Cybercrime ConventionWoran sich der UN-Vertrag zu Online-Kriminalität messen lässt

Die Vereinten Nationen wollen mit der „Cybercrime Convention“ einen Grundstein für die bessere Bekämpfung von Online-Kriminalität legen. Die Verhandlungen sind bald zu Ende, doch wesentliche Fragen sind ungeklärt.

Eine Reihe mit vielen Nationalflaggen vor einem UN-Gebäude
Bei den Vereinten Nationen haben viele Länder eine Position zur Bekämpfung von Online-Kriminalität – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mathias Reding

Cyber-Kriminalität ist allgegenwärtig. Bei „Ransomware“-Angriffen werden IT-Systeme von Unternehmen oder auch öffentlichen Einrichtungen gezielt geschädigt – und nur gegen Zahlung eines „Lösegeldes“ wieder nutzbar. Über „Phishing“-Angriffe geraten auch Einzelpersonen immer wieder in die Fänge von Kriminellen. Frauen und gesellschaftliche Minderheiten sind in besonderer Weise mit digitaler Gewalt konfrontiert. Und gerade Staaten des globalen Südens beklagen, dass es ihnen an den Voraussetzungen fehlt, um Cyber-Kriminalität effektiv entgegenzutreten.

Cyberkriminalität überschreitet mühelos Grenzen. Somit ist es sinnvoll, dass die Vereinten Nationen ihren Umgang mit solchen Taten in einer „Cybercrime Convention“ regeln wollen. Wenn die Konvention zustande kommt, wäre sie das erste UN-Übereinkommen zur Bekämpfung der Cyberkriminalität überhaupt. Als völkerrechtlich verbindlicher Vertrag würde sie global eine normative Grundlage für die nationale Gesetzgebung bilden – und könnte so politisch großen Einfluss entfalten.

Verhandlungen nähern sich der Ziellinie

Die Verhandlungen zwischen den 193 Mitgliedstaaten sollen Anfang 2024 abgeschlossen werden. Zentrale politische Fragen sind dabei aber noch immer umstritten. Daher wird sich auch für die deutsche Politik bald zugespitzt die Frage stellen, ob sie dem Verhandlungsergebnis zustimmen sollte.

Es gibt bereits seit 2001 einen rechtlichen Rahmen für die zwischenstaatliche Zusammenarbeit beim Umgang mit Cybercrime: die Budapest-Konvention. Sie entstand aus dem Europarat, weltweit schlossen sich 69 Staaten an. Doch weder Russland – damals noch Mitglied des Europarates – noch China haben die Budapest-Konvention unterzeichnet.

Einige Beobachter mahnen an, dass die Konvention an neue Realitäten angepasst werden müsse. Vor allem aber scheint es für viele Staaten wenig attraktiv zu sein, sich einer Konvention anzuschließen, an deren Entstehen sie nicht beteiligt waren.

Die Initiative für eine neue Konvention im Rahmen der Vereinten Nationen ging von der russischen Regierung aus. Trotz Warnungen, dass es sich dabei um ein trojanisches Pferd handeln könnte, um die globale digitale Ordnung zu demontieren, haben sich Deutschland und seine Partner konstruktiv auf die Verhandlungen eingelassen. Seit Februar 2022 fanden sechs Verhandlungsrunden statt, die abschließende Sitzung soll im Januar 2024 stattfinden – eine Übersicht zum bisherigen Verhandlungsverlauf findet sich auf der Website der VN.

Was ist eigentlich Cybercrime?

Bereits seit Beginn der Verhandlungen sind sich die Staaten nicht einig, was Cyberkriminalität eigentlich ist (siehe Kapitel 2 des aktuellen Entwurfs). Allgemein lassen sich zwei Auffassungen von Cyberkriminalität unterscheiden.

Ein enges Verständnis umfasst ausschließlich Straftaten, die nur durch die Nutzung digitaler Technologien möglich sind („digitally dependent“). Das wäre etwa bei Ransomware-Angriffen der Fall, denn ohne digital gespeicherte Daten gäbe es nicht die Möglichkeit, Betroffene damit zu erpressen.

Ein weites Verständnis schließt auch traditionelle Straftaten ein, die im Kern nicht auf digitalen Technologien basieren, sondern allenfalls durch diese erleichtert werden („digitally enabled“). Dazu könnte beispielsweise der Identitätsdiebstahl, der Aufruf zur Gewalt oder die gezielte Verbreitung von Falschmeldungen (Fake News) zählen.

Einige Staaten, darunter viele Mitgliedstaaten der EU, sprechen sich tendenziell für ein enges Verständnis von Cyberkriminalität aus. Lediglich in Ausnahmefällen, wie beispielsweise bei der Berücksichtigung von sexuellem Missbrauch und sexueller Ausbeutung von Kindern, gehen diese Staaten über dieses enge Verständnis hinaus.

Russland und eine Reihe weiterer Staaten hingegen vertreten grundsätzlich eine deutlich weiter gefasste Sichtweise und verbinden dies mit bewusst vagen, beziehungsweise mehrdeutigen Formulierungen – etwa durch unscharfe Bezüge zur Verbreitung von extremistischen oder terroristischen Inhalten oder den breiten Verweis auf „other illegal acts“.

Hier besteht die Befürchtung, dass eine beliebig auslegbare Konvention von autoritären Regierungen als Rechtfertigung genutzt werden könnte, um die Rechte ihrer Bevölkerung weiter einzuschränken.

Drei Prüfsteine für die Konvention

Erkennbar treffen hier unterschiedliche Vorstellungen des Strafrechts aufeinander, und damit letztlich auch unterschiedliche Vorstellungen davon, was Sinn und Zweck der geplanten Konvention ist. Eine Einigung in diesen Fragen ist schwierig und dennoch unverzichtbar: Denn der Anwendungsbereich der Cybercrime Convention beeinflusst maßgeblich alle ihre anderen Aspekte.

