Die EU hat eine Vorlage zu einer „Daten-Machtergreifung“ vorgelegt

.

.

Ein totalitärer Überwachungsstaat ist nicht schwer zu erkennen. Er zeichnet sich in der Regel durch die Auferlegung einer Zensur durch die Regierung eines Landes gegenüber einer großen Anzahl von Bürgern und Besuchern dieses Landes aus. Eine solche umfassende Überwachung wird in der Regel mit der Notwendigkeit gerechtfertigt, Kriminalität und/oder Terrorismus zu verhindern. Mit der Ausweitung des Umfangs staatlicher Überwachung gehen auf der anderen Seite aber auch zunehmende Bedenken hinsichtlich des Rückgangs der Privatsphäre und der bürgerlichen Freiheiten einher, sowie wie Befürchtungen, daß solche Maßnahmen zu einer zunehmenden Abhängigkeit von Männern in der Exekutivgewalt und damit zu der Möglichkeit einer übermäßigen Tyrannei gegenüber den Bürgern führen könnten. Die ehemalige Sowjetunion und die DDR lassen grüßen.

Nun wurde bekannt, daß eine völlig einseitig besetzte und ohne echte Transparenz und ohne demokratische Legitimation arbeitenden Geheimgruppe von Überwachungsfanatikern hinter verschlossenen Türen einen 42 Punkte umfassenden Vorschlag ausgeklügelt hat, der offenbar genau so einen totalitären Überwachungsstaat zur Folge haben wird.

Bei den Vorschlägen handelt es sich um einen frontalangriff auf jede Art von Privatsphäre der Bürger der EU. Damit wird aber auch die EU als Wirtschaftsstandort angegriffen, wenn sich die EU durchsetzt und alle Hersteller von z.B. Smartphones dazu zwingt, den Behörden einen Zugang zu ihrem Telefon zu ermöglichen.

Die ebenfalls geplante Internet-Vorratsdatenspeicherung würde das Recht auf Anonymität im Netz ebenso zerstören, da sie nichts mehr und nichts weniger ist, als eine Klarnamenpflicht, wenn man den virtuellen Raum betritt. Auf das reale Leben bildlich übertragen hätte das zur Folge, daß wenn jemand aus der Haustüre hinaus in den realen Raum hinausgeht, sich seinen Namen ans Revers hängen müsste, um so die Kriminalitätsbekämpfung nicht zu stören.

Im Kern sind die Pläne der EU daher ein maßloser und noch nicht dagewesener Schritt in eine vollüberwachte Gesellschaft. Jede Handlung,  jede Bewegung und jede Kommunikation der Bürger soll jederzeit einsehbar werden und nur durch formale Schranken abgeschirmt werden, die aber durch Gerichte auf Antrag hochgehoben werden können, die wohl – wie aktuell bereits bei Hausdurchsuchungen – einfach durchgewunken werden dürften.

Die Überwacher selbst wollen bei ihrem Treiben natürlich nicht beobachtet und auch nicht kontrolliert werden.

.

In Folge übersetzen wir das originale EU-Dokument und markieren Stellen, die aus unserer Sicht zentral sind. Außerdem haben wir Überschriften eingefügt, um den Text besser lesbar zu machen. Dies stammt also von uns, während der Text selbst von der EU stammt und durch uns vom Übersetzungsprogramm unverändert übernommen wurde und daher unverändert geblieben ist. Die Fußnoten haben wir nicht übernommen, denn diese  können im Originaldokument eingesehen werden.

.

Das Vorgehen der EU-Kommission

Auf dem informellen Treffen der Justiz- und Innenminister am 26. Januar 2023 erörterten die Minister unter dem Tagesordnungspunkt „Going Dark“ die Herausforderungen, vor denen Justiz- und Strafverfolgungsbehörden stehen, wenn sie im digitalen Zeitalter auf relevante Daten zugreifen wollen, um die Kriminalität zu bekämpfen.

Die Minister bekundeten breite Unterstützung für den Vorschlag des Vorsitzes, ein neues Forum einzurichten, in dem alle relevanten Akteure zusammenkommen, um gemeinsam und umfassend an der Frage des wirksamen Zugangs zu Daten für die Strafverfolgung zu arbeiten. Sie beauftragten den

• Ständigen Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit (COSI), die Angelegenheit voranzutreiben. Nachdem der COSI ein Rahmenpapier für die Einrichtung einer
• hochrangigen Gruppe (HLG) zum Zugang zu Daten für eine wirksame Strafverfolgung1

gebilligt hatte, setzte die Kommission die HLG mit Beschluss der Kommission vom 6. Juni 2023 ein.

Die „hochrangige Gruppe (HLG)“

Den Vorsitz der HLG, die sich aus Experten

• der Mitgliedstaaten,
• der Kommission,
• einschlägiger EU-Einrichtungen und -Agenturen sowie d
• em EU-Koordinator für Terrorismusbekämpfung

zusammensetzt, führen der jeweils wechselnde Ratsvorsitz und die Kommission gemeinsam.

Ziel der HLG ist die Schaffung einer kollaborativen und integrativen Plattform, um Vorbehalte zu überwinden und auf allgemein akzeptierte Lösungen hinzuarbeiten.

Zudem soll sie dazu beitragen, dass die Perspektive der Strafverfolgung, einschließlich der Anforderungen an Privatsphäre und Datenschutz, in alle relevanten Strategien und Maßnahmen der EU integriert wird.

Vier Plenarsitzungen der HLG

Vier Plenarsitzungen der HLG fanden in Brüssel statt: am

• 19. Juni 2023,
• 21. November 2023,
• 1. März 2024 und
• 21. Mai 2024.

Am 20. Februar 2024 fand eine öffentliche Konsultationssitzung statt, um eine breite Ansprache verschiedener Interessenträger zu ermöglichen. Um Transparenz zu gewährleisten, hat die Kommission eine spezielle Website eingerichtet, auf der sie über die HLG und ihre Arbeitsweise informiert und ihre relevanten Dokumente der Öffentlichkeit zugänglich macht.

Die Arbeit der HLG-Plenarsitzung wurde von drei Arbeitsgruppen unterstützt, die sich aus Experten zusammensetzten und sich mit

1. dem Zugriff auf Daten auf dem Gerät eines Benutzers,
2. dem Zugriff auf Daten im System eines Anbieters und
3. dem Zugriff auf Daten während der Übertragung befassten.

Der „Ständige Ausschuss für die operative Zusammenarbeit im Bereich der inneren Sicherheit“ (COSI)

Der COSI wurde bei den Sitzungen am 5. Oktober 2023, 22. November 2023 und 9. April 2024 über den aktuellen Stand der HLG informiert.

Im Einklang mit dem Scoping-Papier hat die Gruppe Empfehlungen für die Weiterentwicklung der Politik und Gesetzgebung der Union ausgearbeitet, um den Zugang zu Daten für eine wirksame Strafverfolgung zu verbessern.

Die im ANHANG aufgeführten 42 Empfehlungen der HLG spiegeln nur die Ansichten der Experten wider und stellen nicht die Position des Rates oder der Kommission dar. Sie sind in drei Blöcke unterteilt:

1. Maßnahmen zum Kapazitätsaufbau,
2. Zusammenarbeit mit der Industrie und Standardisierung und
3. Gesetzgebungsmaßnahmen.

Die Arbeit der HLG wird mit der Ausarbeitung eines Abschlussberichts fortgesetzt, der auf den Empfehlungen aufbaut und diese detailliert. Der Abschlussbericht soll bei einer weiteren Plenarsitzung der HLG im Herbst 2024 erörtert werden.

Die Empfehlungen der HLG werden dem COSI zur Kenntnis gebracht, um einen Meinungsaustausch beim JI-Rat am 13. und 14. Juni 2024 vorzubereiten.

Fragen

• Welche von der HLG identifizierten dringendsten Probleme sollten beim Meinungsaustausch des JI-Rats am 13. und 14. Juni 2024 besondere politische Aufmerksamkeit erhalten?
• Sehen Sie von der HLG identifizierte Empfehlungen („leicht zu erreichende Ziele“), die sofort weiterverfolgt oder angestoßen werden sollten?
• Haben Sie Leitlinien für die weitere Arbeit zum Datenzugriff für eine wirksame Strafverfolgung im Hinblick auf die Operationalisierung und Umsetzung der von der HLG identifizierten Empfehlungen?

.

Die Empfehlungen der „hochrangigen Gruppe“ zum Zugang zu Daten für eine wirksame Strafverfolgung

Die geäußerten Meinungen sind ausschließlich die der Experten und sollten nicht als repräsentativ für die offizielle Position der Europäischen Kommission angesehen werden. Einleitung

Präambel

Die Europäische Union bildet einen Raum der Freiheit, der Sicherheit und des Rechts, in dem die Grundrechte und die unterschiedlichen Rechtssysteme und -traditionen der Mitgliedstaaten geachtet werden.2

Sie ist bestrebt, durch Maßnahmen zur Verhütung und Bekämpfung schwerer und organisierter Kriminalität, einschließlich der Stärkung der grenzüberschreitenden Strafverfolgung und der justiziellen Zusammenarbeit3, ein hohes Maß an Sicherheit zu gewährleisten, wobei jegliche Eingriffe in die nationale Sicherheit ausgeschlossen sind, die in die ausschließliche Zuständigkeit der Mitgliedstaaten fallen.

