22:59,350 --> 00:23:03,850 die EU-Staat sitzt oder dort seine Daten speichert. Dieser Drittstaat soll nämlich 295 00:23:03,850 --> 00:23:08,429 schon gar nicht gefragt werden, bevor eine Anordnung erlassen wird. Es gibt zum Teil 296 00:23:08,429 --> 00:23:11,700 so ein Stück weit die Möglichkeit des Providers zu sagen, dann bekomme ich hier 297 00:23:11,700 --> 00:23:17,269 Probleme, weil ich gegen das Recht dieses Drittstaates verstoße. Das ist allerdings nur 298 00:23:17,269 --> 00:23:20,450 sehr eingeschränkt möglich. Es gibt da eine Prüfung, in die diese Staaten nicht 299 00:23:20,450 --> 00:23:25,990 involviert wird und der auch nur bestimmte Regelungen respektiert werden. Das heißt, 300 00:23:25,990 --> 00:23:30,220 diese Verordnung ist zwar im Verhältnis der EU-Staaten zueinander multilateral, 301 00:23:30,220 --> 00:23:35,250 weil sie miteinander was aushandeln, im Verhältnis zu Drittstaaten allerdings eher 302 00:23:35,250 --> 00:23:39,549 als unilateral zu betrachten. Da wird also einseitig vorgegeben unter diesen 303 00:23:39,549 --> 00:23:45,220 Umständen wollen wir Daten, die bei euch gespeichert sind, herausgegeben bekommen 304 00:23:45,220 --> 00:23:48,779 und das regt natürlich auch andere Staaten durchaus dazu an zu sagen, na ja, dann 305 00:23:48,779 --> 00:23:52,940 stellen wir jetzt auch mal Regelungen auf, unter denen, oder Voraussetzungen, unter 306 00:23:52,940 --> 00:23:58,270 denen Daten aus der Europäischen Union vielleicht herausgegeben werden müssen. 307 00:23:58,270 --> 00:24:05,080 Die digitale Gesellschaft hat sich deshalb Ende Oktober in einem offenen Brief an die 308 00:24:05,080 --> 00:24:10,460 Europaabgeordneten aus Deutschland gewandt gewendet, gemeinsam mit zwölf weiteren 309 00:24:10,460 --> 00:24:14,450 Organisationen. Mittlerweile gibt es auch noch eine englischsprachige Fassung des 310 00:24:14,450 --> 00:24:18,600 Briefs, die von CEPIS, dem Europäischen Informatik Berufsverband an 311 00:24:18,600 --> 00:24:21,799 Ausschussmitglieder gesandt wurde und wir stehen im Austausch mit einigen der 312 00:24:21,799 --> 00:24:26,330 Berichterstatterin, um ein Stück weit unsere Belange oder unsere Einschätzung 313 00:24:26,330 --> 00:24:31,620 damit einfließen zu lassen. Eine letzte Regulierung, die ich vielleicht nur ganz 314 00:24:31,620 --> 00:24:35,800 kurz einreißen würde, wäre die Cybercrime Konvention, die eigentlich schon von 2001 315 00:24:35,800 --> 00:24:40,440 stammt. Da geht es im Allgemeinen ein Stück weit um eine Harmonisierung von 316 00:24:40,440 --> 00:24:45,950 Straftatbeständen und um Verpflichtungen zur gegenseitigen Rechtshilfe. Und seit 317 00:24:45,950 --> 00:24:49,970 2017 gibt es Verhandlungen über das zweite Zusatzprotokoll oder über ein zweites 318 00:24:49,970 --> 00:24:57,020 Zusatzprotokoll, und das würde vorsehen, dass die teilnehmenden Staaten 319 00:24:57,020 --> 00:25:00,549 Teilnehmerdaten ebenso direkt und ohne beidseitige Strafbarkeit von Unternehmen 320 00:25:00,549 --> 00:25:04,649 anderen Staaten heraus verlangen können. Neben einer Vielzahl der Staaten, die ja 321 00:25:04,649 --> 00:25:09,480 im Europarat beteiligt sind, sind hier noch viel, viel mehr Staaten beteiligt 322 00:25:09,480 --> 00:25:17,179 insgesamt 64 zum Stand 2019 und darunter auch die Türkei, Marokko, Argentinien, 323 00:25:17,179 --> 00:25:22,820 ein paar habe ich