Blindes Vertrauen gegenüber Polizeibehörden
Die Überwachung unseres digitalen Lebens boomt. Die globalen Proteste der vergangenen Monate gegen die Diskriminierung von Schwarzen und People of Color durch die Polizei haben dabei gezeigt, welche zentrale Rolle digitale Technologien für die Antwort der Polizeibehörden auf soziale Bewegungen spielen. Über die Vielzahl existierender Überwachungswerkzeuge wie Drohnen, Gesichtserkennung, Kameraüberwachung und Standorterfassung hinaus, spielen Internetunternehmen daher in den Augen der Behörden – auch europäischer Polizeien – eine wichtige Rolle als Informationsquelle.
Die Rolle von Facebook und Co. ist so groß, dass man in Polizeikreisen gar das Mantra zu hören bekommt, die Digitalkonzerne seien unverzichtbare Partner im Kampf gegen Kriminalität. Es verwundert daher nicht, dass europäische Strafverfolgungsbehörden – von der lokalen Polizei bis zur EU-Polizeibehörde Europol – erheblichen Druck auf ihre Regierungen ausüben, damit diese die Zugriffsregeln für unsere persönlichen Daten immer weiter lockern. Dabei ist der Polizei der Datenzugriff so wichtig, dass zuweilen grundlegende Schutzmechanismen des Rechtsstaates links liegen gelassen werden.
Daten in Zukunft an jede Polizeibehörde der EU
Der neueste Vorstoß in diese Richtung ist die sogenannte E-Evidence-Verordnung, mit vollem Namen: „Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen“. Diese Verordnung, die die EU-Kommission 2017 vorgeschlagen hat, zielt eben darauf ab, den Zugriff der Behörden auf private Daten von Bürger*innen zu vereinfachen. Dafür will die EU-Kommission die fundamentalen Leitplanken aufweichen, die normalerweise den missbräuchlichen Zugriff auf sensible Nutzer*innen-Daten verhindern sollen.
Mehr noch: Diese Aufweichung soll in Zukunft grenzüberschreitend stattfinden. Die E-Evidence-Verordnung sieht vor, dass Internetunternehmen persönliche Daten ihrer Nutzer*innen an jede Strafverfolgungsbehörde in der EU herausgeben müssen. Die Behörde des Landes, in dem das Unternehmen seinen Sitz hat, soll gar keine Möglichkeit mehr bekommen, die Legalität solcher Datenabfragen zu überprüfen. Die Legalitätsprüfung läge dann allein bei Unternehmen wie Facebook oder Google.
Die E-Evidence-Verordnung würde damit neue Möglichkeiten für aufdringliche Überwachung und andere Verletzungen der Bürgerrechte eröffnen. Denkbar wäre etwa die Identifizierung, Verfolgung und präventive Verhaftung von Koordinatoren von Protestkundgebungen auf Facebook oder von Personen, die friedliche Protestaktionen per E-Mail planen. Die Polizeibehörden versuchen zunehmend, die Identitäten von Menschen zu erfassen, die an sozialen Bewegungen teilnehmen – wenn möglich, noch bevor sie es tun. Aus dieser Perspektive ist es nur logisch, dass die Demonstranten in Hongkong es vermieden haben, U-Bahn- und Kreditkarten zu benutzen, die mit ihrer Identität in Verbindung stehen.
Regelung lädt zu Missbrauch ein
Man muss gar nicht die offenkundigen Menschenrechtsverletzungen amerikanischer Polizisten im Kontext der Black-Lives-Matter-Demonstrationen bemühen, um zu sehen, wo das Problem liegt. Es reicht, sich mit ungarischen Journalisten oder polnischen LGBQT-Aktivisten zu unterhalten, um zu verstehen, wie groß das Missbrauchspotenzial eines solchen EU-weit schrankenlosen Datenzugriffsrechts ist. In beiden Ländern untergräbt die jeweilige Regierung mit viel Verve den Rechtsstaat und die freie Presse, um missliebige Berichterstattung und Kontrolle durch höchste Gerichte zu verhindern.
