Bereits in meinem letzten Tätigkeitsbericht habe ich die
fehlende Einbeziehung von Justizbehörden zumindest des
Staates, in dem der angefragte Provider seinen Sitz hat,
als Hauptkritikpunkt bezeichnet (vgl. 27. TB Nr. 11.1.4). Es
sollte nicht allein den Providern überlassen bleiben, die
Rechtmäßigkeit einer Anordnung zu überprüfen, denn
Unternehmen haben grundsätzlich andere Interessen
und unterliegen anderen Verpflichtungen als Justizbehörden. Die Verantwortung der rechtlichen Prüfung und
damit auch der Schutz der Betroffenen sollte – mit anderen Worten – nicht (gänzlich) von staatlichen auf private
Akteure verlagert werden. Deshalb begrüße ich den Vorschlag der Berichterstatterin im Europäischen Parlament,
eine zwingende parallele Unterrichtung der Justizbehörden der beteiligten Mitgliedsstaaten einzuführen.
Die e-Evidence-Verordnung sollte weiterhin das Ziel haben, auch drittstaatliche Vorschriften zu achten, wenn
diese die Grundrechte in dem Drittstaat schützen und
der Herausgabe der ersuchten Daten durch den Provider
entgegenstehen könnten. Diese Forderung erheben die
europäischen Datenschutzbehörden auch gegenüber
drittstaatlichen Zugriffsregelungen auf Daten, die dem
Anwendungsbereich der DSGVO unterliegen. Insofern
sehe ich es kritisch, dass sich die Mitgliedstaaten dafür
ausgesprochen haben, eine notwendige Vorschrift über
die zwingende Konsultation einer zuständigen Stelle im
betroffenen Drittstaat zu streichen.
Ein weiterer problematischer Aspekt betrifft die nur
schwer mögliche Authentifizierung der ersuchenden
Behörde und Personen. Denn an die Provider könnte
sich eine Vielzahl von Behörden anderer Mitgliedstaaten wenden, die nach dem nationalen Recht eines
Mitgliedstaates als Ermittlungsbehörde in einem Strafverfahren dazu berechtigt sind.
Die e-Evidence-Verordnung befand sich bei Redaktionsschluss noch nicht im sog. Trilogverfahren zwischen
Europäischem Parlament, Europäischer Kommission
und Rat. Die aufgeworfenen Fragen dürften in den
nächsten Monaten allerdings in den hierfür anstehenden Verhandlungen entschieden werden.
6.1.3 Cybercrime-Konvention
Die datenschutzrechtlichen Fragen, die sich im Zusammenhang mit der sog. e-Evidence-Verordnung (vgl. oben
6.1.2) stellen, stehen auch im Zentrum der Verhandlungen eines zweiten Zusatzprotokolls zur sog. Cybercrime-Konvention.
Die Cybercrime-Konvention ist ein Vertragswerk zur
Bekämpfung von Straftaten, die über das Internet und
andere Computernetzwerke begangen werden, das im
Rahmen des Europarates verhandelt wird. Zugleich ist es
aber auch offen für Staaten, die nicht Teil des Europarates
48
Tätigkeitsbericht zum Datenschutz für 2019
sind. Gegenwärtig haben 64 Staaten die Konvention unterzeichnet, unter ihnen beispielsweise Australien, Israel,
Japan, Kanada, Senegal, Tonga, Türkei und die USA.
Die beiden aus datenschutzrechtlicher Sicht wesentlichen Vorschriften, die bei dem gegenwärtig verhandelten Zusatzprotokoll diskutiert werden, befassen sich mit
dem grenzüberschreitenden Zugriff von Sicherheitsbehörden sowohl auf Nutzer- als auch auf Verkehrsdaten.
Es handelt sich dabei zum einen um eine Vorschrift,
die die Voraussetzungen für eine direkte grenzüberschreitende Erhebung durch Strafverfolgungsbehörden
eines Signatarstaates bei Providern in einem anderen
Signatarstaat regelt. Das ist datenschutzrechtlich problematisch, weil in den 64 Unterzeichnerstaaten eine
Vielfalt von teilweise sehr unterschiedlichen Rechtssystemen und Datenschutzstandards existieren.
Eine weitere Vorschrift des Zusatzprotokolls soll zu einem
beschleunigten Verfahren im Rahmen der klassischen
Rechtshilfe zwischen Strafverfolgungsbehörden führen.
Hier könnten Lösungen für ein schnelleres Rechtshilfeverfahren und ein verbessertes Datenschutzniveau entwickelt werden. Aus meiner Sicht kommt es dabei u. a.
darauf an, die Datenkategorien, auf die zugriffen werden
darf, eng zu begrenzen. Die Ersuchen müssten zudem von
unabhängigen Behörden gestellt bzw. genehmigt werden.
Schließlich sollten die Justizbehörden in den Staaten beteiligt werden, in denen die Provider sitzen, deren Daten
abgefragt werden.
Eine abschließende Bewertung des Zusatzprotokolls ist
mir allerdings erst dann möglich, wenn die im Rahmen
der Cybercrime-Konvention verhandelten Datenschutzvorschriften veröffentlicht werden. Die Annahme der
Entwürfe für das Zusatzabkommen ist gegenwärtig für
Ende 2020 geplant.
Querverweis:
6.1.2 Die e-Evidence Verordnung
6.2 Pilotprojekt zur „intelligenten“
Videoüberwachung am Bahnhof
BerlinSüdkreuz
Nachdem das erste Teilprojekt zur Erprobung von
Gesichtserkennungssoftware abgeschlossen werden
konnte, befindet sich das zweite Teilprojekt gegenwärtig
in der Auswertungsphase. Sollte eine Rechtsgrundlage
für die biometrische Gesichtserkennung im Polizeibereich geschaffen werden, führt dies nicht nur zu
tiefgreifenden Grundrechtseingriffen, sondern bedeutet
auch eine gesellschaftspolitische Richtungsentscheidung.