HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Oktober 2024
25. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Erhebung und Sicherung von elektronischen Beweismitteln nach der e-Evidence-VO: ein neues Zeitalter der Zusammenarbeit in Strafsachen
Von Prof. Dr. Frank Meyer, Leon Schiermeyer, Tsilikis, Heidelberg[*]
A. Einleitung
Kommunikation und Dienstleistungen sind in der digitalen Ära atemberaubend einfacher und schneller geworden. Was für Menschen und Wirtschaft einen Quantensprung an Lebensqualität und Leistungsstärke darstellen mag, erweist sich für die Strafverfolgung als monumentale Herausforderung. Je schneller und ungebremster interagiert wird, desto dornenreicher gestaltet sich der grenzüberschreitende Zugriff auf elektronische Spuren; zumindest auf rechtsstaatlichem Weg. In der Praxis zeigte sich schnell, dass vorhandene Rechtsinstrumente den Bedürfnissen der Strafrechtspflege nach Beweissammlung elektronischer Daten kaum noch genügten. Klassische Aspekte
des transnationalen Strafrechts, wie Territorialitätsprinzip und Souveränitätsschutz, Gegenseitigkeit und Legalitätsprinzip, welche die Instrumente der Rechtshilfe prägen, erscheinen beim Zugriff auf elektronische Kommunikation in neuem Licht.[1] Die auf physische Beweise und menschliche Informationsquellen ausgelegten Instrumente erweisen sich angesichts grenzloser Datenflüsse und Technologien wie dem Cloudcomputing als hoffnungslos überfordert.
Zu den Besonderheiten elektronischer Beweise zählen ihre hohe Mobilität, wirksame Möglichkeiten zur Anonymisierung und Verschlüsselung sowie ein deutlich gesteigertes Manipulations- oder sogar Verlustrisiko.[2] Ein hohes Datenvolumen und die permanente Erfassung und Analyse von Daten führen daher keinesfalls zu einer automatischen Erleichterung der Strafverfolgung. Stattdessen führt bereits die schiere Menge an Kommunikationswegen und Daten leicht zu einer Überforderung für technisch limitierte, ressourcenschwache Ermittlungsbehörden. Mit dieser präzedenzlosen Realität sehen sich Ermittlungsbehörden weltweit seit Jahren konfrontiert. Das Bild trübt sich weiter ein, wenn man den starken Zuwachs bei Cyberkriminalität miteinbezieht. Hier bestehen regelmäßig schon Tatort, Tatmittel und Tathandlung aus elektronischen Daten. Anders als die Wissenschaft mussten die Ermittlungsbehörden unter schwierigen Bedingungen unverzüglich nach Wegen suchen, um mit den Möglichkeiten ihrer Rechtssysteme zumindest halbwegs handlungsfähig zu bleiben. Selbst grundsätzlich geeignete, breit angelegte Ermächtigungsgrundlagen (s. v.a. § 110 Abs. 3 StPO) erweisen sich als toter Buchstabe, wenn Daten auf ausländischen Clouds liegen oder überhaupt nicht lokalisierbar (loss of location) sind.[3] Die knifflige Aufgabe der Sammlung einer unübersehbaren Zahl von elektronischen Daten jeder Art und Form, die über die ganze Welt verteilt auf verschiedenen Servern gespeichert sein können, ist im Alltag kaum zu bewältigen. Selbst wenn der Speicherort bekannt wird, ist effektive Strafverfolgung nicht gesichert, da die Strafverfolgungsbehörden aus klassischen Souveränitätsvorbehalten an der unmittelbaren Ausführung von Beweissicherungsmaßnahmen gehindert sind.[4] Eine grenzenlose Strafverfolgung im Cyberspace lässt das geltende Völkerrecht nicht zu.[5] Eingriffe erfolgen stets an realen Orten, an denen sich die jeweils betroffene physische Infrastruktur des Internets befindet.
B. Reformbemühungen
Bemühungen auf internationaler Ebene, zu effektiveren Möglichkeiten grenzüberschreitender Verfolgung von Cyberkriminalität zu kommen, haben sich daher als äußerst schwierig erwiesen. Auch die Cybercrime-Konvention des Europarats verbesserte die Situationen mit einigen Sicherungsmaßnahmen zu Computerdaten in Eilfällen[6], ineffizienten und teilweise inhaltsleeren rechtshilferechtlichen Vorschriften bei einigen Datenkategorien (Art. 31 ff. Cybercrime-Konvention) nur geringfügig.
Es überrascht daher kaum, dass nationale Rechtsanwender zu einseitigen Lösungen neig(t)en. Insbesondere sollten nationalrechtliche Durchsuchungs- und Beschlagnahmeanordnungen – mehr oder weniger unausgesprochen – auch grenzüberschreitend den Zugriff auf extraterritorial gespeicherte Daten ermöglichen (vgl. § 110 Abs. 3 StPO)[7], wenn der Zugriff über ein Telekommunikationsgerät erfolgte, das sich auf eigenem Territorium befand. Dies ermöglicht dann etwa die Sammlung elektronischer Beweise, die auf im Ausland befindlichen Servern gespeichert waren. Die rechtliche Zulässigkeit dieses Verhaltens stand jedoch stets auf tönernen Füßen. Das Fehlen zwischenstaatlicher Übereinkommen zur elektronischen Beweissammlung wird hier letztlich durch die Unterstellung territorialer Präsenz kompensiert. Dies geschieht auch mithilfe neuer heimlicher digitaler Ermittlungsmaßnahmen. Dies zeigt etwa die extraterritoriale Ausnutzung von Staatstrojanern oder sonstiger Software für Online-Durchsuchungen oder für Quellen-TKÜs zum Zugriff auf unverschlüsselte Kommunikationen, wenn zumindest die Infiltration national gelang. Für die grenzüberschreitende TKÜ sieht allerdings die RL 2014/41/EU über die Europäische Ermittlungsanordnung (EEA) eine spezielle extraterritoriale Ermächtigung vor (Art. 31).[8] Andere Lösungsansätze beruhten darauf, Unternehmen bzw. Diensteanbieter, die auf dem nationalen Markt tätig waren, per Anordnung gestützt auf nationales Verfahrensrecht zu verpflichten, Daten in ihrer tatsächlichen Verfügungsgewalt, d.h. u.U.
auch im Ausland gespeicherte Beweise, an nationale Behörden herauszugeben.[9]
Solche Fiktionen von Territorialität haben sich nicht als Erfolgsgeschichte entpuppt. Unilaterale Lösungsansätze bieten kaum Rechtssicherheit und dürften in der Mehrzahl der Fälle schon aus tatsächlichen Gründen nicht infrage kommen. Die Beeinträchtigung fremder Souveränitätsrechte und die Umgehung der territorialen staatlichen Schutzverantwortung für Bürger- und Menschenrechte durch eine de-facto-Ausübung extraterritorialer Strafverfolgungsbefugnisse mithilfe von Herausgabeanordnungen im Inland lassen zudem Zweifel an der Verwertbarkeit der Daten aufkommen.[10] Aufwendige Ermittlungen drohen dadurch wertlos zu werden.
Der rechtshilferechtliche Weg schien demgegenüber zwar die rechtssichere und erprobte Lösung zu sein, damit Souveränitätsrechte, Gegenseitigkeit und Privatsphärenschutz bei der Kriminalitätsbekämpfung nicht unterminiert werden. So sehen die Rechtshilfeinstrumente zumindest Sicherungsmaßnahmen vor, um Verlust oder Manipulation zu verhindern. Das zwischenstaatliche Modell erwies sich aber als wenig effizient.[11] Gleiches gilt auch für die Möglichkeit des Zugriffs auf gespeicherte Computerdaten im anderen Vertragsstaat nach vorheriger Zustimmung der befugten Person, die Daten weiterzugeben (Art. 32 lit. b Cybercrime-Konvention). Selbst völkerrechtlich vorgesehene Sicherungsmaßnahmen verfehlen ihren Zweck, wenn die benötigten Daten nicht mehr vorhanden sind. Als zusätzliche große Belastung erweist sich für die Strafverfolgungsbehörden insoweit, dass die Flüchtigkeit der Daten nicht vorübergehend durch Vorratsdatenspeicherung gebremst werden kann.[12]
Die zwischenzeitliche umfassende Novellierung des Beweisrechtshilferechts mit EEA (RL 2014/41/EU) hat die Besonderheiten elektronischer Beweismittel und praktischer Ermittlungsbedürfnisse erstaunlicherweise kaum berücksichtigt. In Anbetracht des hohen Verlust- und Manipulationsrisikos bei elektronischen Beweismitteln ist selbst die beschleunigte EEA oft zu langsam. Die zwischenstaatliche justizielle Zusammenarbeit mithilfe der EEA bleibt hinsichtlich der Besonderheiten elektronischer Daten jedoch nicht nur bedeutend zu langsam, sondern ist oftmals rein faktisch mangels klarer territorialer Zuordnung und Fixierung gespeicherter Daten nicht umsetzbar. Wie bei den übrigen Beweisrechtshilfeinstrumenten wird auch für die Übergabe elektronischer Daten die Ausübung von Verfolgungsbefugnissen von strafrechtlichen Ermittlungsorganen eines Vollstreckungsstaats am Datenspeicherort vorausgesetzt. Dies ist Ausfluss eines Konzepts territorial gebundener Verfolgungsbefugnisse, welches bei hochgradig mobilen Daten indessen kaum umsetzbar ist.[13] Ist der Speicherort nicht bekannt, wissen die Verfolgungsbehörden nicht, an welchen Adressaten sie sich mit einer EEA für die Sicherung bzw. Herausgabe der elektronischen Beweise zu wenden haben. Für Clouddaten ist die Hinwendung auf territorialitätsbezogene Befugnisse ohnehin kein erfolgsversprechender Ausgangspunkt, da der Speicherort – wie bereits eingangs erwähnt – oftmals nicht lokalisierbar ist, selbst wenn die elektronischen Daten nicht verschoben werden. Einen echten Fortschritt brachte allein die bereits erwähnte grenzüberschreitende TKÜ ohne Mitwirkung des Territorialstaats, die lediglich dessen Unterrichtung von der Maßnahme erfordert. Gleichwohl besteht in diesem Fall das Risiko, die Maßnahme auf Geheiß dieses Staats abbrechen zu müssen, da die Unterrichtung grundsätzlich zu wahrenden Souveränitätsrechten wie auch dem Privatsphärenschutz der von den Überwachungsmaßnahmen (Art. 7 GRCh) betroffenen Personen dient.[14]
Zielführender erschien von vornherein die Zusammenarbeit mit den Diensteanbietern, bei denen die Daten angefallen waren (in diese Richtung nun auch Art. 6 2. ZP Cybercrime-Konvention: Registrierungsinformationen zu Domänennamen). Diese Interaktion mit dem privaten Sektor wurde jedoch durch sehr fragmentarische und
divergente nationale Rechtsrahmen sowie datenschutzrechtliche Restriktionen (oder Souveränitätsvorbehalte) erschwert, wenn der Diensteanbieter seinen Sitz in einem anderen Mitgliedstaat hatte. Rechtsgrundlagen für solche direkten grenzüberschreitenden Ersuchen waren größtenteils gar nicht vorhanden, sodass zumindest partiell informelle Formen der Zusammenarbeit erwuchsen. Befanden sich Daten gar nicht mehr in EU-Staaten, stellte sich die Frage nach der Zulässigkeit eines Ersuchens umso mehr. Damit erschien die Option einer unmittelbaren grenzüberschreitenden Anordnung der Kooperation an die Diensteanbieter unter Abkehr vom Datenspeicherort als Game-Changer und als nahezu einziger wirklich effektiver Weg.
