Connect with us

Datenschutz & Sicherheit

EU-Staaten fordern ein Jahr Vorratsdatenspeicherung für Internet-Dienste wie Messenger


Die anlasslose Vorratsdatenspeicherung ist unverhältnismäßig und rechtswidrig. Mit dieser Begründung haben das Bundesverfassungsgericht und der Europäische Gerichtshof entsprechende Gesetze gekippt.

In Deutschland arbeitet die Bundesregierung an einer neuen Vorratsdatenspeicherung. Laut Koalitionsvertrag sollen Internet-Zugangs-Anbieter „IP-Adressen und Portnummern“ drei Monate lang speichern, „um diese einem Anschlussinhaber zuordnen zu können“.

Die EU-Institutionen arbeiten an einer noch umfassenderen Vorratsdatenspeicherung. Geht es nach den EU-Staaten, sollen alle möglichen Internet-Dienste eine Vielzahl an Daten ein Jahr lang speichern.

Das geht aus einem Papier der Ratspräsidentschaft hervor, über das zuerst Falk Steiner bei heise berichtete. Wir veröffentlichen das Dokument im Volltext: Künftige Vorschriften zur Vorratsdatenspeicherung in der Europäischen Union.

Vielzahl von Internet-Diensten

Deutsche Befürworter der Vorratsdatenspeicherung fordern, dass Internet-Zugangs-Anbieter IP-Adressen ihrer Kunden speichern müssen. Wenn Ermittler auf eine IP-Adresse stoßen, sollen sie damit den Inhaber des entsprechenden Internet-Anschlusses identifizieren.

Die EU-Staaten gehen weit über Internet-Zugangs-Anbieter hinaus. Die meisten Staaten fordern „einen möglichst breiten Geltungsbereich“ für Internet-Dienste. Einige EU-Staaten fordern explizit eine Vorratsdatenspeicherung für „Over-the-Top-Dienste“. Die Begründung: Nur noch drei Prozent mobiler Nachrichten werden über SMS verschickt, die restlichen 97 Prozent über Messenger wie WhatsApp und Signal. Also sollen auch diese Messenger Daten speichern müssen.

Die EU-Staaten nennen „eine Vielzahl von Dienstleistern“, für die ein neues Gesetz zur Vorratsdatenspeicherung gelten soll. Sie erwähnen explizit „Domain-Registrare, Hosting-Anbieter, Filesharing- und Cloud-Speicherdienste, Zahlungsdienstleister, Anbieter von VPN-Diensten, Kryptowährungshändler, Vermittler von E-Commerce- und Finanzplattformen, Taxi- und Lebensmittellieferdienste und Gaming-Plattformen sowie Automobilhersteller“.

Die meisten dieser Dienste fallen bereits in den Anwendungsbereich der E-Evidence-Verordnung. Die regelt jedoch den anlassbezogenen Zugriff auf bereits vorhandene Daten. Die Vorratsdatenspeicherung verpflichtet zur anlasslosen Speicherung neuer Daten.

Wer, wann, wo, wie, mit wem?

Deutsche Befürworter der Vorratsdatenspeicherung betonen immer wieder, dass es nur um IP-Adressen geht. Schon das deutsche Gesetz soll auch Portnummern umfassen.

Die EU-Staaten finden, dass „Daten zur Identifizierung eines Nutzers“ wie „Teilnehmerdaten und IP-Adressen“ nur die „Mindestdatenkategorie sein sollten“. Einige Staaten wollen auch Seriennummern von Internet-Geräten speichern.

Manche Staaten wollen auch Kommunikations-Verbindungs-Daten speichern. Ermittler sollen in den Daten erkennen, „wer wann, wo und wie mit wem kommuniziert hat“. Das erinnert an die EU-Richtlinie von 2006. Damals mussten Anbieter für jeden Anruf, jede SMS, jede E-Mail und jedes Internet-Telefonat speichern, „wer wann, wo und wie mit wem kommuniziert hat“.

Einige EU-Staaten fordern auch „eine allgemeine und unterschiedslose Vorratsspeicherung“ von Standortdaten. Mobilfunk-Netze wissen immer, wo ein Smartphone ist. Diese Daten sind extrem aussagekräftig und sensibel. Manche EU-Staaten wollen mit diesen Daten vermisste Personen suchen. Andere Staaten betonen, dass „nicht alle Fälle von vermissten Personen eine potenzielle Straftat darstellen“.

Mindestens ein Jahr Speicherfrist

Die alten Gesetze von EU und Deutschland hatten eine Speicherdauer von sechs Monaten. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“. Trotzdem soll das neue neue deutsche Gesetz eine Frist von drei Monaten vorschreiben.

Die EU-Staaten wollen deutlich längere Speicherfristen. Die meisten Staaten fordern „eine Dauer von einem Jahr und in jedem Fall nicht weniger als sechs Monate“. Einige Staaten befürworten noch „längere Aufbewahrungsfristen für komplexe Ermittlungen oder sehr schwere Straftaten“.

Einige Staaten wollen, dass die EU die Aufbewahrungsfristen nur „als Mindestfrist und nicht als Höchstfrist festlegt, damit die Mitgliedstaaten bei Bedarf längere Aufbewahrungsfristen beibehalten können“.

Nicht nur schwere Straftaten

Die Vorratsdatenspeicherung wurde ursprünglich nach den Terroranschlägen am 11. September 2001 eingeführt und mit dem Kampf gegen internationalen Terrorismus begründet. Mittlerweile wird die Vorratsdatenspeicherung oft mit sexuellem Missbrauch von Kindern und Jugendlichen begründet.

Die EU-Staaten betonen jedoch, „dass Metadaten für die Ermittlung praktisch aller Straftaten relevant sein könnten“. Ermittler sollen Vorratsdaten vor allem bei schweren Straftaten nutzen. Was als „schwere Straftat“ gilt, sollen jedoch die Nationalstaaten definieren. Auch „Aspekte der nationalen Sicherheit“ sollen die Staaten ohne EU regeln.

