 Talk. Unsere nächste Speakerin ist Elisabeth Niekrenz. Sie ist Juristin und politische Referentin bei Digitale Gesellschaft e.V. in Berlin. Elisabeth hat hier quasi vor der Haustür an der Universität Leipzig Rechtswissenschaften studiert und war während ihres Referendariats als Repetitoren für Strafrecht und Strafprozessrecht tätig. 2018 hat Elisabeth den Sammelband Chaos zur Konstitution, Subversion und Transformation von Ordnung mit herausgegeben. Heute geht es aber um ein etwas anderes gelagertes Thema, nämlich die Frage, wie es bei internationalem Abkommen zur Herausgabe von Metadaten und Inhalten eigentlich um den Grundrechtsschutz bestellt ist. Und wie Vorhaben wie die EU-I-Evidenzverordnung die grenzüberschreitende Strafverfolgung verändern und zugleich politische Repression eine neue Dimension verleihen könnten. In diesem Sinne begrüßen wir mit einem warmen Applaus hier auf der Bühne Elisabeth Niekrenz. Ja, ganz herzlichen Dank für die Ankündigung. Jetzt muss ich noch kurz sehen, wie wir. Ah ja, sehr gut. Also ganz lieben Dank für die Ankündigung nochmal. Ich freue mich sehr heute über den grenzüberschreitenden Datenzugriff von Strafverfolgungsbehörden sprechen zu dürfen. Und der Anlass, es wurde auch schon erwähnt in der Ankündigung, dieses Thema aus einer EU-Perspektive zu besprechen. Das ist natürlich die I-Evidenzverordnung, die derzeit im Brüssel der Parlament verhandelt wird und von der sicherlich die eine oder der andere schon gehört haben. Diese Verordnung soll es Ermittlungsbehörden aus Spanien, Frankreich, Ungarn oder auch Polen ermöglichen, Dienstleister zum Beispiel in Deutschland zur Ausgabe von persönlichen Daten in Strafverfahren zu verpflichten, ohne dass hiesige Behörden an Wirdchen mitzureden hätten. Diese Verordnung steht aber auch nicht singulär im Raum, sondern eigentlich in dem Kontext von der ganzen Reihe von internationalen Regulierungen in den letzten Jahren, die ich heute ein Stück weit mitbeleuchten möchte, um das sozusagen nicht so singulär zu betrachten. Damit werden auch einige hergebrachte Prinzipien des Völkerrechts bzw. der internationalen Rechtshilfe durchaus in Frage gestellt, und zwar immer dann, wenn es also um elektronisch gespeicherte Beweismittel, um Daten sozusagen geht. Ich denke, es ist zu berücksichtigen, dass man sich aus einer Europäischen oder aus einer deutschen Sicht die Frage, ob wir zum Beispiel wollen, dass ein Unternehmen wie Facebook oder Google Daten in einem hiesigen Strafverfahren herausgeben muss, wenn es etwa im Kontext oder um den Kontext von Hasskriminalität geht, der in Deutschland jetzt gerade wieder ein großes Thema ist. Diese Frage darf man sich nicht isoliert stellen, sondern man muss es sich gemeinsam stellen mit der Frage, ob denn dann auch ungerische oder spanische Ermittlungsbehörden, E-Mail-Anbieter wie sagen wir Mailbox, Posteo etc. verpflichten können, sollen E-Mail-Daten und Transaktions, E-Mail-Inhalte oder Transaktionsdaten herauszugeben, ob wir uns wünschen, dass in dem Fall deutsche Behörden eigentlich einen Wörtchen mitzureden haben sollten. Man soll sich außerdem gemeinsam stellen mit der Frage, wie wir denn eigentlich damit umgehen würden, wenn eines Tages mal Anbieter wie TikTok aus China oder VK VKontakte aus Russland für Ermittlungsbehörden hier interessant werden würden, etwa weil Personen ganz häufig Straftaten über diese Plattformen gehen oder sich darüber dazu verabreden oder sonst interessante Beweismittel dort liegen. Würden wir dann, um schnellen Zugriff auf diese Daten zu erlangen, im Gegenzug den chinesischen oder russischen Ermittlungsbehörden auch ermöglichen wollen, auf Daten, die hierzulande gespeichert sind von deutschen Anbietern zugreifen und wie würden wir denn eigentlich darauf reagieren, wenn diese Länderunternehmen einfach einseitig verpflichten würden, ihnen Daten aus Deutschland abzuliefern. Vor dem Hintergrund der Forderung, die so in etwa lautet, dass das Netz kein rechtsfreier Raum sein darf und dass man praktisch ja irgendwie an die Daten rankommen müsse, werden die langfristigen Auswirkungen, die in solches Law Enforcement auch ein Stück weit auf die internationale Sicherheitsordnung hat, häufig außen vorgelassen und das, obwohl sie in den Fachretebatten eigentlich durchaus erörtert werden und nachzulesen sind. Deswegen möchte ich hier bei diesem Anlass einfach mal ein paar von diesen Problemen und Argumenten beleuchten. Was ist eigentlich das grundlegende Problem, dass mit Regulierungen wie der IEW-Voordnungen behoben werden soll? Es lautet, wie aus einem Papier der EU-Kommission kommt oder wie dort gesagt wird, the internet is largely privately owned and borderless for everyone except authorities pursuing criminal investigations. Also es ist eine Binsenweisheit, dass Cloud-Dienste, Social-Media und E-Mail-Dienste eine ganz überragende Bedeutung für unsere Kommunikation und