In der rechtspolitischen Umsetzung hat sich dieser Regelungsansatz nur mühsam realisieren lassen. Die direkte grenzüberschreitende Verpflichtung von Diensteanbietern zur Herausgabe und Sicherung von elektronischen Daten durch Behörden eines anderen Mitgliedstaats (Anordnungsstaat) für Beweiszwecke im Strafverfahren ist ein absolutes Novum ohne Vorbilder im internationalen Rechtshilferecht.[15] Es war damit klar, dass eine ganze Reihe sensibler Fragen sowohl zum Schutz von Souveränität und Individualinteressen, aber auch ausländischen rechtlichen Interessen beantwortet werden mussten. Zu berücksichtigen waren drohende Rechtskollisionen mit Immunitäten oder Vorrechten sowie die Verantwortung für den Grundrechtsschutz, da auch dieser bisher über territorial lozierte Schutzverantwortungen gesichert war, während der Abrufort keinerlei Beziehung zu Rechtsgut und Tatort der Tat, Staatsangehörigkeit oder Aufenthaltsort von Täter und Opfer sowie dem Ort und Art und Weise der Kommunikation aufweisen muss.
C. Europäische Herausgabeanordnung und Sicherungsanordnung
Auf der Suche nach einer ausgewogenen und effizienten Lösung hat die EU nach kontroversen und langwierigen Verhandlungen zwischen den Unionsorganen mit der Verordnung (EU) 2023/1543 über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (e-Evidence-VO)[16] ein neues grenzüberschreitendes Zugriffssystem eingeführt. Dieses gilt ab dem 18.8.2026 und soll sicherstellen, dass nationale Justizbehörden der Mitgliedstaaten zügig und zentral an einem vorab einheitlich festgelegten Abrufort auf gespeicherte elektronische Beweise zugreifen können.[17] Begünstigt wird dieser Systemwechsel durch einige Besonderheiten von e-Evidence. Der konzentrierte Zugriff auf Beweismittel über Private wird durch deren zentrale Stellung im Kommunikationsverkehr und bei elektronischen Dienstleistungen ermöglicht. Bei den von ihnen angebotenen Diensten fallen Daten technisch direkt und gesamthaft bei ihnen an und werden für die Diensteanbieter damit unmittelbar sicher- und transferierbar, ohne dass es vorheriger oder zusätzlicher Zwangsmittel oder anderer Maßnahmen ihnen gegenüber bedarf.
I. Die Rolle der Diensteanbieter
Die zentrale Innovation der VO liegt darin, dass eine Justizbehörde im Anordnungsstaat (soweit eine ähnliche Anordnung in einem vergleichbaren innerstaatlichen Fall unter denselben Voraussetzungen zulässig wäre)[18] eine verbindliche Anordnung erlassen kann, mit der Diensteanbieter (s.a. Art. 3 Nr. 3–5 VO) in der EU unmittelbar zur Herausgabe und Sicherung elektronischer Beweismittel verpflichtet werden.
Diensteanbieter (Serviceproviders) sind damit die Schlüsselfiguren im Rahmen des neuen Mechanismus zur Erlangung von elektronischen Beweisen; v.a. die Anbieter elektronischer Kommunikationsdienste und bestimmte Anbieter von Diensten der Informationsgesellschaft (Art. 3 Nr. 3). Maßgeblich für die Anwendbarkeit der VO sind dabei weder der Sitz der Unternehmen noch der Datenspeicherort, sondern ob sie ihre Dienste in der EU anbieten (sog. Marktortprinzip, Artt. 2 Abs. 1 und 3 Nr. 4; s.a. ErwG. 29). Dafür ist u.a. das Vorliegen einer wesentlichen Verbindung zur Union relevant, die sich in Niederlassungen, Nutzerzahl, sprachlicher, räumlicher und wirtschaftlicher Ausrichtung des Angebots (s. dazu als Indikator auch Kriterien der VO (EU) Nr. 1215/2012 (Brüssel Ia) über Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen) oder Kundenservice usw. ausdrücken kann (ErwG. 30).
Diese Diensteanbieter sind direkte Adressaten und Verpflichtete Europäischer Herausgabe- und Sicherungsanordnungen. Zur Durchführung der VO ist jeder Anbieter verpflichtet, eine Niederlassung oder einen Vertreter im Unionsgebiet zu benennen (Art. 7 Abs. 1), an die Anordnungen zentral gerichtet werden können. Die Einzelheiten der Benennung von Niederlassungen und die Bestellung von Vertretern sind in einer separaten Richtlinie vorgesehen.[19] Zwischen benannter Anlaufstelle und Speicherort muss keinerlei Zusammenhang bestehen. Dies ermöglicht den Diensteanbietern, Abfragen in der von ihnen favorisierten Jurisdiktion zu konzentrieren, und führt ggf. dazu, dass sich Anordnungen insgesamt in einem Mitgliedstaat
ballen, obgleich dieser keinen inhaltlichen Bezug zu der betroffenen Kommunikation aufweist. Nach der e-Evidence-VO wird der Staat, "in dem die benannte Niederlassung niedergelassen ist oder der Vertreter des Dienstanbieters ansässig ist" (Art. 3 Nr. 16), zur Vollstreckung der EPOC und EPOC-PR berufen. Die Identität des Vollstreckungsstaats für die jeweiligen Diensteanbieter hängt damit von der Entscheidung des Diensteanbieters selbst ab. Dieser kann sich seinen Vollstreckungsstaat mithin innerhalb der Ermessensgrenzen der VO aussuchen.
Ohnehin büßt der Vollstreckungsstaat bei elektronischen Beweismitteln seine zentrale Stellung ein. Im neuen System wird er nur noch in zwei Situationen aktiv. Im Herausgabeverfahren ist der Vollstreckungsstaat bei besonders sensiblen Daten zu unterrichten. Er prüft dann, ob ggf. Ablehnungsgründe vorzubringen sind (s.u. Teil C.III.3.d). Ferner wird der Vollstreckungsstaat nachträglich gebraucht, wenn der Anordnungsadressat seinen Pflichten nicht (fristgerecht) nachkommt. Diese Pflichten können dann durch die Vollstreckungsbehörde im sog. Vollstreckungsverfahren (Art. 16) durchgesetzt werden.
In der Abkehr vom traditionellen Konzept des Datenspeicherorts zur Bestimmung des ersuchten bzw. Vollstreckungsstaats spiegelt sich die Entterritorialisierung des rechtshilferechtlichen Umgangs mit Daten wider. Konzeptuell sprechen gute Gründe für eine Transformation des Rechtsrahmens für hochmobile, physisch nicht radizierte elektronische Beweise. Damit ist jedoch noch nicht überzeugend erklärt, warum die Neuverteilung von Schutz- und Durchsetzungspflichten insb. auch an rein pragmatischen und ökonomischen Gründen ohne jeglichen Territorialitätsbezug zulässig sein soll.
II. Anwendungsbereich
Der sachliche Anwendungsbereich der Verordnung ist auf strafrechtliche Ermittlungen beschränkt. Er lässt sich nicht auf Verwaltungsermittlungen erstrecken; auch wenn diese punitiver Natur i.S.d. Engel-Rspr. sind.[20]
Als Gegenstand einer Herausgabe- oder Sicherungsanordnung sind gem. Art. 3 Nr. 8 VO (EU) 2023/1543 elektronische Beweismittel benannt, namentlich Teilnehmerdaten, Verkehrsdaten, Inhaltsdaten.[21] Diese Datentypen sind bereits aus dem Budapester Übereinkommen[22] bekannt und sollen auch im Einklang mit dem Recht vieler Mitgliedstaaten und dem Unionsrecht, wie der Richtlinie 2002/58/EG und der Rechtsprechung des EuGH, stehen.[23] Die Zuordnung von Daten zu diesen Typen ist rechtlich von erheblicher Relevanz, weil sich materielle Voraussetzungen und Verfahrensanforderungen wie z.B. die Anordnungszuständigkeit nach Sensibilität der Daten unterscheiden.
Eine Anordnung erfasst nur bereits gespeicherte Daten. Ein Ersuchen, künftig anfallende Daten zu sichern und herauszugeben, lässt sich nicht auf diese Rechtsgrundlage stützen (hierfür wäre eine EEA zu erwägen). Die VO begründet auch keine Pflicht zur Vorratsdatenspeicherung. Um Beweisverlusten durch Entfernung, Löschung oder Änderung von Daten vorzubeugen, ist ein quick freeze per Sicherungsanordnung möglich (Art. 6). Die Herausgabe kann im Anschluss mit einer Herausgabeanordnung gem. Art. 5 oder klassisch mit einer EEA erreicht werden.
III. Voraussetzungen
VO (EU) 2023/1543 regelt in Art. 6 die Voraussetzungen für die Herausgabeanordnung und in Art. 5 für Sicherungsanordnungen. Sie divergieren nach Datenkategorien.
1. Datenkategorien
Teilnehmer- und Identifizierungsdaten (d.h. Verkehrsdaten, die wie IP-Adressen ohne größere Eingriffstiefe zur Ermittlung der Teilnehmer benötigt werden), sind zur Verfolgung aller strafbaren Handlungen und zur Vollstreckung einer Freiheitsstrafe von mindestens vier Monaten zulässig.[24] Teilnehmerdaten (subscriber data) sind alle Daten, die bei einem Diensteanbieter über die Teilnahme an seinen Diensten vorliegen, die die Identität des Nutzers sowie die Art der Dienstleistung und ihre Dauer sowie Daten im Zusammenhang mit der Validierung der Nutzung des Dienstes betreffen. Dazu zählen beispielsweise Name, Geburtsdatum und Postanschrift als identitätsbezogene Daten. Passwörter und Äquivalente sind ausgenommen.