Neben schweren Straftaten fordern die Staaten die Nutzung von Vorratsdaten gegen „alle Straftaten, die im Cyberspace oder unter Verwendung von Informations- und Kommunikationstechnologie begangen werden“.

Die meisten Staaten befürworten „die Einbeziehung von Straftaten, die überwiegend online begangen werden (Stalking, Hassverbrechen usw.), auch wenn das Strafmaß moderat ist, aber der Mangel an Daten die Ermittlungen praktisch unmöglich machen würde“.

Verhältnismäßigkeit neu bewerten

Das Rats-Dokument fasst zusammen, warum die alte Vorratsdatenspeicherung rechtswidrig war: „Sie hat die Verhältnismäßigkeitsprüfung nicht bestanden, da sie pauschal alle Personen und alle elektronischen Kommunikationsmittel sowie alle Verkehrsdaten ohne Differenzierung, Einschränkung oder Ausnahme erfasst hat.“

Mit der neuen Vorratsdatenspeicherung sollen mehr Anbieter mehr Daten länger speichern, die Ermittler für mehr Zwecke verwenden dürfen. Wie das rechtskonform gehen soll, bleibt offen.

Einige Staaten fordern, die Rechtsprechung der Gerichte neu zu interpretieren. Sie wollen „die Notwendigkeit und Verhältnismäßigkeit angesichts der technologischen Entwicklungen und der sich wandelnden Begehungsweisen von Straftaten neu bewerten“.

Gesetzesvorschlag 2026

Die meisten EU-Staaten fordern ein neues EU-Gesetz zur Vorratsdatenspeicherung. Die EU-Kommission arbeitet bereits daran.

In einem ersten Schritt hat sie bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Die Kommission plant, im ersten Quartal 2026 eine Folgenabschätzung abzuschließen.

Nach Angaben der Kommission könnte sie „Ende des ersten Halbjahres 2026“ einen Gesetzesvorschlag präsentieren.

Hier das Dokument in Volltext:

  • Classification: Limite
  • Date: 27 November 2025
  • Place: Brussels
  • From: Presidency
  • To: Delegations
  • Document: WK 16133/2025 INIT

Presidency Outcome Paper – Future rules on data retention in the European Union

1) Introduction

On 25 September 2025, the Danish Presidency organised a meeting of the Working Party on Judicial Cooperation in Criminal Matters (COPEN). The purpose of the meeting was to continue discussions on a possible design for a future EU legal framework on data retention and to contribute to the Commission’s impact assessment, by identifying the main priorities of the Member States in this area, in particular in light of the requirements laid down in the case-law of the Court of Justice of the European Union (CJEU).

During the meeting, the Commission provided an update on their work on the impact assessment, including a presentation of the preliminary results of the call for evidence and the public consultation. The Commission reported that the response rate to the general open consultation had been very high and thus a big success. On the targeted consultation, the Commission summarised the input received from Member States and asked for it to be supplemented by more information regarding electronic data used for criminal investigations. The Commission is planning to finalise the impact assessment in the first quarter of 2026. If the result of the impact assessment pointed in the direction of a legislative proposal, that proposal could, according to the Commission, be presented at the end of the first semester of 2026.

During the exchange of views, most Member States reiterated their support for future EU legislation in this area. In this regard, most Member States referred to the need to remain within the limits defined by the CJEU, while some stressed the need to go beyond mere codification of the case-law and thought that necessity and proportionality should be re-assessed in the light of evolving technologies and developments in the way crimes are committed. Many considered that the overall proportionality of the retention regime could only usefully be ensured through access level and through additional safeguards. Moreover, Member States emphasised that certain elements should remain within their national competence, such as the definition of what constitutes ’serious crime‘. Also, aspects related to national security should be exempt from the scope of any future EU legislation on data retention. This would mean that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security would have to be exempt from future EU legislation, regardless of which national authority requested access.

At the end of the meeting, the Presidency invited Member States to send their contributions in writing based on the guiding questions outlined in the Presidency’s discussion paper, WK 11640/2025.

2) Background and context

For more than a decade, the European Union has not had a common set of rules regulating the retention of personal data for the purpose of the investigation, detection and prosecution of serious crime. On 8 April 2014, the Data Retention Directive in force at the time (Directive 2006/24/EC)[1] was declared invalid ab initio by the CJEU in the landmark judgment in joined cases C-293/12 and C-594/12, Digital Rights Ireland and Others.[2] In that judgment, the CJEU found that the Directive violated Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, i.e. the right to respect for private and family life and the right to the protection of personal data. Even though the CJEU found that the Directive had a legitimate aim, it did not pass the proportionality test, given that it covered in a generalised manner all persons and all means of electronic communication as well as all traffic data without any differentiation, limitation, or exception being made in the light of the necessary objective of fighting serious crime.

Since the Directive was declared invalid, the CJEU has developed and further refined its case-law on Member States‘ access to retained and stored data for the purpose of fighting serious crime.[3] In the absence of a harmonised EU legal framework, Member States have had to navigate complex legal terrain to ensure that their national laws align with the CJEU’s standards on necessity and proportionality, as well as privacy and data protection safeguards. In the Council, discussions of the consequences of the jurisprudence have taken place since 2014 in various fora, i.e. JHA Council meetings, but also in more detail in the COPEN Working Party.

In June 2023, the Swedish Presidency, together with the European Commission, launched a High-Level Group on access to data for effective law enforcement (HLG), aiming to stimulate the discussion and open it to other relevant stakeholders. The HLG issued its concluding report in November 2024[4], in which the HLG confirmed that one of the main areas of access to data for law enforcement purposes is data retention. This was reiterated by the Council conclusions of 12 December 2024 on access to data for effective law enforcement, which invited the Commission to present a roadmap for the implementation of relevant measures to ensure the lawful and effective access to data for law enforcement.[5] Furthermore, in its conclusions of 26 June 2025, the European Council invited the EU Institutions and the Member States to take further action to strengthen law enforcement and judicial cooperation, including on effective access to data for law enforcement purposes.[6]

On 24 June 2025, the Commission presented a roadmap for lawful and effective access to data for law enforcement (‚the Roadmap‘).[7] It is in the context of the implementation of this Roadmap that the Commission is carrying out an impact assessment on data retention.

