Der Europarat bastelt weiter am Abkommen über Cyberkriminalität
Mittlerweile liegt die 24. Version des Abkommens vor
Ursprünglich wollte man das Abkommen noch im Dezember verabschieden, doch Kritik von Bürgerrechtsorganisationen und der Industrie, aber auch Konflikte zwischen den Mitgliedsländern und angeschlossenen Ländern wie USA, Japan, Kanada oder Südafrika führten dazu, weitere veränderte Versionen zu schaffen. Ob nun die 24.Version die endgültige für den Wunsch werden wird, möglichst schnell einen ersten "gemeinsamen strafrechtlichen Mindeststandard" im Bereich des Computer- und Telekommunikationsstrafrechts zwischen den Mitgliedsstaaten zu erreichen, steht in Frage. Auch erst nach Kritik wurden die Entwürfe vom Europarat ab der 19. Version die Entwürfe öffentlich zugänglich gemacht, vorher vollzog sich alles jahrelang hinter auch für die Parlamente verschlossenen Türen. Das immerhin ist ein Fortschritt.
Geschaffen werden soll durch das Abkommen eine gemeinsame Rechtsgrundlage, um besser gegen die meist länderübergreifende Cyberkriminalität vorgehen und die Strafverfolgung in Kooperation betreiben zu können. Strafrechtlich verfolgt werden sollen das unerlaubte Eindringen in Computersysteme, das illegale Abhören, die Manipulation von digitalen Daten, das Stören von Computersystemen, das Herstellen, der Besitz oder Verbreiten von Geräten oder Programmen, mit denen sich verbotene Aktivitäten ausführen lassen, computerbasierter Betrug und Diebstahl, Herstellen, Besitz und Vertreiben von Kinderpornographie oder Verletzungen des Urheberrechts. Und ermöglicht werden soll den Strafverfolgungsbehörden der Zugang zu Daten in Computern und Computersystemen sowie zu Nutzerdaten bei Providern und das Abhören in Echtzeit, wobei sich die Mitgliedsstaaten hier zu möglichst weitegehender Kooperation verpflichten sollen.
Artikel 2 verbietet, wenn mit Absicht auf ein Computersystem oder ein Teil von ihm ohne Erlaubnis zugegriffen wird. Das ist sehr weit formuliert, immerhin ist es den Mitgliedsländern erlaubt, dieses Verbot einzuschränken, so dass entweder Sicherheitsmaßnahmen umgangen werden müssen, die Absicht vorliegt, Daten zu erlangen oder eine "unlautere Absicht" besteht. Zumindest findet man noch in der Erläuterung zum Thema zugang: "This article is not intended to criminalise regular and common activities inherent in the design of the network, such as sending electronic mail without it having been first solicited by the recipient or normally accessing a web page or ftp ("file transfer protocol") server that has been configured for public access."
Vor allem die Ausnahmeregelung in Artikel 3 stieß bei einigen Staaten auf Widerspruch, der das illegale Abhören von "nicht-öffentlichen Übertragungen von Computerdaten zu, von oder in einem Computersystem, einschließlich der elektromagnetischen Strahlung eines Computersystems", betrifft. Noch immer sollen die Mitgliedsstaaten diesen Tatbestand einschränken können, sofern das Abhören entweder "unlautere Absichten" oder, eine neue Formulierung, die Verwendung eines Computersystems einschließt, "das mit einem anderen Computersystem verbunden ist." Was "unlautere Absichten" bzw. was sie nicht sind, wird nicht näher ausgeführt. Möglicherweise haben diese Einschränkung Staaten durchgesetzt, in denen Wirtschaftsspionage im Ausland (siehe Echelon) nicht verboten ist (Widerstände gegen Cybercrime-Abkommen aus eigenen Reihen).
Besonders umstritten war Artikel 6, der ursprünglich vorsah, die Herstellung, den Besitz, den Vertrieb, die Nutzung oder den Import von Geräten oder Programmen zu verbieten, die primär darauf ausgerichtet sind, in Systeme einzudringen, abzuhören, Daten zu verändern, Systeme zu stören oder Zugangsbeschränkungen (DeCSS!) zu umgehen. Jetzt dürfen Mitgliedsstaaten diesen Artikel mildern, indem beispielsweise eine bestimmte Zahl solcher Hackerwerkzeuge im Besitz einer Person sein muss, um sie strafrechtlich belangen zu können, oder wenn der Verwendungszweck nicht illegal ist, beispielsweise wenn es um genehmigtes Testen geht oder dem Schutz eines Systems dient. Mitgliedsstaaten können den Artikel auch nicht übernehmen, sofern dies nicht das Verbot des Verkaufs oder der Vertreibung solcher Geräte oder Programme betrifft.
Auch beim Verbot der Kinderpornographie wurde der amerikanische Vorstoß eingedämmt. Die Mitgliedsstaaten können hier als Minderjährige auch Jugendliche unter 16 Jahren betrachten, der Besitz eines Bildes in einem Computer oder einem Datenträger muss nicht automatisch strafbar sein und die dem amerikanischen Recht entstammenden Formulierungen, dass auch realistische computererzeugte Bilder von nicht existierenden Minderjährigen oder dargestellte Personen, die als Minderjährige erscheinen, verboten sind, müssen nicht übernommen werden.
Der Versuch, Urheberrechtsverletzungen dem Strafrecht zuzuordnen, ist ebenfalls abgemildert worden. Mitgliedsstaaten müssen Urheberrechtsverletzungen jetzt nicht mehr strafrechtlich verfolgen, wenn andere wirksame Mittel vorhanden sind, was jedenfalls einen gewissen Spielraum lässt.
Weiterhin bestehen bleibt die Forderung nach Gesetzen, die es Behörden ermöglichen, im Zuge der Strafverfolgung Verbindungsdaten und den Inhalt von Kommunikationen in Echtzeit zu sammeln und zu speichern und Provider im Rahmen ihrer technischen Möglichkeiten dazu zwingen zu können, Daten zu sammeln und zu speichern bzw. mit den Behörden zu kooperieren (Artikel 20 und 21). Genauere Regelungen und Beschränkungen sollen den jeweiligen Gesetzen der Mitgliedsstaaten unterworfen sein. Die Daten sollen auch durch gegenseitige Rechtshilfe einander zugänglich gemacht werden, was auch heißen kann, dass es den Behörden des einen Landes erlaubt sein könnte, die Kommunikation eines Verdächtigen in einem anderen Land mit Genehmigung selbst abzuhören. Ein Provider in einem anderen Land soll den Strafverfolgungsbehörden, wenn über seine Computer Daten eines Verdächtigen geflossen sind, ausreichende Verbindungsdaten übergeben müssen, sofern es sich nicht um politische Straftaten handelt oder dadurch die Souveränität des anderen Staates gefährdet wird.