Verkehrsdaten (traffic data) sind Daten, die sich auf die Erbringung einer von einem Diensteanbieter angebotenen Dienstleistung beziehen, dazu dienen, Kontext- oder Zusatzinformationen über eine solche Dienstleistung zu liefern, und von einem Informationssystem des Diensteanbieters generiert oder verarbeitet werden. Dazu zählen beispielsweise Ursprung und Ziel einer Nachricht oder der Standort des Geräts und andere sogenannte Metadaten (Datum, Uhrzeit, Protokoll). Inhaltsdaten (content data) werden negativ als alle Daten in einem digitalen Format definiert, die nicht Teilnehmer- oder Verkehrsdaten sind. Dazu gehören Textnachrichten, Bilder, Video- und Audioaufzeichnungen.
Eine gesonderte Behandlung erfahren innerhalb der Verkehrsdaten und Inhaltsdaten solche Daten, die ausschließlich dem Zweck der Identifizierung des Nutzers dienen. Damit wird implizit eine vierte Datenkategorie geschaffen, die im Gegensatz zu den anderen über ein subjektives Verwendungselement bestimmt wird. Es können neben IP-
Adressen auch Quellports[25] und Zeitstempel oder die technischen Äquivalente dieser Kennungen und die damit zusammenhängenden Informationen angefordert werden. Der Wortlaut des Art. 3 Nr. 10 und ErwG. 34 scheint diese Datenkategorie auf diese bestimmten Informationen zu beschränken. Das würde bedeuten, dass anderweitige Daten, wie Textnachrichten, die zu den Inhaltsdaten zählen, nicht angefordert werden können, auch wenn Sie ausschließlich zur Identifikation eines Verdächtigen dienen sollen.
Der EU-Gesetzgeber zielt damit vor allem auf die erleichterte Anforderung von IP-Adressen ab, die in einigen Mitgliedstaaten als Teilnehmerdaten gelten.[26] Denn IP-Adressen lassen sich über die bloße Identifikation des Nutzers hinaus auch zur Erlangung weitergehender Erkenntnisse nutzen. Dies ist aufgrund der Zweckbindung unter den erleichterten Herausgabebedingungen jedoch nicht zulässig. Die Erleichterung der Erlangung von IP-Adressen ist im Zusammenhang mit der jüngeren Rspr. des EuGH zur Vorratsdatenspeicherung zu sehen, die für IP-Adressen ausdrücklich zulässt, mit dem Ziel der Bekämpfung von Straftaten im Allgemeinen eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung dieses Datentyps einzuführen.[27] Das Potenzial von IP-Adressen zur Aufklärung von Straftaten könnte damit in Zukunft deutlich besser ausgeschöpft werden.
2. Verfahren
a) Zulässigkeit der Anordnung
Eine Sicherungsanordnung kann zur Erlangung aller Datenkategorien durch Richter, Gerichte, Ermittlungsrichter und Staatsanwälte erlassen werden. Andere verfahrensführende Behörden sind dazu auf die Validierung ihrer Anordnung durch eine der vorgenannten Stellen angewiesen (Art. 4 Abs. 3).
Europäische Herausgabeanordnungen werden für Teilnehmerdaten durch Richter, Gerichte, Ermittlungsrichter und Staatsanwälte erlassen. Wird die strafrechtliche Untersuchung durch eine andere Behörde geführt, muss deren Anordnung durch eine der vorgenannten justiziellen Stellen validiert werden (Art. 4 Abs. 1 lit. b). Für Daten zu Identifizierungszwecken gelten dieselben Zuständigkeiten wie bei Teilnehmerdaten (Art. 4 Abs. 1).
Bei generell sensibleren Verkehrsdaten und Inhaltsdaten sind Staatsanwaltschaften nicht mehr befugt, sondern nur noch Richter, Gerichte, Ermittlungsrichter (Richtervorbehalt). [28] Als sonstige Ermittlungsbehörde ist die Staatsanwaltschaft in diesem Fall auf eine Validierung durch die vorgenannten Institutionen angewiesen (Art. 4 Abs. 2 lit. b).
Zum Schutz sensiblerer Daten (Verkehrs- und Inhaltsdaten) ist für die Zulässigkeit ein besonderes Schwere-Erfordernis vorgesehen; konkret Mindesthöchstmaß drei Jahre und (Verdacht auf) Katalogtaten; insb. Cybercrimes und Terrorismus resp. Verbüßungszeit von mindestens vier Monaten bei Vollstreckung von Freiheitsstrafe wegen solcher Delikte)[29].
In jedem Fall muss die Anordnung notwendig und verhältnismäßig (für Zwecke der Strafverfolgung oder Vollstreckung) sein (Art. 5 Abs. 2; Art. 6 Abs. 2). Zum Schutz von Berufsgeheimnisträgern finden sich noch einige Sonderregelungen (Art. 5 Abs. 9).
b) Übermittlung der Anordnung und inhaltliche Anforderungen
Übermittelt werden Anordnungen dem Diensteanbieter (Adressat) von der Anordnungsbehörde in Form einer Bescheinigung (certificate) unmittelbar an eine benannte Niederlassung oder einen Vertreter des betroffenen Diensteanbieters in der EU. Die Übermittlung der Anordnung erfolgt (dezentral) mit einem besonderen Bescheinigungsformular aus dem VO-Anhang I u. II (Art. 9: Bescheinigung über eine Europäische Herausgabeanordnung/EPOC[30] und Bescheinigung über eine Europäische Sicherungsanordnung/EPOC-PR). Diese Anordnungen richten sich direkt verpflichtend an eine "benannte Niederlassung"[31] oder einen Vertreter des Anbieters der Dienste, bei dem die elektronischen Informationen angefallen sind (Art. 7 Abs. 1).
Unter Umständen muss diese Bescheinigung in eine der Amtssprachen des betroffenen Niederlassungsmitgliedstaats oder in eine andere Amtssprache, der ein Diensteanbieter zugestimmt hat, übersetzt werden. Die Bescheinigungen müssen die anordnende und ggf. die validierende Behörde genau bezeichnen. Sie müssen genaue, differenzierte Angaben zur Art der elektronischen Beweismittel enthalten. Das schließt Informationen ein, die zur Identifizierung erforderlich sind. Hinsichtlich der zugrundeliegenden Tat sind deren Art sowie anwendbare Rechtsnormen zu benennen und eine rechtliche Würdigung ist vorzunehmen.
Gründe für die Notwendigkeit und Verhältnismäßigkeit der Maßnahme und weitere Einzelheiten zum Fall erhält der Diensteanbieter nicht, um eine Gefährdung der Ermittlungen zu vermeiden. Sie sind aber der Vollstreckungsbehörde mitzuteilen, wenn eine Unterrichtung
erforderlich ist (s.u. Teil C.III.2.b.c.). Da diese rechtlichen Gesichtspunkte integraler Bestandteil der Begründung für die eigentliche Anordnung sind, können sie von der betroffenen verdächtigen Person zudem später während des Strafverfahrens eingesehen und angefochten werden. Für Drittbetroffene funktioniert dieser Weg, Rechtsschutz in einem späteren Strafverfahren zu erlangen, aber nicht.[32]
Der Diensteanbieter ist nach Eingang der Bescheinigung zur Sicherung (unverzüglich für 60 Tage mit Verlängerungsmöglichkeit um 30 Tage) resp. Übermittlung (Frist: 10 Tage; Notfälle: 8 Stunden) verpflichtet, wenn die in der VO festgelegten Voraussetzungen erfüllt sind und die Anordnungen die geforderten Angaben enthalten (Art. 10 ff.). Sind die Voraussetzungen der e-Evidence-VO erfüllt, ist die Anordnung auszuführen.[33] Bei formellen Mängeln, Lücken, materiellen Zweifeln (insb. bzgl. Immunitäten und Vorrechten, Presse- und Meinungsfreiheit) oder faktischer (unverschuldeter) Unmöglichkeit (die der vorgängigen Prüfung durch den Diensteanbieter unterliegen) legt Art. 10 Abs. 6, 7 Konsultationsmechanismen fest. Zu deren Auslösung und Erleichterung sieht die VO besondere Formulare vor. Praktisch bedeutsam könnte hier die Frage der Übergabe verschlüsselter Kommunikation werden.[34] Die e-Evidence-VO begründet keine Quellen-TKÜ durch die Hintertür. Zwar sind auch verschlüsselte Daten herauszugeben. In der Verschlüsselung liegt keine Unmöglichkeit. Eine Pflicht zur Entschlüsselung lässt sich in die VO jedoch nicht hineinlesen[35] und darf daher auch nicht durch Sanktionsdruck erzwungen werden. Zulässige Hinderungsgründe können dagegen in materiellen Mängeln liegen. Treten Zweifel hinsichtlich der Beachtung von Immunitäten, Vorrechten, Presse- oder Meinungsfreiheit auf, dürfte der Adressat den Konsultationsmechanismus zwischen Anordnungs- und Vollstreckungsstaat aktivieren (Art. 10 Abs. 5). Diese Liste ist allerdings limitiert. Diverse typische Ablehnungsgründe sind dem Vollstreckungsstaat vorbehalten. Und selbst hinsichtlich des reduzierten Katalogs könnte es Diensteanbietern regelmäßig an Informationen oder Aufklärungsmöglichkeiten zur Prüfung fehlen.