During the discussions at the informal delegates‘ meeting of the Coordinating Committee in the area of police and judicial cooperation in criminal matters (CATS) in Copenhagen on 1-2 September 2025, many delegates stressed the importance of a timely Commission proposal for a harmonised set of rules on data retention in order to ensure that law enforcement authorities across the EU have effective access to data when investigating and prosecuting organised crime.

Within this context, the work done in the COPEN Working Party during the Danish Presidency has focused on contributing to this goal, by ensuring that the Member States‘ approaches and priorities are identified and taken into account in the Commission’s impact assessment, following up on the work done by the Polish Presidency and in full coordination with the other communities concerned by the topic of access to data for law enforcement (i.e. the Standing Committee on operational cooperation on internal security (COSI) and the Horizontal Working Party on Cyber Issues (HWPCIs)).

3) Summary of the Member States‘ remarks

Following the COPEN Working Party meeting on 25 September 2025, the Danish Presidency has received written contributions from fifteen Member States[8] and the EU Counter-Terrorism Coordinator (EU-CTC) with reference to the questions outlined in the Presidency discussion paper prepared for that meeting (WK 11640/2025). The contributions have been compiled in their full length in document WK 13500/25 and were distributed to Member States on 31 October 2025. In the following, the Presidency seeks to summarise both the written contributions and the oral comments made during the meeting in order to provide an overview of the Member States‘ main positions in this area. Hence, the summary reflects the Presidency’s reading of and selection from the inputs provided and does not in any way prejudge the official or final position of Member States.

Support for a new legislative framework

Member States highlight that stored traffic and location data are particularly relevant for the effective investigation and prosecution of criminal offences that leave few traces other than such data (e.g. cases regarding the acquisition, dissemination, transmission or making available online of child sexual abuse material[9]), and thereby minimise the risk of systemic impunity. With relevant data, investigators can get a clear picture of the criminal offences committed. They emphasise that evidence is not always incriminating, but in many cases, it is exculpatory and can lead to an acquittal. For this reason, some Member States believe it is appropriate to provide for new rules which include general data retention and which are accepted by the CJEU.

Most Member States express support for a new legislative framework at EU level, highlighting the need for harmonised rules to address the fragmentation after the 2006 Directive was declared invalid in 2014. However, this support is expressed with cautionary remarks concerning the need to incorporate elements to guarantee proportionality and necessity as well as robust safeguards against abuse. Some Member States emphasise the limitations imposed in particular by the Digital Rights Ireland judgment and the need to avoid indiscriminate retention, while a few Member States explain that they do not have a formal position yet on the need for new legislation on data retention at EU level. The EU-CTC is in favour of establishing a harmonised EU regime on data retention that is technology-neutral and future-proof and advocates for the use of standardised formats for data retention.

Most Member States recall that safeguarding national security falls within the remit of their competence and this area should therefore be excluded from the scope of any future EU legal framework on data retention. According to certain Member States, the framework should be defined in such a way as not to impede the exercise of their competence in the area of national security. This implies that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

In addition, some Member States also mention the importance of aligning future data retention rules with existing EU regulations which provide law enforcement authorities access to retained data, mainly the e-Evidence Regulation[10], but also others, such as regulation in the field of consumer protection.[11]

Scope of service providers

Regarding the service providers that should be covered by the obligation to retain data, most Member States express general support for future legislation to have the broadest possible scope of application, including the possibility of adapting the list to future technological and market developments.

More concretely, some Member States and the EU-CTC agree that over-the-top (OTT) services should be subject to retention obligations due to their dominance in communications (approximately 97% of mobile messages are currently sent via OTTs, with traditional SMS and MMS making up only about 3% of messages[12]). Nevertheless, some Member States mentioned that the impact which such an extension would have on OTT business models and that the related costs should be taken into account. Further to the general reference to OTTs, Member States provided detail on a wide range of service providers to be included in a future legal framework, such as domain name registries, hosting providers, file sharing and cloud storage services, payment service providers, providers of VPN services, cryptocurrency traders, e-commerce and financial platforms intermediaries, taxi and food delivery services and gaming platforms, as well as car manufacturers, most of which are already included in the scope of the e-Evidence Regulation.

Regarding alignment of services with the e-Evidence Regulation, several Member States point out that it would be useful to include at least the same scope of services in a future legal framework on data retention to ensure the full effectiveness of access rules under the e-Evidence Regulation.

Data to be retained

Regarding the data to be retained, most Member States mention that data to identify a user should be the minimum data category to be included in future legislation, such as subscriber data and IP addresses. Furthermore, metadata associated with communications (traffic and location data) should be included, with content data clearly excluded. Some Member States also mention data to identify the destination and service recipient’s communication equipment in order to determine the location of mobile communication equipment.

As regards the possibility of imposing a general and indiscriminate data retention obligation on telecommunication providers in order to locate missing persons, most Member States consider that location data is crucial in such cases, with some expressing support for including a general and indiscriminate retention of such data for the purposes of conducting search operations and rescuing people, given how highly effective this is, while others consider that such a retention obligation would need to be finely tuned since not all cases of missing persons involve a potential criminal offence.

Targeted retention

On the benefits of targeted data retention for traffic and location data, Member States noted that the aim of targeting measures would be to provide proportionality and to limit interference with individuals‘ privacy, as data should only be retained according to clearly defined criteria, in line with the CJEU’s case-law.

On the shortcomings, Member States generally agree that targeted data retention based on geographical criteria would be technically challenging to implement (and even impossible for some), due to the current configuration of providers‘ networks, which does not allow for restriction of data retention to a pre-defined area, while being very costly for service providers. In addition, Member States consider that targeted data retention would be insufficient to achieve a good outcome for the investigations, since law enforcement authorities will not always know in advance by whom, when, and where a crime is going to be committed.

