Seit März 2022 verhandeln die Vereinten Nationen eine Konvention zur Bekämpfung von Cyberkriminalität: die Cybercrime Convention. Eigentlich sollte sie Anfang 2024 fertig sein. Doch es gibt eine Reihe von inhaltlichen Streitpunkten und auch Forderungen nach weitgehenden Überwachungsmaßnahmen, die auf den Widerstand jener stoßen, die sich für Menschenrechte einsetzen. Sie befürchten, dass der völkerrechtliche Vertrag, anstatt Cyberkriminalität zu bekämpfen, einen neuen breiten Zugang zu Daten schaffen soll.
Tanja Fachathaler engagiert sich als Teil der Zivilgesellschaft für epicenter.works bei den UN-Verhandlungen. Sie erklärt im Podcast-Gespräch, welche problematischen Aspekte der aktuelle Stand der Verhandlungen des Übereinkommens enthält.
Der Podcast „Dicke Bretter“ von Constanze Kurz, Elisa Lindinger und Elina Eickstädt erscheint alle zwei Monate beim Chaosradio. Es geht darin anhand von Beispielen um die Entstehung von Gesetzen, Richtlinien oder Konventionen bei digitalen Themen sowie um die Institutionen, Akteure und Organisationen, die daran mitwirken.
In Zusammenarbeit mit dem Chaosradio des Chaos Computer Clubs erscheint bei netzpolitik.org ein Auszug aus der aktuellen Ausgabe von „Dicke Bretter“: ein Gespräch zwischen Elina Eickstädt, Tanja Fachathaler und Constanze Kurz über das Entstehen von UN-Konventionen, über die Definition von Cyberkriminalität und darüber, bei welchen inhaltlichen Forderungen die Alarmglocken schrillen.
Tanja Fachathaler hat Rechts- und Lateinamerikawissenschaften sowie Menschenrechte und Demokratisierung in Wien, Venedig und Sevilla studiert. Sie verfügt über mehrjährige Erfahrung in unterschiedlichen Positionen in der Rechtsbranche. Sie hat sowohl in Österreich als auch in Brüssel für Menschenrechtsorganisationen und ein Beratungsunternehmen für EU-Institutionen gearbeitet. Tanja engagiert sich als Wahlbeobachterin und in der Menschenrechtsbildung. Seit August 2021 bringt sie ihre Erfahrung als Policy Advisor bei epicenter.works ein.
Computerkriminalität international regeln
Constanze Kurz: Wir sprechen heute über die geplante UN-Konvention mit dem Namen „International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes“ (Konvention über die Bekämpfung des Einsatzes von Informations- und Kommunikationstechnologien zu kriminellen Zwecken). Im Volksmund würde man sagen, es geht um Cybercrime, also Online-Verbrechen und Computerkriminalität. Die Verhandlungen für diese Konvention laufen derzeit. Aber um die Definition von Cybercrime wird gestritten.
Elina Eickstädt: Worum geht es in der Cybercrime-Konvention, aus welcher Idee ist sie entstanden? Und was versucht sie zu adressieren?
Tanja Fachathaler: Ursprünglich hatte Russland 2017 die Idee aufgeworfen, Computerkriminalität international zu reglementieren, unter Strafe zu stellen und entsprechende Regelungen für die Strafverfolgung und die Rechtshilfe unter den Staaten zu schaffen. Aber das ist auf wenig Gegenliebe gestoßen. Sehr viele Staaten hatten zunächst große Bedenken. Man brauche diesen Vertrag nicht, da auf Ebene des Europarats schon 2001 eine Konvention genau zu diesem Thema verabschiedet wurde: die sogenannte Budapester Konvention. Es war die erste internationale Konvention, also ein völkerrechtlich verbindlicher Vertrag, der Computerkriminalität regelt, unter Strafe stellt und auch entsprechende prozessuale Maßnahmen und Rechtshilfemaßnahmen vorsieht.