Als Druckmittel verpflichtet VO (EU) 2023/1543 die Mitgliedstaaten in Art. 15, im nationalen Recht wirksame, abschreckende und verhältnismäßige Sanktionen für den Fall vorzusehen, dass die Anbieter ihren Pflichten nicht nachkommen oder nicht für die technisch geforderte Infrastruktur (Art. 13 Abs. 4) gesorgt haben.[36] Mit bis zu 2 % des weltweit erzielten Jahresgesamtumsatzes des Diensteanbieters können sie sehr empfindliche Höhen erreichen. Es bleibt abzuwarten, wie sich der Druck der Sanktionsandrohung auf Fähigkeit und Bereitschaft der Diensteanbieter zur kritischen Prüfung von Anordnungen auswirkt.[37]
c) Unterrichtung des Vollstreckungsstaats
aa) Zweck der Unterrichtungspflicht
Adressat einer Herausgabe- oder Sicherungsanordnung ist nach der VO die benannte Niederlassung oder der Vertreter des betroffenen Diensteanbieters in der EU, sodass die Behörden des Vollstreckungsstaats bis zur gegebenenfalls notwendigen Vollstreckung nicht in Ermittlungshandlungen des verfahrensführenden Staats involviert werden. Zur Durchführung einer Herausgabe- oder Sicherungsanordnung kommt es nach dem Konzept der VO nicht mehr auf die Mitwirkung des Vollstreckungsstaats an. Kooperiert der Diensteanbieter, bestünde die Gefahr, dass der Vollstreckungsstaat überhaupt nichts von der Maßnahme erfährt. Dies widerspricht der Grundidee direkter Zugriffe auf e-Evidence, die direkt und unabhängig von den Zufälligkeiten des Speicherorts erfolgen sollen, nicht. Vor allem das Europäische Parlament konnte sich jedoch nicht mit einer solchen Regelung anfreunden, weil der Schutz von Grundrechten, Immunitäten und Vorrechten dann exklusiv bei Anordnungsstaat und Diensteanbieter gelegen hätte. Die Schutzverantwortung des Territorialstaats bei grundrechtsgefährdendem Verhalten und ggf. eigene Souveränitätsinteressen würden dadurch ausgehebelt. Aus diesem Grund sieht die Verordnung in bestimmten Fällen eine Unterrichtung des Vollstreckungsstaats vor (Art. 8).[38]
Gleichwohl bleibt die Bestimmung des Vollstreckungsstaats ein neuralgischer Punkt der Unterrichtungspflicht. Infolge der Autonomie der Diensteanbieter bei der Bestimmung der Anlaufstelle für Ersuchen ist es nicht zwingend, dass zwischen Vollstreckungsstaat und den Daten resp. dem Betroffenen eine räumliche oder materielle Verbindung besteht. Wie hoch das Interesse der Behörden des Vollstreckungsstaats an einer gewissenhaften Prüfung einer Herausgabeanordnung ist, die Drittstaatsangehörige oder Vorrechte und Immunitäten nach drittstaatlichem Recht betrifft, ist rein spekulativ.[39] Ein alternativer Vorschlag der Berichterstatterin Sippel sah daher aber eine doppelte Unterrichtung vor. Dabei wären sowohl der
Vollstreckungsstaat als auch der sogenannte "affected state", d.h. der Staat des gewöhnlichen Aufenthalts, über die Anordnung in Kenntnis zu setzen gewesen. Letzterer hätte dadurch seine personale Schutzverantwortung und eigenes Interesse an der Integrität seiner Rechtsordnung wahrnehmen können. Durchgesetzt hat sich dieses Modell nicht. Eine Unterrichtung anderer Staaten, deren Recht betroffen sein könnte, weil die Daten aus ihrem Hoheitsbereich stammen oder Immunitäten, Privilegien oder Geheimhaltungsrechte aus ihrer Rechtsordnung berührt sind, sieht die VO nicht vor. Eine Kontrollbefugnis jenseits des Vollstreckungsstaats gewährt die Verordnung nur den Diensteanbietern, beschränkt auf Immunitäten, Vorrechte oder Vorschriften zur Bestimmung und Beschränkung der strafrechtlichen Verantwortlichkeit in Bezug auf die Freiheit der Presse und das Recht auf Meinungsäußerung (Art. 11 Abs. 4). Inwieweit den Diensteanbietern als privaten Akteuren (zumindest) im Fall der Nichtunterrichtung ein (subsidiäres) Prüfungsrecht für Menschenrechtsverletzungen zukommt, dürfte nach Inkrafttreten der Verordnung im Vorabentscheidungsverfahren zu klären sein.[40] Eingedenk ihrer teils selbstauferlegten, international (schon vor Verabschiedung der e-Evidence-VO) praktizierten Standards läge es nicht fern, wenn die größten Diensteanbieter eine solche Kontrollbefugnis für sich in Anspruch nehmen würden.
bb) Pflicht und Vornahme der Unterrichtung
Als vorentscheidend, ob eine Unterrichtung der Behörden des Vollstreckungsstaats erforderlich ist, erweist sich die Klassifizierung der angeforderten Daten (s.o. bereits Teil C.III.1). Gemäß Art. 8 ist die Vollstreckungsbehörde über den Erlass einer Europäischen Herausgabeanordnung zur Erlangung von Verkehrs- oder Inhaltsdaten zu informieren. Die Vollstreckungsbehörde wird direkt von der Anordnungsbehörde unterrichtet. Dieser Schritt soll die Vollstreckungsbehörde in die Lage versetzen, die Anordnung prüfen und gegebenenfalls Ablehnungsgründe geltend machen zu können. Sie verkörpert ein Vehikel zur doppelten Kontrolle der grundrechtsintensiven Abfrage der genannten Datentypen. Zur Erhebung von Ablehnungsgründen hat die Vollstreckungsbehörde grundsätzlich zehn Tage Zeit; in "Notfällen" sind Ablehnungsgründe innerhalb von 96 Stunden geltend zu machen. Keine Unterrichtung wird dagegen von vornherein bei Sicherungsanordnungen gefordert.
Soweit Teilnehmerdaten oder Daten, die ausschließlich der Identifikation des Nutzers dienen, herausverlangt werden sowie generell bei Erlass einer Sicherungsanordnung, ist eine Unterrichtung nicht erforderlich. Dadurch wird augenfällig, dass die Verordnung diesen Datentypen eine geringere Grundrechtsrelevanz beimisst bzw. den Schutz der Grundrechte hinter die Effektivität des Instruments zurücktreten lässt. In den Erwägungsgründen der RL 2002/58/EG hieß es zu Teilnehmerdaten noch, dass diese das Recht der natürlichen Person auf Achtung Ihres Privatlebens beträfen und nur für einen begrenzten Zeitraum gespeichert sowie ohne Zustimmung des betroffenen Teilnehmers nicht anderweitig verarbeitet werden dürften. Die neue Verordnung setzt hier ein gegenläufiges Signal.
Die Unterrichtung der Vollstreckungsbehörde ist ebenfalls nicht erforderlich, wenn die Anordnungsbehörde zum Zeitpunkt des Erlasses der Anordnung hinreichende Gründe (reasonable grounds) zu der Annahme hat, dass die Straftat im Anordnungsstaat begangen wurde, begangen wird oder wahrscheinlich begangen wird, und die Person, deren Daten angefordert werden, im Anordnungsstaat ansässig ist (maßgeblich ist der gewöhnliche Aufenthalt, nicht die Staatsangehörigkeit)[41]. Im Art. 8 Abs. 2 wird jedoch nicht ausgeführt, ob die Zuständigkeit exklusiv sein muss und wie in Mischfällen zu verfahren wäre; der Ausnahmecharakter von Abs. 2 spricht für eine enge Auslegung des ohnehin problematischen Beurteilungsspielraums des anordnenden Staats. Zur Bestimmung, ob eine Tat im Anordnungsstaat begangen wurde oder (wahrscheinlich) begangen wird, ist das nationale Recht des Anordnungsstaats (im Rahmen des einschlägigen Völkerrechts) maßgeblich. Das ist insbesondere in Fällen von Cyberkriminalität relevant, weil die technischen Eigenheiten der Tatbegehung den Kreis der Handlungs- und Erfolgsorte ausdehnen.[42] Hinreichende Gründe für die Annahme, dass eine Person ihren Wohnsitz im Anordnungsstaat hat, können nach den Erwägungsgründen insbesondere dann vorliegen, wenn diese Person im Anordnungsstaat wohnhaft gemeldet ist, einen Personalausweis oder Aufenthaltstitel des Staats besitzt oder dort in einem amtlichen Wohnsitzregister eingetragen ist.[43] Zur Feststellung einer hinreichenden Bindung sollen objektive Umstände wie Dauer, Art und Umstände des Aufenthalts im Anordnungsstaat sowie die familiäre und wirtschaftliche Situation berücksichtigt werden, worüber wiederum ein zugelassenes Fahrzeug oder ein Bankkonto Aufschluss geben können.[44] Nicht hinreichend sei dagegen ein Kurzbesuch oder ein Urlaubsaufenthalt, wohl auch dann, wenn Eigentum an einer Ferienwohnung besteht.
Trotz dieser Konkretisierungen wird der Anordnungsbehörde, welche die Entscheidung zu treffen hat, letztlich ein nicht unbeträchtlicher Beurteilungsspielraum eingeräumt, ob sie eine Unterrichtung über die Abfrage von Verkehrs- und Inhaltsdaten vornimmt oder nicht. Neben der damit einhergehenden Entterritorialisierung von digitalen Daten – die noch kritisch untersucht werden sollte – ist darauf hinzuweisen, dass diese Entscheidung nicht der Kontrolle durch die potentielle Vollstreckungsbehörde
unterliegt. Diese Ausnahme vom Notifikationserfordernis wird vielfach als erhebliche Schwächung des Konzepts der Unterrichtung erachtet.[45]
d) Prüfung von Versagungsgründen und Vollstreckungsverfahren
Eine Prüfung von Versagungsgründen ist dem Vollstreckungsstaat vorbehalten, aber nur in zwei Konstellationen vorgesehen. Erstens ist der Vollstreckungsstaat bei Herausgabeanordnungen für besonders sensible Daten zu unterrichten. Dieser prüft dann (binnen zehn Tagen nach Erhalt der Anordnung), ob ggf. Ablehnungsgründe geltend gemacht werden sollen (Art. 10 Abs. 2). Diese werden in Art. 12 VO (EU) 2023/1543 aufgelistet. Ablehnungsgründe sind danach der Schutz von Immunitäten oder Vorrechten, Beeinträchtigung der Presse- und Meinungsfreiheit, Drohen einer offensichtlichen Grundrechtsverletzung (die im Falle systemischer oder allgemeiner Mängel zweistufig zu prüfen ist, vgl. ErwG. 64), ne bis in idem oder (wegen des aufgelösten Territorialbezugs wenig überzeugend) beiderseitige Strafbarkeit, wenn auf diesen Einwand nicht für einen konkreten Tatenkatalog im Anhang verzichtet wurde. Liegt ein solcher Grund im konkreten Fall vor, ist er aus Gründen effektiven Grundrechtsschutzes geltend zu machen.[46]
Zweitens wird der Vollstreckungsstaat hinzugezogen, wenn der Anordnungsadressat seine Pflichten nicht (fristgerecht) erfüllt. Die Anordnung kann dann im sog. Vollstreckungsverfahren (Art. 16) durchgesetzt werden. Will die Vollstreckungsbehörde im konkreten Fall keine Ablehnungsgründe geltend machen, übernimmt sie nach Übermittlung und Anerkennung der betreffenden Anordnung die Durchsetzung (durch Aufforderung und Androhung von Sanktionen, Abs. 3 u. 10). Die Vollstreckungsbehörde ist zur Anerkennung der Anordnung verpflichtet, wenn keine besonderen Ausnahmegründe eingreifen (Art. 16 Abs. 2 i.V.m. Abs. 4, 5). Gründe können z.B. fehlende Validierung, Immunitäten und Vorrechte, offensichtliche Grundrechtsmängel oder Unmöglichkeit sein. Dass der Vollstreckungsstaat in der Lage ist, die Herausgabe tatsächlich mit Zwangsmitteln durchzusetzen, ist dabei nicht gesichert.