Ziel

Um einen wirksamen Ansatz zur Bekämpfung der Kriminalität und anderer Herausforderungen im Zusammenhang mit der Aufrechterhaltung eines hohen Sicherheitsniveaus zu gewährleisten, müssen die Strafverfolgungsbehörden in der Lage sein, ihre Aufgaben wirksam und rechtmäßig und unter voller Achtung der Grundrechte auszuführen, um Straftaten zu verhindern, aufzudecken und zu untersuchen und ihre Verfolgung sicherzustellen, der Gerechtigkeit im allgemeinen Interesse und insbesondere im Interesse der Opfer zu dienen und die öffentliche Sicherheit zu schützen.

Angebliches Problem: Zugriff auf Daten

In den letzten Jahren hat sich der Zugriff auf Daten für Strafverfolgungszwecke trotz der Erstellung, Übertragung und Speicherung immer größerer Datenmengen als eine zentrale Herausforderung für die Durchführung von Ermittlungen und Strafverfolgungen bei Straftaten sowie für die wirksame Durchsetzung von Gesetzen herausgestellt. Die EU hat strenge Vorschriften erlassen, um den grenzüberschreitenden Zugriff auf elektronische Beweismittel zu erleichtern (die „EU-Vorschriften für elektronische Beweismittel“).4

Das Fehlen von Verpflichtungen zur Datenaufbewahrung wirkt sich jedoch negativ auf die Wirksamkeit der Vorschriften für elektronische Beweismittel aus, da nicht garantiert werden kann, dass alle Informationen, die europäischen Sicherungs- oder Herausgabeanordnungen unterliegen, einschließlich Verkehrsdaten, Daten, die ausschließlich zum Zweck der Identifizierung des Benutzers angefordert werden, und Teilnehmerdaten, verfügbar sind.

Darüber hinaus decken die EU-Vorschriften für elektronische Beweismittel nur Daten ab, die sich im Besitz von Dienstanbietern befinden, und gehen nicht auf die Herausforderung der Verschlüsselung ein.

Ohne operative Maßnahmen für einen rechtmäßigen Zugriff auf Daten besteht daher die Gefahr, dass dies nicht ausreicht, um eine wirksame Strafverfolgung zu gewährleisten.

Was bedeutet „Datenzugriff“?

Für die Zwecke dieses Dokuments wird unter Datenzugriff ein Zugriff verstanden, der den Strafverfolgungsbehörden gewährt wird, vorbehaltlich einer vorab erteilten richterlichen Genehmigung, wenn erforderlich, für Zwecke der strafrechtlichen Ermittlungen und von Fall zu Fall. In Fällen, in denen eine solche gerichtliche Genehmigung aufgrund der Sensibilität der betreffenden Daten erforderlich ist, stellt sie in der Regel einen integralen Bestandteil des geltenden rechtlichen und operativen Rahmens dar. Der Zugriff auf die Daten muss unter voller Achtung der Grundrechte sowie der Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und der Urteile des Europäischen Gerichtshofs für Menschenrechte zu diesen Fragen und unter Einhaltung der geltenden Verfahrensgarantien erfolgen.

Bisherige Versuche den Datenzugriff zu erreichen

Diese Herausforderung steht schon lange auf der politischen Agenda. Unter anderem haben der Europäische Rat, der Rat,5 das Europäische Parlament,6 der EuGH und die EU-Agenturen mehrfach verschiedene rechtliche und politische Aspekte des Zugangs zu

• elektronischen Kommunikationsdaten, einschließlich
• Verkehrs- und
• Standortdaten (Metadaten), und
• allgemeiner zu elektronischen Beweismitteln

erörtert und Schlussfolgerungen dazu formuliert. Bereits in seinen Schlussfolgerungen vom 22. und 23. Juni 20177 forderte der Europäische Rat, „die Herausforderungen anzugehen, die sich durch Systeme ergeben, die Terroristen eine Kommunikation auf eine Art und Weise ermöglichen, auf die zuständige Behörden keinen Zugriff haben, einschließlich Ende-zu-Ende-Verschlüsselung, und gleichzeitig die Vorteile dieser Systeme für den Schutz der Privatsphäre, der Daten und der Kommunikation zu wahren“, und betonte, dass „ein wirksamer Zugang zu elektronischen Beweismitteln für die Bekämpfung schwerer Kriminalität von entscheidender Bedeutung ist“.

Die offiziellen Narrative

Die EU-Strategie zur Bekämpfung der organisierten Kriminalität 2021–2025 betont, wie wichtig der Zugang zu elektronischen Kommunikationsdaten für die Bekämpfung der organisierten Kriminalität und die Anpassung von Strafverfolgung und Justiz an das digitale Zeitalter ist.8 Der Zugang zu Daten ist auch für alle EMPACT-Prioritäten im Kampf gegen schwere und organisierte Kriminalität für 2022–2025 von zentraler Bedeutung.9 In der EU-Strategie für eine Sicherheitsunion heißt es, dass die Kommission Maßnahmen zur Stärkung der Strafverfolgungskapazitäten bei digitalen Ermittlungen prüfen wird.10 Im Jahr 2023 legte die schwedische Ratspräsidentschaft das Dokument „Strafverfolgung – Operativer Bedarf an rechtmäßigem Zugang zur Kommunikation (LEON11)“ vor, das eine umfassende Liste der operativen Anforderungen der Strafverfolgungsbehörden in Bezug auf Kommunikationsnetze und -dienste enthält.12

.

Die Gruppe für den Zugang zu Daten im Interesse einer wirksamen Strafverfolgung (HLG)

Um mögliche Wege nach vorn zu ermitteln, hat die schwedische Präsidentschaft in Zusammenarbeit mit den nachfolgenden spanischen und belgischen Präsidentschaften im Juni 2023 die Hochrangige Gruppe für den Zugang zu Daten im Interesse einer wirksamen Strafverfolgung (HLG) ins Leben gerufen, die sich aus

• hochrangigen Vertretern der Mitgliedstaaten, der
• Kommission, der
• einschlägigen Organe und
• Einrichtungen der EU sowie dem
• EU-Koordinator für die Terrorismusbekämpfung

zusammensetzt.13 Den Vorsitz der Gruppe führen die Kommission und die rotierende Präsidentschaft des Rates der EU gemeinsam. Sie hat sich mit den Herausforderungen befasst, mit denen Strafverfolgungspraktiker in der Union in ihrer täglichen Arbeit im Zusammenhang mit dem Zugang zu Daten konfrontiert sind, und potenzielle Lösungen und Empfehlungen zu deren Überwindung ermittelt. Ziel ist es, die Verfügbarkeit wirksamer Strafverfolgungsinstrumente zur Kriminalitätsbekämpfung und zur Verbesserung der öffentlichen Sicherheit im digitalen Zeitalter unter uneingeschränkter Achtung der Grundrechte zu gewährleisten.

Mangel an effektivem Datenzugriff?

Im Laufe ihrer Arbeit hat die HLG zahlreiche Beweise für den anhaltenden – wenn nicht sogar wachsenden – Mangel an effektivem Datenzugriff gefunden und wiederholt darauf hingewiesen. Darüber hinaus werden durch gezielte Konsultationen weiterhin weitere Beweise gesammelt. Digital generierte, verarbeitete oder gespeicherte Kommunikationsdaten (sowohl Metadaten als auch Inhaltsdaten) sind ein wichtiger Bestandteil moderner strafrechtlicher Ermittlungen.14 Da Kriminelle immer mehr auf Onlinedienste angewiesen sind, haben sich die Datenanfragen an Onlinedienstanbieter zwischen 2017 und 2022 verdreifacht.15

Angebliche Probleme

Die HLG ist der Ansicht, dass die Strafverfolgungsbehörden vor zunehmenden operativen Herausforderungen stehen, wenn sie versuchen, rechtmäßig auf digital generierte, verarbeitete oder in einem lesbaren Format gespeicherte Daten zuzugreifen. 47 % der Teilnehmer der jüngsten jährlichen Umfrage des SIRIUS-Projekts zum grenzüberschreitenden Zugang zu elektronischen Beweismitteln nannten die fehlende Vorratsdatenspeicherung als größte Herausforderung, mit der sie konfrontiert waren,16 und bereits 2018 wurde geschätzt, dass bis 2019 mehr als 22 % der weltweiten Nachrichten Ende-zu-Ende verschlüsselt und für die Strafverfolgungsbehörden unzugänglich sein würden.17 Die HLG stellte fest, dass das Fehlen eines angemessenen Rechtsrahmens für die rechtmäßige Überwachung nicht traditioneller Telekommunikationsdienste auch erhebliche Folgen für die Strafverfolgung hat: Mehr als 90 % der Nachrichten werden über solche Over-The-Top-Dienste (OTT) übertragen.

.

Empfehlungen

Um diese Herausforderungen zu bewältigen, hat die HLG strategische, zukunftsorientierte Empfehlungen formuliert, um aktuelle und erwartete Herausforderungen vor dem Hintergrund technologischer Entwicklungen anzugehen und einen umfassenden EU-Ansatz zur Gewährleistung des Datenzugangs für eine wirksame Strafverfolgung zu ermöglichen. Diese Empfehlungen wurden von den Experten der Arbeitsgruppen der HLG formuliert, die von den Mitgliedstaaten und den zuständigen EU-Organen und -Agenturen ausgewählt wurden. Zu den Experten zählten vor allem Vertreter von Strafverfolgungs- und Justizbehörden, aber auch Cybersicherheitsexperten und Datenschutzexperten.