auch für unsere Denken und Arbeiten haben. Das heißt, immer mehr Daten werden sozusagen online von Anbietern gespeichert und das weckt natürlich auch Begehrlichkeiten und zwar ganz besonders unter Behörden, die in Strafsachen ermitteln und für die, die diese Daten sicherlich meins im Fall ganz nützlich sein könnten, um etwas herauszufinden. Problematisch wird es nun immer, wenn Daten im Ausland gespeichert sind, also woanders als die Ermittlungen stattfinden, denn dann gelangen nationalen Rechtsordnungen an ihre Grenzen. Grundsätzlich gebietet es nämlich der völkerrechtliche Grundsatz der Wahrung territorialer Souveränität. Strafverfolgungshandlungen nur im eigenen Staatsgebiet durchzuführen. Und es gibt nun zwei Trends in einigen Regulierungen in den letzten Jahren, nämlich den Trend zum Unilateralismus und zur extraterritorialen Ausweitung nationaler Befugnisse. Das heißt, einerseits, dass an Stellen, an denen Rechtshilfe und internationale Zusammenarbeit, im Sinne einer Zusammenarbeit von Staaten stattgefunden hat, traditionell fangen Staaten an, einseitig zu beschließen, dass sie von ihrem Gebiet aus Zugriff oder zumindest die Möglichkeit, Anbieter zu verpflichten haben wollen, Anbieter die Daten woanders speichern, ja, es sozusagen diese Daten herausgeben zu lassen. Auf der anderen Seite werden durchaus auch Abkommen geschlossen, also sozusagen wird multilateral gehandelt, die dann allerdings häufig davon leben, dass auch keine Zusammenarbeit mehr stattfinden soll auf der Seite der staatlichen Akteure, sondern das Staaten eigentlich auf die Ausübung ihrer souveränen Rechte. Das heißt, darüber zu entscheiden, welche Strafverfolgungsbehörden Auswirkungen auf ihr Staatsgebiet haben können, verzichtet wird und sich gegenseitig ungehinderte Befugnisse einräumen. Und das ist, wenn wir in das Konzept der territorialen Souveränität denken, vor allem deshalb problematisch, weil nationale Souveränität bei aller Kritik, die man am Konzept Nationalstaat durchaus haben kann, innerhalb des Staaten- und Rechtssystems, in dem wir leben, unter anderem die Funktion hat festzulegen, wer für den Schutz von Grundrechten zuständig ist. Und da gibt es einige Probleme mit den Regulierungen, die nun gemacht werden. Um das verstehen zu können, noch mal einen kleinen Blick sozusagen zurück oder auch durchaus noch in die Gegenwart, wie funktioniert denn eigentlich Zusammenarbeit in Strafsachen, wenn man es mit grenzüberschreitender Kriminalität zu tun hat oder ja, sozusagen mit Verfahren, die irgendwie den grenzüberschreitenden Bezug aufweisen bisher. Es gibt seit vielen Jahren bzw. fast schon Jahrhunderten Mutual Legal Assistance Treaties auf Englisch Courts Amlats. Das heißt, es gibt viele bilaterale und multilaterale Abkommen, die zwischen Staaten regeln, wie man zusammenarbeiten will. Ein wesentlicher Ursprung oder als ein wesentlicher Ursprung gilt das belgischer Auslieferungsgesetz von 1833. Belgien wollte damals deiner eigene politischen Neutralität waren und hat gesagt, wir liefern schon Personen aus, die gesucht werden wegen Straftaten, allerdings nicht bei politischen Delikten. Ich denke daran kann man schon ganz gut erkennen, dass in dem Fall das Auslieferungsrecht, aber auch insgesamt die gegenseitige Rechtshilfe durchaus eine ziemlich hohe außenpolitische Relevanz haben kann, weil tatsächlich auch nicht alle Staaten sich darüber einig sind, was Straftaten sind und was nicht. Dieses Rechtsgebiet betrifft also so was wie Auslieferungen, aber auch Maßnahmen auf einer niedrigeren Schwelle, wenn es also darum geht, eine Beweisaufnahme in einem anderen Land durchzuführen, Dokumente zu beschlagnahmen, Zeugen zu befragen und ähnliches. Deutschland ist Teil verschiedener bilaterale und multilaterale Abkommen. Viele davon wurden im 20. Jahrhundert nach dem Zweiten Weltkrieg abgeschlossen. Und der Weg, den man da geht, läuft also grundsätzlich so. Ein Staat stellt eine Anfrage für eine Ermittlungsmaßnahme, eine Auslieferung oder etwas ähnliches an den Staat B. Und der Staat B prüft dann zunächst mal die Anfrage und fragt sich, will ich die in meinem, auf meinem Staatsgebiet so beantworten, will ich dir nachkommen. Und hat auch die Möglichkeit, diese Anfrage oder die Befolgung sozusagen zu versagen. Und es schließlich erlaubte auch nicht Staat A eigenmächtig auf seinem Gebiet, diese Maßnahme sozusagen durchzuführen, sondern der Staat B würde sie selbst durchführen, wie man hier sieht. Und es gibt ein paar Gründe. Das gilt sozusagen nicht ganz uneingeschränkt für alle Abkommen. Aber das sind so vier Kriterien, die sehr häufig Gründe dafür sind, eine angefragte Maßnahme nicht auszuführen. Da ist zum einen die Verfolgung politischer Vergehen, die häufig ausgeschlossen wird. Ich hatte es schon erwähnt. Auf der anderen Seite liegt die beidseitige Strafbarkeit Englisch-Dur-Criminality. Das ist ein Kriterium, das fordert, dass