Diensteanbieter dürfen sich demgegenüber nicht direkt auf Ablehnungsgründe berufen. Lediglich dann, wenn diese Immunitäten oder Vorrechte, die Freiheit der Presse und die Meinungsfreiheit beeinträchtigt sehen, können sie sich mit einem besonderen Formblatt an die verantwortlichen Behörden im Anordnungs- und Vollstreckungsstaat wenden (Art. 10 Abs. 5). Am Ende entscheidet die Anordnungsbehörde unter Berücksichtigung des Vorbringens über die Aufrechterhaltung der Anordnung; es sei denn, es werden Ablehnungsgründe durch die Vollstreckungsbehörde geltend gemacht. Andernfalls dürfen die Daten unmittelbar übermittelt werden.
Diensteanbieter können gem. Art. 17 VO ferner (per besonderem Formular) die zu begründende Einwendung erheben, dass die Befolgung einer Herausgabeanordnung "im Widerspruch zu einer Verpflichtung stehen würde, die sich aus dem anwendbaren Recht eines Drittlands ergibt" (Rechtskollision).[47] Will die Anordnungsbehörde die Anordnung dennoch aufrechterhalten, muss sie die Sache zur Prüfung der Gesetzeskollision einem zuständigen Gericht im Anordnungsstaat vorlegen. Dieses entscheidet abschließend über die Sache und ist dabei an die komplexen Entscheidungs- und Abwägungsvorgaben in Art. 17 Abs. 4–6, 8 VO (EU) 2023/1543 gebunden. Diese Problematik dürfte künftig mit einiger Regelmäßigkeit auftreten, da in diesem Bereich keine Harmonisierung erfolgt ist oder erfolgen konnte und wegen der Eigenart von e-Evidence vielfältige Bezüge zu Drittrechtsordnungen vorstellbar sind.
Die Geltendmachung von Ablehnungsgründen führt zur vollständigen oder teilweisen Unzulässigkeit der Übermittlung (Art. 12 Abs. 4). Allerdings haben Vollstreckungs- und Anordnungsbehörde zuvor im konstruktiven Austausch im Interesse effektiver Zusammenarbeit zu klären, ob und wie eine zulässige Übermittlung erreicht werden könnte, um eine endgültige Ablehnung zu vermeiden.
D. Grundrechtsschutz und Rechtsschutz
Grundrechtliche Achillesferse der Verordnung ist die Wahrung der rechtlichen Interessen von Betroffenen und Vollstreckungsstaat. Wie naturgemäß bei heimlichen Maßnahmen erfahren Betroffene nur ex post von ihrer Durchführung. Betroffene Nutzer sollen zwar (nur) durch die anordnende Stelle über die Herausgabe von Daten und Rechtsbehelfe (Art. 13) informiert werden. Gem. Abs. 2 kann die Benachrichtigung aber (begründungspflichtig!) aus ermittlungstaktischen, -sichernden Gründen eingeschränkt oder unterlassen werden (im Einklang mit Art. 13 Abs. 3 RL 2016/680). Die Diensteanbieter werden in Art. 13 Abs. 4 überdies verpflichtet, Geheimhaltung gegenüber ihren Nutzern und Integrität der Daten sicherzustellen. Für mögliche Drittbetroffene ist keine Informationspflicht vorgesehen. Eine solche kann sich eher eingeschränkt aus der Datenschutz-RL[48] oder unter Umständen aus nationalem Recht ergeben, doch drohen Unterschiede der Rechtspraxis in den Mitgliedstaaten für weitere Rechtsunsicherheit zu sorgen.
Die Ablehnungsgründe enthalten wenig Überraschendes. Sie orientieren sich stark an der Europäischen Ermittlungsanordnung. Auffällig ist jedoch, dass nicht auf die Besonderheiten elektronischer Beweismittel und spezifische Bedürfnisse des Schutzes von Privatsphäre und
Datenschutz eingegangen wird. Dieser Aspekt wird auf die Diensteanbieter ausgelagert, soweit keine Gefährdung von Grundrechten im Raum steht.
Die Grundrechtsklausel in Art. 12 Abs. 1 lit. b ist besonders problematisch, weil sie hinter europäischen Grundrechtsstandards zurückbleibt. Nur dann, wenn "aufgrund genauer und objektiver Belege berechtigte Gründe zu der Annahme" bestehen, "dass die Ausführung der Anordnung unter den besonderen Umständen des Falles eine offensichtliche Verletzung eines einschlägigen in Artikel 6 EUV und der Charta verankerten Grundrechts zur Folge hätte", sei der Ablehnungsgrund geltend zu machen.[49] Eine "offensichtliche" (flagrant) Verletzung verlangen europäische Grundrechte jedoch nur bei allgemeinen fair trial-Verstößen. Im Übrigen genügt die Grundrechtsverletzung als solche. Insoweit zeigt sich auch ein Widerspruch zu Art. 11 Abs. 1 lit. f RL EEA, wonach lediglich berechtigte Gründe für die Annahme bestehen müssen, dass die Vollstreckung einer in der EEA angegebenen Ermittlungsmaßnahme mit den Verpflichtungen des Vollstreckungsstaats nach Artikel 6 EUV und der Charta unvereinbar wäre.[50] In ErwG. 64 wird (im Widerspruch auch zur EuGH-Praxis im Auslieferungs- und Vollstreckungshilferecht)[51] sogar ein noch niedrigerer Maßstab für fair trial-Verstöße (eindeutige Gefahr einer schwerwiegenden Verletzung des Grundrechts) angelegt. Das lässt sich weder vor dem Hintergrund der GRC noch anknüpfend an die besondere Natur elektronischer Daten rechtfertigen.
Ferner ist bei der Interpretation der genauen und objektiven Belege darauf zu achten, dass das real risk-Kriterium des EGMR nicht unterlaufen wird.[52] Aus Sicht der EMRK genügt das Bestehen eines ernstzunehmenden Risikos, dass dieses Grundrecht verletzt wird. Einwände des Adressaten berücksichtigt die Vollstreckungsbehörde unter vorheriger Konsultierung der Anordnungsbehörde (Art. 10 Abs. 6, 7).
Ebenfalls problematisch ist der Umgang mit drittstaatlichen Rechten und kollidierenden Verpflichtungen der Provider. Diese Thematik wurde lediglich verfahrensrechtlich geregelt und zur Entscheidung in den Anordnungsstaat kanalisiert. Mangels weiterer Harmonisierung im materiellen Kollisionsbereich ist damit der Boden für eine divergierende Rechtspraxis bereitet. Es steht zu hoffen, dass der EuGH auf Vorlage der angerufenen nationalen Gerichte für die wichtigsten Fallgruppen umgehend verlässliche Leitlinien formulieren kann; auch für die Behandlung von Daten aus Drittstaaten (s. v.a. USA, UK).
Noch viel grundsätzlicher deutet sich eine Abkehr von der territorial gebundenen Schutzverantwortung i.S.v. Art. 1 EMRK an, die der EGMR zumindest für Fälle des heimlichen Zugriffs auf Daten aus dem Ausland aufgestellt hatte.[53] Ähnlich verhält es sich mit positiven Schutzpflichten aus nationalen Verfassungen. Grundsätzlich bleibt abzuwarten, ob die Benachrichtigungspflicht mit nachfolgender Interventionsmöglichkeit den Anforderungen der territorial lozierten Schutzverantwortung nach Art. 1 EMRK genügt, die auch bei Handeln der Mitgliedstaaten im Unionskontext gilt.[54] Wie funktional äquivalenter Rechtsschutz aussehen kann und zu bemessen ist, erweist sich weiterhin als unklar.
Weniger deutlich ist auf den ersten Blick die Rechtslage für die GRC, welche in Art. 51 GRC an Status und Handlungszweck anknüpft. Zu klären wäre, ob die Duldung des e-Evidence-Herausgabesystems und die Duldung des Zugriffs fremder Autoritäten durch Vollstreckungsstaaten eine Durchführung von Unionsrecht ist, welche Schutzpflichten auslöst. Dies erscheint wohl begründbar, weil das System gemeinsam geschaffen wurde und die Rücknahme der eigenen Kontrollmacht auf einem Unionsrechtsakt beruht. Die GRC wäre damit anwendbar. Zu prüfen wäre aber, ob damit eine spezifische gebietsbezogene Schutzpflicht verbunden ist oder Grundrechtsschutz durch alle beteiligten Staaten kollektiv und aufgefächert im Verbund gewährleistet werden kann. Auch dieses Modell müsste dem Effektivitätsprinzip genügen. Auf einen früheren Gedanken im Kommissionsvorschlag, die Diensteanbieter als eine erste Kontrollinstanz für allgemeine Grundrechtsverletzungen zu bestimmen, wurde nach heftiger Kritik[55] verzichtet. Und dennoch wird ihnen die Geltendmachung wichtiger Drittrechte und damit letztlich die Identifizierung kritischer Fälle überlassen. Ohne Geltendmachung droht ein Ausfall effektiven Schutzes. Das erscheint jedenfalls sehr problematisch. Dies gilt umso mehr, als die Diensteanbieter durch die VO in ein sehr komplexes Spannungsfeld gegenläufiger Funktionen und Rechtspflichten gedrängt werden. Sie sind einerseits als Hilfsorgan der Rechtspflege zur Mitwirkung und andererseits als Dienstleister gegenüber ihren Kunden rechtlich zu Geheimnis- und Datenschutz verpflichtet. Auch gegenüber Drittstaaten können divergierende Rechtspflichten bestehen.
Einen Sonderfall, der eine Konzentration nahelegt, könnte der Bezug zu einem bestimmten Mitgliedstaat sein. Die Nähe des Falles zum Anordnungsstaat änderte aber nichts daran, dass der Zugriff physisch im Herrschaftsbereich des Vollstreckungsstaats oder Drittstaats erfolgt, auch wenn dieser Ort zufällig bzw. ökonomisch bedingt sein mag und regelmäßig nichts mit Gegenstand und Ort von Kommunikation und Tat zu tun haben wird. Gleichwohl manifestieren sich in Normen wie Art. 7 Abs. 2 erste Anzeichen eines entstehenden Single European Data Space , bei dem Zugriffsrechte und Schutzverantwortung nach anderen
Kriterien als Territorialität verteilt werden, z.B. Tatort und Aufenthalt. Der Rechtsschutz der betroffenen Datensubjekte wird in Art. 18 VO (EU) 2023/1543 adressiert.[56] Gem. Art. 13 Abs. 3 sind sie über die verfügbaren Rechtsbehelfe zu informieren. Zwingend gefordert ist jedoch lediglich ein Rechtsbehelf gegen die Anordnung einer Herausgabe vor Gerichten des Anordnungsstaats.[57] Die Sicherungsanordnung wird als vorläufige Maßnahme überhaupt nicht angesprochen.
Auch formelle und materielle Vorgaben für den obligatorischen Rechtsbehelf benennt die VO nicht, sondern verweist vielmehr auf das nationale Recht. Dies hat zur Konsequenz, dass Bandbreite und Strenge der Rechtsbehelfe zwischen den Mitgliedstaaten erheblich variieren können. Die Rechtsschutzsituation der Betroffenen kann sich damit bei e-Evidence künftig je nach Anordnungsstaat erheblich unterscheiden. Gem. Art. 47 GRC muss aber zumindest eine hinreichende Effektivität gewährleitet sein. Indessen ist eben dieser Richtwert nicht klar determiniert.
