Noch laufen die Verhandlungen in New York, doch es sieht nicht gut aus für die Menschenrechte: Die geplante UN-Konvention über Cyberkriminalität droht zu einem politischen Debakel zu werden. Ausgerechnet Russland könnte ein Zustandekommen als Erfolg für sich verbuchen.
Denn herausgekommen ist ein Vertragstext zur Cyberkriminalität, der weit über das Ziel hinausschießt und weitreichende Überwachungsbefugnisse mit unzureichenden Schutzmaßnahmen enthält. Er gibt Machthabern noch mehr Möglichkeiten, repressiv gegen politische Gegner und unliebsame Journalisten vorzugehen.
Die aktuelle Version des Vertrags wurde am Dienstagabend (Ortszeit) in New York von der Diplomatin und Vorsitzenden der Verhandlungsarbeitsgruppe, Faouzia Boumaiza Mebarki aus Algerien, an die Delegationen der Staaten übergeben. In den Hauptstädten der Mitgliedsstaaten muss nun noch die Zustimmung für den Entwurf der Resolution für die Generalversammlung eingeholt werden. Dann könnte der Vertragstext am Freitag verabschiedet werden.
Nicht einmal Mindeststandards bei Menschenrechten und Datenschutz
Die geplante UN-Konvention mit dem offiziellen Namen „International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes“ (Konvention zur Bekämpfung des Einsatzes von Informations- und Kommunikationstechnologien für kriminelle Zwecke) soll für alle 193 UN-Mitgliedsstaaten verbindlich werden. Die Vereinten Nationen stehen unmittelbar vor der Verabschiedung dieses Vertrags, der nahezu weltweit gelten soll, aber schon im Vorfeld heftig kritisiert wird.
Denn er verfehle Mindeststandards bei den Menschenrechten und beim Datenschutz, bemängeln Vertreter der Zivilgesellschaft, die den Verhandlungen beiwohnen. Das International Press Institute (IPI) fordert sowohl die EU als auch die Vereinigten Staaten auf, dieses „gefährliche globale Überwachungsabkommen“ abzulehnen. Der aktuelle Entwurf des UN-Vertrages sei ein „übermäßig weit gefasstes, vages Gesetz“ zur Cyberkriminalität, das allzu leicht missbraucht werden könne.
Mehr als zwanzig internationale zivilgesellschaftliche Organisationen, darunter Privacy International, Access Now, das IPI sowie European Digital Rights als Dachorganisation vieler europäischer NGOs hatten im Vorfeld der jetzigen Verhandlungen an die Delegierten der EU-Staaten und auch an die Europäische Kommission appelliert, die zahlreichen Mängel des Vertrages noch zu beheben. In einem offenen Brief warnten sie davor, einen Vertragstext ohne deutliche Nachbesserungen zu beschließen. Andernfalls müsse die Notbremse gezogen und der Vertrag abgelehnt werden. Der Brief an die EU-Delegierten hatten allerdings keinen großen Einfluss auf die Verhandlungen.
Denn die Mängel wurden offensichtlich nicht behoben: Hochumstrittene Überwachungsbefugnisse mit stark eingreifendem Charakter, darunter die Echtzeiterfassung von Telekommunikationsverkehrsdaten und das Abfangen von Kommunikationsinhalten, blieben im Vertragstext. Das bedeutet, dass die UN-Mitgliedsstaaten durch die Konvention verpflichtet würden, solche Überwachungsmaßnahmen für ein sehr breites Spektrum von Straftaten durchzuführen. Darunter sind auch Straftaten, die nicht schwerwiegend sind. Ein klares Erfordernis zu einer vorherigen richterlichen Genehmigung, die in der Regel die Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit der Maßnahmen prüft, bestünde hingegen nicht.
Dies birgt erhebliche Missbrauchsrisiken durch die eingriffsintensiven Überwachungsbefugnisse und massiven Datenerfassungen, die zu willkürlichen Verletzungen des Rechts auf Privatsphäre führen können. In vielen UN-Mitgliedsstaaten gibt es kaum oder gar keine rechtlichen Instrumente, um diese Risiken zu verhindern oder auch nur abzumildern.
Ein „entscheidender Moment für die Menschenrechte im digitalen Zeitalter“
Diese Einschätzung teilt auch das Büro des Hohen Kommissars für Menschenrechte (OHCHR), das in seiner Stellungnahme vom Juli auf erhebliche Defizite am Vertragstext hinweist. Viele der Bestimmungen würden „internationalen Menschenrechtsstandards nicht gerecht“.