Moreover, retention based on geographical or personal criteria could be easily circumvented e.g. by criminals using other persons‘ identities or shifting their criminal activities to areas not covered by data retention obligations. Targeted data retention limited to data of persons with a criminal history would not account for first-time offenders as well as foreign offenders (not included in national databases). Furthermore, reliance on criminal statistics would risk not accounting for areas where crimes are prepared or concealed or for crimes that cannot easily be linked to a certain location such as financial crimes. As a consequence, such targeted retention would not meet the needs to effectively investigate a number of crimes including organised crime, cybercrimes or terrorism.

For some Member States, targeted retention could also raise constitutional issues because of risks of discrimination and the presumption of innocence. Some Member States also expressed concerns that applying such targeted retention would lead to unequal protection of victims depending on where the crime is committed (e.g. murder in a remote area outside the targeted geographical area) and potentially hamper the early stages of investigations in relation to unknown suspects. In these cases, the lack of data to identify a potential perpetrator could result in delays in time-sensitive investigations where there is a potential risk to life.

Several Member States also point to the high complexity of designing and implementing such a targeted retention regime, which would need to define all relevant criteria capturing future criminal behaviour based on historical data and would need to be constantly updated (creating additional burden for companies).

Instead, several Member States and the EU-CTC recommend working on a system that allows for an adequately graduated and differentiated retention regime, with limitations defined in terms of data categories and retention periods, accompanied by strengthened security requirements and strict access rules and purpose limitations, user information, complaint mechanisms and legal remedies as well as general oversight. Some Member States also point out that the CJEU has not ruled out the use of criteria other than those mentioned (i.e. geographical or personal) to define data retention obligations.

Expedited retention orders (quick freeze)

While Member States recognise expedited retention (known as a ‚quick freeze‘), as a relevant tool allowing for the immediate preservation of data upon notification of a crime, it is considered insufficient to guarantee a good outcome for an investigation. Quick-freeze obligations should therefore complement, but not replace, a data retention regime.

The reasoning behind this is that the tool is reactive, not preventive. The event under investigation would have to have taken place before the quick freeze is utilised. Furthermore, in the absence of a general retention obligation, the risk that the request might arrive when the data has already been deleted increases exponentially.

Some Member States would support the regulation of quick-freeze measures in an EU instrument, with some considering that regulation of quick freeze should cover not only the scope of data to be accessed, but also the conditions imposed on the requesting authority, taking into account the degree of interference with privacy.

Use of traffic and location data retained for marketing and billing purposes

In some Member States, the preservation regime relies on service providers storing data for commercial purposes. In others, law enforcement authorities may only access this type of data from telecommunication providers, and in certain Member States, data retained for marketing and billing purposes serves as the basis for requests directed at providers not subject to the general data retention obligation, such as operators outside the traditional telecom sector. A common feature of these regimes is that the retention period can be very short, typically between a few days or weeks, or three to six months, depending on the Member State, and the data available may be incomplete.

Some Member States indicate that companies either retain a different range of data for their own purposes, or retain data necessary for criminal investigations, but not for a sufficiently long period or of a sufficient quality. Thus, some of the data (e.g. data kept for marketing purposes) have only limited evidential value and may only prove useful in certain categories of offence, such as online or credit fraud. In other cases, service providers do not store relevant data at all since they are not required for billing purposes (e.g. when offering unlimited calls or in relation to pre-paid services). Overall, Member States consider that data held by service providers for purely business purposes are insufficient to enable the effective investigation and prosecution of all types of serious crime. For the purposes of effective criminal investigations, the definition and scope of data to be retained should reflect the investigative needs in terms of identifying the perpetrator and establishing who communicated with whom, when, where and how.

However, several Member States would prefer to keep the possibility to request metadata that has already been retained for commercial purposes or in order to comply with other obligations, such as data retained to fulfil security and quality requirements.

Retention periods

As for the question of how to best determine retention periods in line with the case-law, most Member States advocate for a duration of one year and in any event not shorter than six months. However, some Member States are in favour of longer retention periods for complex investigations or for very serious crimes, linking the retention obligations with strict conditions to access.

According to some Member States and the EU-CTC, retention periods should be designed as a minimum mandatory period, rather than as a maximum limit, thus allowing Member States to maintain longer retention periods where necessary.

Regarding the question of the advantages and disadvantages of one fixed retention period across the EU, allowing for the possibility of renewals at national level, or setting a range within which Member States may set shorter or longer retention periods, Member States generally recognise that uniform retention periods across the EU increase predictability and facilitate cross-border investigations while also ensuring that criminals cannot take advantage of lower retention periods in some Member States. While Member States prefer to maintain some flexibility (in particular to be able to maintain longer retention periods under national law), they recognise that a range may introduce some uncertainty as to what is necessary and proportionate. Other Member States show openness to an interval-based model, under which the EU would set minimum and maximum retention periods, allowing Member States to adjust them according to national needs, taking into account the type of data, their relevance to specific crime areas, the technical capabilities of service providers, and the practical needs of law enforcement.

On the possible differentiation of retention periods according to the type of data, most Member States are generally open to such an approach, while also pointing to an increase in complexity affecting the ability of service providers to implement it.

Scope of crimes

Most Member States stress that metadata could be relevant in relation to the investigation of practically all crimes. For the purposes of an EU data retention regime for traffic and location, they agree that such obligations could be limited to the purposes of combating serious crime. Types of crime mentioned in the contributions include combating fraud and serious economic and financial crimes, cyber-enabled and cyber-dependent crime, child exploitation, terrorism, homicide, human trafficking, cybercrime, corruption, organised crime, all crimes committed in cyberspace or using information and communication technology. Other crimes that were committed with the use of relevant means of communication are also mentioned in some of the contributions, such as offences against life and health and online sexual offences, kidnappings and disappearances, and threats to national security.

In addition, most Member States support the inclusion of crimes committed largely online (stalking, hate crime, etc.) even if the level of sanctions is moderate but the lack of data would practically make the investigation impossible. While most Member States consider that the lack of traffic and location data would risk systemic impunity in particular in relation to cyber-dependent and cyber-enabled crimes, similar risks are also identified in relation to other serious and organised crimes such as drugs trafficking, arms trafficking, human trafficking, terrorism, as well as kidnappings and disappearances and other serious offences against life and health.