Während sich der Rechtsschutz bei Rechtsinstrumenten, die auf dem Grundsatz der gegenseitigen Anerkennung beruhen, schwerpunktmäßig im Vollstreckungsstaat konzentriert, verhält sich die e-Evidence-VO nicht ausdrücklich zum Rechtsschutz im Vollstreckungsstaat. Nach dem Grundkonzept der VO sind Vollstreckungshandlungen kein elementarer Bestandteil der Durchführung von Herausgabe oder Sicherung. Daher stellt sich generell kein Bedarf für gespaltenen Rechtsschutz wie bei der gegenseitigen Anerkennung ein. Bereits aus Art. 47 GRC folgt allerdings, dass Rechtsschutz im Vollstreckungsstaat gewährt werden muss, wenn es zur Vollstreckung gem. Art. 16 VO (EU) 2023/1543 kommt. Lehnt die zuständige Stelle des Vollstreckungsstaats nach Unterrichtung die Geltendmachung von Ablehnungsgründen ab, müsste auch hiergegen zur Durchsetzung grundrechtlicher Schutzpflichten Rechtsschutz eröffnet werden, wobei die statthafte Klageart durch das nationale Verfahrensrecht determiniert wird.
Ein Rechtsschutzinteresse kann auch bei Drittbetroffenen bestehen, wenn deren Vorrechte, Presse- und Meinungsfreiheit oder Rechte aus Drittstaaten beeinträchtigt worden sein können. Dennoch befasst sich die Verordnung speziell nicht mit dem Rechtsschutz für Drittbetroffene. Das überrascht insofern, als Rechtsbehelfe Dritter im Kommissionsentwurf noch für Personen vorgesehen waren, "deren Daten mit einer EPO eingeholt wurden", Art. 17 II Kommissionsentwurf-VO.[58] Anstelle einer justiziellen Kontrolle verschiebt die VO die Prüfungslast auf die Diensteanbieter, welche die Rechtslage in kurzer Frist abzuklären und ggf. drittstaatliche Rechte geltend zu machen haben.
Die Handlungen der Diensteanbieter fallen schließlich prima vista (aber nicht notwendig) in die Jurisdiktion des Vollstreckungsstaats. Legt man die bekannten (nationalrechtlichen) Maßstäbe zur Zurechnung des Verhaltens Privater an, wäre infolge der Anordnung eine Zurechnung zum Anordnungsstaat begründbar. Dementsprechend könnten dort auch Rechtsmittel ergriffen werden. Grundsätzlich wird man davon ausgehen müssen, dass die Justiz des Anordnungsstaats im Gesamtsystem der e-Evidence-VO eine Residualverantwortung für die Gewährleistung effektiven Rechtsschutzes trifft, wenn sich Schutzlücken im Anwendungsalltag offenbaren. Völlig offen bleibt aber, wie diese Rechtsschutzgewährleitung wirksam umgesetzt werden kann; vor allem, wenn sie Geschehnisse zum Gegenstand haben, die sich vorrangig in anderen Rechtsordnungen abspielen.
Die Rechtsfolgen von Verstößen und Verwertbarkeitsfragen allgemein behandelt die Verordnung ähnlich wie auch andere Instrumente der Beweisrechtshilfe nur rudimentär. Art. 18 Abs. 5 e-Evidence-VO enthält ähnlich wie die RL EEA nur eine allgemeine fair trial-Klausel. Eine Rechtsannäherung des Beweisrechts bzgl. der Verwertbarkeit, der notwendigen Sicherheitsstandards für Speicherung und Übermittlung sowie bei Schutzstandards für Presserechte und Quellenschutz, Berufsgeheimnisse und Immunitäten blieb aus.[59]
E. Bewertung
VO (EU) 2023/1543 führt ein präzedenzloses System des direkten, transnationalen Zugriffs ein. Die erste und bahnbrechende Innovation besteht darin, dass eine vorherige Beteiligung der Justizbehörden eines Vollstreckungsmitgliedstaats nicht mehr erforderlich ist. Der e-Evidence-VO liegt das neue Ordnungsbild eines Single EU Data Space zugrunde. Innerhalb dieses transnationalen Datenraums verlieren Lokalisierung und territoriale Speicherung von Daten ihre Bedeutung und ungeachtet territorialer Souveränitätsgrenzen kann nach Verfolgungsbedarf ein direkter grenzüberschreitender Zugriff auf Daten erfolgen. Der Speicherort der Daten wird dazu verfahrens- und staatsrechtlich für irrelevant erklärt, damit Verfolgungszuständigkeit und grundrechtliche Schutzverantwortung territorial prioritär dem Anordnungsstaat zugewiesen sind.
Eine Anerkennungsentscheidung von ausländischen staatlichen Stellen ist im unionalen Datenraum gleichfalls weder für die Herausgabe noch für die Sicherstellung der elektronischen Daten notwendig. Das bekannte Anerkennungs- und Vollstreckungssystem des Rechtshilfesystems des Unionsrechts kommt nur ausnahmsweise zur Anwendung, und zwar entweder bei Verweigerung der privaten Diensteanbieter, mit den Anordnungsbehörden zu kooperieren, oder bei Aktivierung des bereits erwähnten Unterrichtungsmechanismus des Vollstreckungsstaats. In wichtigen Fällen wird der physische Ort des Zugriffs auf die Daten ("Vollstreckungsstaat") implizit sogar für gänzlich irrelevant erklärt, wenn der Eingriff virtuell fremde Bürger und fremde Strafgewalt betrifft und die eigene Souveränität und Strafrechtspflege des "Vollstreckungsstaats" daher trotz der Duldungspflicht materiell nicht hinreichend
betroffen sein soll. Dies verdeutlicht, dass dem e-Evidence-Paket ein völlig neues und bisher im Unionsstrafrecht unbekanntes Anwendungsmodell gegenseitigen Vertrauens zugrunde liegen muss.
Gleichwohl stößt man in der Verordnung auch auf die typischen Elemente strafrechtlicher Zusammenarbeit in der EU. Die Verordnung geht von einer grundsätzlichen Kooperationspflicht aus, statuiert strenge Fristbindungen für Sicherung und Herausgabe, verpflichtet zur Nutzung einheitlicher Formulare im gesamten EU-Raum und legt kooperationsspezifisch Zulässigkeitsvoraussetzungen und Versagungsgründe fest (z.B. ne bis in idem, Grundrechtskonformität). Die Einführung kooperationsspezifischer Mindesterfordernisse für den Rechtsschutz wird ebenfalls gefordert, ohne spezifische Formen zu diktieren. Anders als bei der gegenseitigen Anerkennung ist der Rechtsschutz aber vorliegend nicht grundsätzlich zwischen Anordnungsstaat und Vollstreckungsstaat aufgeteilt (sog. gespaltener Rechtsschutz), da dies nicht der Struktur der Zusammenarbeit entspricht, die im Wesentlichen nicht zwischen Anordnungs- und Vollstreckungsstaat, sondern zwischen Anordnungsstaat und Diensteanbieter erfolgt. Im Vergleich verlagert sich damit mehr Rechtsschutzverantwortung auf den Anordnungsstaat, dessen Gerichte komplexe Rechtskollisions- und Drittrechtsfragen zu bewältigen haben werden, ohne dabei auf einheitliche Regelung zurückgreifen zu können. Die Gerichte tragen daher auch eine gesteigerte Verantwortung dafür, dass der EuGH per Vorabentscheidungsverfahren frühzeitig zur Klärung beitragen kann. Auf Seiten der Diensteanbieter existiert eine solche Klärungsoption nicht. Klärungsbedürftig werden in Ermangelung einer Harmonisierung des Beweisrechts auch viele Fragen der Handhabung der Speicherung, Sicherung, Kontrolle und Weitergabe durch Diensteanbieter sein. Vor allem die Konsequenzen von Rechtsverletzungen gilt es zu klären, da die Diensteanbieter nicht nach den Regeln für die Beweiserlangung durch Private behandelt werden können. Die Implikationen der Privatisierung der Rechtshilfe[60] an dieser Stelle sind aber nicht klar. Macht der Staat sich das Verhalten Privater als Amtshelfer bzw. Quasi-Beliehene zunutze, ist ihm deren Verhalten zuzurechnen. Rechtsverletzungen wären dann nach den Regeln für Amtsträger zu beurteilen.
Vorliegend werden Diensteanbieter mit der Kontrolle und Geltendmachung individueller und staatlicher Interessen als Hilfsorgan der Strafrechtspflege beauftragt.[61] Ein erheblicher Teil der grundrechtlichen Schutzverantwortung wird systematisch an sie ausgelagert. Passgenaue Vorlagen für die Behandlung von Zurechnungsfragen bieten aber weder EuGH noch EGMR, dessen Fallrecht zu sehr am Einzelfall und an Einzelpersonen orientiert ist. Für dauerhafte Kooperationssysteme mit multinationalen Unternehmen passt es kaum. Daraus ergibt sich ein Bedarf für eine strukturadäquate Zurechnungsdogmatik statt fortgesetzter Einzelfallorientierung und Rechtsunsicherheit.[62]
Die abgestufte Klärung der einzelnen Formen und Phasen der Einbeziehung privater Akteure ist einer allgemeinen abstrakten Debatte über die Privatisierung der Strafrechtspflege vorzuziehen. Im Zentrum steht dabei die rechtliche und typologische Erfassung der konkreten Art und Weise der Zusammenarbeit, über die dann die drohenden Konsequenzen einer Aufweichung der Grundrechtsbindungen bzw. einer Vernebelung der Zuordnung von Schutzverantwortung zu untersuchen wären. Durch Einbindung von Privaten in ein komplexes Kooperationssystem dürfen grundrechtliche Bindungen aus der GRC und für die Mitgliedstaaten aus der EMRK jedenfalls nicht abgestreift werden. Es verbleibt stets eine Residualverantwortung, bei tiefgreifenden Systemveränderungen das materielle Schutzniveau zu erhalten und neuen Grundrechtsrisiken effektiv zu begegnen. Dass die Verlagerung unterschiedlicher Befugnisse und Pflichten an Private, wie man sie schon aus Wirtschaftsstrafrecht (etwa customer due diligence, UBO-Register, Verdachtsmeldepflichten) oder Sicherheitsrecht (etwa PNR-Daten, Vorratsdatenspeicherung) kennt,[63] nunmehr auch in der transnationalisierten Strafverfolgung ohne vertiefte Auseinandersetzung mit der Rechtsstellung und Funktion der Diensteanbieter stattgefunden hat, offenbart eklatant das Enforcement-Paradigma der e-Evidence-VO.
