Ende 2024 haben die Vereinten Nationen ein Abkommen gegen Cyberkrimininalität verabschiedet – und dabei einen Konflikt entzündet. Alle 193 Staaten haben formlos zugestimmt, während Datenschutz- und Menschenrechtsorgnisationen, Wissenschaftler und Internetunternehmen starke Bedenken geäußert haben. Sie werfen den UN vor, ihre Kritik nicht aufgegriffen und berücksichtigt zu haben. Nun liegt das Abkommen zur Unterzeichnung und Ratifizierung aus. Es tritt 90 Tage nach der Ratifizierung durch den 40. Unterzeichnerstaat in Kraft.
Der Text des Abkommens war in einem fünfjährigen Verhandlungsprozess erarbeitet worden. Dieser völkerrechtliche Vertrag schafft einen Rechtsrahmen für Strafverfolgungsbehörden, auch für einen Zugriff auf persönliche Informationen. Er sei – so die UN – „ein historisches globales Abkommen“ und soll durch den Austausch von Beweismitteln, den Schutz der Opfer und die Prävention von Straftaten die internationale Kooperation bei der Bekämpfung von Cyberkriminalität fördern. Die digitale Welt biete zwar mit Informations- und Kommunikationstechnologien ein enormes Potential für die Entwicklung der Gesellschaften, erhöhe aber auch die Bedrohung durch Cyberkriminalität. Die neue Konvention werde nun Werkzeuge liefern, um die internationale Zusammenarbeit zu stärken und die Menschen sowie ihre Rechte zu schützen.
Das Abkommen dient dem Kampf gegen die Gefahren durch Missbrauch von Informations- und Kommunikationstechnologien, vor allem dem Schutz vor Straftaten wie Terrorismus, Menschen- und Drogenhandel oder Finanzkriminalität, vor Verbrechen wie dem sexuellen Missbrauch von Kinden im Internet, raffinierten Online-Betrügereien, Geldwäsche, Diebstahl und Verkauf privater Daten und Passwörter. Dazu erlaubt das Abkommen u.a. eine Echtzeiterfassung von Telekommunikationsdaten und das Abfangen von Kommunikationsinhalten. Die Mitgliedstaaten werden verpflichtet, derartige Überwachungsmaßnahmen für ein breites Spektum von Straftaten zu ermöglichen.
Vorgesehen ist, dass bei Straftaten, die nach nationalem Recht mit mindestens vier Jahren Gefängnis bedroht sind, andere Länder um elektronische Beweise gebeten werden können. Auch bei Internetanbietern dürfen Daten angefordert werden. Nicht nur die gegenseitige Rechtshilfe ist geregelt, sondern auch Beweiserhebungen, Zugriffe auf Daten und deren Beschlagnahme, Auslieferungen sowie die Einziehung von Vermögen sind vorgesehen. Dazu enthält das Abkommen drei Mechanismen:
# Anordnung zur Herausgabe von Daten: Die Staaten sind unterbeinander verpflichtet, ermittlungsrelevanten Daten herauszugeben.
# Durchführung von Ermittlungen: Auf Anfrage können Staaten Ermittlungen durchführen, die im Zusammenhang mit Cyberkriminalität stehen.
# Rechtshilfe und Auslieferung: Die Mitgliedstaaten sind zur gegensetigen Rechtshilfe verpflichtet einschließlich der Auslieferung von verdächtigen Personen, sofern dies mit nationalem Recht vereinbar ist.
Das Abkommen schafft ein Recht auf Unterstützung und auf Amtshilfe. Es strebt vor allem die Unterstützung kleinerer Staaten an, die nicht über die technische Ausstattung verfügen, Cyberkriminalität wirksam zu bekämpfen. Ein regionaler Schwerpunkt sind die kleinen Karibikstaaten, die oft als Basis für Cyberkriminelle dienen. Es richtet sich bewusst – also politisch bedingt – nicht gegen staatliche oder staatlich sanktionierte Cyberangriffe wie z.B. die Aktivitäten der berüchtigten Trollinstitutionen.
Bereits im August 2024 hatten sich die UN-Mitgliedstaaten in einem vorbereitenden Ausschuss auf ein Abkommen geeinigt. Die unverändert geäußerte Kritik hatte jedoch noch zur Überarbeitung geführt. Zuvilrechtliche Organisationen und Technologieunternehmen hatten bei der Beratung des Abkommens wiederholt auf Risiken hingewiesen, die dieses für die digitale Freiheit und die Privatspähre der Menschen haben könnte. IT-Forscher hatten gewarnt, dass sie durch das Abkommen kriminalisiert werden könnten.