Die in diesem Bericht enthaltenen Empfehlungen wurden rund um die drei Anwendungsfälle formuliert, um die sich die Arbeitsgruppen organisierten. Die Empfehlungen wurden unter dem jeweiligen Arbeitsbereich zusammengefasst und von der HLG auf ihrer 4. Plenarsitzung am 21. Mai gebilligt.

Haupttreiber der Empfehlungen
Die oben wiedergegebenen Beiträge sowie ausführliche Diskussionen in drei HLG-Plenarsitzungen, neun Expertengruppensitzungen, einer öffentlichen Konsultationssitzung und schriftliche Beiträge ermöglichten die Identifizierung der Haupttreiber der Probleme, die den oben genannten Herausforderungen zugrunde liegen und eine Begründung für die Empfehlungen liefern.

In Bezug auf den Zugriff auf Daten, die auf dem Gerät eines Benutzers gespeichert sind, identifizierte die HLG als Hauptprobleme: den Mangel an grenzüberschreitender Zusammenarbeit der Strafverfolgungsbehörden hinsichtlich der gemeinsamen Nutzung digitaler forensischer Tools; die unzureichende Zusammenarbeit zwischen den Strafverfolgungsbehörden und den entsprechenden Anbietern, Herstellern und Lieferanten von Hardware und Software, die den Zugriff auf die Daten im Klartext behindert; die Schwierigkeit, rechtmäßigen Zugriff auf das Gerät eines Benutzers zu erhalten und, falls Zugriff möglich ist, die verfügbaren Daten und Metadaten zu extrahieren und zu entschlüsseln, um verständliche Informationen zu erhalten, die für Ermittlungen von Nutzen sein und vor Gericht als zulässiges Beweismittel vorgelegt werden können.

Die HLG ist der Ansicht, dass das Tempo der technologischen Entwicklungen im Zusammenhang mit der Verschlüsselung von Informationen auf Geräten so schnell voranschreitet, dass vorhandene Entschlüsselungstools und -techniken unwirksam werden. Dies gilt insbesondere in Fällen, in denen Verdächtige und organisierte kriminelle Gruppen speziell entwickelte Kommunikationsgeräte und -netzwerke verwenden. Die zum Entschlüsseln von aus Geräten extrahierten Daten erforderliche Zeit ist ebenfalls ein erhebliches Problem: Experten berichteten, dass dies in einigen Fällen bis zu zwei Jahre dauern kann. Der Schwierigkeitsgrad beim Entschlüsseln maßgeschneiderter Geräte, die ausschließlich für kriminelle Zwecke entwickelt und vermarktet wurden, ist sogar noch höher und stellt die Abteilungen für digitale Forensik in den Mitgliedstaaten vor weitere Herausforderungen.

Es ist jedoch wichtig, dass technische Lösungen, die es den Behörden ermöglichen, ihre Ermittlungsbefugnisse zu nutzen, alle Vorteile der Verschlüsselung aus Gründen des Datenschutzes, der Privatsphäre, der Cybersicherheit und der nationalen Sicherheit bewahren. Dieses Prinzip der „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ war ein zentraler Grundsatz der HLG-Diskussionen, und künftige technische Lösungen oder Tools, die entwickelt werden, dürfen nicht dazu führen, dass die Verschlüsselungstechnologien für die Kommunikation anderer Benutzer, die nicht der Maßnahme des rechtmäßigen Zugriffs unterliegt, geschwächt oder untergraben werden.

Ein zentrales Problem, das von der HLG angesprochen wurde, ist der Mangel an Mechanismen für die grenzüberschreitende Zusammenarbeit der Strafverfolgungsbehörden hinsichtlich der gemeinsamen Nutzung digitaler forensischer Tools zwischen den Mitgliedstaaten, da diese oft unterschiedliche Lösungen für ähnliche technische Probleme bieten. Obwohl Europol ein internes Repository für Tools betreibt, auf das die nationalen Strafverfolgungsbehörden zugreifen und das sie verwenden können, haben die Mitgliedstaaten wahrscheinlich Zugang zu weiteren Tools und maßgeschneiderter Entschlüsselungssoftware. Sie verzichten jedoch darauf, diese gemeinsam zu nutzen, entweder aufgrund mangelnden Vertrauens und mangelnder Kommunikation zwischen den zuständigen Abteilungen für digitale Forensik oder weil ihnen dies gesetzlich untersagt ist, oft aufgrund nationaler Sicherheitsbedenken.

Empfehlung 1

Die HLG stimmte darin überein, dass Netzwerke wie das Europäische Netzwerk forensischer Institute (ENFSI18), das sich der Koordinierung und dem Wissensaustausch digitaler forensischer Methoden, Werkzeuge und bewährter Verfahren widmet, für Praktiker der digitalen Forensik in der gesamten EU von entscheidender Bedeutung sind. Solche Netzwerke gibt es bereits, aber um die Kommunikation und Zusammenarbeit zwischen den Abteilungen für digitale Forensik verschiedener Mitgliedstaaten zu verbessern, sollten sie weiter unterstützt und kartiert werden, um sowohl den Wissens- als auch den Werkzeugaustausch zu fördern19, unterstützt durch ein zentrales System.

Empfehlung 3; 4

Die HLG betonte außerdem, dass die Kosten kommerzieller digitaler forensischer Tools ein erhebliches Hindernis für die Mitgliedstaaten darstellten und dass auf EU-Ebene weitere Forschung und Tool-Entwicklung betrieben werden sollten und bereits vorhandene Mechanismen wie die European Anti Cybercrime Technology Development Association (EACTDA) und das Europol Tool Repository für ihre Verbreitung genutzt werden sollten.20

Empfehlung 5

Die Evaluierung und Zertifizierung kommerziell erhältlicher Tools war ein weiterer wiederkehrender Diskussionspunkt21, und die HLG war sich weitgehend einig, dass ein Mechanismus oder System erforderlich sei, um sicherzustellen, dass derartige Tools den Rechenschafts- und Forensikstandards innerhalb der Union entsprechen. Evaluierung und Zertifizierung sind erforderlich, um zu gewährleisten, dass Technologien die Vertrauenswürdigkeitsanforderungen erfüllen (z. B. Anforderungen an die Datenintegrität während des gesamten digitalen forensischen Prozesses), unabhängig davon, ob der Hersteller innerhalb oder außerhalb der EU ansässig ist.

Empfehlung 12

Zu den von der HLG identifizierten Problemen gehörte auch eine Abnahme der Kommunikation zwischen den Strafverfolgungsbehörden und den Anbietern und Lieferanten von Hard- und Software. Infolgedessen haben die Strafverfolgungsbehörden Schwierigkeiten, mit der Industrie zusammenzuarbeiten, um Zugriff auf Daten auf beschlagnahmten Geräten zu erhalten. Die HLG stellte fest, dass mangelndes Wissen die Interaktionen der Strafverfolgungsbehörden mit Herstellern von Hard- und Software beeinträchtigt. Die abnehmende Kommunikation zwischen den Strafverfolgungsbehörden und der Industrie führte auch zur Einführung von weniger Protokollen für den rechtmäßigen Zugriff auf Daten auf den Geräten der Benutzer. Die HLG legte dar, dass die mangelnde Beteiligung der Strafverfolgungsbehörden an den Standardisierungsgremien die Möglichkeit beeinträchtigt, Produktprotokolle und technische Architektur so zu gestalten, dass ihre Bedenken und technischen Anforderungen bei der Entwicklung künftiger technologischer Standards frühzeitig berücksichtigt werden.22

Empfehlung 25

Ein letztes wichtiges Thema, das von der HLG angesprochen wurde, war, dass sich fehlende Verpflichtungen der Industrie zur Zusammenarbeit mit den Strafverfolgungsbehörden bei Anfragen nach Daten, die auf den Geräten der Benutzer gespeichert sind, in Ermangelung freiwilliger Zusammenarbeit negativ auf ihre Fähigkeit auswirken, gründliche Untersuchungen durchzuführen. Sie stellten fest, dass es an einem umfassenden Überblick über die bestehenden Verpflichtungen auf Ebene der Mitgliedstaaten mangelt.23

Was den Zugriff auf Daten im System eines Dienstanbieters betrifft, dreht sich das erste Hauptproblem, mit dem die Strafverfolgungsbehörden konfrontiert sind, um Diskrepanzen zwischen den nationalen Rechtsrahmen, die die Speicherung von Daten in den Systemen der Anbieter und die Dauer dieser Speicherung regeln.