Die aktuelle letzte Verhandlungsrunde sieht das OHCHR als „entscheidenden Moment für die Menschenrechte im digitalen Zeitalter“. Der Kampf gegen Cyberkriminalität müsse „Hand in Hand mit der Wahrung und Förderung der Menschenrechte“ gehen. Das OHCHR appellierte an alle Verhandlungsparteien, „alle Anstrengungen zu unternehmen, um sicherzustellen, dass der neue Vertrag die Menschenrechte in den gesamten Text integriert“ und sich strikt an internationalen Rechtsgrundsätzen orientiert. Dazu hat das OHCHR eine lange Liste an Verbesserungsvorschlägen vorgelegt.
Cybercrime
Wir berichten über die politische Seite des Cybercrime. Unterstütze uns dabei!
Doch das Übereinkommen bleibt weit hinter den Forderungen zurück. Es enthält auch weiterhin keinen ausreichenden Schutz für diejenigen, die ohne kriminelle Absichten an und mit IT-Sicherheitswerkzeugen arbeiten: IT-Sicherheitsforschern, ethischen Hackern, Whistleblowern, Aktivisten und auch Journalisten droht eine übermäßige Kriminalisierung. Ihre Arbeit wäre potentiell der Gefahr der Strafverfolgung ausgesetzt.
Auch darauf weisen zahlreiche Organisationen schon seit Monaten hin. Zu Beginn des Jahres hatte die US-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zusammen mit 124 weiteren Unterzeichnern ein ausführliches Dokument zum geplanten UN-Übereinkommen veröffentlicht und an die Verhandler gesendet. Darin fordern sie Schutzmaßnahmen für Programmierer und Hacker. Fast die gesamte weltweite IT-Sicherheitsforschungs-Community hatte sich zusammengefunden, um ihre Kritik zu formulieren. Doch auch diese Forderungen blieben weitgehend unberücksichtigt.
Voller Erfolg für Russland
Seit 2022 verhandeln die Vereinten Nationen über die geplante Konvention zur Bekämpfung der Cyberkriminalität. Russland hatte die ursprüngliche Idee für die Konvention schon im Jahr 2017 und dann zwei Jahre später erfolgreich in der UNO-Generalversammlung auf den Weg gebracht.
Tanja Fachathaler verfolgt die Verhandlungen als Teil der Zivilgesellschaft seit Beginn aktiv und ist auch aktuell in New York dabei. Sie ist Policy Advisor beim österreichischen Verein epicenter.works und brachte zusammen mit Partnerorganisationen in den Verhandlungsrunden zahlreiche Verbesserungsvorschläge ein. Fachathaler betont, dass der Vertrag nur noch dem Namen nach eine Konvention gegen Computerkriminalität ist. Vielmehr handele es sich faktisch um einen Vertrag, der einen umfassenden Zugang zu Daten schaffe – und zwar für weit mehr Straftaten als die, die üblicherweise zur Computerkriminalität im engeren Sinne gezählt werden.
Ihre Einschätzung aus der letzten Verhandlungsrunde ist eindeutig: Das Ergebnis sei „ein voller Erfolg für Russland“, das nicht nur seinen Konventionsvorschlag in den Vertragsverhandlungen bei den Vereinten Nationen durchgesetzt, sondern nun noch weitere Konventionsvorschläge zur Regulierung des Internets im Köcher habe. Unterstützt wird Russland in den Vereinten Nationen von China und dem Iran, aber auch von vielen Entwicklungsländern. Da jeder Staat eine Stimme hat, ist diese Unterstützung in der Generalversammlung wichtig.
In Russland, aber auch in anderen autoritären Staaten ohne ausreichenden Schutz könnten repressive Maßnahmen gegen politische Gegner oder Journalisten durch den UN-Vertrag legitimiert werden. Das geplante Übereinkommen würde es Staaten wie Russland auch ermöglichen, im Ausland gespeicherte Daten zu Personen anzufordern, um sie als elektronische Beweismittel in Strafverfahren zu verwenden. Eine zwingende Regelung, die das nur bei Straftaten vorsieht, die auch in beiden Staaten als Straftaten in Gesetzen stehen, ist dabei nicht vorgesehen. Wenn etwa Russland Oppositionelle oder Journalisten als Extremisten verfolgt und ihnen absurde Straftaten vorwirft, könnte es sich künftig auf die UN-Konvention berufen und Daten aus dem Ausland anfordern.