die Tat in beiden betroffenen Staaten eine Straftat ist. Beispiel, was vielleicht alle kennen, ist der Fallbot Stéman, der schließt sich nicht wegen Rebellionen an die spanischen Behörden aus Deutschland mittels des europäischen Haftbefehls ausgeliefert werden konnte, weil es den Straftatbestand der Rebellion so im deutschen Strafgesetzbuch nicht gibt. Es ist also gewissermaßen auch einleuchtend, dass man als Staat sagt, Mensch, dieses Verhalten, das finden wir hier eigentlich in Ordnung. Wir haben eine andere moralische, gesellschaftliche strafrechtliche Vorstellung. Deswegen nehmen wir in dieser Verfolgung nicht teilen. Es sind Verstöße gegen den sogenannten Ordrepublik. Das sind sozusagen Verstöße gegen ziemlich grundlegende indendische Wertvorstellungen. Also auch für solche Fälle muss es immer sozusagen keine Ausdrucksmöglichkeit, aber eine Möglichkeit der Versagung geben. Und es ist das Prinzip nie bis in die Ideen. Das bedeutet, dass wegen einer Tat ein Mensch oder eine Person nicht zweimal verfolgt werden darf. Das Problem mit diesen Amelads ist nun, dass ein Weg ist, der häufig über den diplomatischen Weg verläuft. Da sind viele Behörden auf unterschiedlichen Stellen involviert und der deshalb sehr lange dauert. Also laut EU-Kommission sind zehn Monate innerhalb der Europäischen Union derzeit nicht ungewöhnlich. Deshalb besteht eigentlich eine weitgehende Einheit eigentlich darüber, dass das System verbessert werden muss, vor allem im Bereich elektronische Daten, weil diese sehr flüchtig sein. Gerade mit so etwas wie eine dynamischen IP-Adresse kann man gar nicht mal so lange was anfangen. Das sind so die Erwägungen 2013 haben US-Behörden unter anderem deshalb was Neues aufprobiert, kann man so sagen. Sie haben nämlich einen Beschluss erlassen gegen Microsoft, mit dem sie Microsoft verpflichtet haben, Daten aus dem E-Mail-Konto eines Nutzers für einen Strafverfahren zu erhalten oder herauszugeben. Und das Besondere war, dass diese Daten auf einem Microsoft-Data-Center in Irland gespeichert waren. Microsoft hat die Herausgabe verweigert und hatte gesagt, ihr habt gar kein Rechtsregime sozusagen über diese Daten und europäisches Datenschutzrecht hindert uns auch daran, die zu übermitteln. Die Behörde hat dann zunächst in erster Instanz im gerichtlichen Verfahren gewonnen. Da hat das Gericht also gesagt, Unternehmen auf die US-Recht-Anwendung befindet sind verpflichtet, Daten herauszugeben, wenn sie in ihrer Kontrolle sind, egal wo. In der zweiten Instanz im Berufungsverfahren hat allerdings Microsoft besiegt und es hieß dann, dass die damalige Rechtsgrundlage im Stored Communications Act nicht reicht für eine Übermittlung von Daten, die außerhalb der USA gespeichert sind, so dass das Verfahren schließlich vor dem Supreme Court gelandet ist und währenddessen wurde es auch einigermaßen zum Politikrum, also sowohl Irland als auch die europäische die EU-Kommission. Viele Verwände, Reporter ohne Grenzen, andere Interessen, Träger haben sogenannte Mikroskure, Briefings eingereicht, es wurden Stellungnahmen eingereicht und auch so einige akademische Texte und all dies hat schließlich dazu geführt, dass die USA ein neues Gesetz erlassen haben, nämlich den Cloud Act. Cloud steht hier für clarifying lawful overseas use of data und der Cloud Act besagt, dass US-Anbieter verpflichtet sind, Daten herauszugeben an US-Behörden, egal wo sie gespeichert sind. Er sieht eine gewisse Möglichkeit zur Regelung von Norm-Konflikten vor, wenn man dazu ein Konflikt mit dem Recht des anderen Landes kommt und zwar dürfen sich Anbieter wehren, wenn die Kunden keine US-Personen sind und wenn die Offenlegung der Daten die Gefahr begründet, dass der Anbieter Gesetze einer ausländischen Regierung verletzt, allerdings nicht irgendeine ausländischen Regierung, sondern nur eines sogenannten qualifying foreign governments und das wäre ein Staat mit dem die USA ein exklusiv Abkommen geschlossen haben, darüber wie solche Daten ausländisch funktionieren. Derzeit gibt es noch nicht so viele Staaten mit denen die USA ein solches Abkommen geschlossen haben, insbesondere mit UK ist es im Oktober jetzt kürzlich passiert. Das bedeutet für Unternehmen mit Sitz in den USA, die in der EU Datenspeichern derzeit, dass sie eigentlich regelmäßig gezwungen sind gegen eines dieser beiden Rechtsregime zu verstoßen. Denn tatsächlich verbietet ist die Datenschutzgrundverordnung derzeit Daten aufgrund solchen Anfragen in die USA herauszugeben. Auf der anderen Seite können sie aber durch US-Sets Recht dazu gezwungen werden. Es gibt noch einen anderen Anreiz für Staaten ein solches Agreement abzuschließen, denn dann kann man auch Anbieter dazu zwingen, Daten herauszugeben, an zum Beispiel dann die europäischen Staaten, die in den USA gespeichert sind. Darauf sind natürlich Strafverfolgungsbehörden in der Europäischen Union häufig sehr erpicht, weil