aufgeschrieben, Japan, die Philippinen, Chile. Das heißt sozusagen 324 00:25:22,820 --> 00:25:25,820 die Probleme, die wir schon in der Europäischen Union mit Rechtsstaatlichkeit 325 00:25:25,820 --> 00:25:34,429 haben, werden dort vielleicht nochmal stärker. Und was haben wir gesehen? Wir 326 00:25:34,429 --> 00:25:38,340 haben es also mit einer extra territorialen Ausweitung von nationalen 327 00:25:38,340 --> 00:25:43,080 Befugnissen zu tun. Das heißt, dass diese Gesetzgebungen in vielen Fällen oder in 328 00:25:43,080 --> 00:25:47,200 der Regel davon abweichen, dass der physische Speicherort ein Kriterium für 329 00:25:47,200 --> 00:25:53,690 das Rechtsregime, dem Daten unterworfen sind, wären. Das wird so ein Stück weit 330 00:25:53,690 --> 00:25:57,110 gestützt durch einige theoretische Konzepte darüber, dass Daten nicht 331 00:25:57,110 --> 00:26:02,500 territorial betrachtet werden sollten. Zum Beispiel eine US amerikanische 332 00:26:02,500 --> 00:26:07,450 Rechtswissenschaftlerin Jennifer Daskal. Ich habe auch noch eine Quellenangabe am 333 00:26:07,450 --> 00:26:11,790 Ende, nennt auch ein paar Argumente darum, warum sie das eigentlich auch für richtig 334 00:26:11,790 --> 00:26:16,640 hält, sozusagen nicht am Speicherort anzuknüpfen. Das liegt daran, dass Daten auf eine 335 00:26:16,640 --> 00:26:20,509 andere Art und Weise mobil sind als diese Wasserflasche etwa, die sich auch bewegen 336 00:26:20,509 --> 00:26:23,860 kann. Denn sie bewegen sich mit Lichtgeschwindigkeit. Daran, dass Daten 337 00:26:23,860 --> 00:26:28,500 teilbar sind, an mehreren Orten zugleich vorliegen können. Dass der Ort des Zugangs 338 00:26:28,500 --> 00:26:33,580 nicht zum Speicherort abhängig ist und dass auch sie unter der Kontrolle von 339 00:26:33,580 --> 00:26:38,750 Dritten stünden. Das heißt, die Nutzenden würden den Speicherort nicht wählen. Es 340 00:26:38,750 --> 00:26:44,780 würden sich allerdings aus meiner Sicht und aus Sicht vieler anderer, wenn sich diese 341 00:26:44,780 --> 00:26:49,240 Anschauung von der Nicht-Territorialität von Daten durchsetzte, einige ganz wesentliche 342 00:26:49,240 --> 00:26:53,340 Probleme ergeben. Es hat zunächst was zu tun, ich habe es schon erwähnt damit, dass 343 00:26:53,340 --> 00:26:58,260 der Grundrechtsschutz in dem Staat, in dem die Daten gespeichert werden, nicht mehr 344 00:26:58,260 --> 00:27:04,830 gewährleistet wäre. Und wie gesagt. ungeachtet aller Kritik am Konzept würde 345 00:27:04,830 --> 00:27:08,940 also die Souveränität in ihrer Funktion ein Stück weit Rechtsstaatlichkeit und 346 00:27:08,940 --> 00:27:13,799 Grundrechte oder zumindest die Verantwortung dafür sicherzustellen, 347 00:27:13,799 --> 00:27:17,289 unterlaufen. Ich würde auch sagen, dass es sich hier nicht direkt um eine 348 00:27:17,289 --> 00:27:21,009 Internationalisierung von einem Vorgehen handelt in dem Sinne, dass Staaten 349 00:27:21,009 --> 00:27:24,679 gemeinsame Standards finden würden, die vielleicht auch durch unabhängige oder 350 00:27:24,679 --> 00:27:28,799 gemeinsame Stellen eingehalten würden, sondern eigentlich um eine relativ starke 351 00:27:28,799 --> 00:27:33,779 Nationalisierung, weil es immer nationale Bedürfnisse sind, die aufgestockt und 352 00:27:33,779 --> 00:27:39,419 verstärkt werden. Es ist so, man sollte das vielleicht nicht zu stark 353 00:27:39,419 --> 00:27:43,289 