Neben den Europarat-Staaten sind diesem Vertrag mittlerweile auch Länder wie Argentinien, Australien, Brasilien, Chile, Kolumbien, Costa Rica, Peru, Mauritius, Japan, Sri Lanka, Tonga oder die USA beigetreten. Das ist zwar keine vollständige Liste, aber man sieht, die Staaten sind global breit verteilt. Dass sich so viele Staaten dieser Konvention anschlossen, wird als ein Erfolg gewertet. Dennoch hat sich die UN-Generalversammlung als das Gremium, das darüber entscheidet, für die Aufnahme von Verhandlungen ausgesprochen. Das war kein Erdrutschsieg: In der Abstimmung gab es 79 Stimmen dafür, 60 Stimmen dagegen und 33 Enthaltungen. Das zeigt deutlich, wie gespalten die Meinung unter den Staaten ist, ob man Verhandlungen aufnehmen soll oder nicht. Ob es überhaupt einen Bedarf gibt, einen neuen Vertrag abzuschließen zu diesem Thema.
Interviews
Wir kommen gern ins Gespräch. Unterstütze unsere Arbeit!
Elina Eickstädt: Was sind die Kernpunkte dieser Verhandlungen? Und was die Punkte, um die besonders gestritten wird?
Tanja Fachathaler: Man hat sich tatsächlich stark an der Budapester Konvention orientiert. Daneben hat man zwei weitere UN-Dokumente herangezogen, nämlich zum einen die UN-Konvention gegen Korruption und zum anderen die Konvention gegen transnationales organisiertes Verbrechen.
In der neuen Konvention soll zum einen Computerkriminalität international unter Strafe gestellt werden. Man muss betonen: Es gibt keine international anerkannte Definition von Computerkriminalität, also welche Straftatbestände darunter fallen. Das ist Thema der Diskussionen, das ist umstritten. Zum anderen geht es um die weitreichenden prozessualen Kompetenzen, die den Strafverfolgungsbehörden eingeräumt werden, also Überwachungsmaßnahmen. Sie sind zum Großteil aus der Budapester Konvention übernommen.
Nur darf man nicht vergessen: Die Budapester Konvention war für europäische Europaratsmitglieder gestaltet, also für europäische Staaten, bei denen man davon ausgehen kann, dass sie eine gemeinsame geschichtliche, rechtliche Tradition teilen, die alle die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte akzeptieren, die auch alle die Europäische Menschenrechtskonvention ratifiziert haben. Diese Bestimmungen möchte man jetzt in diesen neuen Vertragstext verpflanzen und vergisst dabei, dass dieser Text auf der gesamten Welt anwendbar sein soll, also auch in Staaten, die einer ganz anderen rechtlichen Tradition entspringen und in denen Menschenrechtsstandards andere sind, als wir sie in Europa kennen.
Elina Eickstädt: Was war denn in der Budapester Konvention bisher an Überwachungsmaßnahmen vorgesehen? Welche neuen Vorschläge kommen nun aus der internationalen Gemeinschaft?
Tanja Fachathaler: Es erinnerte in den ersten vier Verhandlungsrunden ein bisschen an den Brief ans Christkind: Verschiedene Staaten haben sich Maßnahmen oder auch Straftatbestände gewünscht, die sie gern in diesem Vertrag sehen wollten. Bei den Überwachungsmechanismen wurde beispielsweise die Vorratsdatenspeicherung genannt. Sie war tatsächlich eine Zeit lang in den frühen Entwürfen drin, ist nun aber nicht mehr da.
Wir haben aber folgende Überwachungsmechanismen: eine umgehende Sicherung von gespeicherten Computerdaten, eine umgehende Sicherung und teilweise Weitergabe von Verkehrsdaten, die Durchsuchung und Beschlagnahme gespeicherter Computerdaten, die Erhebung von Verkehrsdaten in Echtzeit und die Erhebung von Inhaltsdaten in Echtzeit …
Constanze Kurz: … eine ganz ordentliche Liste!
Tanja Fachathaler: Das ist richtig. Man hat sich an der Budapester Konvention orientiert und Bestimmungen daraus nachempfunden, zum Teil wörtlich übernommen. Allerdings werden auch Abänderungen getroffen oder neue Artikel hinzugefügt von Staaten, die das eine oder andere gerne noch dabei oder konkretisiert hätten.