Experten betonten insbesondere, dass es derzeit in der gesamten EU keinerlei Harmonisierung der Gesetzgebung zur Vorratsdatenspeicherung gibt und dass es schwierig ist, die vom EuGH genannten Kriterien zu erfüllen, die die allgemeine und wahllose Speicherung von Verkehrs- und Standortdaten unter bestimmten Umständen auf die Bekämpfung schwerwiegender Sicherheitsbedrohungen beschränken und die gezielte Speicherung solcher Daten nur zur Bekämpfung schwerer Straftaten zulassen. Insbesondere erweist sich das Konzept der gezielten Datenspeicherung für die Mitgliedstaaten als sehr schwierig umzusetzen, zum Teil auch, weil einige der Kriterien auf der Grundlage von Technologien entwickelt wurden, die sich seit der Urteilsverkündung weiterentwickelt haben,24 und es weiterhin Unklarheit darüber gibt, auf welche Arten von Daten für nicht schwerwiegende Straftaten zugegriffen werden kann

Die HLG war der Ansicht, dass ein harmonisierter Ansatz zur Vorratsdatenspeicherung auf EU-Ebene für wirksame Ermittlungen, insbesondere in grenzüberschreitenden Fällen, und für die Zulässigkeit von Beweismitteln vor Gericht unverzichtbar sei. Sie diskutierten auch, wie sich das Fehlen von Verpflichtungen zur Vorratsdatenspeicherung auf die Wirksamkeit der neuen Vorschriften zur elektronischen Beweismittelverwendung auswirken kann, da Verkehrsdaten, die europäischen Sicherungs- oder Herausgabeanordnungen unterliegen, möglicherweise nicht verfügbar sind.

Empfehlung 27

Die HLG teilte die Ansicht, dass jede Lösung für die aktuellen Herausforderungen technologieneutral sein muss, um künftige technische Entwicklungen abzudecken. Betont wurde die Notwendigkeit, dass solche Lösungen Verpflichtungen für alle Dienstanbieter, einschließlich OTTs, schaffen, die gezwungen werden sollten, auf Anfragen von Strafverfolgungsbehörden zu antworten und hinsichtlich der Daten, die sie für Geschäftszwecke sammeln, transparenter zu sein. Ein solches System könnte durch Gesetze oder Soft-Law-Maßnahmen erreicht werden, wobei erstere bevorzugt werden.25

Angesichts der Rechtsprechung zur Vorratsdatenspeicherung diskutierte die HLG die praktische Anwendung der gezielten Vorratsdatenspeicherung und betonte die Schwierigkeiten bei der Umsetzung der Anforderungen des Gerichtshofs (d. h. gezielte Vorratsdatenspeicherung auf der Grundlage geografischer Kriterien und Personenkategorien). Die Umsetzung der Anforderungen des Gerichtshofs wurde von den Experten im Hinblick auf die Grundrechte (aufgrund der Diskriminierung bestimmter Personenkategorien oder Standorte), aus operativer Sicht – da eine gezielte Datenerhebung die Möglichkeit zum Zugriff auf wichtige Informationen für Ermittlungen drastisch einschränkt – und aus Sicht der technischen Umsetzung für die Betreiber als problematisch erachtet. In Anbetracht dieser Erwägungen erklärten viele Experten, dass sich ein EU-System nicht nur auf die Vorratsdatenspeicherung, sondern auch auf den Zugang konzentrieren sollte. Insbesondere waren einige Experten der Ansicht, dass die Differenzierung der Fristen für den Zugriff auf gespeicherte Daten auf der Grundlage von Kriminalitätskategorien das einzige Kriterium für die Regelung von Systemen zur Vorratsdatenspeicherung sein sollte und dass Lösungen für einen sehr gezielten Zugriff auf der Grundlage anderer Kriterien konzipiert werden sollten.26

Empfehlung 29

Andere Experten äußerten jedoch Bedenken, inwieweit diese Maßnahmen mit der Rechtsprechung des EuGH vereinbar seien, da die Rechtsprechung des EuGH sowohl für die Vorratsdatenspeicherung als auch für den Datenzugriff gilt.

Empfehlung 17.v

Zu den identifizierten Problemen gehören auch Schwierigkeiten der Strafverfolgungsbehörden im Zusammenhang mit der Art der von den Dienstanbietern gespeicherten Metadaten. Wo gesetzliche Verpflichtungen bestehen, lassen sie den Kommunikationsdienstanbietern manchmal Flexibilität hinsichtlich der Art der zu speichernden Metadaten. Dies führt zu einer Vielzahl verfügbarer Daten mit unterschiedlichem Nutzen als Ermittlungsansätze. Die HLG war der Ansicht, dass die EU von den Betreibern Mindestwerte für die Speicherung (zumindest der zur Identifizierung eines Benutzers erforderlichen Daten) verlangen sollte, die den Betreibern auf EU-Ebene auferlegt werden müssten.27

Empfehlung 27.iii

Die HLG stimmte auch darin überein, dass Dienstanbieter, die verschlüsselte Dienste anbieten, verpflichtet werden müssen, Mittel und Wege zu finden, um Daten auf rechtmäßige Anfrage von Strafverfolgungs- und Justizbehörden in verständlicher Weise bereitzustellen.28

Die Abkehr von traditionellen Kommunikationsanbietern hin zur Nutzung von OTTs ist ein Hauptgrund für die Schwierigkeiten, mit denen Strafverfolgungsbehörden konfrontiert sind, wenn sie versuchen, auf Daten zuzugreifen, die in den Systemen der Dienstanbieter gespeichert sind. Während OTTs in den Geltungsbereich des Europäischen Kodex für die elektronische Kommunikation (EECC) fallen, unterliegen sie keinen vergleichbaren Lizenzsystemen, die möglicherweise Verpflichtungen mit sich bringen können. Experten diskutierten die zwingende Notwendigkeit von Regeln, die OTTs zur Datenspeicherung verpflichten, auch wenn sie in verschiedenen Rechtsräumen ansässig sind. Das Fehlen solcher Regeln führt zu einem Mangel an Klarheit und Rechtssicherheit, was zu Nichteinhaltung von Seiten der OTTs führt. Darüber hinaus speichern manche OTTs manchmal überhaupt keine Daten.

Empfehlung 17; 30

Die HLG stimmte darin überein, dass Transparenz hinsichtlich der von Kommunikationsanbietern generierten, verarbeiteten und gespeicherten Daten erforderlich ist, darunter insbesondere OTTs und andere Dienste, die „Kommunikationsdienste“ anbieten (wie Autohersteller)29, und diskutierte Instrumente zur Durchsetzung der Einhaltung vor dem Eintritt in den EU-Markt.30

Empfehlung 31

Experten diskutierten die Möglichkeit, Gesetze für Daten zu erlassen, die sich bereits zu Geschäftszwecken im Besitz der Anbieter befinden.31

Empfehlung 14; 15; 16

In diesem Zusammenhang waren sich die Experten einig, dass Kooperationsmechanismen mit dem privaten Sektor zur Erhöhung der Transparenz geschaffen werden müssen. Sie schlugen mehrere Möglichkeiten vor, dies zu erreichen, unter anderem durch Absichtserklärungen32 und durch die Stärkung und vollständige Nutzung bestehender Strukturen wie SIRIUS, EJN33 und/oder EJCN34. Die HLG sah den Wert einer verstärkten Zusammenarbeit, auch bei der Definition standardisierter Formate für die Datenspeicherung.35

Empfehlung 16

Zwar gibt es einen unter der Schirmherrschaft des Europäischen Instituts für Telekommunikationsnormen (ETSI) entwickelten Standard für traditionelle Telekommunikationsmetadaten, dieser wird jedoch nicht in allen Mitgliedstaaten allgemein angewendet, auch nicht bei Telekommunikationsanbietern, und es gibt keine Einigung über ein standardisiertes Format für die Datenübertragung von OTTs an Strafverfolgungsbehörden. Dies erhöht die Komplexität der Datenanalyse in Fällen, in denen Daten überhaupt bereitgestellt werden können.

Empfehlung 20

Die Standardisierung sollte angestrebt werden, um eine harmonisierte Kategorisierung der zu speichernden und abzurufenden Daten sicherzustellen, aber auch um sichere Kanäle für den Austausch zwischen zuständigen Behörden und Dienstanbietern einzurichten. Die hochrangige Gruppe erörterte mehrere Möglichkeiten, dies zu erreichen, und konzentrierte sich dabei insbesondere auf die Förderung einer koordinierten Beteiligung von Vertretern der Strafverfolgungsbehörden in einschlägigen Standardisierungsgremien.36

Die meisten Mitgliedstaaten verfügen über spezielle nationale Regulierungsrahmen für den Echtzeitzugriff auf Kommunikationsdaten, die nach wie vor ein wesentliches Instrument zur Bekämpfung von Kriminalität, einschließlich Online-Kriminalität und organisierter Kriminalität sowie Terrorismus, darstellen. Wenn es jedoch um nicht-traditionelle Dienstanbieter geht, können sich die Strafverfolgungsbehörden nicht auf einen durchsetzbaren und harmonisierten Rahmen verlassen. Während einige Mitgliedstaaten Vorschriften erlassen haben, die OTTs verpflichten, auf rechtmäßige Anfragen nach einem solchen Zugriff zu reagieren, gibt es eine uneinheitliche Umsetzung zwischen Kommunikationsdienstleistern (CSP) und OTTs beim Echtzeitzugriff auf Daten, wobei OTTs solche Verpflichtungen aus rechtlichen und technischen Gründen im Allgemeinen nicht umsetzen.

Die Experten waren sich einig, dass eines der Hauptziele darin bestehen würde, gleiche Wettbewerbsbedingungen zwischen CSPs37 und anderen Arten von Anbietern elektronischer Kommunikation zu schaffen, wenn es um durchsetzbare Verpflichtungen zur rechtmäßigen Überwachung (LI) geht; die rechtmäßige Überwachung muss gesetzlich vorgesehen und von Gerichten oder unabhängigen Verwaltungsbehörden im Einklang mit technischen Standards und in voller Übereinstimmung mit Datenschutz und Privatsphäre sowie Cybersicherheits- und Interoperabilitätsmaßnahmen genehmigt werden.