romantisieren. Aber ich würde schon daran festhalten, dass das Internet Räume 354 00:27:43,289 --> 00:27:49,889 schafft, in denen politische Opposition manchmal agieren kann und die es 355 00:27:49,889 --> 00:27:53,270 vielleicht sozusagen mit einer stärkeren Anbindung an den Staat, in dem man sich 356 00:27:53,270 --> 00:27:56,929 befindet, nicht gäbe. Gerade die Möglichkeit, dass sich in einem Land sein 357 00:27:56,929 --> 00:28:01,150 kann und den Dienst nutze, dessen Regulierung in den Händen eines anderen 358 00:28:01,150 --> 00:28:06,721 Staates liegt, die kann unter Umständen einen gewissen Freiraum schaffen. Man kann 359 00:28:06,721 --> 00:28:10,820 es vielleicht irgendeine Art von kleinem Asyl nennen. Das heißt also, wenn diese 360 00:28:10,820 --> 00:28:15,600 Dienste, die woanders sitzen, keine Daten an Verfolger im eigenen Land herausgeben, 361 00:28:15,600 --> 00:28:18,480 sich nicht entziehen lassen, dann können sie sich ein Stück weit Aktionsräume 362 00:28:18,480 --> 00:28:23,810 schaffen. Wenn wir jetzt zum Beispiel an Hongkong denken, wo ja die Anonymität der 363 00:28:23,810 --> 00:28:28,539 Aktivistinnen und Aktivisten eine ganz große Rolle spielt. Dann ist da natürlich 364 00:28:28,539 --> 00:28:33,889 auch sehr wichtig, dass man, dass man sozusagen Dienste wie Reddit oder Telegram 365 00:28:33,889 --> 00:28:37,190 oder sicherlich auch viele andere verwenden kann, die nicht in Hongkong 366 00:28:37,190 --> 00:28:41,659 sitzen und auch nicht in China sitzen und auf die chinesische oder Hongkong-, 367 00:28:41,659 --> 00:28:48,879 Behörden aus Hongkong keinen Zugriff haben. Eine Vielzahl von Unternehmen, die 368 00:28:48,879 --> 00:28:52,139 in den USA oder auch woanders ansässig sind, geben zum Beispiel Staaten wie die 369 00:28:52,139 --> 00:28:58,659 Türkei per se keine Daten heraus. Und das mit sehr gutem Grund, wie ich denke. Wenn 370 00:28:58,659 --> 00:29:01,540 man nun solche Dienste im Rahmen von Abkommen verpflichten würde, auch an 371 00:29:01,540 --> 00:29:05,980 autoritäre Staaten Daten herauszugeben. Das ist zwar noch nicht so direkt 372 00:29:05,980 --> 00:29:09,010 geschehen, wäre aber eigentlich der nächste logische Schritt, wenn man sich 373 00:29:09,010 --> 00:29:14,200 auf eine weltweite Ebene vorstellt. Dann würden doch einige Türen zu diesen 374 00:29:14,200 --> 00:29:17,220 Aktionsräumen geschlossen. Das heißt natürlich nicht, dass so eine digitale 375 00:29:17,220 --> 00:29:22,029 Vernetzung nicht weiterhin möglich wäre, dass man nicht neue neue Wege finden würde 376 00:29:22,029 --> 00:29:27,019 und dass man nicht ohnehin, wenn man besser beraten ist, in solchen Situationen 377 00:29:27,019 --> 00:29:33,399 Tor-Server und einen VPN zu benutzen. Aber natürlich nimmt es so zu sagen und erhöht es schon 378 00:29:33,399 --> 00:29:41,511 ein Stück weit, die Hürden sich anonym bewegen zu können. Wenn man sich die 379 00:29:41,511 --> 00:29:45,139 Stellungnahmen von Reporter ohne Grenzen und weiteren Presse Verbänden im Microsoft 380 00:29:45,139 --> 00:29:50,370 Warren anschaut, dann sieht man, dass dort ganz massive Einschränkungen von 381 00:29:50,370 --> 00:29:56,190 Pressefreiheit befürchtet werden. Sie tragen also vor, dass Newsrooms heutzutage 382 00:29:56,190 --> 00:29:59,929 verstärkt in der Cloud stattfinden und die Zusammenarbeit von weit voneinander 383 00:29:59,929 --> 00:30:04,509 entfernten arbeitenden Personen sich relativ einfach abwickeln lässt und so 384 00:30:04,509 --> 00:30:09,559 nicht mehr funktionieren würde. Konkret schreiben Sie "Expanding the U.S. 385 00:30:09,559 --> 00:30:16,279 government's ability to reach electronic records, stored outside its borders sets a 386 00:30:16,279 --> 00:30:20,269 danger international example that foreign governments hostile towards journalists 387 00:30:20,269 --> 00:30:26,141 may exploit." Sie haben damals in diesem Fall vor dem Supreme Court gesagt, wenn 388 00:30:26,141 --> 00:30:32,290 jetzt die USA es Diensten oder wenn jetzt die USA sozusagen sich selbst 389 00:30:32,290 --> 00:30:36,509 herausnehmen, Dienste zu verpflichten, Daten, die anderswo gespeichert sind, 390 00:30:36,509 --> 00:30:44,450 herauszugeben, dann würden andere Länder das auch so machen. Auch das Argument, 391 00:30:44,450 --> 00:30:47,880 dass die Speicherort für Nutzer so häufig gleichgültig sei, ja nicht von denen 392 00:30:47,880 --> 00:30:52,480 gewählt würde, ist so nicht ganz richtig, wenn auch sicherlich in einigen Fällen. 393 00:30:52,480 --> 00:30:57,200 Denn ich denke, es gibt sehr viele Fälle, und das kommt gerade für politisch aktive 394 00:30:57,200 --> 00:31:01,490 Leute relevant sein. In denen nutzen Sie sehr wohl Ihren Speicherort bewusst wählen 395 00:31:01,490 --> 00:31:06,029 und sich Gedanken darüber machen, an wen Daten gegebenenfalls herausgegeben würden. 396 00:31:06,029 --> 00:31:10,190 Und so als ganz pragmatisches Argument, hätte das auch die Folge, diese 397 00:31:10,190 --> 00:31:13,509 Entscheidung sozusagen zu übergehen, dass die Idee vom Datenschutz als 398 00:31:13,509 --> 00:31:18,590 Standortvorteil eigentlich unmöglich gemacht wird. Dann hat man es natürlich 399 00:31:18,590 --> 00:31:22,639 mit einer starken Privatisierung der Rechtshilfe zu tun. Letztlich bleibt im 400 00:31:22,639 --> 00:31:25,750 Zweifelsfall der Provider übrig als die Instanz, die irgendwie noch sagen könnte, 401 00:31:25,750 --> 00:31:31,440 wollen wir eigentlich nicht befolgen diese Anordnung, weil wir sehen hier ein grundrechtliches Problem. 402 00:31:31,440 --> 00:31:36,010 Und ich denke, das können und sollen eigentlich diese Dienste nicht machen, 403 00:31:36,010 --> 00:31:40,009 sondern genau dazu sind ja staatliche Stellen oder sollten staatliche Stellen im 404 00:31:40,009 --> 00:31:46,909 System der internationalen Rechtshilfe dasein. Ganz spannend ist auch eine 405 00:31:46,909 --> 00:31:52,379 Stellungnahme von ehemaligen Geheimdienst und Sicherheitsbehörden. Personal der USA, 406 00:31:52,379 --> 00:31:58,870 UK und Frankreich ebenfalls im Microsoft Warren Case. Die warnen nämlich extrem 407 00:31:58,870 --> 00:32:02,280 davor, dass die extra territoriale Anwendung von US-Recht negative 408 00:32:02,280 --> 00:32:06,590 Auswirkungen haben könnte. Sie sagen nämlich, dass durch Normen Konflikte die 409 00:32:06,590 --> 00:32:10,820 ganze Effektivität der internationalen Zusammenarbeit in Strafsachen geschädigt 410 00:32:10,820 --> 00:32:15,029 wird. Gehen also davon aus, dass der Unilateralismus tendenziell zu Konflikten 411 00:32:15,029 --> 00:32:18,909 zwischen Staaten führen wird, der die Zusammenarbeit auch in diesen Fragen 412 00:32:18,909 --> 00:32:24,030 stören wird. Und auf der anderen Seite ist es wahrscheinlich, massiv