Auch Kriminelle nutzen die Cloud und das Internet. Ob sie nun Dokumente speichern, sich per Chat verabreden, Videos posten oder einfach nur im Netz surfen. Bislang ist es für Ermittlungsbehörden äußerst schwierig, an Daten zu kommen, die auf Servern in anderen Ländern gespeichert sind. Damit sind einige Konsequenzen verbunden.

Diesen Begriff werden wir in Zukunft wohl öfter hören und lesen: E-Evidence-Verordnung. Dahinter steckt ein Plan der EU-Kommission, die Sicherheitsbehörden – also etwa Polizei, Justiz, Verfassungsschutz – in allen europäischen Ländern einen mehr oder weniger unkomplizierten Zugriff auf Cloud-Daten in Europa ermöglichen will. Und zwar völlig unbürokratisch: Die Anordnung eines Gerichts reicht – schon müssten die Daten herausgegeben werden.

Verordnung soll die Arbeit von Ermittlern vereinfachen

Klingt erst mal vernünftig und sinnvoll. Will man zum Beispiel einer Wiener Polizeibehörde zumuten, dass sie in Frankreich, Deutschland, Ungarn und Portugal um Amtshilfe bittet, weil ein Verdächtiger auf verschiedenen Servern in diesen Ländern Daten gespeichert hat? Es dauert oft zehn Monate und mehr, bevor so ein Amtshilfeersuchen Wirkung zeigt und die begehrten Daten oder Dokument ausgeliefert werden. Das muss schneller gehen, denkt sich die EU-Kommission (und hat natürlich Recht).

So weit, so verständlich. Nur herrscht in Europa keine einheitliche Rechtssprechung. Was in Polen verboten ist, das ist in Deutschland erlaubt – und umgekehrt. Abtreibung zum Beispiel ist in Polen verboten. Nun könnten polnische Behörden dank E-Evidence die Daten von Kliniken in Deutschland beschlagnahmen, die Abtreibungen durchführen. Ein folgenreiches Risiko. Andere befürchten, dass auf diese Weise Journalisten oder Politiker ausspioniert werden. Man stelle sich vor, die Türkei wäre EU-Mitglied. Da müssten nicht wenige in Deutschland lebende Türken Schlimmstes befürchten.

Es mangelt an rechtsstaatlichen Standards

So, wie die E-Evidence-Verordnung geplant ist, kann man nur den Kopf schütteln. Deutsche Behörden würden bestenfalls über das Abrufen der Daten und Dokumente informiert, könnten aber nichts dagegen unternehmen. Deshalb schlagen Kritiker Alarm: Wenn von Rechtsstaatlichkeit die Rede sein soll, müssen die Behörden vor Ort zumindest ein Veto-Recht haben. Beschleunigen. Ja. Aber es braucht ein Vier-Augen-Prinzip.

Solche Pläne bringen die ansonsten gute Idee für eine EU-Cloud Gaia-X im Misskredit. Wer würde unter solchen Umständen einer europäischen Cloud vertrauen? Wo wäre der Vorteil gegenüber US-Anbietern? Das Cloud-Gesetz muss rechtsstaatlichen Standards genügen, verlangen Datenschützer – und auch netzpolitik.org.

Meine Prognose: Anbieter, die Daten und Dokumente ausschließlich verschlüsselt speichern, haben schon bald Hochkonjunktur.