sehr viele sehr wesentliche Dienste in den USA sitzen. Deshalb hat auch das Vereinigte Königreich im Oktober, ich habe es schon erwähnt, ein solches Abkommen geschlossen, was zum Teil auch sehr stark kritisiert wurde. Der Grund ist vor allem, dass dieses Abkommen als das erste seiner Art Vorbild für weitere sein kann und dass in dem Abkommen selbst keine sehr hohen Schutzanforderungen reingeschrieben worden sind. Das heißt, man liest dann zwar so ein Stück weit das US-Recht und das Britische Recht hinein, insofern es um Informationspflichten, Richter vorbehalt, Hürden sozusagen unter welchen Umständen Daten herausgegeben werden können, geht. Wenn man sich aber vorstellt, dass das Abkommen so auch Vorbild für Abkommen mit Staaten mit einem deutlich niedrigeren Schutzniveau sein könnte, dann steht da leider sehr, sehr wenig drin. Mit der EU haben die Verhandlungen für den Abschluss eines solchen Abkommens kürzlich begonnen. Im September fand also ein erstes 3. Das verlangt so ein Stück weit logisch eigentlich die Voraussetzung oder zumindest politisch die Voraussetzung, dass man erst mal regelt, wie denn EU-Staaten eigentlich untereinander auf Daten zugreifen können, die in einem anderen Staat gespeichert sind. Und damit kommen wir zur E-Evidenzverordnung. So ein kleiner Teil des Skandals ist sozusagen, dass die Kommission bereits Verhandlungen mit den USA begonnen hat, bevor sich das Parlament behauptet auf den Standpunkt zur E-Evidenz geeinigt hat. Das heißt, die Regeln von innereuropäisches Vorgehen, die sollten eigentlich so ein Stück weit feststehen, bevor man mit Drittstaaten wie den USA verhandeln kann. Was sieht nun die E-Evidenzverordnung vor? In dieser Verordnung soll es darum gehen, dass nach dem Kommissionsentwurf im Verhältnis der EU-Staaten zueinander Staaten sowohl Metadaten als auch Inhaltsdaten, da gibt es einige komplexe Differenzierungen zwischen den Datentypen, herausverlangt werden dürfen und zwar egal, wo sie gespeichert wäre, wo in der EU und egal, wo der Provider sitzt. Das funktioniert dann also nicht mehr so, dass der Staat A sich an den Stadt B wenden würde, die sozusagen eine Prüfung macht und sich schließlich dazu entscheidet, an dem Provider heranzutreten oder nicht, sondern hier würde der Staat A, sagen wir mal, Bulgarien, sich direkt an einen möglicherweise in Österreich sitzenden Anbieter wenden mit einer Herausgabeanordnung und Österreich hätte eigentlich alleine die Rolle in dem Fall, in dem der Provider nicht compliant ist, also sagt ich halte mich nicht daran aus irgendwelchen Gründen, sozusagen die Pflicht, eine Sanktion zu verhängen und im Zweifelsfall auch zu Vollstrecken. Das ist geknüpft einer ziemlich kurzen Herausgabeflist von zehn Tagen in Notfällen sogar nur sechs Stunden und ja die Non-Complaints sollen mit Sanktionen bis zu zwei Prozent des weltweiten Jahresumsatzes sanktioniert werden. Damit wird also dem Staat, in dem ein Anbieter sitzt oder seine Datenspeichheit die Möglichkeit, ein Grundrechtsschutz auf seinem Gebiet sicherzustellen, sehr stark genommen. Auch Verpflichtungen betroffene zu informieren, so wie viele andere Punkte in diesem Beschluss sind ziemlich problematisch und sind sehr eingeschränkt, was den Grundrechtsschutz einbelangt. Das größte Problem aber ist, dass das Kriterium der beidseitigen Strafbarkeit, das ich schon mal angesprochen hatte, nicht erforderlich ist für so eine Herausgabe. Was heißt das? Das Strafrecht in der EU ist eigentlich so gut wie gar nicht harmonisiert bis auf wenige Bereiche. Etwa in Malta ist ein Schwangerschaftsabbruch in fast allen Konstellationen eine Straftat. Das heißt, wenn eine maltesische Ärztin dort illegale Schwangerschaftsabbrüche anbieten würde und mit ihren Patientinnen zum Beispiel über einen privaten deutschen Anbieter in etwa Posteo kommunizieren würde, dann könnte Posteo dazu gezwungen werden, Daten an maltesische Strafverfolgungsbehörden herauszugeben. In Polen ist es eine Straftat, eine Beteiligung von polnischen Personen am Holocaust zu behaupten. Wenn also Leute in Polen Aufklärungsarbeit über solche historischen Geschehnisse leisten würden und vielleicht über einen Facebook oder Twitter-Account publizieren würden, dann wären auch diese Unternehmen gezwungen, wenn sie zum Beispiel in Irland speichern, Daten an die Behörden herauszugeben. Und so kann man sich verschiedene Fälle denken, die in die Spannungslage sozusagen daraus resultiert, dass ich in einem Staat lebe, in dem eine Handlung legal ist, überhaupt nicht damit einverstanden bin, dass eine bestimmte andere Handlung, also dass diese Handlung als illegal gelten soll, einem anderen Staat, aber ich muss eben Daten herausgeben, muss an dieser Strafverfolgung mitwirken als Provider, als Mitarbeiter eines solchen Dienstes. Es hat zu dem zufolge vor allem diese Direktzugriff, dass ich als Betroffene dieser Datenverarbeitung, wenn ich