On the other hand, some Member States advocate for the broadest catalogue of offences possible based on the list in Article 12(1)(d) of the e-Evidence Regulation (which includes all crimes with a penalty threshold of three years). Member States consider that EU legislation should not define the concept of ’serious crime‘. In this regard, some Member States consider that an offence catalogue would imply an EU-wide definition of ’serious crime‘, interfering with national competences. Some Member States also note that a list of all possible offences would not be sufficient because of the changing modus operandi of criminals. Those Member States see the decisive points as being the specific purpose of the investigation, the degree of interference, and strict, differentiated safeguards.

Access rules and conditions

Some Member States emphasise that EU provisions on access to retained data should be limited to minimum harmonisation in compliance with the principles of subsidiarity and proportionality and with the other requirements set out by the CJEU, while other Member States point out that the system should be based on general retention combined with robust access safeguards.

A large majority of the Member States state the need for robust access safeguards, including prior authorisation by a court or independent administrative body for certain types of data, based on reasoned requests and subject to limitations reflecting the seriousness of the offence. Such access would be granted only for a specific purpose, with strict guarantees also applying to data sharing, and accompanied by strong security and data minimisation measures, in order to avoid, among other risks, the possibility of profiling.

Some Member States mention that access to traffic and location data should be subject to additional criteria in specific cases. These include situations where digital evidence is essential for identifying the perpetrator, where serious harm to life, health, human dignity or major economic damage is involved, where the data is at risk of being lost, where less intrusive measures have failed to elucidate the offence, or where the case has a cross-border dimension that makes it difficult to obtain evidence quickly by other means.

Some Member States pointed out that when designing a new data retention regime in accordance with the case-law of the CJEU, account should be taken of the fact that the CJEU’s judgments were delivered in specific factual contexts. They therefore argue that a new EU data retention regime should not rely on a literal application of those rulings to individual cases, but rather on an assessment of the principle of proportionality in line with the CJEU’s general guidelines as they result from the application of the Charter, combined with appropriate mechanisms for oversight by independent bodies or judicial authorities to ensure full protection of fundamental rights.

On this matter, some Member States also point out that access to communication metadata is subject to the condition of probable cause, reasonable grounds or a criminal context.

Regarding alignment with the e-Evidence Regulation regarding conditions for access, several Member States support mirroring some of its elements, such as standardised formats for access requests, secure communication channels and guarantees of access depending on the type of data at stake, while adapting them to the specific needs of data retention for law enforcement purposes in order to ensure transparency, data protection and more efficient operation. More specifically, some Member States advocate for standards in line with those of the European Telecommunications Standards Institute (ETSI). Such standards would enhance the efficiency of information sharing and provide greater legal certainty for service providers, while also allowing them to contribute to the design so that the standards better reflect their technical needs. The EU-CTC also sees value in defining standardised formats for a harmonised categorisation of data to be retained and accessed, but also for establishing secure channels for the exchange between competent authorities and service providers.

Some Member States explain, however, that the e-Evidence Regulation only standardises to a limited extent, and that new standards of data transmission could potentially incur significant costs. These Member States do not see a need to regulate standardised formats and communication channels. They argue that the main purpose of an EU instrument should be to regulate data retention in situations involving interactions between national authorities and providers established within their territory, i.e. domestic cases, since cross-border cooperation scenarios are already addressed by the e-Evidence Regulation.

Finally, some Member States highlight the fact that it would be important to bear in mind the recommendations of the HLG regarding the enforcement of sanctions against electronic and other communications service providers which do not comply with requirements regarding the retention and provision of data.

On the other hand, some Member States stress that access rules at EU level should not interfere with national rules on the admissibility of data.

4) Conclusion

If a data retention framework were to be defined, a primary hurdle would be reconciling the demands of effective law enforcement, on the one hand, with the protection of fundamental rights, as interpreted by CJEU jurisprudence, on the other. In this regard, most Member States highlight the need for a framework that avoids indiscriminate retention, prioritises judicial oversight based on the sensitivity of the data at stake, and incorporates robust safeguards against abuse. The Commission must navigate this complex legal and political landscape by focusing on differentiated retention obligations, establishing a clear definition of crimes that justify access, and adopting strict rules to regulate such access. It should contain harmonised procedures to ensure compliance with CJEU case-law while providing a practically effective solution. Moreover, it is emphasised that national legislation on storing and access to retained traffic and location data for the purpose of safeguarding national security should be exempt from future EU legislation, regardless of which national authority requests access.

5) Next steps

Taking into account the views of Member States and given the need to respond to law enforcement requirements while fully respecting individuals‘ fundamental rights, the COPEN Working Party will continue to follow up on the specific activities related to data retention in the Roadmap, and when appropriate, with the support of the Commission, the justice and home affairs agencies and other relevant stakeholders. However, at this stage, priority will be given to awaiting the outcome of the impact assessment before considering further steps. The contributions of other Council preparatory bodies to the work on access to data for effective law enforcement within their respective mandates will be coordinated by the Presidency to avoid overlaps.[13]

Footnotes



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

„Wir brauchen Transparenz, wo in Gerichtsverfahren KI eingesetzt wird“


Dass Fingerabdrücke oder DNA-Spuren in Strafverfahren als Beweise herangezogen werden, ist weit verbreitet. Aber mittlerweile halten zunehmend neue Technologien in die Gerichtssäle Einzug. Ein Beispiel: 3D-Modelle von mutmaßlichen Täter:innen werden automatisiert mit Videoaufnahmen vom Tatort abgeglichen. So soll bestimmt werden, ob auf dem Video die vermutete Person zu sehen ist – ganz ohne Gesicht.

Auch im sogenannten Budapest-Komplex spielt das eine Rolle. In einem aktuellen Prozess werden einem Beschuldigten Angriffe auf Neonazis, darunter versuchter Mord, vorgeworfen. Die Anklage stützt sich auch auf eine Analyse mittels Skelett-Modell und den Abgleich mit Tatort-Videos.

