Hintergrund: Europarat bereitet Cybercrime-Konvention vor

Der Europarat, eine nicht mit dem Europäischen Rat oder dem Rat der Europäischen Union zu verwechselnde, von der EU unabhängige Institution, hat einen neuen Entwurf für eine Cybercrime-Konvention veröffentlicht. Diese Konvention soll die erste international verbindliche Vereinbarung zu Bekämpfung von Computerkriminalität werden. Die bislang wohl bedeutendste Konvention des Europarats ist die 1953 in Kraft getretene Europäische Menschenrechts-Konvention.

Nachdem der Europarat bereits 1989 und 1995 Empfehlungen zum Umgang mit Computerkriminalität veröffentlicht hatte, diese aber für unzureichend befunden wurden, nahm er die Cybercrime-Konvention in Angriff. Seit 1997 arbeiten Experten aus den 41 Mitgliedsstaaten des Rats sowie aus den USA, aus Kanada, Japan und Südafrika an dem Text. Bis zum Ende des Jahres sollen sie ihre Arbeit abschließen, sodass der Ministerrat, das oberste Organ des Europarats, den endgültigen Entwurf der Konvention bis zum Ende des nächsten Jahres ratifizieren kann. Mit ihrer Unterschrift verpflichten sich die Staaten, einen einheitlichen rechtlichen Rahmen zur Definition, Verfolgung und Sanktionierung von Straftaten zu schaffen, die mit oder in Bezug auf Computer begangen werden.

Zweifelhaftes und Umstrittenes

Neben vielen unstrittigen Passagen – wie etwa die Forderung, dass die unterzeichnenden Staaten den unberechtigten Zugriff beispielsweise durch Hacken/Cracken oder die Behinderung des rechtmäßigen Zugriffs etwa durch Denial-of-Service-Attacken auf Computersysteme in ihrem Recht als Straftaten definieren sollen – wagen sich die Experten des Europarats im ersten Abschnitt ihres Entwurfs auch an viele "heiße" Eisen des Computerrechts. So handelt Artikel 6 etwa von Geräten und Programmen, deren Zweck es ist, in Computersysteme einzudringen oder Computersysteme lahmzulegen. Die Herstellung, die Verbreitung und sogar der Besitz solcher Tools soll als Straftat gelten – allerdings nur unter der Bedingung, dass diese in illegaler Absicht eingesetzt werden. Der Administrator darf also ein Hackertool programmieren oder besitzen, wenn er es nutzt, um Sicherheitslücken in seinem System zu finden. Im Besitz des Crackers aber ist dieselbe Software ein illegales Tool. Wie ist aber ein Tool einzuschätzen, das man zur Sicherung des eigenen Systems einsetzen kann, mit dem man aber auch Sicherheitslöcher aufspüren kann, um in ein fremdes System einzudringen?

Die Offenheit der Formulierungen, die bei der Umsetzung von Artikel 6 fast notwendigerweise zu Problemen führen wird, ist auch bei anderen Artikeln wiederzufinden, etwa in Artikel 10, der der Verletzung von Urheberrechten und Ähnlichem gewidmet ist. Hier sieht die aktuelle Formulierung nur eine Berufung auf diverse internationale Abkommen und Koventionen vor, die bei der Einschätzung von komplizierten Rechtsstreitigkeiten wie den Verfahren in den USA gegen Napster oder MP3.com sicherlich wenig hilfreich ist.

Konkret geht es dagegen im Artikel 9 zu, in dem das Verbot von Kinderpornographie postuliert wird. Im Gegensatz etwa zu den Artikeln 6 und 10 bietet Artikel 9 eine Definition des behandelten Straftatbestands, der die Einheitlichkeit einer Umsetzung in nationales Recht sicherlich erleichtert. Damit wird dies auch der Intention des Konventionsentwurfs sehr viel eher gerecht als allgemeine Formulierungen. Allerdings ist der Artikel über Kinderpornographie der einzige, der bestimmte Inhalte zu verbieten fordert. Richtlinien zur Behandlung von diskriminierenden oder rechtsradikalen Inhalten sucht man vergebens.

Problemfall Datenschnüffelei

Im zweiten Abschnitt des Entwurfs wenden sich die Autoren verfahrensrechtlichen Fragen zu, wobei ihre Vorschläge so manchem Datenschützer Bauchschmerzen bereiten werden. Neben Artikeln, in denen Aufbewahrungs- und Herausgabepflichten von elektronisch gespeicherten Daten geregelt werden, handelt Artikel 18 vom Abfangen und Mithören elektronischen Datenverkehrs im Zuge von Ermittlungsverfahren. Damit berührt der Entwurf ein Thema, das im Zusammenhang mit dem FBI-Schnüffel-Tool "Carnivore" in den USA gerade sehr kontrovers diskutiert wird. Formulierungen zu Artikel 18 sind erstmals in der jüngsten Fassung des Entwurfs veröffentlicht – ein Indiz dafür, dass dieser Artikel zu den Umstrittensten gehört.

Grundsätzlich goutieren die Experten des Europarats das Abhören und Sammeln von Daten. Dabei fordern sie einerseits Gesetze, die Schnüffeleien den Ermittlungsbehörden selbst erlauben, als auch solche, die Provider dazu zwingen, Datensammlungen im Auftrag von Ermittlungsbehörden durchzuführen. Befremdlich an Artikel 18 ist vor allem, dass keinerlei einschränkende Klauseln eingebaut sind, in welchen Fällen ein derart weitgehender Eingriff in die Privatsphäre verdächtiger Personen vorgenommen werden darf. Natürlich geht der Europarat davon aus, dass durch seine Konvention der Schutz der Privatsphäre nicht verletzt wird, aber die bedingungslosen Formulierungen könnten leicht dazu missbraucht werden, nationales Datenschutzrecht unter Berufung auf internationale Abkommen auszuhöhlen.

Genau das befürchtet etwa David Banisar von der Datenschutzgruppe Electronic Privacy Information Center (EPIC). "Wenn die US-Regierung eine kontroverse Politik nicht allein durchkriegt, übt sie Druck auf eine internationale Gruppe aus, um diese Politik zu fixieren. Dann bringt sie sie zurück in die USA als Teil eines internationalen Vertags – und der Kongress muss das absegnen", schreibt er auf den Webseiten von SecurityFocus.com. Auch aus Deutschland gab es schon an früheren Fassungen des Entwurfs Kritik. Diese bemängelte allerdings ganz im Gegensatz zu den Bedenken amerikanischer Datenschützer, dass sich die Bundesregierung zu wenig mit der Cybercrime-Konvention auseinander setze. Aus den Reihen des Chaos Computer Clubs (CCC) kam vor allem Kritik daran, dass der Besitz von Hackertools verboten werden soll.

Peter Csonka vom Generaldirektorat I des Europarats, in dem die Cybercrime-Konvention vorbereitet wird, hat für die Kritik ein offenes Ohr. Es gebe noch einigen Diskussionsbedarf, sagte er gegenüber c't, und der jetzt vorliegende 22. Entwurf sei zwar schon weit gediehen, aber noch nicht endgültig. Allerdings könne ein internationales Abkommen auch nicht jedes Detail regeln, sondern diene nur als Leitfaden für die nationale Gesetzgebung. Eine internationale Konvention sei aber unbedingt notwendig, da man die Probleme der modernen Computerkriminalität allein mit nationaler Gesetzgebung nicht mehr in den Griff bekommen könne. (chr)