Fette Bugs im Cybercrime-Abkommen

28. März 2001 Stefan Krempl

Eine Arbeitsgruppe von europäischen Datenschützern findet in der Europarats-Konvention gegen Computerkriminalität schwerwiegende Designfehler

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der 25. und vorerst letzte Entwurf für eine Konvention gegen Computerkriminalität des Europarats, den das Expertenkomitee "Verbrechen im Cyberspace" des Gremiums ausgearbeitet und kurz vor Weihnachten in aller Stille ins Web gestellt hat (Nur kosmetische Korrekturen beim Cybercrime-Abkommen), ist zu vage und verwirrend formuliert, belastet die Wirtschaft und Privatpersonen über die Maßen und verstößt in weiten Teilen sogar gegen die von dem Staatenbund selbst vorgelegten Menschenrechtsabkommen. Das ist der Tenor einer jetzt verabschiedeten Eingabe einer Arbeitsgruppe von Datenschützern, die im Brüsseler Auftrag auf die Einhaltung von Bürgerrechten pocht. Aber auch in Berlin formiert sich der Widerstand gegen das geplante Abkommen, das im April beraten und im Sommer unterschriftsreif sein soll.

Die in Zusammenhang mit der 1995 verabschiedeten Datenschutzrichtlinie der Europäischen Union eingesetzte Gruppe will mit ihrer Stellungnahme den Europarat nachdrücklich daran erinnern, "dass zwischen den Anti-Cybercrime-Bemühungen und den fundamentalen Rechten von Individuen auf Privatheit und den Schutz ihrer persönlichen Daten eine ausgeglichene Balance getroffen werden muss". Diese Rechte sind unter anderem in der vom Europarat vorgelegten Europäischen Menschenrechtskommission und in zahlreichen anderen internationalen Verträgen und Europarats-Empfehlungen garantiert.

Die Arbeitsgruppe bedauert daher, dass der weit über die Grenzen der Europäischen Union hinaus reichende Staatenbund zwar eine lange Reihe von Handlungen - sie reicht vom illegalen Zugriff auf Computerdaten, über illegales Abhören und die unangemessene Verwendung von Werkzeugen zur Überprüfung der Netzwerksicherheit bis zum Computerbetrug - als verbrecherische Akte fassen will, bei seiner Aufzählung aber glatt Verstöße gegen bestehende Datenschutzrichtlinien gleichsam "vergessen" hat. Weiter kritisieren die Datenschützer in ihrer Note, dass die von der Konvention vorgesehenen Verpflichtungen für gegenseitige Rechtshilfe der Unterzeichnerstaaten trotz des Aufhängers "Cybercrime" weit über den Bereich Computerkriminalität hinausgehen.

Der momentane, seit 1997 immer wieder überarbeitete Entwurf des Europarats sieht in den im Kapitel III aufgestellten Maßgaben vor, dass alle Parteien ihre Strafgesetze in zahlreichen Bereichen harmonisieren. Dabei geht es um das beschleunigte "Einfrieren" von gespeicherten Computerdokumenten und über Netze ausgetauschte Verkehrsdaten genauso wie um die Verpflichtung von Internetprovidern zur Herausgabe persönlicher Informationen oder zum Sammeln und Abhören übers Internet versendeter Daten in Echtzeit. Sogar Privatpersonen sollen bei der eigenen Bespitzelung oder der Informationsherausgabe helfen.

Befugnisse der Strafverfolger werden unverhältnismäßig ausgeweitet

Die Lauschanordnungen sollen zwar nur möglich sein, wenn sie im Einklang mit nationalen Gesetzgebungen wie der in Deutschland geplanten Telekommunikations-Überwachungsverordnung (Rot-Grün will Telekommunikation lückenlos überwachen) stehen. Alle anderen Auflagen sind dagegen nicht mit Bedingungen in ihrem Wirkungskreis eingeschränkt. Ein Mitglied des Europarats könnte sich daher einer Kooperation nicht entziehen.

Diese Form der ausgeweiteten Rechtshilfe, die noch weit über das seit dem vergangenen Jahr für die Europäische Union geltenden Abkommen (Europäisches Rechtshilfeabkommen verabschiedet) hinausgeht, versieht die Datenschutzgruppe mit dicken Fragezeichen: Ein solcher Informationsaustausch sei zwar ein "erstrebenswertes Ziel" für die Strafverfolger. Dieses Bestreben "dürfte allerdings den Test auf seine Notwendigkeit, Angemessenheit und Verhältnismäßigkeit nicht bestehen, der von Menschenrechtsbestimmungen in nationalen Verfassungen und spezifischen Gesetzen vorgeschrieben wird."

Einen großen Fehler im Design sieht die Expertenvereinigung, die ihre Basis im Artikel 29 der europäischen Datenschutzrichtlinie hat und daher auch nach ihm benannt ist, in der Tatsache, dass der Europarat zwar zahlreiche Tatbestände strafrechtlich international verfolgbar machen will, aber gleichzeitig die Schutzvorkehrungen für die Bürgern nicht im gleichen Maßstab harmonisiert. Diese Unterlassungssünde ist besonders brisant, da die Konvention auch von Ländern unterzeichnet werden soll, die nicht Mitglied in dem 41 Staaten umfassenden Bund sind und damit auch nicht den Daten- und Menschenrechtsklauseln des Gremiums unterliegen. Eingebunden in die Verhandlungen sind bereits die USA, Kanada, Japan und Südafrika. Aber auch anderen Ländern wird es offen stehen, sich der Konvention anzuschließen.