Wir haben dazu mit Anne Zettelmeier und Prof. Dr. Dominik Brodowski von der Universität des Saarlandes gesprochen. Sie forschen zum Einsatz von Technologien im Justizwesen und warnen davor, KI-gestützte Ergebnisse als alleinige Beweismittel zu nutzen.

Porträt von Anne Zettelmeier
Anne Zettelmeier – Alle Rechte vorbehalten Daimler und Benz Stiftung / Gerald Schiling

netzpolitik.org: Wie funktioniert eine Analyse mit digitalen Skeletten und wo kommt dabei eine KI zum Einsatz?

Zettelmeier: Um ein Skelettmodell einer Person zu erstellen, werden Marker an die Person angebracht – entweder händisch an bestimmten Körperstellen oder durch die automatisierte Erkennung bestimmter Punkte am Skelett.

Beim Einsatz in Strafverfahren geht es um den Vergleich zwischen dem erstellten digitalen Skelettmodell und einem Tatort-Video. Bei diesem Abgleich soll eine KI eingesetzt werden, um die beiden Täter-Skelett-Modelle zu vergleichen. Das Programm nennt dann am Ende eine Prozentzahl, mit welcher Wahrscheinlichkeit die Personen übereinstimmen und ein Verdächtiger die Person auf einem Tatort-Video ist.

netzpolitik.org: Mit welcher Software kann man das machen?

Brodowski: Mit Produkten, die auf dem Markt erhältlich sind und zur Modellierung von Bewegungsabläufen oder auch zur Identifikation von entsprechenden Markern dienen.

Allerdings sind diese Produkte teils für ganz andere Zwecke geschaffen worden, beispielsweise für die Filmindustrie, um verstorbene Schauspieler mit Bewegungen wieder zum Leben zu erwecken. In Kinofilmen geht es im Gegensatz zu Strafverfahren aber nicht um die Rekonstruktion einer materiellen Wahrheit. Da gelten ganz andere Zielrichtungen und Genauigkeitsmaßstäbe.

Biomechanische Gutachten und Computer-Simulation

netzpolitik.org: Ist der Ansatz, 3D-Modelle in Strafverfahren für eine Beweisführung zu nutzen, komplett neu?

Foto von Dominik Brodowski
Prof. Dr. Dominik Brodowski – Alle Rechte vorbehalten Jörg Pütz

Brodowski: Dass Skelettmodelle für die Beweisführung genutzt werden, ist noch relativ neu. Der Literatur zufolge wurde das allerdings bereits in anderen Verfahren eingesetzt, um Beschuldigte zu be- oder entlasten.

Bereits etablierter sind von Gutachtern erstellte Expertisen. Ein eindrückliches Beispiel hierfür ist der sogenannte Badewannen-Mord, bei dem sich im Nachhinein herausgestellt hat, dass es gar kein Mord war.

Ein Mann wurde dafür verurteilt und saß 13 Jahre lang unschuldig in Haft, bis ein Wiederaufnahmeverfahren nachgewiesen hat, dass er als Täter nicht in Betracht kommt. Dafür hat man unter anderem in einem biomechanischen Gutachten und per Computersimulationen untersucht, wie die Mechanik des menschlichen Körpers mit dem vermuteten Geschehen in Einklang zu bringen ist.

netzpolitik.org: Worin besteht der Unterschied, ob ich ein Verfahren zur Be- oder Entlastung nutze?

Zettelmeier: Gerade das ist eine wichtige Differenzierung. Es kann auf der einen Seite natürlich zur Entlastung beitragen, wenn Körperbau und Bewegungen einer Person gar nicht zu denen eines Menschen auf einer Aufnahme passen. Um solche Modell-Analysen aber zur Belastung von Verdächtigen zu nutzen, muss man sich sehr sicher sein – beispielsweise wenn ein KI-Modell zum Ergebnis kommt, dass es sich bei einer Person auf einem Video wahrscheinlich um den Tatverdächtigen handelt.

Eine Anklage oder am Ende sogar eine Verurteilung allein auf die Ergebnisse eines solchen Modells zu stützen, wäre ein Problem, weil diese Methode nicht ausreichend wissenschaftlich fundiert und untersucht ist. Wenn jemand falsch verurteilt wird und dann wie im Badewannen-Fall viele Jahre unschuldig in Haft sitzt, hat das schwerwiegende Folgen.

Brodowski: Für eine Verurteilung muss ein Gericht von der Schuld des Beschuldigten überzeugt sein und diese subjektive Überzeugung muss sich auch auf eine objektiv hohe Wahrscheinlichkeit stützen. Umgekehrt ist es aber so, dass bereits begründete Zweifel an der Schuld zwingend zum Freispruch zu führen haben. Dann greift der In-dubio-pro-reo-Grundsatz.

Das heißt, wenn wir nun anhand einer solchen Methodik Zweifel an einer Täterschaft eines Beschuldigten säen können, funktioniert das. Aber um als alleiniges Beweismittel dafür auszureichen, dass eine Person am Tatort war, braucht man eine ausgesprochen hohe Sicherheit hinter dieser Methodik. Die sehe ich zum aktuellen Zeitpunkt noch nicht.

Es braucht mehr Untersuchungen unter Realbedingungen

netzpolitik.org: Was bräuchte es denn dafür, dass solche Skelett-Analysen für eine Beweisführung vor Gericht genutzt werden könnten?



Uns fehlen dieses
Jahr noch 273.547 Euro.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Brodowski: Mehr Untersuchungen zur Zuverlässigkeit der Methode, gerade unter Realbedingungen. Es ist ein Unterschied, ob man solche Analysen in einem Labor unter Idealbedingungen mit genügend Vergleichsmaterial durchführt oder ob man verrauschte Handyvideos und Schwarz-weiß-Aufnahmen einer Überwachungskamera nutzt.

Menschen bewegen sich auch im Laufe der Zeit unterschiedlich. Die Knochen bleiben dieselben, aber der Bewegungsapparat verändert sich im Laufe eines Tages, im Laufe von mehreren Monaten. Auch in Stresssituationen können sich Bewegungsmuster verändern. All diese Faktoren und ihre Auswirkungen müssen untersucht werden. Ich sehe da noch großen Forschungsbedarf.