Obwohl Vertreter/innen der Zivilgesellschaft, Wissenschaft und Privatwirtschaft an den vorbereitenden Arbeiten beteiligt waren, waren sie mit dem Ergebnis überhaupt nicht einverstanden. Das Übereinkommen unternehme zwar wesentliche Schritte zur Bekämpfung von Cyberkriminalität, berge aber geichzeitig erhebliche Risiken für die Menschenrechte. Zudem sei es ein weiterer Beleg für die Abgabe von nationalen Machtbefugnissen an supranationale Organisationen. Die Schutzmaßnahmen seien unzureichend, und es fehlten Mindeststandards bei der Wahrung der Menschenrechte, bei der Meinungs- und Redefreiheit und beim Datenschutz. Einige Kritiker stellten sogar die Notwendigkeit des gesamten Abkommens infrage, weil viele UN-Mitgliedstaaten bereits über nationale Gesetzes verfolgen, die dem gleichen Zweck dienen wie das Abkommen.
In der zweiten Verhandlungsrunde wurde das Abkommen daher um einige Schutzregelungen ergänzt. So sollen Staaten Amtshilfe ablehnen können, wenn der Verdacht besteht, dass es nur darum geht, Menschen aufgrund ihrer politischen Überzeugung, ihrer Religion, ihrer Herkunft oder ihrer sexuellen Orientierung zu verfolgen. Die Kritik verstummte jedoch nicht.
Menschenrechtsaktivisten befürchten, dass Staaten, die Homosexualität kriminalisieren oder die gegen Dissidenten oder Journalisten vorgehen, solche Möglichkeiten ausnutzen. Der Geltungsbereich sei zu weit gefasst und laufe auf ein globales Überwachungsinstrument hinaus, das zur Unterdrückung eingesetzt werden könnte. Autoritäre Staaten können die aufgrund von Rechtshilfe erlangten Daten missbrauchen, um politische Gegner zu verfolgen. Bekanntlich klassifizieren solche Staaten journalistische und oppositionelle Aktivitäten, die in freiheitlichen Staaten zur Ausübung grundlegender Rechte gehören, gern als kriminell.
Zwar besagt die Konvention, dass alle daraus abgeleiteten Handlungen im Einklang mit den Menschenrechten stehen müssen und diese nicht einschränken dürfen. Allerdings fehlen konkrete Regelungen, um sicherzustellen, dass die erlangten Daten nicht zu repressiven Zwecken verwendet werden. Das Abkommen lässt den Staaten gewisse Spielräume in seiner Interpretation und Anwendung. Zum Beispiel dürfte es schwierig sein nachzuweisen, dass die gelieferten Daten zu eindeutigen Verstößen gegen Menschenrechte genutzt werden. Nur dann darf die Erfüllung der internationalen Verpflichtungen verweigert werden.
Das Risiko, dass Informationen in die falschen Hände geraten, ist somit real. Wohl nicht ohne Grund hatte gerade Russland, unterstützt von China, bereits 2017 ein solches Abkommen angeregt. Gewiss war damit die Erwartung verbunden, leichter an Beweise aus dem Ausland zu kommen, um damit gegen Oppositionelle vorzugehen. Russland könnte z.B. unter Berufung auf die Konvention im Ausland gespeicherte Informationen – möglicherweise in Echtzeiterfassung – über russische Oppositionelle oder Journalisten anfordern und diese dann mit obskuren Vorwürfen vor Gericht bringen. Für dieses Vorgehen ist es nicht erforderlich, dass die angegebenen Tatbestände in beiden Staaten strafbar sind.
Interessant ist das Bündnis, das Kritik übt: Menschenrechtsorganisationen einerseits und Internet- und High-Tech-Unternehmen andererseits. Auch die Internationale Handelskammer (ICC), die aktiv an den Verhandlungen beteiligt war, übte harsche Kritik. Sie sieht Gefahren für den Datenschutz und für die Rechte und Freiheiten des Internets und fordert dazu auf, die Risiken des Abkommens sorgfältig abzuwägen, bevor über eine Ratifizierung entschieden wird. Die ICC beanstandet, dass
# Privatspähre und Meinungsfreiheit untergraben werden, indem die Datenerfassung ohne angemessene Schutzmaßnahmen und ohne gerichtliche Kontrolle ermöglicht wird,
# das Wirtschaftswachstum gehemmt wird, weil potentielle Investitionen und Innovationen im digitalen Dienstleistungssektor reduziert werden sowie Forschung in der Cybersicherheit entmutigt oder sogar kriminalisiert wird,
# die nationale Sicherheit gefährdet wird, da weitreichende Befugnisse zur Datenerfassung die Anfälligkeit für Datenkriminalität erhöhen, weil sensible Informationen offengelegt werden. (ICC)
Selbst der UN-Kommissar für Menschenrechte bemängelt, dass viele der Bestimmungen internationalen Freiheits- und Rechtsstandards nicht gerecht würden. Er nannte dabei folgende Punkte:
# Fehlende Berücksichtigung der Menschenrechte: Diese seien nicht hinreichend verankert und blieben hinter den internationalen Standards zurück, Es gäbe bereits Fälle, wo bestehende Cyberkriminalitätsgesetz dazu verwendet würden, die Anonymität aufzubrechen und Dissidenten zu verfolgen.