zu Datenlokalisierungspflichten 413 00:32:24,030 --> 00:32:28,120 kommen wird, die wir jetzt schon in Russland haben. Also zu einer 414 00:32:28,120 --> 00:32:35,650 weiteren Zersplitterung von Internet kommt. Noch ein paar Literatur Empfehlungen. Ich 415 00:32:35,650 --> 00:32:38,340 sage mal so ein bisschen für den Einstieg, für alle, die sich ein stückweit tiefer 416 00:32:38,340 --> 00:32:44,460 für das Thema interessieren. Burchardt legt in der ZIS einige der hier 417 00:32:44,460 --> 00:32:47,920 genannten Argumente nochmal ganz grundlegend dar. Jennifer Daskal spricht 418 00:32:47,920 --> 00:32:54,509 sich so ein bisschen für eine Deterritorialisierung von Daten aus, und Martin Böse hat ein 419 00:32:54,509 --> 00:33:00,110 sehr umfangreiches Gutachten über die E-Evidenzverordnungen, die geplante, 420 00:33:00,110 --> 00:33:06,190 geschrieben. Man begegnet auch strafrechtlichem Terror ganz häufig der 421 00:33:06,190 --> 00:33:10,690 Forderung, dass eigentlich alles verfolgbar sein müsse ohne Einschränkungen 422 00:33:10,690 --> 00:33:14,129 und die Verhältnismäßigkeit eigentlich ziemlich grundlegendes rechtsstaatliches 423 00:33:14,129 --> 00:33:18,440 Prinzip. Also, sich mal zu überlegen, wenn ich jetzt diese gesetzliche Maßnahme 424 00:33:18,440 --> 00:33:23,100 implementiere, welche negativen Folgen hat das noch? Sie wird in vielen politischen 425 00:33:23,100 --> 00:33:29,199 Diskursen über Strafrechtsverschärfungen eigentlich nicht so richtig gehört. 426 00:33:29,199 --> 00:33:33,179 Ich denke, es ist einigermaßen deutlich geworden, dass gerade auch außenpolitische 427 00:33:33,179 --> 00:33:37,090 Interessenlagen und Leerläufe in der in der internationalen 428 00:33:37,090 --> 00:33:41,140 Zusammenarbeit in Strafsachen irgendwie Aktionsräume für politische Opposition 429 00:33:41,140 --> 00:33:44,940 bilden können. Also gerade Fälle in den Staaten nicht miteinander 430 00:33:44,940 --> 00:33:52,529 zusammenarbeiten, sei es die Situationen, in denen Personen vielleicht sogar Asyl 431 00:33:52,529 --> 00:33:57,940 finden können oder in denen einfach Daten nicht herausgegeben werden. Ich denke, 432 00:33:57,940 --> 00:34:02,779 wenn sogar ehemalige Geheimdienstleute davor warnen, Gesetzen extraterritoriale 433 00:34:02,779 --> 00:34:07,092 Wirkungen zukommen zu lassen, dann lässt sich eigentlich erkennen, dass selbst wenn 434 00:34:07,092 --> 00:34:11,460 man jetzt eine maximale Strafverfolgung befürworten würde, diese vermeintlichen 435 00:34:11,460 --> 00:34:17,340 Lösungen nicht so richtig zu Ende gedacht sind. Ob wir mit diesen Tendenzen jetzt am 436 00:34:17,340 --> 00:34:20,580 Ende zu einem Netz von internationalen Herausgabeverpflichtung wirklich kommen 437 00:34:20,580 --> 00:34:25,389 werden oder ob man relativ schnell zu Situationen kommt, in den Staaten merken, 438 00:34:25,389 --> 00:34:28,869 eigentlich passt uns das hier überhaupt nicht, dass jetzt dieses Land Daten von 439 00:34:28,869 --> 00:34:33,290 unserem Anbieter heraus verlangt und das System uns dann eher über dem Kopf 440 00:34:33,290 --> 00:34:37,531 zusammenbrechen wird. Das kann ich nicht so richtig vorhersehen. Wenn man 441 00:34:37,531 --> 00:34:40,550 tatsächlich die Strafverfolgung so ein Stück weit effektiv und unter 442 00:34:40,550 --> 00:34:45,899 Berücksichtigung von Grundrechtsschutz verbessern will, dann