Datenspeicherung und Bekämpfung gefährlicher Angriffe
EU-Kommission will Verbindungsdaten länger speichern und schärfere Strafen für "unberechtigten Zugang" zu Computernetzen
Die EU-Kommission plant nach einem noch unveröffentlichten Rahmenentscheid zur "Bekämpfung gefährlicher Attacken auf Informationssysteme" drastisch verschärfte Strafen für "unberechtigten Zugang" in Computernetze. Nicht einmal absichtliches Handeln ist notwendige Voraussetzung, um den Straftatbestand eines "unerlaubten Zugangs" zu erfüllen.
Laut Aussendung des Veranstalters, der DG-Informationsgesellschaft, wird die Plenarsitzung des European Forum on Cybercrime am 27. November ganz unter dem Thema "Aufbewahrung von Verbindungsdaten" stehen. Die zum Forum gehörige Expertenkommission hat zu diesem Zweck einen umfassenden Fragenkatalog welche Art von Verbindungsdaten von welchen Betreibern bereits jetzt wie lange gespeichert werden, ins Netz gestellt.
Zur Sprache kommen werden in der Rue de la loi zu Brüssel wohl die primären Aufreger der letzten Wochen, als die Debatte um Aufhebung des Datenschutzes in puncto Verbindungsdaten nach den Anschlägen in New York auch EU-intern wieder hochgegangen war (Diskussion über die Speicherung von Verbindungsdaten). Höhepunkt war ein Brief von George Bush an die EU, worin verlangt wurde, die Datenschutzrichtlinie zum Zweck der Terroristenjagd teilweise außer Kraft zu setzen und die Speicherung von Verbindungsdaten anzuordnen oder wenigstens zuzulassen. In erster Lesung hat das Europäische Parlament die Veränderungen der Richtlinie über die Verarbeitung persönlicher Daten und den Schutz der Privatsphäre im elektronischen Kommunikationssektor übernommen und sich weiter gegen eine vorsorgliche Datenspeicherung ausgesprochen, da diese gegen die EU-Menschenrechtskonvention verstößt.
31 internationale Bürgerrechts- und Civil-Liberties Organisationen hatten in der vergangenen Woche in einem offenen Brief an Guy Verhofstadt, den Präsidenten des Eu-Ministerrats appelliert, diesen "Blankoschenk für zukünftige, auf reinen Hypothesen basierenden Ermittlungen" in den gespeicherten Datensätzen nicht auszustellen. US-Organisationen befürchten, dass auf dem Umweg über Europa US-Verbindungsdaten den US-Behörden zufließen sollten, zumal in den USA eine den Bush-Forderungen an Europa vergleichbare Speicherpflicht nicht existiert.
Voraus gegangen waren 2001 bereits mehrere Versuche, eine Grundaussage der in Novellierung befindlichen EU-Direktive zum Datenschutz auszuhebeln. Diese sieht vor, dass Datensätze, sofern sie nicht [mehr] zur Abrechnung benötigt werden, von den Netzbetreibern gelöscht werden müssen.
Die Sitzung des Rats der EU-Telekom- und Verkehrsminister in Luxemburg vom 22. Mai zur Überarbeitung der Datenschutz-Direktive sah einen Vorstoß von England, Frankreich und Belgien, entscheidende Teile des wichtigen Artikels sechs der Datenschutzrichtlinie zu kippen (Europäischer Rat für die Speicherung aller Kommunikationsdaten). Konsequenterweise hatte zuletzt Frankreich seine Provider gesetzlich verpflichtet sämtliche Verbindungsdaten ein Jahr lang zu speichern. In Großbritannien läuft ein ähnlicher Versuch, ein in der letzten Woche bekannt gewordenes Dokument des Innenministeriums lässt sogar die Option einer Speicherungspflicht per Verordnung des Innenministers offen, falls keine Einigung mit der Industrie zu einer "freiwilligen" Speicherung der Verbindungsdaten zu Stande kommt.
Während also die Frage der verpflichtenden Datenspeicherung erklärter Maßen im Zentrum des EU-Forums steht, wird auch ganz nebenbei ein "Rahmenentwurf zur Bekämpfung gefährlicher Attacken auf Informationssysteme" (Proposal for a Framework Decision on serious attacks against information systems) präsentiert. Im Unterschied zur Datenspeicherungs-Debatte ist dieser "Entwurf" bereits in einem so fortgeschrittenen Stadium, dass er nach Angaben der DG-Informationsgesellschaft bereits den Segen der EU-Kommission haben, also deren offizielle Position darstellen könnte, wenn das Forum am 27. November eröffnet wird.
Ganz nebenbei soll im Windschatten der Speicherungsdiskussion eine zentrale Regelung des umstrittenen Cybercrime-Abkommens beim Europarat maßgeblich verschärft werden (Europarat verabschiedet Cybercrime-Abkommen). In einem mit 5. Oktober 2001 datierten, mittlerweile bei Cryptome einsehbaren Entwurf zur "Bekämpfung gefährlicher Attacken auf Informationssysteme", könnte auch ein "unberechtigter Zugang zu einem geschützten System" als "gefährlicher Angriff" gewertet werden, egal wie dieser unberechtigte Zugang zu Stande gekommen ist [Artikel 2, i/i]. Mit dem Entwurf soll auf dem Hintergrund der Bekämpfung des Terrorismus und der organisierten Kriminalität eine einheitliche Definition für "gefährliche Angriffe auf Informationssysteme" für die Mitgliedsländer geschaffen werden, so dass diese EU-weit ähnlich verfolgt und bestraft werden können.
Das Cybercrime-Abkommen des Europarats stellte hingegen eindeutig fest, dass grundsätzlich Absicht vorliegen müsse, um den Tatbestand von "illegal access" zu erfüllen. Zusätzlich stellt es das Abkommen den Unterzeichnerstaaten frei, noch "unehrliche Absichten" oder "Umgehung von Sicherheitsmaßnahmen" (infringing security measures, with the intent of obtaining computer data or other dishonest intent) als Latte für das Vorliegen eines Verbrechens festzulegen.
Im Kommissionsentwurf ist dies nicht mehr eindeutig formuliert. Zwar wird gesagt, dass harmlose oder triviale Vergehen nicht verfolgt werden müssen, gleichwohl gilt als "gefährlicher Angriff" bereits ein "unerlaubter Zugang oder ein unerlaubter Zugriff auf ein geschütztes System; oder wenn dies von einer Person mit der Absicht durchgeführt wird, einer natürlichen oder juristischen Person Schaden zuzufügen." Das "Explanatory Memorandum" stellt erläuternd fest, "unglücklicherweise" sei es nun einmal Fakt, dass viele User ihre Systeme viel zu wenig schützten, weshalb die Umgehung von Sicherheitsmaßnahmen kein notwendiges Kriterium für das Vorliegen einer "gefährlichen Attacke" sei.
Unter dem Deckmantel des Konsumentenschutzes argumentiert die Kommission hier an der Realität des Internet vorbei, wo sich der halbwegs kundige Datenreisende bereits nach einem "Sicherheitscheck" der primitivsten Sorte oft in einem Ordner wiederfindet, der eigentlich nicht für die Öffentlichkeit bestimmt ist. Zahllose einschlägige Fälle sind aus den letzten Jahren bekannt. Das Wiener Allgemeine Krankenhaus hatte bis vor kurzem die Datensätze von über 80 Blutdruckpatienten auf einem derartigen ungeschützten Ordner praktisch öffentlich im Netz. Die Fälle, in denen man über Suchmaschinen in geschützte Teile von Websites gelangt, ohne überhaupt zu wissen, dass es sich geschützte Bereiche handelt, sind ebenfalls Legion.
Nach dem Wortlaut des Papiers der EU-Kommission für eine "Rahmenentscheidung" könnten solche Fälle als Straftaten verfolgt werden. Dass "Strafe nicht immer die Form von Gefängnis" annehmen müsse, gibt das Kommissionspapier in Artikel sechs der Erläuterungen gnädigerweise zu. Falls aber dem Eigentümer auch nur ein indirekter ökonomischer Schaden welcher Art auch immer entstanden sei, dann seien "erschwerende Umstände" (Artikel 7) gegeben. Das Delikt müsse dann EU-weit mit einem Strafrahmen von mindestens vier Jahren Gefängnis beantwortet werden.
Für den 27. November eingeladen hat die DG-Informationsgesellschaft ISPs, Telekombetreiber, Mobilfunker, Polizei, diverse andere Behörden, am unteren Ende sind auch Konsumenten- und Datenschützer aufgelistet.
Die Registrierungsfrist für Redezeit läuft noch bis Dienstag, den 20. November, schriftliche Stellungnahmen können bis Donnerstag unter dieser Mailadresse INFSO-JAI-cybercrime-comments@cec.eu.int abgegeben werden. Der Rahmenentwurf" soll laut Willen der Kommission bis 30. Juni 2003 in allen Mitgliedsstaaten der EU umgesetzt werden.
Erich Moechel ist Redakteur von Futurezone. Telepolis und Futurezone haben eine engere Kooperation vereinbart.