Ermittlungsoasen für die Polizei

Dadurch könnte es möglich werden, dass Strafverfolger Staaten mit niedrigen Eingriffsvoraussetzungen und Datenschutzbestimmungen unter Umgehung nationaler Anforderungen des Informationen suchenden Landes als eine Art "freie Wildbahn" missbrauchen. Auch der schleswig-holsteinische Landesdatenschutzbeauftragte Helmut Bäumler befürchtet, dass so durch die Hintertür "Ermittlungsoasen" für die Polizei geschaffen werden könnten (Datenschützer zur Cyberkriminalität). Die Artikel-29-Gruppe fordert daher nun, dass die Konvention um Passagen erweitert wird, mit denen Unterzeichner zur Verabschiedung fundamentaler Menschenrechts- und Datenschutzbestimmungen verpflichtet werden.

Die europäische Direktive zum Schutz persönlicher Daten, die mehrere EU-Mitgliedsstaaten auch auf Polizei und Justiz anwenden, verpflichtet diese zudem dazu, personenbezogenen Informationen nicht an Drittländer mit "inadäquaten" Vorkehrungen weiter zu geben. An diese vor allem von den USA kritisierte Klausel erinnert die Stellungnahme der Datenschützer den Europarat.

Außerdem beklagt die Arbeitsgruppe, dass die in den Artikel 29 und 30 des Übereinkommens vorgesehene Speicherung von Verkehrsdaten für mindestens 60 Tage ohne Entscheidung über ihre weitere Verwendung sowohl der Wirtschaft, als auch privaten Personen eine beträchtliche Bürde auflegen würde. Unternehmen müssten ständig damit rechnen, schreiben die Datenschützer, "dass Verbraucher nicht genug Vertrauen in ihre Produkte und Dienstleistungen haben könnten, wenn nicht klar sei, wer wann Zugang habe zu privaten Informationen und Kommunikationsdaten".

Generell rügt die Artikel-29-Gruppe in ihrem Resümee, dass der Europarat vom "verfügbaren Expertenwissen in Datenschutzangelegenheiten nicht den bestmöglichen Gebrauch gemacht hat" und den Einfluss einiger Teile der Konvention auf fundamentale Rechte nicht bedacht habe.

Tauss: Zwangsweise Totalerfassung von Verbindungsdaten ist verfassungswidrig

Lautstarke Kritik muss sich der Europarat auch aus Berlin gefallen lassen, wo sich Bundestagsabgeordnete und Ministerien nach wie vor trotz Veröffentlichung der Enfopol-Papiere sowie der Etsi-Dossiers fragen, wie das Thema Cybercrime überhaupt auf die Tagesordnung des sonst weitgehend über so "profanen" Dingen wie Computersicherheit stehenden Gremiums gelangen konnte. In einem Positionspapier beklagt Jörg Tauss, Beauftragter für Neue Medien der SPD-Bundestagsfraktion, nicht nur die "intransparente Entstehungsgeschichte" der bisherigen Konventionsentwürfe. Er wundert sich auch darüber, warum Surfer stärkeren Eingriffen in ihre Privatsphäre unterliegen sollten als Nutzer anderer Medien. Das komme einem "Generalverdacht" gegen alle Netzbürger gleich.

Die Folgen könnten für den gerade von der Europäischen Kommission gepushten E-Commerce gravierend sein, glaubt Tauss.

"Müssten Kommunikationspartner unterstellen, dass ihre Interaktionen durchgängig und umfassend überwacht werden könnten, würde dies die gewünschte gesellschaftliche Entwicklung - gerade im wirtschaftlichen Bereich - erheblich belasten."

Die "zwangsweise Totalerfassung" von Verbindungsdaten, die der Europarat den Providern aufdrücken wolle, wirkt auf den Bundestagsabgeordneten wie eine "verfassungswidrige Vorratshaltung von Daten über überwiegend rechtstreue Nutzer". Dadurch entstünden "erhebliche Missbrauchsrisiken" und "höchst attraktive Ziele für alle Arten unberechtigter Angriffe". Die Abhörregelungen lassen bei Tauss sogar den Verdacht aufkommen, dass dadurch eine "Generallvollmacht für Wirtschaftsspionage durch Geheimdienste" - Stichwort Echelon - geschaffen werden solle.

Umso beunruhigender, dass die Kommission in Brüssel mehrere Richtlinien zur Bekämpfung der Cyberkriminalität in aller Eile verabschieden will und sich dabei direkt auf die Vorarbeiten des Europarats stützt (Brüssel gibt Gas bei der Bekämpfung der Computerkriminalität). Aber auch in Deutschland hat es die rot-grüne Bundesregierung bisher nicht geschafft, die TKÜV auf ein mit bestehenden Datenschutzbestimmungen übereinstimmendes Niveau zu bringen und eine Netzbürger-freundliche Politik zu formulieren.