Gelingt eine solche Einigung, lässt sich der Entwurf anhand von drei Prüfsteinen beurteilen: Erstens wird es darauf ankommen, dass die Konvention nicht die bisherigen Mechanismen zum Schutz von Menschenrechten im Rahmen der Strafverfolgung aufweicht. Das ist besonders wichtig mit Blick auf den internationalen Austausch von Beweismitteln.

Die Bemühungen autokratischer Staaten um eine Ausweitung der Konvention hätten konkrete Folgen: Mit einer unpräzisen Cybercrime Convention könnte ein Rechtsrahmen geschaffen werden, der im Widerspruch zu bestehenden Verpflichtungen im Bereich der Menschenrechte steht oder diese zumindest verwässert. Immer wieder haben Menschenrechts-NGOs mit Blick auf die bisherigen Verhandlungen genau hiervor gewarnt.

Zweitens gilt es zu prüfen, ob die Konvention tatsächlich geeignete Instrument bereitstellt, um das Problem Cyberkriminalität besser als bisher zu bekämpfen. Momentan arbeiten Strafverfolgungsbehörden vor allem auf Basis von „mutual legal assistance treaties“ zusammen. Diese werden oft als zu schwerfällig wahrgenommen.

Der aktuelle Vertragsentwurf sieht dies vor, doch wird noch zu sehen sein, ob eine sinnvolle Einigung hier angesichts der substanziellen Differenzen über die abzudeckenden Straftatbestände gelingen kann.

Drittens ist zu zeigen, es überhaupt eine völkerrechtlich bindende Konvention braucht. Der derzeitige Entwurf des Übereinkommens enthält Aspekte, die sich als hilfreich bei der Bekämpfung von Cyberkriminalität erweisen könnten. Dazu zählt etwa, dass Länder des globalen Südens Ressourcen und Expertise bereitgestellt werden sollen. Eine Konvention bräuchte es dafür jedoch nicht.

Ablehnung kann eine Option sein

Noch laufen die Verhandlungen. Insbesondere die grundlegenden Differenzen mit Blick auf den Anwendungsbereich der Konvention scheinen jedoch kaum überbrückbar. Es kann daher sein, dass Deutschland der Konvention nicht zustimmen sollte – und aktiv versuchen sollte, ihre Annahme zu verhindern.

Um angenommen zu werden, bräuchte die Konvention die Zustimmung von mindestens zwei Dritteln der Mitglieder der VN, also etwa 130 Staaten. Schon die Abstimmungen bei der Entscheidung über die Aufnahme der Verhandlungen waren knapp. Es scheint also durchaus möglich, dass im Konfliktfall die nötige Anzahl von Gegenstimmen zustandekommen kann.

Ein solches Vorgehen wiederum könnte Deutschland und seinen Partnern den Vorwurf einbringen, die Arbeit der VN bei einem doch erkennbar wichtigen Thema zu blockieren. Vor allem, da Länder des globalen Südens überproportional stark von den Auswirkungen von Cyberkriminalität betroffen sind. Ihnen fehlen die notwendigen Ressourcen zur Entwicklung und Umsetzung effektiver Cybersicherheitsmaßnahmen, während gleichzeitig eine rasante Digitalisierung und Vernetzung auf gesellschaftlicher Ebene voranschreitet, wodurch die Anzahl potenzieller Angriffsvektoren zunimmt.

Lehnt also Deutschland die Konvention ab, müsste die Regierung transparent machen, warum. Außerdem sollte sie Alternativvorschläge machen, wie Kapazitäten im Interesse des globalen Südens aufgebaut werden können.

Budapest-Konvention erweitern?

Zusätzlich ist zu prüfen, wie konstruktive Ansätze aus den UN-Verhandlungen als Ergänzung zur Budapest-Konvention aufgenommen werden können. Bei einer Weiterentwicklung könnten zusätzliche Staaten sowie die Zivilgesellschaft beteiligt werden. Und auch wenn eine erneuerte Auflage der Budapest-Konvention nicht den gleichen Stellenwert hätte wie eine VN-Konvention: Einer schlechten Konvention wäre sie allemal vorzuziehen.

Daniel Voelsen ist Leiter der Forschungsgruppe Globale Fragen bei der Stiftung Wissenschaft und Politik (SWP) koordiniert dort außerdem das Forschungscluster „Cybersicherheit und internationale Digitalpolitik“. Jonas Winkel arbeitet als studentischer Mitarbeiter für das Forschungscluster.

2 Ergänzungen

  1. Wenn, dann müßte die Konvention insbesondere Staaten daran hindern, privacy per Gesetz einzuschänken z. B. im Bereich Gesundheitsdaten, denn das ist IMHO auch kriminell. Zudem müßten Staatstrojaner und das Brechen der Verschlüsselung, egal durch wen, als kriminelle Handlung eingestuft werden und auch für Staaten verboten sein.

  2. “Child shall mean any human under eighteen years of age”

    “Child Sexual Exploitation Material shall include material that depicts or represents a person appearing to be a child”

    Wie kann man denn jetzt bitte sicher feststellen ob eine junge Erwachsene Person wirklich 18 oder 16-17 ist? Sollte DE das unterzeichnen dann müsste auch das Strafrecht angepasst werden so das die Definition von “Kind” sich hier ändert.

    Etwas weiter wird den Staaten nämlich nur eingeräumt fiktive Darstellungen nicht zu kriminalisieren, was wohl auf die USA und Japan zurückzuführen ist. Beim letzteren zumindest haben Politiker regelmäßig sich auf Twitter/x darüber beschwert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.