Ein Paragraph sieht zum Beispiel vor, die Durchsuchung und Beschlagnahme gespeicherter Computerdaten auszuweiten. Dagegen laufen wir aktuell gemeinsam Sturm. Denn der Paragraph geht in die Richtung, dass die Preisgabe von Verschlüsselungsmaßnahmen und Sicherheitslücken erzwungen werden kann. Ein Individuum, das Kenntnis von der Funktionsweise eines Computersystems oder eines Informations- oder Telekommunikationsnetzes oder seiner Bestandteile hat, soll von einem Staat durch seine Ermittlungsbehörden angewiesen werden können, diesen im Rahmen des Zumutbaren erforderliche Informationen zu liefern. Das heißt, diese Person soll mitunter Verschlüsselungsmaßnahmen oder Sicherheitslücken preisgeben. Das sind momentan Bestimmungen, die aufgenommen worden sind, die bei uns sämtliche Alarmglocken schrillen lassen.
Der Name des Vertrags als eine Konvention gegen die Computerkriminalität ist ein bisschen irreführend. Denn es ist nur der erste Teil dieser Konvention, der die sogenannten Cybercrimes beinhaltet. Wenn man sich den restlichen Teil ansieht, also die weiteren Kapitel, dann hat man sehr stark den Eindruck, dass es sich um einen Vertrag handelt, der einen umfassenden Zugang zu Daten schaffen soll.
Das große Problem
Constanze Kurz: Die Konvention soll zum Beispiel bei den genannten Überwachungsmaßnahmen die Möglichkeit eröffnen, dass die Strafverfolger untereinander diese Daten anfordern können, im Rahmen der Rechtshilfe, richtig?
Tanja Fachathaler: Die Kompetenzen sind an die Strafverfolgungsbehörden gerichtet. Wenn ein völkerrechtlicher Vertrag in Kraft tritt, dann sind die Staaten, die den Vertrag ratifiziert haben, verpflichtet, entsprechende Maßnahmen in ihrer Gesetzgebung zu treffen, damit er angewendet werden kann.
Constanze Kurz: Mal angenommen, bestimmte Überwachungsmaßnahmen müssten in ratifizierenden Ländern eingeführt werden. Müssten dann auch bestimmte Maßnahmen zum Schutz von Grundrechten, etwa bei der Kontrolle der Strafverfolgungsbehörden, ebenfalls umgesetzt werden?
Tanja Fachathaler: Das ist das große Problem an dem Vertrag. Wir sehen enorme Defizite, was den Schutz von Grund- und Menschenrechten angeht. Zusammen mit den Partnerorganisationen haben wir Verbesserungsvorschläge gemacht, wiederholt auch in den Verhandlungsrunden. Dort haben zivilgesellschaftliche Organisationen die Möglichkeit, das Wort zu ergreifen. Wir haben mit sehr konkreten Beispielen und mit Verweisen auf aktuelle Gesetzgebung in unterschiedlichen Ländern darauf hingewiesen, wie die Konvention missbraucht werden kann, wenn keine entsprechenden Schutzmaßnahmen vorhanden sind. Wir sind bislang nicht gehört worden, unsere Bedenken spiegeln sich nicht in dem Vertragstext wider.
Elina Eickstädt: Wie verlaufen die Verhandlungen bei völkerrechtlichen Verträgen, wer verhandelt da eigentlich?
Tanja Fachathaler: Auf UN-Ebene sitzen die Staaten zusammen und handeln die Verträge aus. Es ist interessant zu sehen, wer die eigentlich handelnden Personen sind. Am Anfang sprechen in der Regel Botschafter und Diplomaten, wenn es um allgemeine Erklärungen geht. Die Feinheiten und rechtlichen Bestimmungen werden dann aber von Vertretern der Strafverfolgungsbehörden ausgehandelt. Es sind meist Damen und Herren, die in den Justizministerien der unterschiedlichen Länder arbeiten, die oft zu Beginn ihrer Karriere als Staatsanwälte tätig waren oder aus den Staatsanwaltschaften kommen.