Empfehlung 37

Experten stellten in vielen Fällen klar, dass die rechtmäßige Überwachung elektronischer Kommunikationsdienste die bevorzugte Maßnahme sein sollte, um in Echtzeit auf Daten zuzugreifen. Solche Regeln zur rechtmäßigen Überwachung sollten auf Grundsätzen basieren, die derzeit für traditionelle Kommunikationsanbieter gelten, beispielsweise in Bezug auf Aufsicht und Zusammenarbeit mit Betreibern von Kommunikationsdiensten, aber auch in Bezug auf die Möglichkeit, auf Daten in Klartext zuzugreifen, wenn dies von den Justizbehörden als notwendig und verhältnismäßig erachtet wird.38

Unterschiede in den nationalen Rechtsrahmen der EU-Mitgliedstaaten zur Überwachung von Metadaten oder Inhaltsdaten stellen in Fällen mit grenzüberschreitenden Elementen Herausforderungen für die Strafverfolgung dar. So kann es für Strafverfolgungsbehörden beispielsweise schwierig sein, Echtzeitkommunikation zwischen zwei Bürgern in ihrem Land abzufangen, die einen Kommunikationsdienst nutzen, der in einem anderen EU-Mitgliedstaat gehostet wird, wo andere Verfahrensanforderungen für das Live-Abfangen gelten.

Empfehlung 38

Experten diskutierten die Möglichkeit, diese Probleme auf EU-Ebene zu lösen, und erläuterten verschiedene Maßnahmen, die zu diesem Zweck umgesetzt werden könnten, z. B. legislative Maßnahmen.39

Empfehlung 40

Die Rechtsunsicherheit, die sich aus den unterschiedlichen Anforderungen in den nationalen Rechtsrahmen für das Abfangen von Nachrichten ergibt, war ein zentrales Diskussionsthema unter den Experten, die auf die Notwendigkeit hinwiesen, sich mit Fragen wie der territorialen Anwendung bestimmter Verpflichtungen zu befassen, die zu Gesetzeskonflikten und Verzögerungen oder administrativen Hindernissen bei Ermittlungen führen.40 Neben den Problemen, die durch das Fehlen harmonisierter Rechtsvorschriften in den Mitgliedstaaten bedingt sind, diskutierten Experten auch die Tatsache, dass das Fehlen der Kenntnis des genauen Standorts von Benutzern und Daten die Bestimmung des territorialen Zusammenhangs einer Straftat oft noch komplexer macht.

Empfehlung 40

Während sich die Experten darauf einigten, die Europäische Ermittlungsanordnung (EEA) weiter als Instrument für die Anforderung einer Überwachung durch einen anderen Mitgliedstaat und für den Austausch von durch Überwachung gesammelten Beweismitteln zu nutzen, diskutierten sie auch ihre Grenzen, einschließlich derjenigen im Zusammenhang mit der teilweisen Anwendbarkeit zwischen den Mitgliedstaaten.41

Während der Diskussionen wurde das Konzept der territorialen Gerichtsbarkeit über Daten angesprochen. Die Experten waren der Ansicht, dass in Fällen, in denen der Zusammenhang national ist (z. B. ein Verbrechen, das in einem Mitgliedstaat von einem Verbrecher begangen wurde, der sich im selben Mitgliedstaat befindet), die Behörde eines Staates in der Lage sein sollte, Überwachungsmaßnahmen im Einklang mit dem nationalen Verfahrensrecht zu ergreifen, das Anforderungen und Schutzmaßnahmen festlegt, ohne ein Instrument der grenzüberschreitenden Zusammenarbeit zu durchlaufen. Wo es notwendig ist, Rechtskonflikte mit anderen Gerichtsbarkeiten zu überwinden, diskutierten die Experten mögliche Initiativen, die die EU ergreifen könnte, wobei sie sich von der E-Evidence-Verordnung inspirieren ließen und auch bilaterale Abkommen mit Ländern wie den Vereinigten Staaten umfassten, die durch weitere Analysen unterstützt wurden, sowie eine Folgenabschätzung, die auch Grundrechte und staatliche Souveränität berücksichtigt, diskutierten die Experten.

Empfehlung 21

Experten waren sich einig, dass ein gewisses Maß an Harmonisierung auf EU-Ebene durch Soft Law (z. B. eine Empfehlung der Kommission) angestrebt werden könnte, während sie vorschlugen, dass gemeinsame operative Anforderungen an LI auf der Grundlage des LEON-Dokuments entwickelt werden könnten.42

Empfehlung 9

Aus technischer Sicht diskutierten Experten die Notwendigkeit, Mechanismen und Infrastrukturen einzurichten, die mit der Übertragung von potenziell sehr großen Datenmengen unterschiedlicher Art in Echtzeit kompatibel sind. 43 In diesem Zusammenhang diskutierten Experten ausführlich die Vorteile der Standardisierung und mögliche Ansätze in diesem Bereich.

Empfehlung 20

Sie forderten eine stärkere Vertretung der nationalen Regierung/Verwaltung bei der Entwicklung von Standards für 5G/6G und Kommunikation im Allgemeinen und betonten die Notwendigkeit, in den wichtigsten Foren wie 3GPP, ETSI, ISO und ITU präsent zu sein. Unterstützung durch die Kommission, Europol oder andere EU-Organe oder -Agenturen wurde ebenfalls als notwendig erachtet.44

Empfehlung 33

Parallel dazu diskutierten die Experten eingehend über die Fälle nicht kooperativer Anbieter, um diese je nach Grad der Fahrlässigkeit mit Verwaltungs- und/oder Strafmaßnahmen bestrafen zu können.45

Empfehlung 34

Die Experten waren sich einig, dass jedes künftige EU-Instrument in dieser Hinsicht diesen Unterschied berücksichtigen sollte.46 Es sollte auch den EU-Besitzstand berücksichtigen, insbesondere den Digital Services Act.

Empfehlung 10; 42

In Bezug auf Fälle nicht kooperativer Anbieter diskutierten die Experten und teilten die Ansicht, dass die Strafverfolgungsbehörden in bestimmten Fällen (z. B. bei hauptsächlich kriminellen Diensten wie EncroChat) unabhängig von den bestehenden Rechtsinstrumenten weiterhin auf Schwachstellen zurückgreifen (d. h. aufdringliche Maßnahmen ergreifen müssen). Obwohl Einigkeit darüber bestand, dass solche Fälle die Ausnahme bleiben sollten und derartige Lösungen alles andere als ideal sind, ist es wichtig, bei der Harmonisierung dieser Aspekte zusammenzuarbeiten, insbesondere im Hinblick auf die Festlegung von Schutzmaßnahmen47 und – möglicherweise – harmonisierten Regeln für die gegenseitige Zulässigkeit von Beweismitteln zwischen den Mitgliedstaaten, soweit dies erforderlich ist, um die gegenseitige Anerkennung von Urteilen, Gerichtsentscheidungen und die polizeiliche und justizielle Zusammenarbeit in Strafsachen zu erleichtern.48 Experten betonten, dass Operationen wie EncroChat oder Sky ECC vor Gericht angefochten werden, und hoben die Rechtsunsicherheit hervor, die sich aus den unterschiedlichen Anforderungen in den nationalen Gesetzgebungen ergibt, wenn es darum geht, das Ergebnis einer Überwachung in einem Mitgliedstaat als Beweismittel in einem anderen zu verwenden.

Ein weiteres Problem, das als problematisch identifiziert und ausführlich diskutiert wurde, betrifft den Zugriff auf Daten in lesbarem Format.

Zusätzlich zu den Problemen beim Zugriff auf Daten auf dem Gerät fügt die Verschlüsselung eine zusätzliche Komplexitätsebene hinzu, wenn es um den Zugriff auf Echtzeit-Inhaltsdaten geht, sowohl für OTTs bei der Implementierung eines End-to-End-Verschlüsselungsmechanismus als auch für traditionelle Telekommunikationsbetreiber, wenn sie beispielsweise „Home Routing“ für 5G implementieren.

Zum Thema Zugriff auf Inhaltsdaten trotz Verschlüsselung diskutierten die Experten ausführlich und waren sich einig, dass Strafverfolgungsbehörden Zugriff auf Daten im Klartext haben müssen. Sie betonten, dass technologische Lösungen
da, wo sie existieren, implementiert werden können oder entwickelt werden sollten, um Privatsphäre und Datenschutz zu wahren, Cybersicherheit zu gewährleisten und gleichzeitig die Umsetzung gezielter Maßnahmen zum rechtmäßigen Zugriff zu ermöglichen, auch auf Inhaltsdaten. Die Experten diskutierten die Notwendigkeit einer Standardisierung, um den operativen Anforderungen der Strafverfolgungsbehörden gerecht zu werden, insbesondere bei neuen Telekommunikationsstandards wie 6G.