# Übermäßig breiter Anwendungsbereich: Die Defintion von Cyberkriminalität sei zu weite gefasst, die Straftatbestände seien zu unklar formuliert und erleichterten die Kriminalisierung legitimer Handlungen.
# Mangelnde Schutzvorkehrungen bei internationalen Kooperationen: Es fehlten klare Bedingungen, damit die zwischenstaatliche Zusammenarbeit nicht zur Verfolgung von politischen Straftaten missbraucht wird.
# Unzureichende Garantien für den Schutz der Privatsphäre: Trotz der weitgehenden Befugnisse, die das Abkommen gewährt, fehlten Schutzmechanismen und gerichtliche Kontrollregelungen. Damit würde eine unzulässige staatliche Überwachung legitimiert.
Schon einmal gab es einen Ansatz, Cyberkriminalität gezielt und gemeinsam zu verfolgen bzw. zu unterbinden, die Cybercrime-Konvention von 2001 (Budapest-Konvention). Sie wurde im Europarat ausgehandelt und verabschiedet, um dem grenzüberschreitenden Charakter der Kriminalität im Internet Rechnung zu tragen. Mitte 2004 trat das Abkommen in Kraft; inwischen haben es 73 Staaten ratifiziert bzw. unterzeichnet, darunter eine Reihe nichteuropäischer Länder. (EU) Das UN-Abkommen von 2024 ist letztlich eine Fortentwicklung, vor allem aber eine Verschärfung der Budapest-Konvention.
Die Budapest-Konvention ist das erste völkerrechtliche Abkommen zur Bekämpfung von Cyberkriminalität. Anlass war die Überzeugung, dass ein wirksames Vorgehen gegen diese neuen Gefahr nur im Wege internationaler Zusammenarbeit möglich sei. Rechnernetze und elektronische Daten würden zunehmend für Straftaten genutzt. Die Konvention enthält sowohl Vorgaben für konkrete Straftatbestände (z.B. Urheberrechtsverletzungen, Betrugstatbestände, Kinderpornografie, Angriffe auf die Netzsicherheit) als auch Verfahrensregeln zur Art der Verfolgung von Straftaten und zu den Befugnissen der Strafverfolgungsbehörden.
Ein erstes Zusatzprotokoll (2003) unterwirft auch rassistische und fremdenfeindliche Handlungen der Konvention. Ein Zusatzprotokoll von 2022 enthält Regeln zur Zusammenarbeit zwischen Regierungen und Providern, zum Abruf von Bestands- und Verkehrsdaten und zur gegenseitigen Unterstützung (vor allem in Notfällen), aber auch weitere Garantien zum Schutz personenbezogener Daten.
In der aktuellen Fassung der Konvention ist die Erfassung von Inhaltsdaten auf schwerwiegende Delikte beschränkt, zudem steht sie unter dem Vorbehalt des nationalen Rechts. Auch die Aufzeichnung und Sammlung von Verkehrsdaten (Inanspruchnahme der elektronischen Kommunikationswege) ist nur gestattet, wenn nationale Bestimmungen dem nicht entgegen stehen. Eine Verpflichtung der Dienstleister, Verkehrsdaten über einen längeren Zeitraum zu speichern, gibt es nicht.
Gegenüber dem UN-Abkommen gegen Cyberkriminalität ist die Budapest-Konvention deutlich zurückhaltender abgefasst – zugunsten der Menschenrechte und des Datenschutzes. Allerdings schafft die aktuelle Europäische E-Evidence-Verordnung neue rechtliche Durchgriffsmöglichkeiten. Sie erlaubt, dass gerichtliche Anordnungen direkt an Dienstanbieter in anderen Mitgliedstaaten gerichtet werden können. Die Regelung trat im August 2023 in Kraft und wird drei Jahre später wirksam.
Nach meinem Rechtsempfinden ist das datenräuberische Treiben der Mehrheit der IT-Unternehmen und -Plattformen nicht minder kriminell. Bis dagegen global eingeschritten wird, bin ich aber wohl nicht mehr am Leben … Denn die Mehrheit der Staaten stiehlt ja mit.