Constanze Kurz: Damit zeigt sich also ein gewisser Mindset, also eine bestimmte Art zu denken?
Tanja Fachathaler: So ist es. Zum Beispiel hat ein Staatsanwalt die Effizienz bei der Strafverfolgung im Blick. Da geht es darum, Straftaten aufzudecken. Und ein Staatsanwalt wird tendenziell immer mehr Werkzeuge haben wollen als weniger.
Natürlich sind auch Staatsanwälte den Menschenrechten verpflichtet. In Europa haben alle Staaten zum Beispiel die Europäische Konvention für Menschenrechte ratifiziert.
Constanze Kurz: Aber man muss es global betrachten. Iran würde beispielsweise in eine andere Kategorie fallen, nicht wahr?
Tanja Fachathaler: Genauso ist es. Man sieht es aber auch bei europäischen Staatsanwälten, die zum Beispiel meinen, die Menschenrechte gelten ja sowieso und nun schauen wir, dass wir gute Überwachungswerkzeuge bekommen. Das ist ein bisschen überspitzt formuliert, aber das ist durchaus nicht unüblich zu hören. Sie meinen auch, es sei Panikmache, wenn sich manche Staaten besonders laut aussprechen für mehr Schutz von Menschenrechten oder gegen überbordende Überwachungsmaßnahmen. Man hört das durchaus auch aus den westlichen Staaten, für die vor allem Leute aus den Strafverfolgungsbehörden diesen Vertrag verhandeln.
Kein internationaler Konsens, was Cybercrime ist
Elina Eickstädt: Was steht denn aktuell auf der Wunschliste, was ist eigentlich Cybercrime …
Constanze Kurz: … und wo ist die Abgrenzung? Der Kern dessen, was Cybercrime ist, scheint gar nicht so umstritten, sondern eher die Ränder, oder?
Tanja Fachathaler: Es gibt keinen internationalen Konsens darüber. Die Budapester Konvention benennt Straftatbestände und unterscheidet sehr stark zwischen sogenannten „cyber dependent crimes“ und „cyber enabled crimes“. So ziemlich jede Straftat kann jetzt mit Hilfe von Computern und digitalen Maßnahmen durchgeführt werden. Aber genau darum geht es: Wo sind die Ränder? Wir sind der Meinung, dass ausschließlich „cyber dependent crimes“ in den Vertrag aufgenommen werden sollen. Das sind Strafhandlungen, die ein Computersystem als Ziel haben, also zum Beispiel auf dessen Schädigung abstellen, oder die ohne ein solches überhaupt nicht durchführbar wären.
Constanze Kurz: Werdet ihr euch damit durchsetzen können?
Tanja Fachathaler: Das ist schwierig. Der rechtswidrige Zugang zu Computersystemen, rechtswidriges Abfangen von Daten über einen Computer oder zum Beispiel der Eingriff in ein Computersystem wären diese „cyber dependent crimes“. Sie gehören damit zu dem Kernbestand, von dem wir sagen, er sollte in einer Cybercrime Convention geregelt werden. Jetzt ist es aber so, dass man sich nicht darauf einigen konnte, einige „cyber enabled crimes“ herauszunehmen. Das liegt daran, dass sie auch in der Budapester Konvention enthalten sind. Das eine ist konkret die computerbezogene Fälschung und das andere ist der computerbezogene Betrug.
Im aktuellen Draft sind auch einige beunruhigende Ergänzungen hinzugekommen. Dazu gehören Straftatbestände, die Kindesmissbrauchsmaterial betreffen, aber auch Cyber Grooming oder zum Beispiel die widerrechtliche Verbreitung von intimen Bildern. Diese Straftatbestände werden sehr wahrscheinlich Teil der Konvention bleiben.
Wir möchten keinesfalls so verstanden werden, dass wir sagen würden, das seien keine schweren Verbrechen. Im Gegenteil, es ist sehr, sehr wichtig, gegen Kindesmissbrauch vorzugehen, auch online. Wir fragen uns aber, ob diese Konvention der richtige Rahmen dafür ist.