dann überhaupt oder dieser Daten herausgabe, wenn ich dann überhaupt darüber informiert werde, mich möglicherweise in der fremden Rechtsordnung zu wehrsetzen muss, was an sich schon ziemlich komplex ist. Und zweitens ist es so, dass in gleich mehreren EU-Staaten es derzeit ziemlich starke Probleme mit Rechtsstaatlichkeit gibt. Also alles andere als sichergestellt ist, dass ich dort ein faires Verfahren bekomme. Der Maßstab ist die Zulässigkeit einer Maßnahme im Anordnungsstaat. Das heißt, wenn wir auf das Beispiel zurückkommen würden, Bulgarien erließe eine Anordnung für einen Provider, der in Österreich sitzt und dort Daten speichert, dann würde sich die Rechnmäßigkeit dieser Anordnung nach bürgarischem Recht, nach bürgarischem Recht richten und nicht danach, was in Österreich eigentlich legal wäre. Also es wäre möglich, dass Bulgarische Behörden in Österreich stärkere Beingriffsbefugnisse hätten mehr durften, als es die österreichischen Strafverfolgung überhaupt. Das ist natürlich auch nicht sehr schlüssig und ist auch dazu geeignet. Gerade nationale Schutzvorschriften in Deutschland wären das etwa die Regelungen der Strafprozessordnung oder aber insbesondere auch solche, die das Bundesverfassungsgericht aufgestellt hat, zu umgehen. Bislang ist überhaupt kein Veto Recht. Also bislang heißt in den Entwürfen von Rat und Kommission vorgesehen in diesem Entwurf. Das heißt, ich hätte als Vollstreckungsstaat, also hier als Staat B eigentlich keine Chance dagegen vorzugehen gegen diese Herausgabe oder zu sagen, nein, das darf nicht passieren. Ein Stück weit anders sieht das im derzeitigen Bericht des Parlaments Ausschuss oder im derzeitigen Entwurf der Bericht selbst, das ist als solche noch nicht fertig. Die Berichterstatterin Birgit Sippel im Lieberausschuss, das ist also der Ausschuss für bürgerliche Freiheiten im europäischen Parlament. Sie sieht in ihrem Entwurf von Anfang November dieses Jahres vor, dass es ein Veto Recht geben soll. Das heißt, also binnen diese zehn Tage, in denen die oder innerhalb der der Provider auf die Anordnung reagieren soll, wäre es dem Staat dem Versteckungsstaat möglich, ja sozusagen ein Veto Recht von seinem Veto Recht Gebrauch zu machen und zu sagen, dieser Herausgabe stimmen wir nicht zu, zum Beispiel eben, weil die Tat bei ihm keine Straftat ist. Das erfordert allerdings keine obligatorische Prüfung. Das heißt, es ist gut möglich, dass diese Anordnung auf dem Schreibtisch von einem Richter landet und dieser hat dann die Möglichkeit binnen zehn Tagen, was ziemlich kurz ist, entweder hineinzuschauen und eine ablehnende Entscheidung zu schreiben oder aber nichts zu tun in dieser Sache, was angesichts der arbeitsökonomischen Prozesse nicht ganz fernliegend ist. Also wir gehen als digitale Gesellschaft davon aus, dass diesem Maßnahme nicht dazu fassen würde, dass es zu einer guten flächendeckenden Kontrolle der inländischen Justiz von diesen Maßnahmen käme. Problematisch ist aber nicht nur die oder sind nicht nur die Regelungen, wie sie zwischen zwei Mitgliedsstaaten vorgesehen sind, sondern auch was passieren soll, wenn ein Anbieter eigentlich in einem Drittstaat, also wenn nicht die Urstadt sitzt oder dort seine Daten speichert. Dieser Drittstaat soll nämlich schon gar nicht gefragt werden, bevor eine Anordnung erlassen wird. Es gibt zum Teil so ein Stück weit die Möglichkeit des Providers zu sagen, dann bekomme ich die Probleme, weil ich gegen das Recht dieses Drittstaates verstoße, das ist allerdings nur sehr eingeschränkt möglich. Also es gibt dann eine Prüfung, in die dieser Staat nicht involviert wird und in der auch nur bestimmte Regelungen respektiert werden. Das heißt, diese Verordnung ist zwar im Verhältnis der EU-Staaten zueinander multilateral, weil sie miteinander was aushandeln, im Verhältnis zu Drittstaaten allerdings eher als unilateral zu betrachten. Da wird also einseitig vorgegeben, unter diesen Umständen wollen wir Daten, die bei euch gespeichert sind, herausgegeben bekommen. Und das regt natürlich auch andere Staaten durchaus dazu an zu sagen, na ja, dann stellen wir jetzt auch mal Regelungen auf, unterdienen oder Voraussetzungen unterdienen, Daten aus der Europäischen Union vielleicht herausgegeben werden müssen. Die digitale Gesellschaft hat sich deshalb Ende Oktober in einem offenen Brief an die Europa-Abgeordneten aus Deutschland gewendet, gemessen mit 12 weiteren Organisationen. Mittlerweile gibt es auch noch eine englisch-parige Fassung des Briefs, die von CEPIS, dem Europäischen Informatikberufsverband an Ausstoßenmitglieder gesandt vor so einem bestimmten Austausch mit einigen der Berichterstattern, um so ein Stück weit unsere Belange oder unsere Einschätzung damit einfließen zu lassen. Eine letzte Regulierung, die ich vielleicht nur ganz kurz anreisen würde, wäre die Cybercrime-Konvention, die eigentlich schon von 2001 stammt. Da geht