Das IPI fordert daher die USA und die EU „mit Nachdruck“ auf, „die grundlegenden Menschenrechte, auf die Journalisten in aller Welt angewiesen sind, um ihre Arbeit frei und sicher ausüben zu können, nicht um des Konsenses willen zu gefährden“. Man dürfe sich nicht „mitschuldig machen an der Verfolgung von Journalisten und Dissidenten durch repressive Regime“, so das IPI.
Auch Fachathaler erklärt gegenüber netzpolitik.org, sie sei als Vertreterin der Zivilgesellschaft „weiterhin alarmiert über die eklatanten Lücken und offenen Risiken“, die der neue Vertrag mit sich bringe. Sie stellt fest: „Unsere wiederholten Forderungen nach einer Konvention, welche die internationalen Menschenrechtsnormen angesichts der beispiellosen Überwachungsbefugnisse der Strafverfolgungsbehörden respektiert und schützt, sind weitgehend ungehört geblieben.“ Die entsprechenden Bestimmungen seien sogar noch weiter verwässert worden.
Noch sei es aber nicht zu spät für die Staaten, das Richtige zu tun und einige der gravierendsten Mängel des Textes zu korrigieren“, so Fachathaler. Sollte dies nicht geschehen, „fordern wir die Staaten dringend auf, diesen gefährlichen Vertrag nicht anzunehmen“.
Es wäre wirklich schön, wenn die Entscheidungsträger in Bündnissen mit „U“ sich auch mal so entscheiden würden, dass man hinsichtlich dem „U“ (also der Vereinigung) auch mal was positives für das normale Volk sehen könnte.
Aber gefühlt das einzige „U“ von dem man noch liest, ist dass die Politiker als gemeinsame Vereinigung gegen die Bürger und Menschenrechte usw entscheiden und alles dafür tun, jedem, der von einem autoritären Überwachungsstaat träumt, diesen Traum zu erfüllen.
Das wäre/ist ja wirklich ein weiterer Rückschritt. Bei Echtzeit-Überwachung frage ich mich, ob dass nicht gerade auch in unseren Demokratien ermöglicht wird. Als Versuchsobjekte habe ich da die Fussball-EM mit dem Uefa-App-Zwang für die Tickets als Beispiel.
Und ähnlich wohl gehalten auch bei den Spielen in Paris (irgendwie abgeschwächter als in Autokratien)! Und auch die aufgedeckten Standortdaten-Massensammlungen gehen ja in Echt-Zeit-Analyse-Möglichkeiten. Private Konzerne profitieren davon zuerst, aber der Staat/Behörden sagen da bestimmt nicht nein.
Mag sein, dass ich da falsch liege, nur was mich irritiert ist, hier machen die Menschen das freiwillig mit (sprich Sie holen sich die Uefa-App und schalten die Verkehrs-/Standortdaten nicht ab)!
Fehlt es nur an Awareness in den Demokratien? Und die Sicherheitsbehörden/hardliner-Politiker:innen in unseren Demokratien sind wohl die letzten, die solche Mittel nicht auch haben wollen (Stichwort schleichende Erosion der Grundrechte)!
„nur was mich irritiert ist, hier machen die Menschen das freiwillig mit… “
Das Problem ist, dass den meisten ihre Privatsphäre und ihr Datenschutz völlig egal ist („ich hab nix zu verbergen“) und sie sich daher keine Gedanken machen und dementsprechend auch gar kein Bewusstsein dafür haben, was sie alles an Daten damit über sich preisgeben. Dass diese Daten evtl gegen sie verwendet werden könnten haben sie nicht auf dem Schirm.
Hauptsache sie haben (in diesem Fall) ihr Vergnügen bei der Fußball-EM.
Viele, die ich kenne, installieren sich einfach eine App und machen drauflos, aber dass sie mal ein Blick in die Rechte der App werfen und überlegen, ob die App diese Rechte auch WIRKLICH benötigt – oft Fehlanzeige.
Wenn man dann versucht, vor Risiken zu warnen, kommt dann oft das „Ich hab nix zu verbergen“ oder man wird gleich als Verschwörungstheoretiker o.ä. abgestempelt.