Elina Eickstädt: Sind diese Straftatbestände mit entsprechenden Ermittlungswerkzeugen für Strafverfolgungsbehörden verknüpft? Wenn es um die Verbreitung von Kindesmissbrauchsdarstellungen geht, sind dann bestimmte Überwachungsmaßnahmen vorgesehen?
Tanja Fachathaler: Sie sind nicht speziell nur auf den Kindesmissbrauch getrimmt. Bei den Überwachungsmechanismen und bei sämtlichen Kapiteln, wo es darum geht, zu überwachen und international Rechtshilfe zu leisten und zusammenzuarbeiten, geht man über die Straftatbestände hinaus, die die Konvention normiert. Diese weitreichenden Überwachungsmaßnahmen und auch die internationale Kooperation, also der Austausch von Daten, die durch diese Überwachungsmechanismen gewonnen werden, sollen auf jedwede strafrechtliche Handlung angewendet werden, bei der ein Computersystem verwendet wurde. Das sind noch einmal eine ganze Menge weiterer Straftaten.
Man hat für Kindesmissbrauchsdarstellungen keine in spezifischen Paragraphen festgelegten Ahndungsmechanismen. Was man allerdings hat – und das beunruhigt uns momentan sehr –, ist ein mögliches Verbot von konsensual produzierten „Sexting“-Materialien unter Jugendlichen.
Jugendliche strafrechtlich verfolgt
Constanze Kurz: In Deutschland ist die Gesetzgebung bei solchen Materialien problematisch. Gerade wird versucht, den Straftatbestand wieder zu ändern, weil es eine große Kriminalisierung von Kindern und Jugendlichen gibt.
Tanja Fachathaler: In Österreich haben wir das Problem auch. Wenn man sich die Statistiken ansieht, dann lernt man, dass es sehr häufig Jugendliche tatsächlich auch strafrechtlich verfolgt werden. Der Grund ist „Sexting“, also das Übermitteln von Darstellungen, die aber konsensual angefertigt wurden.
Natürlich gibt es in einer globalen Konvention auch kulturelle Unterschiede. Wir sehen allerdings ein allgemeines Verbot hier wirklich sehr kritisch.
Constanze Kurz: Das waren jetzt einige Beispiele, die ihr kritisch seht. Aber es gibt noch mehr Straftatbestände, bei denen es Befürchtungen gab, etwa bei Fragen von Desinformation oder Hassrede, auch beim Urheberverwertungsrecht oder auch beim Begriff des Terrorismus. Wie kann man sich darüber informieren, wie der Stand bei den einzelnen kritischen Fragen eigentlich ist?
Tanja Fachathaler: Diese möglichen Straftatbestände, die du ansprichst, ist das, was ich den Wunschbrief ans Christkind genannt habe. Manche Staaten wollten unter dem Deckmantel der Terrorismusbekämpfung Oppositionelle quasi mit dem Segen der UNO zum Schweigen bringen. Es seien ja schließlich alle Cyberkriminelle. Am Anfang wurde der Text wahnsinnig aufgeblasen, also in den ersten vier Verhandlungsrunden. Wir sind erst im vergangenen Winter in das Prozedere eingestiegen, in die vierte Verhandlungsrunde in Wien. Und als wir den Text das erste Mal angeschaut haben, traute ich meinen Augen nicht.
Es gab vage, schwammige Formulierungen zu terrorismusbezogenen Straftaten. Es gibt keine international anerkannte Definition von Terrorismus, die rechtlich verbindlich wäre. Andere Beispiele waren etwa: Was ist Subversion? Was ist Extremismus? Es wurde zunächst auch Blasphemie aufgenommen. Pakistan hatte sich das gewünscht, es ging um Beleidigung des Propheten. Wir hatten das ganze Spektrum …
Diese ganzen Straftatbestände haben es nicht geschafft in den sogenannten „Zero Draft“.
Worauf man sich allerdings geeinigt hat, ist der Artikel 17. Er nimmt Bezug auf Straftatbestände, die in anderen internationalen Verträgen enthalten sind und die mit Hilfe eines Computersystems durchgeführt werden. Diese Straftatbestände sollen nicht ausgeschlossen werden vom Anwendungsbereich.