Anders als die Instrumente der gegenseitigen Anerkennung trägt die e-Evidence-VO nicht mehr die Züge einer stark modifizierten Rechtshilfe in Strafsachen. Ausländische Anordnungen haben unmittelbare, verpflichtende Wirkung und kommen ohne implizite Anerkennungsverfahren aus. Obgleich die Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (e-Evidence-VO) auf Art. 82 Abs. 1 gestützt wurde, ohne lit. a freilich explizit anzuführen, handelt es sich letztlich trotz vieler gleicher Strukturelemente nicht um eine Umsetzung des Prinzips gegenseitiger Anerkennung.[64] Die neue Verordnung stellt sich in wesentlichen Aspekten als alternativer Regelungsansatz dar. Dieser Umstand wurde schon in der Beratungsphase diskutiert.[65] Trotz beachtlicher Argumente setzte die Unionslegislative auf die traditionellen Rechtsgrundlagen strafrechtlicher Zusammenarbeit.
Die e-Evidence-VO autorisiert den direkten grenzüberschreitenden Zugriff auf Daten, die bei privaten Diensteanbietern angefallen und gespeichert sind, bei gegenseitiger, von der VO dekretierter Duldung etwaig betroffener Territorial- und Drittstaaten.[66] Zur Zusammenarbeit zwischen Staaten beruhend auf gegenseitiger Anerkennung kommt es erst dann, wenn die vermeintliche Vollstreckungsbehörde nach Unterrichtung oder im Fall der Weigerung der Diensteanbieter über Versagungsgründe zu befinden hat. Gegenseitiges Vertrauen kommt erst hier als Anwendungsprinzip zur Geltung, indem es den Grad der Anerkennungsfähigkeit einer Entscheidung mitbestimmt.[67] Im Regelfall sind dagegen keine Anerkennungs- und Vollstreckungsakte durch zuständige Stellen eines Vollstreckungsmitgliedstaats vorgesehen, sondern nur noch die tatsächliche Herausgabe der Informationen durch Private. Eine Anerkennung der Herausgabeanordnung als grundsätzlich auf eigenem Territorium von Diensteanbietern zu befolgender fremder Hoheitsakt erfolgt nicht mehr individuell, sondern nur noch global durch das Rechtssystem des jeweiligen Mitgliedstaats. Zu hinterfragen bleibt, was die rechtliche Basis für diese Rücknahme der eigenen Kontrollmacht sein soll. Angesichts fehlender praktischer Erfahrungen mit dem neuen Modell und eines relativ unklaren Rechtsrahmens ist nicht ersichtlich, wie insb. das gegenseitige Vertrauen diese Basis schaffen soll.[68] Es fehlt an einer substantiellen Grundlage für Vertrauen. Allenfalls ist das grundsätzliche Vertrauen in die jeweilige Rechtsstaatlichkeit aller teilnehmenden Staaten Voraussetzungen dafür, sich überhaupt auf dieses neue Regelungsmodell einzulassen. Operative Bedeutung hat gegenseitiges Vertrauen dann aber nicht, wenn man es nicht komplett von der Rechtspraxis ablösen will.[69]
[*] Der Verfasser Prof. Dr. Frank Meyer ist Inhaber eines Lehrstuhls für Strafrecht und Strafprozessrecht unter besonderer Berücksichtigung europäischer und internationaler Bezüge an der Universität Heidelberg. Die Verfasser Leon Schiermeyer und Dimitrios Tsilikis sind akademische Mitarbeiter an diesem Lehrstuhl.
[1] Zu Problemen und Alternativen einer territorial verstandenen Souveränität vgl. z.B. Sieber/Neubert, Transnational Criminal Investigations in Cyberspace: Challenges to National Sovereignty, Max Planck Yearbook of United Nations Law 2017, 241, 252 ff.; Vehling, Die Auswirkungen des Völkerrechts auf die grenzüberschreitende Ermittlung digitaler Beweise nach der StPO (2023), S. 120 ff. m.w.N.; differenziert auch Delerue, Cyber Operations and International Law (2020), S. 206 ff., 226 ff.
[2] S.a. Hüttemann NZWiSt 2024, 81, 82.
[3] Allg. Daskal Yale Law Journal 125 (2015), 326, 365 ff.; Tosza Computer Law & Security Review 43 (2021), 1, 8.
[4] Zur Diskussion Rückert/Safferling/Hofmann, in: Glasze/Odzuck/Staples (Hrsg.), Was heißt digitale Souveränität? (2022), S. 164 ff.; Hüttemann NZWiSt 2024, 81, 82.
[5] MüKoStPO/Hauschild, 2. Aufl. (2023), § 110 Rn. 18; Rückert/Safferling/Hofmann, in: Glasze/Odzuck/Staples (Hrsg.), Was heißt digitale Souveränität? (2022), S. 164, 165.
[6] Um das Verlustrisiko der Daten zu minimieren, wurde zunächst auf internationaler Ebene diskutiert, Ersuchen auf sofortige Sicherung elektronischer Daten (sog. quick freeze) den Vorrang einzuräumen. Auf diesen Gedanken stützt sich Art. 29 Cybercrime-Konvention zur umgehenden Sicherung (expeditious preservation) gespeicherter Computerdaten zur Ermöglichung für spätere Ersuchen. In Deutschland wird aktuell ein Referentenentwurf eines Gesetzes zur Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung diskutiert, s. dazu etwa Beukelmann NJW-Spezial 2024, 312.
[7] Zur Diskussion und Möglichkeiten SK-StPO/Wohlers/Jäger, 6. Aufl. (2023), § 102a Rn. 15, § 110 Rn. 9a f.; zu § 110 StPO s.a. Bell, Strafverfolgung und die Cloud (2019), S. 86 ff.
[8] Dies setzt besondere Unterrichtung des Mitgliedstaats, in dem sich die Zielpersonen befinden, voraus; vgl. bereits aus der Praxis EuGH (GK), Urteil vom 30. April 2024, Rs. C-670/22, M.N. (EncroChat) − Rn. 107 ff., HRRS 2024, Nr. 644 = NJW 2024, 1723 m.Anm. Gaede; Meyer-Mews HRRS 2024, 191, 193.
[9] Paradebeispiel dieses Lösungsansatzes war der belgische Fall Yahoo, s. Eurojust, Cybercrime Judicial Monitor, Issue 1 – June 2016, S. 13 ff.: https://www.eurojust.europa.eu/sites/default/files/Publications/Reports/2016-06_CJM-1_EN.pdf (zuletzt abgerufen: 15. Juli 2024); krit. Hüttemann NZWiSt 2024, 81, 83: "im Kern nationalstaatlich-zentristisches, von wechselseitiger Rücksichtnahme entferntes Verständnis".
[10] Vgl. LG München, Beschluss vom 7. Juli 2017 – 6 Qs 15/17: Vernichtung von Kopien elektronischer Daten, die von einem in Belgien befindlichen Server durch die Ermittler heruntergeladen werden (unter Verweis von BVerfG, Beschluss vom 27. Juni 2018, 2 BvR 1287/17 – 2 BvR 1583/17, Rn. 7, 9 = HRRS 2018 Nr. 615, sowie BVerfG, Βeschluss vom 27. Juni 2018 – 2 BvR 1405/17 – 2 BvR 1780/17, Rn. 14, 36). Aus rechtsvergleichender Sicht s. die ständige Rechtsprechung des helvetischen Bundesgerichts zur Erforderlichkeit eines internationalen Rechtshilfeersuchens bei im Ausland gespeicherten Daten BGer, Urteil vom 11. Januar 2024, 7B_159/2022, 7B_160/2022, Erw. 5.1 m.w.N.; s. jedoch anders zu zulässigen Untersuchungshandlungen im Lichte des Territorialitätsgrundsatzes BGE 143 IV 270, 287 f., Erw. 7.10, am Beispiel von Online-Recherchen auf Facebook-Accounts des Beschuldigten durch die Untersuchungsbehörde im eigenen Territorium ohne Datenerhebungs- oder Editionsanordnungen gegenüber Facebook in der Schweiz oder im Ausland und nach vorheriger Erlangung der Zugangsdaten durch die Staatsanwaltschaft im Inland,.
[11] VO (EU) 2023/1543 ErwG. 8; Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen, COM(2018) 225 final, S. 1 − 3; Tosza CML Rev. 61 (2024), 139, 143, 145.
[12] Zu ihren Grenzen EuGH (GK), Urteil vom 20. September 2022, verb. Rs. C-793/19 und C-794/19, SpaceNet – Rn. 76 ff., 101 ff., 131; s. aber auch jüngst EuGH (Plenum), Urteil vom 30. April 2024, Rs. C-470/21, La Quadrature du Net u.a. und lutte contre la contrefaçon, Rn. 83 ff.: Identitätsdaten und IP-Adressen; EuGH (GK), Urteil vom 30. April 2024, Rs. C-178/22, Procura della Repubblica presso il Tribunale di Bolzano – Rn. 38 ff., 50, 58 ff.: strafprozessualer Zugriff auf (gespeicherte) Verkehrs- oder Standortdaten.
[13] Zur Diskussion s. bereits Burchard ZIS 2018, 190, 198 ff.; ders. ZIS 2018, 249 f. m.w.N.; Johnson/Post Stanford Law Review 48 (1996), 1367, 1372 ff.: Elektronische Daten unterscheiden sich in ihrer Natur im Vergleich zu üblichen Beweismitteln.
[14] So jüngst zum Art. 31 RL 2014/41/EU (Überwachung des Telekommunikationsverkehrs mit technischer Hilfe eines anderen Mitgliedstaats) EuGH (GK), a.a.O. (Fn. 8), Rn. 120 ff.
[15] Instruktiv Tosza CML Rev. 61 (2024), 139, 150 f., der die damit verbundene Verantwortungsverschiebung auf den Diensteanbieter kritisiert. Grundlegend zur sog. Entterritorialisierung der Cloud Burchard ZIS 2018, 249 ff., wobei er kritisch pointiert: "Zugespitzt lässt sich daher sagen, dass Territorialität kein Problem, sondern eine Lösung ist, um in der Cloud ein modernes Verständnis von Souveränität, Rechtsstaatlichkeit und Grundrechtsschutz umzusetzen, zumal all dies durch eine Ökonomisierung des territorialen Datenschutzes flankiert wird.", 253.
[16] Verordnung (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl. EU L 191/118.
[17] Zum Erfordernis einer effektiveren Regulierung Commission Staff Working Document, Impact Assessment, SWD (2018) 118, S. 9 ff.
[18] Dazu Rexin CR 2024, 64 ff.
[19] Gestützt auf Art. 53 und 62 AEUV, Richtlinie (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12. Juli 2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl. EU L 191/181.
[20] Zu den Alternativen Tosza eucrim 2023, 216, 218; v.a. auf freiwilliger Basis oder dann, wenn das einschlägige Unionsrecht einen direkten Zugriff auf private Diensteanbieter zulässt.