Empfehlung 23

Für gegenwärtige und zukünftige Kommunikationstechnologien sollten Standards entwickelt werden, die einen rechtmäßigen Zugriff ermöglichen, ohne die Mechanismen für Privatsphäre, Datenschutz und Cybersicherheit49 zu schwächen. Dieser Ansatz, der die Bewertung und Zertifizierung rechtmäßiger Abhörsysteme umfasst, um zu gewährleisten, dass die Anforderungen an Cybersicherheit, Privatsphäre und rechtmäßigen Zugriff tatsächlich erfüllt werden, eröffnet eine Perspektive auf lange Sicht und für kommende Technologien wie 6G.

Empfehlung 22

Die Experten äußerten den Wunsch, zunächst in Abstimmung mit Cybersicherheitsexperten technische Aspekte zu untersuchen. Sie verdeutlichten die Notwendigkeit, die Herausforderungen der Verschlüsselung (und des Echtzeit-Abfangens auf globalerer Ebene) bereits bei der Gestaltung der Kommunikationstechnologie anzugehen, insbesondere durch die Entwicklung von Projekten, an denen Experten für Technologie, Cybersicherheit, Datenschutz, Standardisierung und Sicherheit beteiligt sind. Sie betonten, dass die Strafverfolgungsbehörden, um ihre Aufgaben in der digitalen Welt erfüllen zu können, einen vorab festgelegten rechtmäßigen Zugang zu lesbaren Daten gemäß internationalen Instrumenten wie dem Budapester Übereinkommen und unter Wahrung der Cybersicherheitsanforderungen benötigen. Zu diesem Zweck forderte die HLG die EU auf, einen Fahrplan zu erstellen und die Arbeit durch einen permanenten Strukturprozess zu koordinieren, der möglicherweise vom EU-Innovationszentrum für innere Sicherheit geleitet wird.50

Empfehlung 24

In Bezug auf das Obige gab es weitere Bedenken hinsichtlich der Verwendung von Rich Communication Services (RCS) zum Austausch von SMS in einer Ende-zu-Ende-verschlüsselten Weise und der verstärkten 5G-Kommunikation für eingehende Roamer und Initiativen wie Apple Private Relay. Technologien wie diese schneiden traditionelle Telekommunikationsdienstleister von den relevantesten Informationen ab, die andernfalls in Klartext verfügbar wären, und beeinträchtigen so die Fähigkeit der Strafverfolgungsbehörden, effektiv und rechtmäßig auf Echtzeitdaten während der Übertragung zuzugreifen. Experten diskutierten diese Herausforderungen und betonten die Notwendigkeit, trotz 5G und 6G die rechtmäßigen Abhörmöglichkeiten für traditionelle Telekommunikationsbetreiber aufrechtzuerhalten, und forderten,
die Zusammenarbeit mit Dienstanbietern auf EU-Ebene zu erleichtern.51

.

Die 42-Empfehlungspunkte zusammengefasst

In Bezug auf Maßnahmen zum Kapazitätsaufbau empfiehlt die hochrangige Gruppe:

1. Kartierung und Verbindung bestehender digitaler forensischer Netzwerke bei gleichzeitiger Verbesserung der Zugänglichkeit, Vermeidung von Überschneidungen und Förderung von Führung. In Bezug auf Letzteres sollte ein Sekretariat für die Netzwerke eingerichtet werden, um die Verbreitung von Wissen unter Experten zu vereinfachen; das Sekretariat sollte über Mechanismen nachdenken, um sicherzustellen, dass sensible Tools unter voller Einhaltung nationaler Vorschriften gemeinsam genutzt werden können.
2. Über Mechanismen zur Bündelung von Wissen nachdenken, um sicherzustellen, dass digitale Forensik-Tools unter Berücksichtigung nationaler Vorschriften in einem Umfeld des Vertrauens zwischen den Mitgliedstaaten gemeinsam genutzt werden können. Dies könnte die Untersuchung eines europäischen Ansatzes für die Verwaltung und Offenlegung von Schwachstellen umfassen, die von den Strafverfolgungsbehörden behandelt werden, basierend auf bestehenden bewährten Praktiken.
3. Die Entwicklung eines Mechanismus auf EU-Ebene für den gemeinsamen Erwerb von Lizenzen für digitale Forensik-Tools, um diese unter den Mitgliedstaaten gemeinsam zu nutzen.
4. Erhöhung der Mittel für Forschung und Entwicklung von Tools zur Datenerfassung, zum Zugriff auf unverschlüsselte Daten, einschließlich Entschlüsselungsfunktionen, und auf künstlicher Intelligenz basierenden Kapazitäten zur Datenanalyse mit klaren Ergebnissen sowie Förderung des Europol Tool Repository als zentrale Anlaufstelle für die Verbreitung dieser Tools.
5. Schaffung eines Mechanismus/Schemas für die Bewertung und – sofern relevant – für die Zertifizierung kommerzieller Tools für die digitale Forensik auf EU-Ebene, wobei mögliche negative Auswirkungen auf die Ermittlungs- und Strafverfolgungsprozesse (wie etwa zusätzliche unnötige Belastungen) zu berücksichtigen sind.
6. Einrichtung eines Prozesses zum Austausch von Kapazitäten, die möglicherweise die Ausnutzung von Schwachstellen beinhalten, wodurch die Bündelung von Wissen und Ressourcen unter Wahrung der Vertraulichkeit und Sensibilität der Informationen ermöglicht würde.
7. Erhöhung der Zahl der Schulungsmöglichkeiten für Experten und Schaffung eines Zertifizierungssystems auf EU-Ebene für Experten für digitale Forensik (einschließlich derjenigen, die an der Entschlüsselung arbeiten), um die Qualität und Einheitlichkeit der angebotenen technischen Schulungen zu gewährleisten.
8. Investitionen, um die Lücke bei den technischen Fähigkeiten in der Standardisierung zu schließen und das Bewusstsein zu schärfen, indem Vereinbarungen mit Hochschulen und anderen relevanten Instituten geschlossen werden.
9. Aufbau von Mechanismen (Interoperabilität und Cybersicherheit) und Infrastrukturen (Bandbreite und Skalierbarkeit), die mit der Echtzeitübertragung großer Datensätze kompatibel sind, wie sie beispielsweise erfasst werden, wenn Behörden in einem Mitgliedstaat im Auftrag eines anderen Mitgliedstaats einen rechtmäßigen Zugriffsantrag ausführen. Dies impliziert weitere Arbeiten an der Standardisierung von Datenstrukturen, an Vertrauensmechanismen und an der Datenfilterung, um die Übertragung von Daten zu vermeiden, die für die Ermittlung(en) nicht relevant sind, und um die Datenschutzgrundsätze der Zweckbindung, Verhältnismäßigkeit und Datenminimierung einzuhalten, zusammen mit auf EU-Ebene durchgeführten Arbeiten zur Gestaltung und Dimensionierung von Übertragungsmitteln und den damit verbundenen Kosten.
10. Koordiniertere Arbeit und mit Unterstützung von EU-Mitteln an einer Methodik zur Entwicklung, Handhabung und Nutzung gezielter Maßnahmen für den rechtmäßigen Zugriff, um Fälle zu bewältigen, in denen der Zugriff auf Daten durch die Zusammenarbeit mit elektronischen Kommunikationsdiensten nicht möglich ist. Angesichts der Sensibilität des Falls sollte ein solcher Ansatz einer gerichtlichen Genehmigung unterliegen und einen soliden Rahmen für die Zulässigkeit von Beweismitteln aufweisen. Diese Fälle sollten die Ausnahme bleiben – d. h. Strafverfolgungsbehörden sollten solche Tools nur als letztes Mittel einsetzen – und einer obligatorischen Verhältnismäßigkeitsprüfung unterliegen.
11. Die Schaffung einer Plattform (entspricht SIRIUS52) zum Austausch von Tools, bewährten Verfahren und Wissen darüber, wie der Zugriff auf Daten von Produktbesitzern und -herstellern gewährt werden kann. Aufbauend auf SIRIUS sollte dies erweitert werden, um Hardwarehersteller in sein Mandat einzubeziehen und Kontaktstellen der Strafverfolgungsbehörden mit Herstellern digitaler Hardware und Software zu schaffen und abzubilden.
12. Förderung der Zusammenarbeit mit Herstellern und Entwicklern digitaler forensischer Tools, um die Struktur und das Format der Daten zu optimieren, die Strafverfolgungsbehörden durch die Verwendung dieser Tools erhalten, idealerweise nach vereinbarten Standards.
13. Weitere Finanzierung, Erweiterung und dauerhafte Einrichtung von EU-Strukturen und Foren, einschließlich SIRIUS, EJN und/oder EJCN, mit dem Ziel: (a) Kontakte zwischen Praktikern und Dienstleistern aufzubauen, um den Informationsaustausch, den Kapazitätsaufbau und die Ausbildung zu unterstützen, (b) einen ständigen Dialog zu fördern, auch durch ein Forum oder eine unabhängige Behörde, die Praktiker (LEAs, Justiz und Dienstleister) zusammenbringt, um die Grundsätze und Modalitäten der Zusammenarbeit festzulegen. Dies könnte die Schaffung oder Unterstützung eines zentralen Archivs für Instrumente und Informationen (CRIP) umfassen, das den Austausch von Rechtsprechung, Gesetzesänderungen und anderen Informationen ermöglicht, die für Mitgliedstaaten und Dienstleister relevant sind.
14. Die Annahme von Absichtserklärungen durch die Mitgliedstaaten als wirksamen Mechanismus zur Förderung der Zusammenarbeit und Entwicklung eines gemeinsamen Verständnisses zwischen Diensteanbietern, Regierung und Strafverfolgungsbehörden zur Unterstützung der Anwendung nationaler Gesetze unter Verwendung bewährter Verfahren, die in bestimmten Mitgliedstaaten etabliert wurden.
15. Die Entwicklung von Datenformaten gemäß den vom Europäischen Institut für Telekommunikationsnormen (ETSI) oder anderen Standardisierungsgremien entwickelten Standards zur Förderung der Interoperabilität und Erleichterung der Nutzung durch alle Mitgliedstaaten.
16. Schrittweiser Ersatz spezifischer Formate, die von jedem Diensteanbieter (und folglich den Behörden der Mitgliedstaaten) verwendet werden, durch einen horizontalen Ansatz, der auf von ETSI oder anderen Standardisierungsgremien entwickelten Standards für das Format von Anfragen und Antworten basiert. [Die Kohärenz dieser Empfehlung mit den durch die E-Evidence-Verordnung festgelegten Regeln sollte weiter bewertet werden.]
17. Förderung von Transparenzregeln für Anbieter elektronischer Kommunikationsdienste in Bezug auf die Daten, die sie im Geschäftsverlauf verarbeiten, generieren oder speichern (da diese nicht immer übereinstimmen), und in Bezug auf die Information der Strafverfolgungsbehörden über die verfügbaren Daten unter Berücksichtigung der durch die Vertraulichkeit von Ermittlungen bedingten Grenzen. Experten schlagen vor, dieses Ziel durch Kooperationsvereinbarungen mit Diensteanbietern oder, falls erforderlich, durch die Festlegung verbindlicher Verpflichtungen zu erreichen. Auch bei der Umsetzung von Verpflichtungen zur rechtmäßigen Überwachung für gerichtliche Zwecke ist sowohl seitens der elektronischen Kommunikationsdienste als auch seitens der Behörden mehr Transparenz erforderlich. Solche Regeln sollten mit dem Konzept der Geheimhaltung der Ermittlungen einhergehen. Beispielsweise ist es bei allen Ermittlungen zwingend erforderlich, dass Verdächtige während der gesamten Dauer der Ermittlungen nicht benachrichtigt werden.
18. Schaffung einer Clearingstelle zur Identifizierung der betreffenden Diensteanbieter und zur Ausrichtung rechtmäßiger Anfragen an diese (z. B. zur Rufnummernmitnahme für Telekommunikationsanbieter, wie dies in einigen EU-Mitgliedstaaten bereits besteht). 9984/24 tr/dk 22 ANLAGE JAI.1 LIMITE DE
19. Einrichtung von Mechanismen zur Gewährleistung, dass grenzüberschreitende Anfragen effizient und unter Vermeidung potenzieller Konflikte an die Diensteanbieter gerichtet werden, wobei die für elektronische Beweismittel festgelegten Mechanismen als Vorbild dienen. [Die Kohärenz dieser Empfehlung mit den durch die Verordnung über elektronische Beweismittel festgelegten Regeln sollte weiter bewertet werden.]
20. Begleiten künftiger Initiativen mit relevanten Standardisierungsmaßnahmen. Zu diesem Zweck wird vorgeschlagen, dass die Kommission einen Fahrplan vorlegt, der eine langfristige Perspektive mit klaren Zielen enthält, ausreichende Mittel zur Unterstützung einer stärkeren Beteiligung von Experten aus den Mitgliedstaaten vorsieht und einen Koordinierungsmechanismus vorschlägt, möglicherweise über Europol und andere EU-Agenturen. Es sollte sichergestellt werden, dass der Umfang der Standardisierungsaktivitäten breit ist und das Internet der Dinge umfasst, einschließlich beispielsweise vernetzter Autos sowie jeglicher Formen der Konnektivität, einschließlich beispielsweise Satellitenkommunikation. Aktivitäten im Zusammenhang mit digitaler Forensik, rechtmäßigem Zugang und rechtmäßigem Abfangen sollten abgedeckt werden.
21. Inspiration für künftige legislative, praktische und technische Initiativen aus einer gemeinsamen Definition der Anforderungen ziehen, wie sie in LEON (Law Enforcement Operational Needs for Lawful Access to Communication53) festgelegt sind. Die Einrichtung einer Ad-hoc-Expertengruppe, möglicherweise koordiniert von Europol, würde sicherstellen, dass LEON bei Bedarf aktualisiert wird, möglicherweise unter Koordination der von Europol geleiteten Arbeitsgruppe zur Standardisierung der Sicherheit, die fortgeführt werden sollte. Jede Initiative sollte technologieneutral sein. Es sind verschiedene Optionen vorstellbar, um in zukünftigen EU-Initiativen auf LEON Bezug zu nehmen: (1) EU-Gesetzgebungsvorschlag, der auf LEON Bezug nimmt, (2) Empfehlung, (3) Inspirationsquelle
22. Implementierung eines rechtmäßigen Zugangs durch Design in allen relevanten Technologien im Einklang mit den von den Strafverfolgungsbehörden geäußerten Bedürfnissen, wobei gleichzeitig eine starke Sicherheit und Cybersicherheit gewährleistet und die volle Einhaltung der gesetzlichen Verpflichtungen in Bezug auf den rechtmäßigen Zugang sichergestellt werden muss. Laut der HLG sollten die Strafverfolgungsbehörden zur Definition der Anforderungen beitragen, es sollte jedoch nicht ihre Aufgabe sein, Unternehmen bestimmte Lösungen aufzuerlegen, damit diese rechtmäßigen Zugang zu Daten für strafrechtliche Ermittlungszwecke gewähren können, ohne die Sicherheit zu gefährden. Zu diesem Zweck empfehlen Experten die Entwicklung einer Technologie-Roadmap, die Experten für Technologie, Cybersicherheit, Datenschutz, Standardisierung und Sicherheit zusammenbringt und eine angemessene Koordinierung gewährleistet, z. B. möglicherweise durch eine dauerhafte Struktur.