es im Allgemeinen so ein Stück weit um eine Harmonisierung von Straftatbeständen und um Verpflichtungen zur gegenseitigen Rechtshilfe. Und seit 2017 gibt es Verhandlungen über das zweite Zusatzprotokoll oder über ein zweites Zusatzprotokoll. Und das würde vorsehen, dass die teilnehmenden Staaten Teilnehmerdaten ebenso direkt und ohne beidseitige Strafbarkeit von Unternehmen in anderen Staaten herausverlangen können. Und neben der Vielfalt des Staaten, die am Europa-Rat beteiligt sind, sind hier noch viel, viel mehr Staaten beteiligt, insgesamt 64, zum Stand 2019 und darunter auch die Türkei, Marokko, Argentinien, ein paar habe ich aufgeschrieben, Japan, die Philippinen, Chile. Das heißt sozusagen, die Probleme, die wir schon in der Europäischen Union mit Rechtsstaatlichkeit haben, werden dort vielleicht nochmal stärker. Was haben wir gesehen? Wir haben es also mit einer extra-territorialen Ausweitung von nationalen Befugnissen zu tun. Das heißt, dass diese Gesetzgebungen in vielen Fällen oder in der Regel davon abweichen, dass der physische Speicherortenkriterium für das Rechtsregime dem Daten unterworfen sind, wären. Das wird so ein Stück weit gestürzt durch einige theoretische Konzepte darüber, dass Daten nicht territorial betrachtet werden sollten. Zum Beispiel eine US-amerikanische Rechtswissenschaftlerin, Jennifer Duskell, ich habe auch noch eine Quellenangabe am Ende, nennt auch ein paar Argumente darum, warum sie das eigentlich auch für richtig hält, sozusagen nicht am Speicherort anzuknüpfen. Das liegt daran, dass Daten auf eine andere Art und Weise mobil sind als diese Wasserflaschen etwa, die sich auch bewegen können, denn sie bewegen sich mit Lichtgeschwindigkeit daran, dass Daten teilbar sind, an mehreren Orten zugleich vorliegen können, dass der Ort des Zugangs nicht zum Speicherort abhängig ist und dass auch sie unter der Kontrolle von dritten Stunden, das heißt, die Nutzenden würden den Speicherort nicht wählen. Es würden sich allerdings aus meiner Sicht und aus Sicht vieler andere, wenn sich diese Anschauung von der Nicht-Territorialität von Daten durchsetzte, einige ganz wesentliche Probleme ergeben. Es hat zunächst was zu tun, ich habe es schon erwähnt damit, dass der Grundstrechtsschutz in dem Staat, in dem die Daten gespeichert werden, nicht mehr gewährleistet wäre. Ja, und wie gesagt, ungeachtet aller Kritik am Konzept würde also die Souveränität in ihrer Funktion so ein Stück weit Rechtsstaatlichkeit und Grundrechte oder zumindest die Verantwortung dafür sicherzustellen, unterlaufen. Und ich würde auch sagen, dass es sich jetzt nicht direkt um die Internationalisierung von dem Vorgehen handelt, in dem Sinne, dass Staaten gemeinsame Standards finden würden, die vielleicht auch durch unabhängige oder gemeinsame Stellen eingehalten würden, sondern eigentlich um eine relativ starke Nationalisierung, weil immer nationale Bedürfnisse sind, die aufgestockt und verstärkt werden. Es ist so, man sollte das vielleicht nicht zu stark romantisieren, aber ich würde schon daran festhalten, dass das Interneträumenschaft in den politischen Oppositionen manchmal agieren kann und die es vielleicht sozusagen mit einer stärkeren Anbindung an den Staaten, in dem man sich befindet, nicht gebe. Also gerade die Möglichkeit, dass ich in einem Land sein kann und den Dienst nutze, dessen Regulierung in den Händen dieser anderen Schades liegt, die kann unter Umständen in einem gewissen Freiraum schaffen. Man kann das vielleicht irgendwie eine Art von kleinen Asyl nennen. Das heißt also, wenn diese Dienste, die woanders sitzen, keine Daten an Verfolge am eigenen Land herausgeben, sich nicht erzielen lassen, dann können sie so ein Stück weit Aktionsräume schaffen. Wenn wir zum Beispiel an Hongkong denken, wo ja die Anonymität der Aktivistinnen und Aktivisten eine ganz große Rolle spielt, dann ist da natürlich auch sehr wichtig, dass man, dass man sozusagen Dienste wie Reddit oder Telegram oder sicherlich auch viele andere verwenden kann, die nicht in Hongkong sitzen, auch nicht in China sitzen und auf die chinesische oder hongkong Behörden aus Hongkong keine keinen Zugriff haben. Viele sehr erfolgte Unternehmen, die in den USA oder auch woanders ansässig sind, geben an zum Beispiel Staaten wie die Türkei per See keine Daten heraus und das mit sehr gutem Grund, wie ich denke. Wenn man nun solche Dienste im Rahmen von Abkommen verpflichten würde, auch an autoritäre Staaten Daten herauszugeben und das ist zwar noch nicht so direkt geschehen wäre, aber eigentlich der nächste logische Schritt, wenn man sich das sozusagen auf einer weltweiten Ebene vorstellt, dann würden doch einige Türen zu diesen Aktionsräumen geschlossen. Das heißt natürlich nicht, dass so eine digitale Vernetzung nicht weiterhin möglich wäre, dass man nicht neue Wege finden würde und dass man nicht ohnehin, wenn man besser beraten ist, in