[21] Tosza EDPL 2023, 163, 166 f.; Esser , in: Sosnitza u.a. (Hrsg.), Digitalisierung im Europäischen Recht (2022), S. 31, 59 f.
[22] Art 18 Abs. 3 Cybercrime-Konvention, Budapest, 23. November 2001, SEV Nr. 185.
[23] ErwG. 31.
[24] Bei Sicherungsanordnungen kommt es hingegen nur darauf an, dass die Sicherung unter denselben Bedingungen in einem vergleichbaren nationalen Fall verfügbar wäre.
[25] "Ein Port ist ein virtueller Punkt, an dem Netzwerkverbindungen beginnen und enden. Ports sind softwarebasiert und werden vom Betriebssystem eines Computers verwaltet. Jeder Port ist mit einem bestimmten Prozess oder Dienst verbunden." (Quelle: https://www.cloudflare.com/de-de/learning/network-layer/what-is-a-computer-port/, zuletzt abgerufen: 15. Juli 2024).
[26] ErwG. 32.
[27] EuGH (Plenum), Urteil vom 30. April 2024, Rs. C-470/21, La Quadrature du Net u.a. und lutte contre la contrefaçon − Rn. 92.
[28] Art. 4 Abs. 2.
[29] Art. 5 Abs. 4.
[30] EPOC: European Production Order Certificate.
[31] Nach Art. 6 Nr. 6 gemeint ist "eine Niederlassung mit Rechtspersönlichkeit, die ein Dienstleister, der in einem Mitgliedstaat niedergelassenen ist, der sich an einem in Artikel 1 Absatz 2 der Richtlinie (EU) 2023/1544 genannten Rechtsinstrument beteiligt, für die in Artikel 1 Absatz 1 und Artikel 3 Absatz 1 der genannten Richtlinie genannten Zwecke schriftlich benannt hat".
[32] Der einzige Weg zum Rechtsschutz scheint über die Datenschutz-RL i.V.m. nationalem Recht zu führen; s. Art. 18 Abs. 1 S. 1 u. 3 e-Evidence-VO i.V.m. Artt. 6 lit. d. u. 12 ff. RL 2016/680. Allerdings kann das Auskunftsrecht gem. Art. 15 RL 2016/680 eingeschränkt werden.
[33] Art. 15 Abs. 2 e-Evidence-VO schützt Diensteanbieter vor Haftung für Schäden, die ihren Nutzern oder Dritten ausschließlich aufgrund der gutgläubigen Befolgung eines EPOC oder eines EPOC-PR entstehen.
[34] Für das Beispiel von WhatsApp-Nachrichten und etwaiger Unmöglichkeit für den Diensteanbieter, unverschlüsselte Kommunikation herauszugeben, s. etwa Rückert/Meyer-Wegener/Safferling/Freiling JR 2023, 366, 371.
[35] VO (EU) 2023/1543, ErwG. 20.
[36] Auch nach Art. 5 RL (EU) 2023/1544 sind Sanktionen für den Fall vorzusehen, dass Arbeits- und Funktionsweise von Vertretern und benannten Niederlassungen oder Infrastrukturen nicht pflichtkonform sind; die Richtlinie basiert auf Art. 53 und 62 AEUV. Hierin liegt ein funktionaler Ersatz dafür, dass das Vertragsverletzungsverfahren als Druckmittel gegenüber Unternehmen ausscheidet.
[37] Topalnakos eucrim 2023, 200 f. vermutet eine Unterminierung der Prüfungsbereitschaft.
[38] S. VO (EU) 2023/1543 ErwG. 52; ausf. zum Unterrichtungssystem Christakis, in: Franssen/Tosza (Hrsg.), The Cambridge Handbook of Digital Evidence in Criminal Matters (im Erscheinen), vorab verfügbar unter: https://papers.ssrn.com/sol3/papers.cfm?abstractid=4306874, 1, 20 ff. (zuletzt abgerufen: 15. Juli 2024).
[39] Tosza CML Rev. 61 (2024), 139, 151.
[40] Tosza CML Rev. 61 (2024), 139, 163 erwartet, dass Diensteanbieter aus Geschäftsinteresse eine Kontrolle durchführen werden.
[41] VO (EU) 2023/1543, ErwG. 53.
[42] VO (EU) 2023/1543, ErwG. 52; deutsches Strafrecht ist nach § 3 StGB jedenfalls dann anwendbar, wenn der Handlungsort im Inland gelegen ist. Bei Cyberstraftaten wie §§ 202a, 202b, 202c StGB ist das der Fall, wenn der Täter die Software als Tatmittel im Inland startet, d.h. im Inland die entsprechende Hardware bedient; s.a. Werkmeister/Steinbeck wistra 2015, 209, 211. Gleiches gilt, wenn der Täter im Inland strafbare Inhalte ins Internet stellt, LK-StGB/Werle/Jeßberger, 13. Aufl. (2020), § 9 Rn. 73 ff.; explizit für die Begründung der Anwendbarkeit des Wohnsitzes s. Art. 12 Abs. 3 lit. a RL 2013/40/EU.
[43] Eine Absichtsbekundung, sich in diesem Staat niederzulassen, oder durch eine durchgehende Aufenthaltszeit erworbene Bindungen können ebenso genügen.
[44] VO 2023/1543, ErwG. 53.
[45] Christakis a.a.O. (Fn. 38), 1, 27; Tosza CML Rev. 61 (2024), 139, 150 f.
[46] Laut Tosza CML Rev. 61 (2024), 139, 149 ist das nicht zwingend. Für diese Sichtweise könnte aber allenfalls die Formulierung "where appropriate" in der englischen Fassung als Indikator dienen, während der deutsche ("macht … geltend") oder französische Text ("invoque") von einer gebundenen Entscheidung ausgehen. Mit dem Zusatz "gegebenenfalls" wird kein Beurteilungsspielraum begründet. Im Übrigen spricht auch die englische Fassung von "raise", nicht "may raise".
[47] Nach Hüttemann NZWiSt 2024, 81, 88: "Konflikte mit den Rechten von Drittstaaten, die einer Weitergabe von Daten entgegenstehen, vorprogrammiert.".
[48] s, Fn. 32.
[49] Krit. Tosza CML Rev. 61 (2024), 139, 154 f.
[50] Aus der Judikatur s. bereits zum Art. 47 Abs. 1 GRC EuGH, Urteil vom 11. November 2021, Rs. C-852/19, Gavanozov II – Rn. 59 f.
[51] S. nur am Beispiel der Unabhängigkeit der Justiz EuGH (GK), Urteil vom 22. Februar 2022, verb. Rs. C-562/21 PPU und 653/21 PPU, Openbaar Ministerie – Rn. 52 m.w.N., HRRS 2022, Nr. 462 = NJW 2022, 1299 m.Anm. Gaede ; EuGH, Urteil vom 9. November 2023, Rs.C-819/21, Staatsanwaltschaft Aachen – Rn. 29, NJW 2024, 1024, 1026.
[52] NKRechtshilfeR − IRG/Meyer, 2. Aufl. (2020), § 79 Rn. 815.
[53] S. zuletzt EGMR Wieder und Guarnieri vs. Vereinigtes Königreich, Urteil vom 12. September 2023, § 94 = NVwZ 2024, 1489, 1492.
[54] Skeptisch Tosza CML Rev. 61 (2024), 139, 151. Für die größten Diensteanbieter werden die Vollstreckungsbehörden in der Regel mit Ersuchen zu Bürgern anderer Länder konfrontiert sein.
[55] Statt vieler Mitsilegas Maastricht Journal of European and Comparative Law 2018, 263, 264 f.
[56] Kritisch und mit Vergleich zur EEA-RL Kiejnich-Kruk NJECL 2024, 126, 134 f.
[57] Geprüft wird dann die Rechtmäßigkeit inkl. Notwendigkeit und Verhältnismäßigkeit. Praktisch kann sich die Prüfung als schwierig erweisen, wenn dazu eine Sichtung der Daten und eine Abklärung von Rechtskollisionen nötig ist.
[58] Dazu Esser StraFo 2019, 404, 409.
[59] Zur Notwendigkeit der Lückenschließung auch Hüttemann NZWiSt 2024, 81, 93.
[60] Grützner/Pötz/Kreß/Gazeas/Brodowski-IRG/Vogel/Burchard, 120. Lieferung (7/2017), Vor § 1 Rn. 38 f.; monographisch Stoffer, Wie viel Privatisierung "verträgt" das strafprozessuale Ermittlungsverfahren? (2016).
[61] So bereits Meyer, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, 8. Aufl. (im Erscheinen), AEUV Art. 82.
[62] S. bereits Stoffer, a.a.O. (Fn. 60), S. 275 ff., 313 ff., 358 ff.; rechtsvergleichend s. Godenzi, Private Beweisbeschaffung im Strafprozess (2008), S. 170 ff.
[63] Tosza CML Rev. 61 (2024), 139, 142 nennt auch digitale Dienstleistungen; ferner mit ausführlicher Analyse ders. Computer Law & Security Review 43 (2021), 1, 12 f., 15 f.
[64] Tosza spricht jedoch von einem neuen Modell gegenseitiger Anerkennung, CML Rev. 61 (2024), 139, 156, 160 ff.
[65] Böse kritisiert, dass die VO auf Art. 82 Abs. 1 AEUV gestützt wurde; An assessment of the Commission’s proposals on electronic evidence, S. 36, verfügbar unter: https://www.europarl.europa.eu/thinktank/en/document/IPOL_STU(2018)604989 (zuletzt abgerufen: 15. Juli 2024); sehr krit. auch Tosza CML Rev. 61 (2024), 139, 155 ff.; s. auch Ligeti / Robinson, FS Höpfel, S. 625, 642; Burchard ZIS 2018, 249, 261.
[66] Um ein System der (letztlich auch nicht mehr gegenseitigen) Anerkennung durch Private handelt es sich nicht.
[67] Vgl. kritisch bereits zum Kommissionentwurf Jähnke JZ 2021, 23, 25; in dieser Richtung auch Sarkowicz mit Hinweis auf die Verletzung von "constitutive features of the principle of mutual recognition of judicial decisions", Zbornik radova Fakulteta pravnih nauka 2023, 74, 87.
[68] Kritisch auch Topalnakos eucrim 2023, 200 f.: "The characteristics of the new Regulation on European Production and Preservation Orders as described make it clear that the framework established by it, with Art. 82 TFEU as its legal basis, has fundamentally altered the essence of this provision of EU primary law, which aims to facilitate the judicial cooperation between states guided by principles of review and transparency and not between states and private entities, where critical factors, such as mutual recognition, are lacking."
[69] Zu den Grundlagen des Prinzips statt vieler Meyer EuR 2017, 163 m.w.N.