müsste man wohl oder 443 00:34:45,899 --> 00:34:50,740 übel die MLAT-Verfahren verbessern. Man müsste in der EU die europäische 444 00:34:50,740 --> 00:34:56,889 Ermittlungs Anordnung, die es seit 2014 gibt und deren Umsetzungfrist erst 2017 445 00:34:56,889 --> 00:35:01,840 abgelaufen ist, sozusagen ein Stück weit erst mal evaluieren und dann schauen, wo 446 00:35:01,840 --> 00:35:07,200 man verbessern kann. Aber so auf die Schnelle sozusagen solche Befugnisse 447 00:35:07,200 --> 00:35:10,940 einzuführen, die ziemlich weitgehende Konsequenzen im internationalen Bereich 448 00:35:10,940 --> 00:35:18,839 haben können, halte ich eher für eine sehr problematische Herangehensweise. Genau das 449 00:35:18,839 --> 00:35:23,170 wars erst einmal von mir. Wenn ihr die Arbeit der DGS gut findet, wenn ihr 450 00:35:23,170 --> 00:35:27,390 wollt, dass wir weiterhin aufklären, offene Briefe schreiben und so weiter, 451 00:35:27,390 --> 00:35:30,930 dann freuen wir uns auf jeden Fall, wenn ihr Spenden möchtet, Fördermitglieder 452 00:35:30,930 --> 00:35:33,980 werdet oder euch auch mal bei uns meldet, gerne mal beim netzpolitischen Abend in 453 00:35:33,980 --> 00:35:37,397 Berlin vorbeischaut. Ja, danke! 454 00:35:37,397 --> 00:35:45,771 *Applaus* 455 00:35:45,771 --> 00:35:50,959 Herald: Ja, und jetzt haben wir noch ein wenig Zeit für Fragen, die ihr habt. 456 00:35:50,959 --> 00:35:57,460 Hier gibt es drei Mikrofone im Saal. Bitte stellt euch da hin. Damit ich sehen kann, 457 00:35:57,460 --> 00:36:02,859 wer Fragen hat. Ansonsten frage ich, wie immer einfach erst mal das Internet. Gibt 458 00:36:02,859 --> 00:36:08,359 es aus dem Internet Fragen? Nein, das ist ja ein first time, sozusagen. Dann nehmen 459 00:36:08,359 --> 00:36:12,330 wir hier mal bitte Micro 2. Deine Frage bitte kurz und knackig. 460 00:36:12,330 --> 00:36:17,839 Mic 2: Hallo und Dankeschön! Kannst du was zum Richtervorbehalt sagen? Aktuell und 461 00:36:17,839 --> 00:36:22,905 nach der Verordnung, wenn sie so in Kraft tritt? Niekranz: Also von der E-Evidenz Verordnung 462 00:36:22,905 --> 00:36:29,280 gibts ja gerade drei Versionen, eine von Kommission und Rat und die vom Parlament 463 00:36:29,280 --> 00:36:34,170 ist sozusagen als solche noch nicht fertig. In dem Entwurf, den Birgit Sippel 464 00:36:34,170 --> 00:36:38,721 vorgelegt hat und der möglicherweise den natürlichen Maßstab bietet, in dem man 465 00:36:38,721 --> 00:36:42,950 jetzt anknüpfen kann für eine mögliche Parlamentsversion, steht drin, dass eine 466 00:36:42,950 --> 00:36:49,967 unabhängige Behörde sein muss. Das heißt, dass zumindest für Deutschland nach dem 467 00:36:49,967 --> 00:36:55,150 EuGH-Urteil zum Internationalen zum europäischen Haftbefehl, dass tatsächlich 468 00:36:55,150 --> 00:36:57,890 Richter auch das sein müssen, weil Staatsanwälte in Deutschland nicht 469 00:36:57,890 --> 00:37:04,951 unabhängig sind, sondern weisungsgebunden. Sozusagen in der Situation, in der der 470 00:37:04,951 --> 00:37:14,140 Zielstaat diese Anordnung kontrolliert. In den Versionen von Kommission und Rat 471 00:37:14,140 --> 00:37:18,809 gibt es einen Richtervorbehalt, allerdings nur sehr eingeschränkt, und zwar für 472 00:37:18,809 --> 00:37:23,349 empfindlichere Datenkategorien. Das wären sozusagen Inhaltsdaten und ich meine für 473 00:37:23,349 --> 00:37:27,809 Transaktionsdaten. Für Bestandsdaten gilt das allerdings nicht. 