Dazu kommt noch eine andere Problematik, die beim Einsatz von KI auftritt: Die Berechnungen und die Ergebnisse sind nicht gut nachvollziehbar. Das ist die sogenannte Blackbox-Problematik und Ansätze mit Explainable Artificial Intelligence und ähnlichem haben noch keinen durchschlagenden Erfolg gebracht.

Wenn wir nicht wissen, wie nun eine solche Blackbox von einem Ausgangsdatensatz zum Ergebnis kommt, müssen wir das immer mit Vorsicht genießen.



Uns fehlen dieses
Jahr noch 273.547 Euro.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Verteidiger:innen müssen sich bei digitalen Beweismitteln weiterbilden

netzpolitik.org: Welche Auswirkungen hat es denn auf die Verteidigung und die Richter:innen in Strafverfahren, wenn Ergebnisse eines KI-Modells in Strafverfahren einfließen und nicht klar nachvollziehbar ist, wie diese zustande kommen?

Zettelmeier: Im Zweifel kann das zu einem sogenannten Automation Bias führen. Das bedeutet, dass man sich zu sehr auf die generierten Ergebnisse verlässt und beruft.

Es gibt zum Beispiel in Spanien das VioGén-System, das nach Anzeigen von Frauen wegen Gewalt das Risiko berechnen soll, erneut Gewalt zu erfahren. Basierend auf dem Risiko kann es dann richterliche Anordnungen zum Beispiel für ein Näherungsverbot der früheren Täter geben. Dort gibt es auch die Kritik, dass sich die Richter zu stark auf das generierte Ergebnis berufen und es nicht mehr zu einer eigenständigen Überprüfung kommt.

Brodowski: Umso wichtiger ist deshalb, dass man Transparenz herstellt, wann und an welcher Stelle in Verfahren Künstliche Intelligenz eingesetzt wird. Es darf etwa nicht passieren, dass ein Sachverständiger sehr überzeugt im Gerichtssaal auftritt und dort sein schriftliches Gutachten präsentiert und man nur in Fußnoten herausfindet, dass bei bestimmten Auswerteschritten KI eingesetzt wurde.

Das entspricht auch nicht den Anforderungen, die aus der EU-KI-Verordnung folgen. Diese verlangt ein hohes Maß an Transparenz, um einem solchen Automation Bias entgegenwirken zu können.

Eine gute Verteidigung wird solchen Ansätzen nachgehen und versuchen, Zweifel an der Methodik zu säen. Das verlangt jedoch viel von der Strafverteidigung, die sich deswegen auch im Bereich solcher digitaler Beweismittel zunehmend professionalisieren muss. Während in der Vergangenheit der Fokus der Verteidigung häufig auf der Glaubwürdigkeit von Zeugenaussagen gelegen hat, muss sie sich zukünftig immer mehr auch auf die Aussagekraft von solchen digitalen Beweismitteln fokussieren und hier Fachkompetenz hinzuziehen.



Source link

Weiterlesen

Datenschutz & Sicherheit

Brandenburg strebt mehr Schutz im Online-Handel an


Brandenburg übernimmt im kommenden Jahr den Vorsitz der Verbraucherschutzministerkonferenz. Unter anderem der Online-Handel und die Stärkung der Verbraucherbildung sollen dabei im Fokus der Ministerinnen und Minister der Länder stehen, wie das Ministerium in Potsdam ankündigte. 2025 hat noch Berlin den Vorsitz inne.

Weiterlesen nach der Anzeige

Brandenburgs Agrar- und Verbraucherschutzministerin Hanka Mittelstädt (SPD) will am Vormittag (10.00 Uhr) zu zentralen Themen im Jahr 2026 Stellung nehmen. Zu diesen gehört den Angaben zufolge auch die Preistransparenz und -kontrolle bei Lebensmitteln und der Energieversorgung. Beratungen der Verbraucherschutzministerinnen und -minister sind im kommenden Jahr in Potsdam geplant.

Online-Shops schon 2025 Thema

In diesem Jahr hatte sich die Konferenz bereits mit dem Schutz vor betrügerischen Angeboten im Internet und dem Umgang mit Fake-Shops beschäftigt. Kunden erhalten dabei nach Bestellungen mangelhafte Ware oder auch gar keine Sendung. Die Verbraucherschutzminister der Länder forderten zudem den Bund auf, den illegalen Handel mit Hunden und Katzen stärker einzudämmen.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Wie viel „Arschloch“ darfs denn sein?


Bundeskanzler Friedrich Merz ist nicht gerade zimperlich, wenn es darum geht, Länder („ordentliches Stück Brot“), Städte („Belem“) oder ganze Bevölkerungsgruppen („kleine Paschas“ und „grüne und linke Spinner“) zu beleidigen. Wenn allerdings er selbst im Fokus steht, wird er offenbar schnell dünnhäutig.

Wie wenig Friedrich Merz verträgt, ließ sich bereits bei anlässlich einer Karnevalsrede von Marie-Agnes Strack-Zimmermann im Jahr 2023 beobachten. Da ging es weniger um Beleidigungen als vielmehr um spitzzüngige Kritik, die bei ihm schmale Lippen und Kopfschütteln auslöste. Nach der Rede trat Merzens Büro gar in Kontakt mit der bekannten Büttenrednerin, was Strack-Zimmermann süffisant verbreitete.

Es kam sogar zu Hausdurchsuchungen

Durch Recherchen verschiedener Medien kam nun heraus, dass Friedrich Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.

Die Strafanträge sind laut den Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat. Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, mit fortlaufenden Fallnummern untermauert diese Schätzungen. Zwischen Mai und Dezember dieses Jahres sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung gestellt worden.

Eine offizielle Bestätigung der Fallzahlen gibt es nicht, wie der Tagesspiegel berichtet. Die Zeitung befindet sich in juristischen Auseinandersetzungen mit dem Kanzleramt, das in dieser Causa trotz Informationspflicht mauert und sich anwaltlich gegen das Informationsbegehren der Presse wehrt.

