Grenzüberschreitende Weitergabe elektronischer Beweismittel – zweites Zusatzprotokoll zur Cybercrime Konvention

Das Ministerkomitee des Europarats hat am 17.11.2021 das „zweite Zusatzprotokoll zur Cybercrime Konvention betreffend die verstärkte Zusammenarbeit und die Weitergabe von elektronischen Beweismitteln“ (Enhanced Cooperation and Disclosure of Electronic Evidence“) verabschiedet (abrufbar unter 0900001680a2aa1c (coe.int)). Dem Protokoll liegt die Annahme zu Grunde, dass Beweismittel in Strafverfahren zunehmend in elektronischer Form abgespeichert sind und sich häufig, in nicht zu lokalisierenden Staaten oder auf nicht im Inland gelegenen Servern befinden würden. Die ratifizierenden Staaten des Zusatzprotokolls verpflichten sich daher zur gegenseitigen Herausgabe von Daten auf Servern in ihrem Hoheitsgebiet. Die Ermittlungsbehörden sollen sich, was Bestandsdaten betrifft (Adresse, Telefonnummer), direkt an die Anbieter wenden können. In Eilfällen sollen auch Verkehrs- und Inhaltsdaten ungleich schneller als bisher zur Verfügung gestellt werden können.

Selbst wenn das zweite Zusatzprotokoll vorrangig der Bekämpfung der Cyberkriminalität zu dienen bestimmt ist, werden die Regelungen nicht nur in Wirtschaftsstrafverfahren, sondern auch in Steuerstrafverfahren, etwa im Bereich der Kryptowährungen oder im Bereich E-Commerce, von erheblicher Bedeutung sein. Die bisherigen Erfahrungen mit der EuCybercrimeÜbk, wonach bereits der de lege lata Zugriff auf ausländische Server im Rahmen von Durchsuchungen möglich ist, belegen dies.

Mit dem nunmehr vorliegenden zweiten Zusatzprotokoll zur Cybercrime Konvention werden die auf Ebene der EU-Mitgliedsstaaten bereits angelegten Grundsätze der „Verfügbarkeit“ von Informationen und der „gegenseitigen Anerkennung“ weiter voran getrieben.

Vor dem Hintergrund, dass der Europarat keine eigenständige Organisation der europäischen Union ist, mithin unter das Protokoll auch Staaten wie die Türkei und Russland fallen, ist das Protokoll auch vor diesem Hintergrund von nicht zu unterschätzender Bedeutung. Die Praxis wird zeigen, inwiefern tatsächlich sämtliche Staaten kooperativ sein werden und die in Rede stehenden Beweismittel zur Verfügung stellen werden.

Das zweite Zusatzprotokoll tritt erst drei Monate nach Zeichnung durch min. fünf Vertragsparteien in Kraft. Anders als eine europäische Verordnung gilt das Protokoll nicht unmittelbar, sondern die verpflichteten Vertragsparteien haben entsprechende gesetzgeberische Maßnahmen zu ergreifen.

Ob das zweite Zusatzprotokoll tatsächlich den Rechthilfeverkehr zu nicht EU-Staaten erleichtert, bleibt abzuwarten. Selbst wenn sich die Vertragsparteien dazu verpflichten, Verfahren einzuführen, welches es ermöglicht, auf direktem Wege von Anbietern auf dem Gebiet einer anderen Vertragspartei Informationen zu erhalten, ist vor dem Hintergrund der bisherigen Erfahrung der Cybercrime Konvention (CCC) aus dem Jahre 2001 zu bemerken, dass eine wesentliche Verbesserung im Hinblick auf Drittstaaten bislang noch nicht stattgefunden hat.

Dennoch bestehen mit dem zweiten Zusatzprotokoll nunmehr weitreichende Möglichkeiten, Bestands-, Verkehrs-, und Inhaltsdaten aus fremden Hoheitsgebieten zu erlangen.

Was den Rechtsschutz betrifft, werden sich Betroffene darauf einstellen müssen, sowohl gegen die inländische Beantragung als auch die ausländische Beantwortung vorgehen zu müssen. Die Aufspaltung des Rechtswegs ist dem Grundsatz der Staatenimmunität geschuldet.

Fazit: Das Entdeckungsrisiko für im Ausland gelegene Daten steigt.