Daher ja: Die fehlende Awareness bei den meisten ist ein sehr wichtiger Faktor.
Aber bei diesen Leuten wird diese Awareness – wenn überhaupt – erst eintreten, wenn es mal zu einem Vorfall gekommen ist – sprich – es quasi schon zu spät ist.
Das ist die Chance schlechthin für die EU und die ganzen Regierungen im „Westen“: Endlich bekommt man viele tolle Überwachungs- und Kontrollbefugnisse in einem kompakten Päckchen, für die man Russland und andere offenere Autokratien insgeheim längst beneidet. Und dann kann man ihnen sogar noch die Schuld dafür geben und sagen, dass man das ja nicht gewusst und gewollt hätte, aber nun isses halt zu spät und die UN will es eben so. Doof aber auch.
So eine Chance bekommt man nicht alle Tage. Die wären ganz schön blöd, wenn sie das jetzt nicht abnicken würden und sich es stattdessen weiter scheibchenweise erarbeiten müssen. Da geht es zwar auch gut voran in die selbe Richtung mit Chatkontrolle, eIDAS, AIAct, Versammlungsverboten, Polizeigesetzen uvm. aber eben doch noch etwas langsamer.
(Ja, ich ertrage das nur noch mit Zynismus).
Tja… wie war das noch mit der Inklusion von von Autokratien und deren Verstehern?
Any lessons to be learned, yet?
Eine hervorragende Zusammenfassung gibt es bei Cory Doctorow: https://pluralistic.net/2024/07/23/expanded-spying-powers/#in-russia-crime-cybers-you
Dass eine vorherige richterliche Genehmigung in der Regel die Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit von Maßnahmen prüft, ist – auch in Deutschland – längst widerlegte Folklore.
> längst widerlegte Folklore
Wo bleibt der Beleg für diese Behauptung?
Ich bin zwar nicht „Carsten“, aber wenn Sie sich in die Materie einlesen möchten, um zu verstehen, dass der hiesige Richtervorbehalt nicht hält, was er verspricht, hier ein empfehlenswerter Link:
https://d-nb.info/990507793/34
Die Dissertation (2008) bezieht sich auf Publikationen mit Datenlage vor 2003.
Sicherlich interessant zu lesen, aber wie sind die Verhältnisse heute, mehr als 20 Jahre danach?
Es nützt wenig zu wissen, dass vor 2003 ca. 10% der Anordnungen den Anforderungen nicht entsprochen haben, denn man könnte auch behaupten 90% sind fachlich einwandfrei, und Fehler machen gelegentlich auch Richter.
Die Fragestellung ist durchaus berechtigt. Die Hauptprobleme liegen damals wie heute in mangelnder Vorschriftenkenntnis der Strafverfolgungsbehörden und der Justiz, Bei letzter kommt seit Jahren der Personalmangel dazu, der tatsächlich in vielen Fällen zu einer mangelhaften Fallprüfung führt. Das Formblatt wird zur Formsache.
Insofern haben die entsprechenden Abschnitte in der Dissertation nach wie vor Bedeutung.
Insgesamt grassiert bei der behördlichen Telekommunikationsüberwachung ein Wildwuchs, der sich immer mehr justiziabler und politischer Kontrolle entzieht. Aber da schreibe ich nichts Neues, wie hier überall nachzulesen ist.
Gibt es eigentlich ePetitionen zum Thema (also bitte nicht change.org bei denen man den Eindruck hat, die sammeln nur Daten, reichen Petitionen aber nicht ein)?
Oder wie soll man sonst den zuständigen Politikern einen Hinweis geben, dass hier Handlungsbedarf ist – sonst fragt Putin am Ende unter Verweis auf diese Konvention legal die Zugangsdaten von Politikern zum Bundestag ab, weil sie gegen ein russisches Gesetz verstoßen haben und die Konvention die Datenweitergabe von Passwörtern ermöglicht? Wieso berichten Medien wie die Tagesschau oder SZ darüber nicht (oder gab es da was und es ist wegen Olympia untergegangen…)?
Gibt es eine Kampagnen-Webseite, die mir helfen kann, die entsprechenden Ansprechpartner in Deutschland und in der EU zu finden, damit man die, bzw. ihre Büros, ordentlich mit Briefpost beglücken kann?
Wenn ich das richtig im Kopf habe, gilt ja in etwa:
E-Mails können ignoriert werden
Briefpost muss beantwortet werden.