474 00:37:27,809 --> 00:37:31,000 Herald: Dankeschön. Mikro eins, bitte die Frage. 475 00:37:31,000 --> 00:37:39,329 Mic 1: Mich würde interessieren, wenn es jetzt ein Konflikt gibt zwischen der EU- 476 00:37:39,329 --> 00:37:46,800 DSGVO und der E-Evidenzverordnung. Wie das ausgehen könnte und welche Institution 477 00:37:46,800 --> 00:37:52,710 diesen Konflikt dann bereinigen wird. Niekranz: Den Konflikt, den es derzeit 478 00:37:52,710 --> 00:37:56,960 gibt. Ich weiß nicht, ob du diesen vielleicht meintest, der spielt sozusagen sich zwischen dem 479 00:37:56,960 --> 00:38:04,230 Cloud Act und der DSGVO ab. Meinst du das? Mic 1: Das meinte ich. Und, gesetzt der Fall, 480 00:38:04,230 --> 00:38:09,980 es kommt diese E-Evidenz-Verordnung, und jemand stellt fest: Das ist ja gar nicht 481 00:38:09,980 --> 00:38:15,420 DSGVO-kompatibel. Was passiert jetzt? Niekranz: Ok, also erstmal zur Cloud-Act- 482 00:38:15,420 --> 00:38:21,470 E-Evidenz-Situation. Faktisch ist es so, dass ich als Anbieter, wenn ich eine 483 00:38:21,470 --> 00:38:25,319 Herausgabe-Anordnung aus den USA bekomme, dort zunächst mal den größeren 484 00:38:25,319 --> 00:38:29,200 Handlungsdruck hab. Mir ist ehrlich gesagt nicht bekannt, ob es schon Fälle gegeben 485 00:38:29,200 --> 00:38:33,609 hat, in denen Anbieter DSGVO-widrig Daten an die USA herausgegeben haben. Ich 486 00:38:33,609 --> 00:38:37,480 gehe aber davon aus, dass das der Fall ist. Ich habe noch nicht gehört, dass 487 00:38:37,480 --> 00:38:41,310 daraufhin europäische Behörden irgendwie aktiv geworden seien, ein Bußgeld verhängt 488 00:38:41,310 --> 00:38:46,099 hätten oder so... Wenn man ein Bußgeld verhängen wollte, müsste man ein 489 00:38:46,099 --> 00:38:49,330 Stück weit sicherlich berücksichtigen, dass die Anbieter sich in so einer 490 00:38:49,330 --> 00:38:52,079 Normkonfliktsituation befinden und, ich sage mal, nicht so richtig böswillig 491 00:38:52,079 --> 00:38:57,540 gehandelt haben. Ich denke, da die europäischen Datenschutzbehörden mit 492 00:38:57,540 --> 00:39:01,951 relativ vielen problematischen Fragen beschäftigt sind, ist es so ein Stück weit 493 00:39:01,951 --> 00:39:10,869 zweitrangig eher. Wie die E-Evidenz gegen die DSGVO verstößen könnte. Zu einem 494 00:39:10,869 --> 00:39:16,380 richtigen Normkonflikt kann ich jetzt so nicht sagen, weil sich der Konflikt, den ich mit 495 00:39:16,380 --> 00:39:21,820 dem Cloud Act meine, dann ergibt, wenn man Daten aus der EU in ein anderes Land, in 496 00:39:21,820 --> 00:39:27,540 einen Drittstaat transferiert. Und diese Befugnis sieht die E-Evidenz zunächst mal 497 00:39:27,540 --> 00:39:31,290 nicht vor. Herald: Okay, dann wars das leider auch 498 00:39:31,290 --> 00:39:36,670 schon mit den Fragen. Es tut mir leid, ihr hier vorne wartet... Ihr könnt ja Elisabeth 499 00:39:36,670 --> 00:39:40,450 Niekrenz : auch gleich nochmal ansprechen. Und ansonsten? Die digitale Gesellschaft ist 500 00:39:40,450 --> 00:39:44,930 ja hier auch auf dem Kongress präsent. In diesem Sinne noch einmal herzlichen Dank 501 00:39:44,930 --> 00:39:47,190 und einen warmen Applaus für Elisabeth Niekrenz. 502 00:39:47,190 --> 00:39:51,720 *Applaus* 503 00:39:51,720 --> 00:39:54,620 *Abspannmusik* 504 00:39:54,620 --> 00:40:19,000 Untertitel erstellt von c3subtitles.de im Jahr 2020. Mach mit und hilf uns!