23. Sicherstellen, dass mögliche neue Verpflichtungen, ein neues Rechtsinstrument und/oder neue Standards nicht direkt oder indirekt dazu führen, dass die Anbieter die Sicherheit der Kommunikation schwächen müssen, indem sie E2EE allgemein untergraben oder schwächen. Daher müssten potenzielle neue Regeln für den Zugang zu Klardaten einer sorgfältigen Bewertung auf der Grundlage modernster technologischer Lösungen unterzogen werden (die wiederum die Herausforderungen der Verschlüsselung berücksichtigen sollten). Wenn Hersteller oder Dienstanbieter die Möglichkeit eines rechtmäßigen Zugriffs durch Technikgestaltung sicherstellen, wie es gesetzlich vorgesehen ist, sollten sie dies so tun, dass dies keine negativen Auswirkungen auf die Sicherheitslage ihrer Hardware- oder Softwarearchitekturen hat.
24. Verbesserung der Koordinierung und Unterstützung auf EU-Ebene, um Situationen zu bewältigen, in denen technische Lösungen vorhanden sind, die ein rechtmäßiges Abhören ermöglichen, diese aber von Anbietern elektronischer Kommunikationsdienste nicht umgesetzt werden. In solchen Fällen, beispielsweise wenn Home-Routing-Vereinbarungen oder die spezifische Umsetzung von Rich Communication System (RCS) keine rechtmäßigen Abhörfunktionen ermöglichen, würden klare Leitlinien und ein auf EU-Ebene geförderter Dialog die Zusammenarbeit mit elektronischen Kommunikationsdiensten verbessern.
25. Durchführung einer umfassenden Bestandsaufnahme der aktuellen Gesetzgebung in den Mitgliedstaaten, um die rechtlichen Verantwortlichkeiten der Hersteller digitaler Hardware und Software im Hinblick auf die Erfüllung von Datenanfragen der Strafverfolgungsbehörden detailliert darzustellen. Dabei würden auch spezifische Szenarien und Anforderungen berücksichtigt, die Unternehmen zum Zugriff auf Geräte zwingen, und zwar im Einklang mit der Rechtsprechung des EuGH und des Europäischen Gerichtshofs für Menschenrechte. Das Ziel sollte darin bestehen, auf dieser Grundlage ein Handbuch auf EU-Ebene zu entwickeln und, abhängig von der oben genannten Kartierung, die Angleichung der Gesetzgebung in diesem Bereich zu fördern und verbindliche Industriestandards für in der EU auf den Markt gebrachte Geräte zu entwickeln, um den rechtmäßigen Zugriff zu integrieren.
26. Einrichtung einer Forschungsgruppe zur Bewertung der technischen Machbarkeit integrierter Verpflichtungen zum rechtmäßigen Zugriff (einschließlich des Zugriffs auf verschlüsselte Daten) für digitale Geräte, wobei die Sicherheit der Geräte und der Datenschutz für alle Benutzer gewahrt und nicht beeinträchtigt sowie die Sicherheit der Kommunikation nicht geschwächt oder beeinträchtigt werden darf.
27. Einrichtung eines harmonisierten EU-Systems zur Vorratsdatenspeicherung mit den folgenden Merkmalen:
    i. technologieneutral und zukunftssicher,
    ii. Abdeckung gegenwärtiger und zukünftiger „Datenverarbeiter“ (d. h. OTTs und Dienstanbieter aller Art, die Zugriff auf elektronische Beweismittel gewähren könnten),
    iii. Gewährleistung des Zugriffs auf verständliche Daten (bei Metadaten und Abonnentendaten sollte es für den Dienstanbieter eine Möglichkeit geben, die Daten jederzeit während der Bereitstellung des Dienstes zu entschlüsseln, falls sie verschlüsselt sind),
    iv. nicht nur auf die Datenspeicherung, sondern auch auf den Datenzugriff konzentrieren, aufbauend auf den Beweisregeln,
    v. zumindest eine Verpflichtung für Unternehmen festlegen, Daten so lange aufzubewahren, dass jeder Benutzer eindeutig identifiziert werden kann (z. B. IP-Adresse und Portnummer),
    vi. in voller Übereinstimmung mit den Datenschutz- und Privatsphärenregeln.
28. Daten auf der Grundlage ihres Zwecks kategorisieren (Identifizierung, Ortung, Feststellung der Online-Aktivität einer betreffenden Person), obwohl einige Arbeit erforderlich ist, um die Zwecke in klare technische Anforderungen zu übersetzen.
29. Sicherstellen, dass der Datenzugriff gezielt und differenziert erfolgt, je nach Datenkategorien oder bestimmten Kategorien von Straftaten (z. B. Straftaten, die nur im Internet stattfinden) oder auf der Grundlage der Bedrohung für die Opfer.
30. Einbeziehung von Regeln zur Rechenschaftspflicht und Durchsetzbarkeit für Dienstanbieter, um Verpflichtungen zur Speicherung und Bereitstellung von Daten durchzusetzen, z. B. durch die Umsetzung von Verwaltungssanktionen oder Beschränkungen für die Tätigkeit auf dem EU-Markt.
31. Sicherstellen, dass für kommerzielle und geschäftliche Zwecke gespeicherte Benutzerdaten für Strafverfolgungsbehörden unter entsprechenden Sicherheitsvorkehrungen effektiv zugänglich sind.
32. Erwägen, Dienstanbieter zu verpflichten, bestimmte Funktionen in ihren Diensten zu aktivieren oder zu deaktivieren, um nach Erhalt eines Haftbefehls bestimmte Informationen abzurufen (z. B. die Speicherung der Geolokalisierung eines bestimmten Benutzers, nachdem dieser Gegenstand einer rechtmäßigen Anfrage war).
33. Entwicklung eines Mechanismus, der sicherstellt, dass die Mitgliedstaaten Sanktionen gegen nicht kooperative elektronische Kommunikationsdienste54 verhängen können und dass diese Maßnahmen eine abschreckende Wirkung auf diese Unternehmen haben. Sowohl verwaltungsrechtliche als auch strafrechtliche Maßnahmen sollten verfügbar sein und angewendet werden, je nachdem, ob ein Anbieter lediglich nicht kooperativ ist oder vorsätzlich Aktivitäten krimineller Natur hostet.
34. Harmonisierung strafrechtlicher Maßnahmen zur Durchsetzung der Zusammenarbeit auf EU-Ebene, einschließlich Freiheitsstrafen. Dasselbe sollte für nicht kooperative Hosting-Anbieter (zusätzlich zu elektronischen Kommunikationsdiensten) gelten, um sicherzustellen, dass diese Unternehmen, wenn sie Kommunikationsdienste krimineller Natur hosten, den gerichtlichen Anordnungen, die sie erhalten, angemessen nachkommen. [Die Kohärenz dieser Empfehlung mit den durch die Verordnung zum Digital Services Act festgelegten Regeln sollte weiter geprüft werden]
35. Mögliche Initiativen sollten zwischen kriminellen Anbietern elektronischer Kommunikationsdienste (d. h. Plattformen, die speziell darauf ausgelegt sind, Dienste ausschließlich oder hauptsächlich für kriminelle Akteure anzubieten, wie z. B. EncroChat) und nicht kooperativen elektronischen Kommunikationsdiensten unterscheiden, die legal gegründet wurden und rechtmäßige Aktivitäten durchführen, aber die nationalen Verpflichtungen zur rechtmäßigen Überwachung nicht vollständig erfüllen.
36. Einführung einer durchsetzbaren Verpflichtung für Plattformen (oder alternativ sanfte Maßnahmen durch Zusammenarbeit mit der Industrie), einen SPOC55 (Single Point of Contact) in der EU zu benennen, der Anfragen von und Kontakte mit EU-Behörden bearbeitet, insbesondere für Dienstanbieter, für die ein Notfallkontakt benötigt wird. Ein ähnlicher Mechanismus (oder idealerweise derselbe SPOC mit erweiterten Vorrechten) sollte auch existieren, um die Durchsetzung von Verpflichtungen zur rechtmäßigen Überwachung zu erleichtern.
37. Unterwerfung der Anbieter elektronischer Kommunikationsdienste (ECS) (wie im Europäischen Kodex für die elektronische Kommunikation – EECC56 definiert) unter dieselben Regeln wie herkömmliche Dienstanbieter.
38. Weitere Harmonisierung der nationalen Rechtsrahmen für den Zugriff auf Daten während der Übertragung57 in mehreren Schritten:
    i. Sicherstellung, dass die in den nationalen Gesetzen festgelegten Verpflichtungen zur rechtmäßigen Überwachung für ein breiteres Spektrum von Kommunikationsanbietern durchsetzbar sind, einschließlich relevanter Kategorien von Internetdienstanbietern (und diesbezüglich Inspiration aus dem E-Evidence-Paket holen).
    ii. Streben Sie eine Harmonisierung auf der Ebene der EU-Mitgliedstaaten auf der Grundlage vereinbarter gemeinsamer Grundsätze (insbesondere derjenigen im Dokument LEON – Law Enforcement Operational Needs) durch Soft Law (z. B. eine Empfehlung der Kommission) an. iii. Überlegen Sie sich eine Definition der rechtmäßigen Überwachung im breiten Kontext der Internet-Kommunikationsdienste und unterscheiden Sie dabei auch zwischen der rechtmäßigen Überwachung von Nicht-Inhaltsdaten und Inhaltsdaten. iv. Legen Sie auf der Grundlage weiterer Analysen und einer Folgenabschätzung, auch aus der Perspektive der Grundrechte und unter Berücksichtigung der Souveränität der Staaten in Strafsachen, möglicherweise eine EU-Initiative zur rechtmäßigen Überwachung (bestehend aus Soft Law oder Rechtsinstrumenten) vor, die sich an der Arbeit im Bereich der Beweisaufnahme und an internationalen und bilateralen Abkommen (z. B. mit den Vereinigten Staaten) orientiert. Eine solche Initiative müsste sicherstellen, dass die Grundsätze des „rechtmäßigen Zugriffs durch Design“ von den relevanten Interessengruppen (z. B. ECS) ordnungsgemäß umgesetzt werden, um die festgelegten Anforderungen zu erfüllen, insbesondere um den Zugriff auf Daten im Klartext zu ermöglichen, wenn dies als notwendig und verhältnismäßig erachtet wird.
39. Anpassung des Konzepts der territorialen Gerichtsbarkeit über Daten, um mögliche Rechtskonflikte mit anderen Gerichtsbarkeiten zu berücksichtigen. In Fällen, in denen der Zusammenhang national ist (z. B. ein Verbrechen, das in einem Mitgliedstaat von einem Kriminellen begangen wurde, der sich im selben Mitgliedstaat aufhält), sollte es möglich sein, eine Überwachungsmaßnahme im Rahmen des nationalen Verfahrensrechts, das Anforderungen und Garantien festlegt, einzurichten, ohne ein Instrument für die grenzübergreifende Zusammenarbeit zu verwenden.
40. Untersuchung, wie die Europäische Ermittlungsanordnung (EEA) effiziente grenzübergreifende Anfragen zur rechtmäßigen Überwachung besser unterstützen könnte, indem die Rechtssicherheit verbessert, die Fristen für die Beantwortung von Anordnungen verkürzt und eine einheitliche Anwendung der EEA und des „Budapester“ Übereinkommens des Europarats über Computerkriminalität in ganz Europa gefördert wird, um bestehende Lücken beim Datenzugriff zu schließen
41. Überlegung zu notwendigen Schutzmaßnahmen bei der rechtmäßigen Überwachung nicht traditioneller Kommunikationsdienstleister. Einige Experten schlagen vor, dass diese Ermittlungsmaßnahme nur Kommunikationen betreffen sollte, die nach Erhalt einer rechtlichen Anfrage der Behörden stattfinden. Darüber hinaus sollten Maßnahmen nicht bedeuten, dass die Anbieter verpflichtet sind, ihre IKT-Systeme in einer Weise anzupassen, die sich negativ auf die Cybersicherheit ihrer Nutzer auswirkt.
42. Annahme von Mindestvorschriften auf EU-Ebene, die die gegenseitige Zulässigkeit von Beweismitteln zwischen den Mitgliedstaaten ermöglichen, die durch rechtmäßige Überwachungsmaßnahmen gegen nicht kooperative Anbieter erlangt wurden, und die die Zulässigkeit auch im Falle der Anwendung von Eingriffsmaßnahmen vorsehen, soweit dies erforderlich ist, um die gegenseitige Anerkennung von Urteilen, Gerichtsentscheidungen und die polizeiliche und justizielle Zusammenarbeit in Strafsachen zu erleichtern.