solchen Situationen ein Tor Server und ein VPN zu benutzen. Aber natürlich nimmt es sozusagen oder erhöht ist so ein Stück weit, die Hürden sich an und in Bewegung zu können. Ja. Wenn man sich die Stellungnahme von Reportern ohne Grenzen und weiteren Presseverbänden im Microsoft Warrant Keys anschaut, dann sieht man, dass dort ganz massive Einschränkungen von Pressefreiheit befürchtet werden. Die tragen also vor, dass Newsrooms heutzutage verstärkt in der Cloud stattfinden und die Zusammenarbeit von weit voneinander entfernten arbeitenden Personen sich halt relativ einfach abwickeln lässt und so nicht mehr funktionieren würde. Konkret schreiben sie, expanding the US government's ability to reach electronic records, stored outside its borders, sets a dangerous international example that foreign governments hostile towards journalists may exploit. Also, Sie haben sozusagen damals in diesem Fall vor dem Supreme Court gesagt, wenn jetzt die USA als Diensten oder wenn jetzt die USA sozusagen sich selbst herausnehmen, Dienste zu verpflichten, Daten, die anderswo gespeichert sind, herauszugeben, dann würden andere Länder das auch so machen. Auch das Argument, dass die Speicherort für Nutzen so häufig gleichgültig sei und nicht von denen gewählt würde, ist so nicht ganz richtig, wenn auch sicherlich in einigen Fällen. Denn ich denke, es gibt sehr viele Fälle und das wird gerade für politisch aktive Leute relevant sein, in denen Nutzen sie sehr wohl ihren Speicherort bewusst wählen und sich Gedanken darüber machen, an wen Daten gegebenenfalls herausgegeben würden. Und so als ganz pragmatisches Argument hätte das auch die Folge dieser Entscheidung sozusagen zu übergehen, dass die, die vom Datenschutz als Standort Vortell eigentlich unmöglich gemacht wird. Dann hatten wir jetzt natürlich mit einer starken Privatisierung der Rechtshilfe zu tun. Also letztlich bleibt im Zweifelsfall der Provider übrig, als die Instanz, die irgendwie noch sagen könnte, wollen wir eigentlich nicht befolgen dieser Anordnung, weil wir sehen hier ein grundrechtliches Problem. Und ich denke, das können und sollen eigentlich diese Dienste nicht machen, sondern genau dazu sind ja staatliche Stellen oder sollten staatliche Stellen im System der internationalen Rechtshilfe da sein. Ganz spannend ist auch eine Stellungnahme von ehemaligen Geheimdienst- und Sicherheitsbehörden, Personal der USA, UK und Frankreich, ebenfalls im Microsoft-Warrent-Case. Die waren nämlich extrem davor, dass die extraterritoriale Anwendung von US-recht negativer Auswirkungen haben könnte. Sie sagen nämlich, dass durch Normkonflikte die ganze Effektivität der internationalen Zusammenarbeit in Strafsachen geschädigt wird. Gehen also davon aus, dass der Unilateralismus tendenziell zu Konflikten zwischen Staaten befüllen wird, der die Zusammenarbeit auch in diesen Fragen stören wird. Und auf der anderen Seite, dass es wahrscheinlich massiv zu Datenlokalisierungspflichten kommen wird, die wir jetzt schon in Russland haben, man also eine weitere Versplitterung von Internet kommt. Noch ein paar Literaturempfehlungen, ich sage mal so ein bisschen für den Einstieg für alle, die sich ein Stück weit tiefer für das Thema interessieren. Beuchert legt in der CIS einige der hier genannten Argumente noch mal ganz grundlegend, da Jennifer Dusker, wie gesagt, spricht sich so ein bisschen für eine De-Territorialisierung von Daten aus und Martin Böse hat ein sehr umfangreiches Gutachten über die Evidenzverordnung, die geplante geschrieben. Man begegnet auch strafrechtlich im Terror ganz häufig der Forderungen, dass eigentlich alles verfolgbar sein müssen ohne Einschränkungen und die Verhältnismäßigkeiten eigentlich ziemlich grundlegendes rechtsstaatliches Prinzip. Also sich mal zu überlegen, wenn ich jetzt diese gesetzliche Maßnahme implementiere, welche negativen Folgen hat das noch. Die wird in vielen politischen Diskursen über Strafrechtsverschärfungen eigentlich nicht so richtig gehört. Ich denke, es ist einigermaßen deutlich geworden, dass gerade auch außenpolitische Interessenlagen und Lehrläufe in der internationalen Zusammenarbeit in Strafsachen irgendwie die Aktionsräume für politische Opposition bilden können, also gerade Fälle, in denen Staaten nicht miteinander zusammenarbeiten, sei es die Situation, in denen Personen vielleicht sogar Asyl finden können oder in denen einfach Daten nicht herausgegeben werden. Ich denke, wenn sogar ehemalige Geheimdienstleute davor warnen Gesetzen extra-toritariale Wirkungen zukommen zu lassen, dann lässt sich eigentlich erkennen, dass selbst, wenn man jetzt eine Maximallstrafverfolgung höher worten würde, diese vermeintlichen Lösungen nicht so richtig zu Ende gedacht sind. Ob wir mit diesen Tendenzen jetzt am Ende zu einem Netz von internationalen Herausgabeverpflichtungen wirklich kommen werden oder ob man relativ schnell zu Situationen