Die Crux mit der Cloud: Die E-Evidence- Verordnung im Trilog
Die sogenannte E-Evidence-Verordnung quält sich auf die Zielgerade des europäischen Gesetzgebungsverfahrens. Wenn Strafverfolgungsbehörden aus anderen Mitgliedstaaten zukünftig Mandantendaten von privaten Service Providern herausverlangen können, dann könnte dies das Berufsgeheimnis und die Datensicherheit von Steuerberatern und Wirtschaftsprüfern beinträchtigen.
Als Trilog werden die Verhandlungstreffen der drei am Gesetzgebungsverfahren beteiligten EU-Legislativorgane Rat, Parlament und Kommission bezeichnet, um eine Einigung in einem Gesetzgebungsverfahren herbeizuführen. Seit Beginn des Jahres befindet sich auch die sogenannte E-Evidence-Verordnung, also die Verordnung über europäische Herausgabeanforderungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen [1], in einem solchen Trilogverfahren. Der Vorschlag der EU-Kommission wurde bereits vor über drei Jahren, im April 2018, veröffentlicht. Dies ist ein klares Indiz für die kontroverse Auseinandersetzung eines Rechtsakts, der darauf abzielt, die grenzüberschreitende Herausgabe von elektronischen Beweismitteln deutlich zu vereinfachen. Nach der E-Evidence-Verordnung sollen sich Strafverfolgungsbehörden aus dem europäischen Ausland zukünftig direkt an den privaten Service Provider wenden und die Herausgabe von elektronischen Beweismitteln verlangen können, ohne, dass es der Zwischenschaltung eines nationalen Justizorgans bedarf. Kommt der Service Provider dem Ersuchen nicht nach, droht ihm ein empfindliches Bußgeld.
Tatsächlich erfolgt die Datenspeicherung, etwa von Cloud-Diensteanbietern, aus unterschiedlichsten Gründen längst nicht mehr ortsgebunden. Das hat zur Folge, dass die Anzahl der Ersuchen um Herausgabe von Daten als Beweismittel in Mitgliedstaaten, bei denen die Datenspeicherung erfolgt, exponentiell angestiegen ist. Diese Herausgabeverfahren dauern teils unzumutbar lange und behindern eine effiziente Strafverfolgung.
Als Organ der Steuerrechtspflege ist dem Berufsstand selbstverständlich an einer effizienten, vor allem aber an einer rechtsstaatlich unbedenklichen Strafermittlung gelegen. An eben dieser Komponente der Unbedenklichkeit dürften im Falle der Verabschiedung des Rechtsaktes, der als Verordnung ohne weitere Umsetzung in Deutschland anwendbar wäre, durchaus Zweifel angebracht sein. Vor allem ist nicht sichergestellt, dass die Daten von Berufsgeheimnisträgern, etwa Mandantendaten, nicht vom Anwendungsbereich der Verordnung ausgenommen sind. Dadurch könnten Daten, die dem Berufsgeheimnis unterliegen, ohne richterliche Anordnung des jeweiligen Landes, in dem die Daten gespeichert sind, herausgegeben werden.
Zudem sieht der DStV erhebliche rechtsstaatliche Bedenken darin, die Verantwortung der Überprüfung einer Herausgabe von Daten auf private Dienstleister zu verlagern. Diese privaten Service Provider werden aufgrund der Androhung von Bußgeld und aufgrund der eigenen Abwägung von Kosten und Nutzen im Zweifel sicherlich eine Verweigerung der Datenherausgabe unterlassen. Sicherlich wäre aus Gründen der Rechtsstaatlichkeit eine gegenteilige Verhaltensweise angezeigt.
Ein Rechtsbehelf gegen die Anordnung soll im Übrigen lediglich in dem Land eingelegt werden, in dem die Anordnung auf Herausgabe der Daten erfolgte. Da bliebe im Falle der Verabschiedung zu hoffen, dass auf Seiten der Beschwerdeführer und Strafverfolgungsbehörde, ausreichend Sprachkenntnisse vorhanden sind. Ein Rechtsbehelf setzt allerdings voraus, dass die Betroffenen auch über die Anordnung der Strafverfolgungsbehörde informiert werden. Diese Position wird jedoch derzeit lediglich durch das EU-Parlament, insbesondere vertreten durch seine Berichterstatterin Birgit Sippel (SPD), gestützt.
Erschwert wird die Umsetzung der Verordnung durch die unterschiedlich ausgeprägten Strafrechtssysteme in den Mitgliedstaaten, die nicht allein ein unterschiedliches Strafmaß vorgeben, sondern auch unterschiedliche Straftatbestände aufweisen.
Sicherlich wäre die Verpflichtung der Justizbehörden der Mitgliedstaaten, besser und vor allem schneller zusammenzuarbeiten, unter rechtsstaatlichen Gesichtspunkten die eindeutig bessere Alternative gewesen. Offenbar hat der Europäische Gesetzgeber hierfür allerdings nicht das dafür notwendige Vertrauen in die Umsetzbarkeit solcher Vorgaben durch die nationalen Rechtspflegeorgane.
Parallelen zu den Pflichten zur Bekämpfung von Geldwäsche, denen auch die beratenden und prüfenden Berufe unterworfen sind, sind unübersehbar. Schließlich werden sowohl bei der E-Evidence-Verordnung als auch bei der Geldwäsche Dienstleistern ohne weitere Vergütung, dafür aber mit entsprechender Sanktionsandrohung, hoheitliche Aufgaben bei der Ermittlung von Straftaten aufgebürdet.
Zu den Auswahlkriterien für Cloud-Anbieter könnte zukünftig jedenfalls der Standort der Datenspeicherung eine weitaus größere Bedeutung als bisher zukommen.
[1]COM (2018) 108 (COD) EUR-Lex - 2018_108 - EN - EUR-Lex (europa.eu)