Das könnte beispielsweise eine Hintertür oder ein Einfallstor sein für schwammige Terrorismusbegriffe. Darum ist momentan eine heftige Diskussion entbrannt: Man möge den Begriff internationale Verträge austauschen und sich auf UN-Konventionen festlegen. Damit wäre zumindest klar und ein Referenzrahmen geschaffen, dass nur diese Straftatbestände herangezogen werden dürfen, die in einem UN-Dokument anerkannt sind.
Wenn man sich darüber informieren will, was aktuell drin steht und was nicht, ist das ein bisschen schwierig. Es gibt eine Webseite von dem Ad-Hoc-Komitee, das zuständig für diese Verhandlungen ist. Dem Komitee sitzt die algerische UN-Botschafterin vor. Sie leitet zusammen mit ihrem Team diese Verhandlungen und ist auch maßgeblich an der Ausarbeitung der jeweiligen Entwürfe beteiligt.
Auf der Website werden regelmäßig Updates zu den einzelnen Verhandlungsrunden und die entsprechenden Dokumente gepostet. Im Moment sieht man den aktuellen Vertragstext der siebten Verhandlungsrunde. Wenn die Verhandlungen im Januar und Februar wieder losgehen, wird es täglich aktualisiert. Dann sieht man sehr genau, wo der Vertrag abgeändert wurde, welche Staaten wofür plädieren. Man kann sich das tagtäglich ansehen, ohne sich stundenlang vor den Live-Stream des UN-Fernsehens setzen zu müssen. Ich gebe zu, diese Sitzungen sind nicht unbedingt prickelnd.
Ich würde mir für den gesamten Verhandlungsprozess sehr viel mehr Öffentlichkeitswirksamkeit wünschen. Ich glaube, eine breite Öffentlichkeit sollte sich dessen bewusst sein, dass diese Verhandlungen gerade laufen und möglicherweise noch im Winter zu einem Abschluss kommen werden.
Constanze Kurz: Welches sind beim aktuellen Stand der Verhandlungen die drei kritischsten Punkte, bei denen du unbedingt die Unterstützung einer kritischen Öffentlichkeit bräuchtest?
Tanja Fachathaler: Ich würde zuerst nennen: ein sehr eingeschränkter Anwendungsbereich für die Konventionen, nämlich nur zugeschnitten auf die „cyber dependent crimes“, also wirklich nur auf einen ganz engen Anwendungsbereich. Straftatbestände müssen exakt formuliert sein, auch was den Vorsatz angeht. So wie diese Vorsatzformulierungen im Moment sind, beziehen sie ethische Hacker, Journalisten und Aktivisten mit ein. Deren Arbeit würde damit schwieriger und sie wären potentiell der Gefahr der Strafverfolgung ausgesetzt.
Das zweite, was ich mir wünschen würde, sind stärkere, umfassendere Schutzmaßnahmen (Safeguards). Wenn man sich die Konvention im Moment ansieht, so muss man feststellen, dass die einzelnen Teile ein bisschen zusammengeschustert sind und man keinen roten Faden hat, welche Schutzmaßnahmen tatsächlich wo anwendbar sind. Es braucht sehr konkrete Vorgaben, welches Mindestmaß an Schutzmaßnahmen es gibt, gerade in Hinblick auf die sehr weitreichenden Überwachungsmechanismen. Ich würde mir sehr viel stärkere Datenschutzbestimmungen wünschen. So, wie der Entwurf momentan formuliert ist, bleibt er schwammig und ist absolut nicht tauglich, den entsprechenden Schutz unserer Daten sicherzustellen.
Das dritte wäre das Einschränken der möglichen Überwachungsmechanismen. Insbesondere sollte Echtzeitüberwachung ausgeschlossen sein. Und es braucht eine Klarstellung, dass nichts in die Richtung von einem Aufweichen von Verschlüsselung oder das Zulassen von Spyware durch die Hintertür gelesen werden darf.
Elina Eickstädt: Vielen Dank, dass du bei unserem Podcast „Dicke Bretter“ zu Gast warst, Tanja!
0 Ergänzungen