Moderne Majestätsbeleidigung

Dass ohne die aktive Mithilfe von Friedrich Merz in seiner Funktion als Bundeskanzler ermittelt werden kann, ermöglicht Paragraf 188 des Strafgesetzbuches, der Amtsträger:innen und Politiker:innen bis in die kommunale Ebene hinein vor Beleidigungen schützen soll. Der Paragraf bietet – zusammen mit den Paragrafen 90 (Verunglimpfung des Bundespräsidenten) und Paragraf 90b (Verfassungsfeindliche Verunglimpfung von Verfassungsorganen) – quasi moderne Möglichkeiten, „Majestätsbeleidigungen“ zu ahnden. Im Gegensatz zum klassischen Beleidigungsparagraf 185 StGB können Staatsanwaltschaften beim Paragraf 188 StGB von Amts wegen ermitteln. Bei der klassischen Beleidigung braucht es einen Antrag der betroffenen Person.

Die mutmaßlichen Beleidigungen werden den Ermittlungsbehörden – und später dem Bundeskanzleramt – vermutlich überhaupt erst bekannt, weil die Infrastruktur von Hatespeech-Meldestellen diese auffindet und an die Bundesbehörde weiterleitet. Laut den Recherchen der Tageszeitung „Die Welt“ ist daran maßgeblich die dem hessischen Innenministerium unterstellte Meldestelle „Hessen gegen Hetze“ beteiligt. Sie übermittelt Meldungen an die Zentrale Meldestelle für strafbare Inhalte im Internet (ZMI), die beim Bundeskriminalamt (BKA) angesiedelt ist. 92 Prozent aller Paragraf-188-Meldungen, die das ZMI erhält, stammen von der hessischen Meldestelle. Andere Meldestellen wie „Respect!“ oder die Landesmedienanstalten seien laut nd in weit geringerem Umfang beteiligt. Insgesamt habe das ZMI nach Auskunft eines Sprechers in den ersten neun Monaten dieses Jahres 5155 gemeldete Fälle mit dem Straftatbestand des Paragrafen 188 StGB kategorisiert.

Leberwurst auf Gabel.
Personen, die schnell beleidigt sind, werden in Deutschland gerne als „beleidigte Leberwurst“ bezeichnet. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Westend61

Spitzenpolitiker als Mandanten

Aber auch privatwirtschaftliche Dienste wie „So-Done“ haben bei der Verfolgung von Beleidigungen offenbar ihre Finger im Spiel. Laut Recherchen der Welt hat der Rechtsanwalt und FDP-Politiker Alexander Brockmeier die meisten der Strafanzeigen von Merz unterschrieben, die dieser während seiner Zeit als Bundestagsabgeordneter gestellt hat. Brockmeier hat die So Done GmbH zusammen mit seiner Parteikollegin Franziska Brandmann gegründet, eine Art Legal Tech Unternehmen, das Hate Speech verfolgt.

Laut Informationen der Welt haben neben Friedrich Merz in der Vergangenheit unter anderem Robert Habeck (Grüne), Julia Klöckner (CDU), NRW-Ministerpräsident Hendrik Wüst (CDU) und Bundesforschungsministerin Dorothee Bär (CSU) den Dienst in Anspruch genommen. Der Bundeskanzler nutze den Dienst mittlerweile nicht mehr.

„Werkzeug, um Leute aus dem Diskurs zu drängen“

Gleich acht Strafanträge von Friedrich Merz hat der Berliner Umwelt- und Klimaaktivist Tadzio Müller erhalten. Müller hatte Friedrich Merz auf Bluesky und Twitter mehrfach als Beispiel für seine Theorie der „Arschlochgesellschaft“ herangezogen und den Kanzler kontexualisierend wahlweise ein „schamloses“ oder „rassistisches Arschloch“ genannt.



Uns fehlen dieses
Jahr noch 274.190 Euro.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.


Bist Du auch Feuer und Flamme für Grundrechte?
Dann unterstütze jetzt unsere Arbeit mit einer Spende.

Müllers Rechtsanwalt Jannik Rienhoff findet es laut dem nd falsch, wenn Merz Postings zur Anzeige bringen lässt, die einen klaren politischen Kontext haben. Da dürfe man viel sagen und das zu Recht. „Bei einer Formalbeleidigung würde ich es verstehen, allerdings könnte Merz auch darüber stehen“, so Rienhoff gegenüber dem nd. Den Paragrafen 188 StGB, der Ermittlungen auch ohne direkten Strafantrag des Bundeskanzlers ermöglicht, kritisiert der Anwalt dabei grundsätzlich. Dieser sorge unnötigerweise für hohe Kosten und für einen enormen Aufwand für Betroffene.

„Systematische Strafverfahren wegen Bagatellbeleidigungen“

Das sieht auch Tadzio Müller so. Er ist überzeugt, dass es bei den Anzeigen nicht um die Bekämpfung von Hass im Netz gehe, sondern dass sie eine neue Form von Cyber-Bullying darstellen: „Ressourcenstarke Akteure wie Merz haben mit diesen Verfahren ein weiteres Werkzeug in der Hand, um Leute aus dem Diskurs zu drängen.“

Es handle sich um ein Werkzeug, das nicht nur emotional, sondern auch ökonomisch schmerze: „Jede dieser Anzeigen produziert Anwaltskosten bei den Betroffenen“, so Müller gegenüber netzpolitik.org.

Ähnlich sieht das auch Eva Meier*, die erst im November Post vom Landeskriminalamt Hamburg wegen einer mutmaßlichen Beleidigung des Kanzlers erhalten hat: „Seine Bürgerinnen und Bürger systematisch mit Strafverfahren wegen Bagatellbeleidigungen zu überziehen, ist eines Kanzlers nicht würdig“, sagt sie gegenüber netzpolitik.org. „Das ist kein Vorgehen gegen Hass im Netz, sondern schränkt gezielt die freie Meinungsäußerung ein.“

*Der wahre Name ist der Redaktion bekannt.



Source link

Weiterlesen

Beliebt