kommt in den Staaten merken, eigentlich passt uns das jetzt hier überhaupt nicht, dass jetzt dieses Landdaten von unserem Anbieter heraus verlangt und das System uns dann eher überm Kopf zusammenbrechen wird, das kann ich nicht so richtig vorhersehen. Wenn man tatsächlich Strafverfolgung so ein Stück weit effektiv und unter Berücksichtigung von Grundrecht Schutz verbessern will, dann müsste man wohl oder über die M-Lad-Verfahren verbessern. Man müsste in der EU die europäische Ermittlungsanordnung, die es seit 2014 gibt und deren Umsetzungsfrist erst 2017 abgelaufen ist, sozusagen und Stück weit erst mal evaluieren und dann schauen, wo man verbessern kann. Aber so auf die Schnelle sozusagen, soll ich für Befugnisse einzuführen, die ziemlich weitgehende Konsequenzen im internationalen Bereich haben können, halte ich eher für eine sehr problematische Herangehensweise. Genau, das war es erst mal von mir. Wenn ihr die Arbeiter, die es gut findet, wenn ihr wollt, dass wir weiterhin aufklären, auf eine Briefe schreiben und so weiter, dann freuen wir uns auf jeden Fall, wenn ihr spenden möchtet, für der Mitglied werdet oder euch auch sonst mal bei uns meldet, gerne mal beim Netzpolitischen Abend in Berlin vorbeischaut. Ja, danke. Ja, und jetzt haben wir noch ein wenig Zeit für Fragen, die ihr habt. Hier gibt es drei Mikrofone im Saal. Bitte stellt euch dahin, damit ich sehen kann, wer Fragen hat. Ansonsten frage ich wie immer einfach erst mal das Internet. Gibt es aus dem Internet Fragen? Nein, das ist ja ein First Time sozusagen. Dann nehmen wir hier mal bitte Mikro 2, deine Frage bitte kurz und knackig. Hallo und danke schön. Kannst du was zum Richtervorbehalt sagen? Aktuell und nach der Verordnung, wenn es sich so in Kraft tritt? Also von der E-Evidence Verordnung gibt es ja gerade drei Versionen. Eine von Kommission und Rat und die vom Parlament ist sozusagen als solche noch nicht fertig, in dem Entwurf den Birgit Zippel vorgelegt hat und der möglicherweise auch der natürlichen Maßstab bietet sozusagen, an die man jetzt anknüpfen kann für eine mögliche Parlaments-Version steht drin, dass es eine unabhängige Behörde sein muss. Das heißt, dass zumindest für Deutschland nach dem EUGH-Urteil zum internationalen, zum europäischen Haftbefehl, dass tatsächlich Richter auch das sein müssen, weil Staatsanwälte in Deutschland nicht unabhängig sind, sondern weitungsgebunden, sozusagen in der Situation, in der der Zielstadt dieser Anordnung kontrolliert. In den Versionen von Kommission und Rat gibt es einen Richtervorbehalt, allerdings nur sehr eingeschränkt und zwar für empfindlichere Datenkategorien. Das werden sozusagen Inhaltsdaten und ich meine für Transaktionsdaten, für Bestandsdaten, geht das allerdings nicht. Dankeschön. Am Mikro-Eins, bitte, die Frage. Mich würde interessieren, wenn es jetzt ein Konflikt gibt zwischen der EU-DSGVO und der E-Evidence-Verordnung, wie das ausgehen könnte und welche Institution diesen Konflikt dann bereinigen wird? Also den Konflikt, den es derzeit gibt, und ich weiß nicht, ob du den vielleicht meintest, der spielt sozusagen zwischen dem Cloud-Act und der DSGVO ab. Meinst du das? Das meinte ich und gesetzt der Fall, es kommt diese E-Evidence-Verordnung und jemand stellt fest, das ist ja gar nicht DSGVO-Kompatibel, was passiert jetzt? Okay, also erst mal zum Cloud-Act-Evidence-Situation. Faktisch ist es so, dass ich als Anbieter, wenn ich eine Herausgabeanordnung aus den USA bekomme, dort zunächst mal den größeren Handelungsdruck habe, mir ist ehrlich gesagt nicht bekannt, ob es schon Fälle gegeben hat, in denen Anbieter DSGVO-Witrichtaten an die USA herausgegeben haben. Ich gehe aber davon aus, dass das der Fall ist. Ich habe noch nicht gehört, dass darauf in europäische Behörden irgendwie aktiv geworden sein ein Bußgeld verhängt hätten oder so. Wenn man ein Bußgeld verhängen wollte, müsste man ein Stück weit sicherlich berücksichtigen, dass die Anbieter sich in so einer Normkonfliktsituation befinden und ich sage mal nicht so richtig böswillig gehandelt haben. Ich denke, da die europäischen Datenschutzbehörden mit relativ vielen problematischen Fragen beschäftigt sind, ist es so ein Stück weit zweitrangig eher. Wie die E-Evidence gegen die DSGVO verstößen könnte. So einen richtigen Normkonflikt kann ich jetzt so nicht sagen, weil sich der Konflikt, den ich mit dem Cloud-Act meine, dann ergibt, wenn man Daten aus der EU in ein anderes Land, also in den Drittstaat transkariert. Und diese Befugnis, die die E-Evidence zunächst mal nicht vor. Okay, dann war es das leider auch schon mit den Fragen. Es tut mir leid, ihr hier vorne wartet. Ihr könnt ja Elisabeth Niegrenz auch gleich nochmal ansprechen und ansonsten die digitale Gesellschaft ist ja hier auch auf dem Kongress präsent. In diesem Sinne noch einmal herzlichen Dank und einen warmen Applaus für Elisabeth Niegrenz.