Man denke zudem an die regelmäßigen Rechtsbrüche in deutschen Polizeibehörden: In Mecklenburg-Vorpommern hat ein Polizist die Telefonnummer eines minderjährigen Missbrauchsopfers abgegriffen, um ihm sexuelle Avancen zu machen. In Hamburg haben gleich mehrere Polizeibeamte unberechtigt die privaten Kontaktdaten der Journalistin Hengameh Yaghoobifarah abgefragt, die Drohbriefe erhalten hat. In Frankfurt war es die Anwältin Seda Başay-Yıldız, die rechtsradikale Drohungen per Post bekam – auch nach einem eigentlich geheimen Wohnsitzwechsel.
Ohne ordnungsgemäße Regulierung lädt eine umfassende Überwachung zum potenziellen Machtmissbrauch ein. Das hat das Bundesverfassungsgericht am 17. Juli festgestellt. Die bestehenden Gesetze, nach denen die Bundespolizei im Rahmen von Ermittlungen bei Telekommunikationsanbietern personenbezogene Daten (etwa Personenname, Telefonnummern, Haus- oder IP-Adressen und Geburtsdatum) einholen kann, gewährleisteten den Schutz der Privatsphäre und der personenbezogenen Daten nicht ausreichend. Dadurch habe die deutsche Polizei heute „übermässigen Zugang“ zur Mobil- und Internetkommunikation der Bürger*innen.
Aber auch in anderen europäische Ländern könnten solche Zugriffsrechte missbraucht werden: Frankreich etwa hat seit 2010 mehrmals die Macht der Polizei ausgeweitet, um die präventive Festnahme von Demonstranten zu ermöglichen und deren angebliche Intention – nicht die Tat selbst – zu bestrafen, Gewalt auszuüben oder Sachschaden anzurichten. Diese Gesetze wurden zur Unterdrückung von Klimaschutz-Aktivisten und der Gelbe-Westen-Bewegung eingesetzt.
Blindes Vertrauen gegenüber Behörden in 27 Staaten
Mit der E-Evidence-Verordnung setzt die EU-Kommission auf blindes Vertrauen gegenüber den Strafverfolgungsbehörden der 27 Mitgliedstaaten – heute und in der Zukunft. Sollte ein EU-Land noch weiter seinen Rechtsstaat aushöhlen, bietet die Verordnung keinerlei Schutz, selbst im EU-Ausland nicht. Egal, welche verfassungsrechtlichen Schutzmechanismen andere Länder haben mögen, E-Evidence würde diese Checks und Balances einfach aushebeln und die Verfolgung von Aktivisten, das Aufdecken von Whistleblowern und journalistisch geschützten Quellen oder den illegitimen Zugriff auf Gesundheitsdaten ermöglichen.
Diese Woche wird der Entwurf für die E-Evidence-Verordnung nach der Corona-bedingten Pause wieder im zuständigen Ausschuss des Europäischen Parlaments verhandelt. Der aktuelle Text der Berichterstatterin Birgit Sippel (SPD) hat sich im Gegensatz zum ursprünglichen Vorschlag der EU-Kommission zwar verbessert, ist aber bei weitem nicht stark genug, um die genannten Gefahren zu bannen. Daher hat eine breite Koalition aus Anwalts- und Wohlfahrtsverbänden, europäischen Internetunternehmen, Journalisten, Medienvertretern und Nichtregierungsorganisationen einen offenen Brief an die Abgeordneten gerichtet – mit der Aufforderung, in der E-Evidence-Verordnung rechtsstaatliche Mindeststandards zu schützen.
Netzpolitik.org, Chloé Barthélémy; 16.09.2020
http://creativecommons.org/licenses/by-nc-sa/4.0/
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO als DPO und BDSV.
Swiss Infosec AG; 02.10.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch