Europarat verteidigt das Cybercrime-Abkommen

Der Staatenbund bemüht sich um mehr Datenschutz, beharrt aber auf der Kriminalisierung von Hackern oder Raubkopierern und unterstellt Surfer weiterhin einem pauschalen Verbrechensverdacht

Der Europarat ist aufgrund der harschen Kritik von Datenschützern, Wirtschaftsverbänden und Politikern an seiner Konvention gegen Computerkriminalität in die Defensive geraten. Die jetzt veröffentlichte 27. Version des über Jahre hinweg erarbeitenden Vertragswerks enthält daher eine neue Datenschutzklausel, lässt aber sonst alles beim Alten. Den lauten Vorwürfen versuchen die Cybercrime-Experten des Gremiums vor allem durch einen ausführlichen Erläuterungsteil entgegen zu wirken. Die grundsätzlichen Einwände gegen die Konvention können sie dadurch aber nicht entkräften.

Mit dem am Freitag veröffentlichten 27. Entwurf für eine Konvention gegen Cybercrime glaubt der Europarat nun endlich den Stein der Weisen gefunden zu haben. "Die Schutzgarantien des Vertrags sind noch einmal verstärkt worden", verkündete der stellvertretende Leiter der Abteilung Wirtschaftskriminalität des Europarats, Peter Csonka, nach getaner Arbeit.

Man muss sie allerdings mit der Lupe suchen: Neu ist im eigentlichen Vertragstext letztlich nur eine im Konjunktiv gehaltene Klausel, wonach die polizeilichen Maßnahmen und Auflagen im Kampf gegen die Cybergangster "eine richterliche oder anderweitig unabhängige Überwachung einschließen sollen". Wichtig sei ferner die Angabe von Gründen, die beispielsweise eine Telekommunikationsüberwachung erforderten, sowie die Begrenzung des Umfangs und der Dauer einer solchen Prozedur.

Über diesen Beisatz hinaus, der für demokratische Rechtsstaaten eigentlich selbstverständlich sein sollte, finden sich in den 48 Artikeln des Vertragsentwurfs gegenüber der zuletzt veröffentlichten 25. Version nur noch minimale formelle Ergänzungen und Verschiebungen. Insgesamt lassen sich die vorgenommenen Änderungen des letzten halben Jahres an einer Hand abzählen (Nur kosmetische Korrekturen beim Cybercrime-Abkommen).

Proteststurm im Wasserglas

Dabei ging über die Verfasser der Konvention gleichzeitig ein Proteststurm nieder, der seinesgleichen sucht. Verbände, Individuen und Politiker haben den in Straßburg angesiedelten Europarat mit Emails und Positionspapieren überhäuft, da sie die Privatsphäre der Nutzer in Gefahr sehen und überzogene Forderungen an die Provider in dem Papier entdeckt haben.

Im März erregte vor allem eine Eingabe einer auf EU-Ebene in Brüssel eingesetzten Arbeitsgruppe von Datenschützern Aufsehen, die in dem Abkommensentwurf schwere Designfehler und Verstöße gegen die vom Europarat selbst vorgelegten Menschenrechtsabkommen ausmachte (Fette Bugs im Cybercrime-Abkommen). In Berlin beklagt hauptsächlich der Beauftragte für Neue Medien der SPD-Bundestagsfraktion, Jörg Tauss, die alle Surfer unter einen generellen Kriminalitätsverdacht stellende "Ausweitung der Überwachungs- und Eingriffsbefugnisse der Ermittlungsbehörden" durch den Europarat (Ein großer Schritt in Richtung europäischer Überwachungsstaat).

Durch die allgemeine Schelte fühlte sich das federführende "Expertenkomitee Verbrechen im Cyberspace" (PC-CY) des über 40 Staaten umfassenden Bundes zwar nicht zum Umschreiben des Konventionspapiers veranlasst. Doch der 27. Version ihres Konstrukts haben sie nun einen fast 80 Seiten füllenden Erklärungsteil angefügt, in dem sie die Notwendigkeit und die Bestimmungen des Abkommens verteidigen und auf seine Entstehungsgeschichte hinweisen.

Demnach haben den Europarat - ähnlich wie andere über den nationalen Rahmen hinausreichende Gremien wie die G8-Staaten, die Europäische Kommission oder die OECD - Befürchtungen aktiv werden lassen, wonach durch die fortschreitende technische Vernetzung "die Konsequenzen kriminellen Verhaltens weitreichender als bisher sein können". Als Beispiel dient die Verbreitung von Computerviren. Dass dagegen technische Sicherungsmaßnahmen allein schützen können, wie die Wirtschaft argumentiert, glauben die Experten des Europarats nicht. Ihrer Ansicht nach ist zusätzlich die Abschreckung potenzieller Krimineller durch "gesetzgeberische Maßnahmen" erforderlich.

Hacking, Raubkopieren und Kinderporno landen in einem Topf

Das "European Committee on Crime Problems" (CDPC) des Europarats hat daher 1996 einen Sachverständigenrat einberufen, der sich des ausgemachten Cybercrime-Problems annehmen sollte. Aus ihm ist 1997 mit dem Segen des Ministerrats des Staatenbundes das PC-CY erwachsen. Dieses Expertenkomitee holte dann gleich zum Rundumschlag gegen so gut wie alle erdenklichen Formen der Computerkriminalität aus. Bis heute reicht daher die Palette der von der Konvention definierten Verbrechen über den illegalen Zugang zu Computersystemen, Datenveränderungen oder den "Missbrauch von Werkzeugen" - also Tatbestände, die im allgemeinen vom Volksmund als "Hacken" bezeichnet werden - über Betrugsversuche mit Hilfe des Computers bis hin zu Verstößen, die mit Kinderpornographie oder Copyright zu tun haben.

Die beiden letzten Aspekte seien besonders wichtig, so lässt sich in den Erklärungen nachlesen, da sie die "gefährlichste" beziehungsweise die "am häufigsten verübte" Form des Missbrauchs von Computern darstellten.

Keine Einigung beim Verbot rassistischer Propaganda

Die Verfasser des Abkommens hatten auf Drängen einzelner Mitgliedsstaaten (Soll illegales Hosting ein Verbrechen werden?) auch lange diskutiert, ob die Verbreitung von rassistischer Propaganda in den von der Konvention abgedeckten internationalen Verbrechenskatalog aufgenommen werden sollten. Sie hatten schließlich allerdings von der Kriminalisierung extremistischer Äußerungen abgesehen, da "einzelne Delegationen gegen eine solche Regelung schwerwiegende Bedenken auf Basis der freien Meinungsäußerung geäußert hatten". Das PC-CY hat die Frage nun zurück an ihr "Mutterkomitee", das CDPC, verwiesen, das ein Zusatzprotokoll zur Konvention erstellen soll.

Die USA, die das Recht auf "free speech" traditionell besonders hoch halten, sind zwar nicht direkt im Europarat vertreten. Ebenso wie Kanada, Japan und Südafrika waren sie allerdings auch ohne feste Mitgliedschaft von Anfang an der Ausarbeitung des Abkommens beteiligt.

Alles ist möglich

Im weiteren Teil ihrer Ausführungen betont die Cybercrime-Arbeitsgruppe immer wieder, dass - wie im Bereich der verbotenen Zugangsverschaffung zu Rechnersystemen - den unterzeichnenden Staaten viel Spielraum für nationale Anpassungen gelassen werden soll. Vertragsparteien, heißt es da etwa, können "Hacking" insgesamt kriminalisieren. Sie können aber auch nur aus der Liste der in Artikel 2 genannten Tatbestände auswählen und etwa bestimmen, dass "eine spezielle Absicht, sich in den Besitz von Computerdaten zu bringen", oder das Umgehen von Sicherheitsmaßnahmen erkennbar sein müsse, um von einem Verbrechen zu sprechen. Vom Ziel der Vereinheitlichung des Strafrechts im internationalen Maßstab bleibt so natürlich nicht mehr viel übrig.

Andererseits bestehen die Autoren auf einer Reihe beanstandeter Formulierungen. So soll weiterhin die Verbreitung, die Beschaffung oder der Verkauf von so genannten Hackerwerkzeugen verboten werden. Auch wer eine Liste mit Hyperlinks auf solche, in der Regel auch von Systemadministratoren für Sicherheitsprüfungen verwendeten Tools erstellt, soll sich strafbar machen. Als "Kompromiss" bezeichnet es das Komitee, dass nur solche Programme auf den "Index" kommen sollen, die "objektiv" für die Ausführung eines Verbrechens erstellt oder adaptiert worden sind. Wer über die "Objektivität" befinden soll, verschweigen die Europarat-Experten.

Verschlüsseln ist gut, aber Kontrolle der Strafverfolger besser

Zwanghaft unscharf bleiben die Erläuterungen auch, wenn es um Selbstschutzmaßnahmen wie Verschlüsselung oder den anonymen Netzzugang geht. Im Artikel 19, Absatz 4, fordert der Vertragstext die Unterzeichner auf, Strafverfolgern die Möglichkeit einzuräumen, von "kenntnisreichen" Personen alle nötigen Informationen zur Offenlegung verschlüsselter Daten verlangen zu dürfen.

Demgegenüber heißt es im Anhang, dass die "Modifikation von Daten zur Erreichung einer sicheren Kommunikation (z.B. durch Verschlüsselung)" genauso wie die anonyme Kommunikation "prinzipiell als legitimer Schutz der Privatsphäre und daher als rechtmäßig angesehen werden sollten." Den Missbrauch anonymer Kommunikation - etwa auf Ebene des Internet-Protokolls - "dürften Vertragsparteien aber zu kriminalisieren wünschen". Außerdem sei es in manchen Fällen "vernünftig" - so rudern die Verfasser noch weiter zurück -, wenn Strafverfolger auf die "Herausgabe eines Passwortes" bestünden.

Eine Lanze bricht das Expertenkomitee außerdem für die vorgesehen Überwachungs- und Datenarchivierungspflichten, die vor allem die Internet Service Provider betreffen: Für eine effiziente Strafverfolgung ist ihrer Meinung nach sowohl das Abfangen von Verbindungsdaten in Echtzeit sowie das Abhören der Inhalte der Netzkommunikation unverzichtbar. In Form einer "vorsorglichen Maßnahme" soll daher die Aufbewahrung "spezifizierter Computerdaten" durch die Vertragsparteien angeordnet werden.

Datenfischzüge sind unerwünscht

Im Gegensatz zur Enfopol-Arbeitsgruppe auf Ebene des Rats der Europäischen Union in Brüssel, die alle Telekommunikationsdaten mehrere Jahre lang zugänglich machen wollen (Europäische Strafverfolger fordern die totale Telekommunikations-Überwachung), schlagen die Sachverständigen des Europarats eine Lagerfrist von maximal 90 Tagen vor. Auch die Autorisierung von blinden "Fischzügen" durch die angesammelten Datenberge in der Hoffnung, kriminelle Aktivitäten zu entdecken, ist nach eigenem Bekunden nicht Sinn und Zweck der entsprechenden Abhör- und Archivierungsverpflichtungen.

Die Provider, so stellen die Verfasser des Entwurfs noch einmal klar, sollen zudem keine Technik nachrüsten, sondern der Polizei nur im Rahmen ihrer bereits vorhandenen Ausrüstung unter die Arme greifen müssen. Die entsprechenden Lauschsysteme sind in Ländern wie Großbritannien oder Holland allerdings bereits installiert. In Deutschland will die Bundesregierung mit der geplanten Telekommunikations-Überwachungsverordnung für Bedingungen sorgen, die den Ermittlern keinerlei Steine mehr in den Weg legen (Rot-Grün will Telekommunikation lückenlos überwachen).

Augen zu und durch

Insgesamt können die Erläuterungen die grundlegenden Bedenken gegenüber der Cybercrime-Konvention - die in Deutschland verfassungswidrige Vorratshaltung von Daten, die Kriminalisierung von Providern sowie Nutzern, die sich selbst gegen Datenmissbrauch schützen wollen, sowie die allgemeine Ausdehnung der Macht der Polizeibehörden - nicht beseitigen.

Zudem finden sich die vermeintlichen "Klarstellungen" - abgesehen von dem in Artikel 15 eingefügten pauschalen Vorbehalt der größtmöglichen Überwachung der Überwacher - nur im Anhang, der letztlich als gut gemeint, allerdings keineswegs ausschlaggebend oder die Vertragsparteien bindend angesehen werden kann.

Der Europarat selbst glaubt allen Einwänden gegen das erste internationale Vertragswerk gegen die Computerkriminalität dagegen nun Genüge getan zu haben. Der 27. Entwurf wird nun im Juni dem European Committee on Crime Problems auf dessen 50. Sitzung präsentiert und im Herbst dem Ministerkomitee des Europarats zur Unterzeichnung vorgelegt.

Letzte Möglichkeiten bestehen zwar, den Entwurf über den Lenkungsausschuss und die entscheidende Ministerrunde zu stoppen oder grundlegend zu überarbeiten. Doch in den Innen- und Justizministerien der Europarats-Staaten zeigt sich kein Anzeichen von Widerstand - und den nationalen Parlamenten liegen in der Regel die übersetzten Papiere noch gar nicht vor.