Nur kosmetische Korrekturen beim Cybercrime-Abkommen
Die Verbrecherjäger des Europarats outen sich als Fußnotenliebhaber
Take 25: Auch der neueste - und angeblich letzte - Entwurf für eine Konvention des Europarats zum Kampf gegen Internetverbrechen schießt über das Ziel hinaus. Allgemeine Menschenrechtsklauseln können über die Fehler des Konstrukts nicht hinwegtäuschen.
Ein Weihnachtsgeschenk der besonderen Art hat der Europarat der Netzgemeinde gemacht: Am Freitagmittag legte die Abteilung für Wirtschaftskriminalität des von 41 Nationen getragenen Gremiums den 25. und eigentlich bisher als "endgültig" betrachteten Entwurf für eine Konvention gegen Cybercrime vor. Ein drei Jahre langer Prozess, der durch heftige Proteste aus Reihen von Bürgerrechtsorganisationen und der Wirtschaft immer wieder verlängert wurde, könnte damit einen vorläufigen Endpunkt erreicht haben. Doch auch die jetzige Fassung dürfte die Bedenken verschiedenster Nutzergruppen nicht wegwischen.
Letztlich sind es "Schönheitskorrekturen", die die Rechtsexperten des Europarats innerhalb des vergangenen Monats noch eingefügt haben. Sie tauchen bezeichnenderweise vor allem im Kleingedruckten - in den Fußnoten - auf. Deren reine Anzahl ist von 29 im 24. Entwurf auf 47 in der Endfassung angewachsen. Tribut zahlten die Verfasser des Statuts den in den letzten Monaten lautstark vorgetragenen Beschwerden von Datenschützern oder Menschenrechtsvertretern außerdem durch die Einfügung einer allgemeinen Klausel in Artikel 15, die beschwichtigend erklärt, dass alle Vorkehrungen eh nur im Rahmen nationaler Gesetze und nur unter Berücksichtigung des Schutzes der Menschenrechte gelten.
The establishment, implementation and application of the powers and procedures provided for in this Section shall be subject to the conditions and safeguards provided for under the domestic law of each Party concerned, with due regard for the adequate protection of human rights, in particular as provided in applicable international human rights instruments, and, where applicable, the proportionality of the power or procedure to the nature and circumstances of the offence.
Auszug aus dem "Cybercrime-Treaty", Artikel 15
Trotz dieses allgemeinen "Warnhinweises" an die Kriminellenjäger hat sich im Haupttext des Vertragsentwurfs, der vor allem Verbrechen wie das Hacken von Computersystemen, die Übertragung von kinderpornografischem Material, Computerbetrug oder Datenspionage erstmals international verfolg- und bestrafbar machen will, wenig geändert. Nach wie vor werden beispielsweise Verstöße gegen internationale Urheberrechtsabkommen im Strafkatalog aufgeführt, obwohl sich die Definition des Copyrights im digitalen Zeitalter nicht erst seit Napster im Fluss befindet und gerade Cyberpioniere wie Nicholas Negroponte, Esther Dyson oder John Perry Barlow seit langem von der Notwendigkeit zur Neubestimmung des "intellektuellen Eigentums" sprechen.
Genötigt fühlten sich die Kämpfer gegen das internationale Cybercrime lediglich, in einer neuen Fußnote darauf hinzuweisen, dass der entsprechende, das Copyright betreffende Artikel 10 "keineswegs den Schutz ausweiten soll, der Autoren, Darstellern, Produzenten von Musikstücken, Rundfunkorganisationen oder anderen Rechtehaltern und Personen" nach den Bestimmungen nationaler Gesetze oder internationaler Vereinbarungen verliehen wird.
Verbot von Hackerwerkzeugen bleibt bestehen
Weitgehend im Einklang mit der Vorversion präsentieren sich die Artikel zwei bis vier, in denen es unter anderem um das Verbot von Einbrüchen in Computersysteme, von illegalem Abhören, Daten- und Systemstörungen sowie des Missbrauchs der dafür verwendbaren "Hackerwerkzeuge" geht. Zahlreiche Lobbyverbände hatten im Namen von Netzwerkadministratoren, die mit diesen Tools auch die Sicherheit ihrer Systeme überprüfen, gegen die weit gefassten Bestimmungen Beschwerde eingelegt (Wirtschaftslobby gegen Schnellschüsse bei der Cybercrime-Bekämpfung).
Diesen Einwänden tragen die Autoren allerdings nur mit einer Reihe ausgeweiteter Fußnoten gleich zu Beginn der Aufzählung der "substanziellen" Cyberverbrechen Rechnung: Darin stellen sie verschwommen fest, dass durch die Bestimmungen keine "legitimen und üblichen Aktivitäten beim Design von Netzwerken oder bei ihrer normalen Betriebsweise" kriminalisiert werden sollen.
Erlaubt bleibt das Abhören von computervermittelter Kommunikation oder das Hacken natürlich auch für "im Einklang mit dem Gesetz stehende Behörden", die derartige Eingriffe im Interesse der öffentlichen Ordnung, der nationalen Sicherheit oder für die Untersuchung krimineller Anschuldigungen ausführen. Ob unter diese Ausnahmegenehmigung auch der Betrieb des weltweiten, von der National Security Agency mit ihren Geheimdienstpartnern betriebene Lauschsystems Echelon fällt, das viele Experten auch als Mittel der Wirtschaftsspionage betrachten, geht leider aus keiner Fußnote explizit hervor.
Provider müssen zumindest nicht technisch nachrüsten
Dafür gibt es im Kleingedruckten nähere Ausführungen zu den umfassenden Abhörmaßnahmen, zu denen Internetprovider verpflichtet werden sollen. Offiziell sind die potenziellen Unterzeichnerstaaten weiterhin dazu angehalten, Provider "innerhalb ihrer bestehenden technischen Möglichkeiten" zum Sammeln und Aufzeichnen der durch ihre Leitungen fließenden Daten in Echtzeit anzuhalten bzw. den Strafverfolgern bei diesen Spitzeltätigkeiten unter die Arme zu greifen.
Neu ist allerdings die Erklärung des Passus' rund um die technischen Möglichkeiten. Da heißt es dann etwas weniger anspruchsvoll, "dass dieser Paragraf nicht in einer Art und Weise ausgelegt werden sollte", die Provider zum Erwerb oder zur Entwicklung neuer technischer Fähigkeiten für das Aufzeichnen von Daten zwingen würde. Im Klartext: die Anschaffung neuer teurer Abhöranlagen und -schnittstellen können sich die Provider vorerst sparen.
Eine kleine Ergänzung findet der mit der Lupe bewaffnete Leser auch beim umstrittenen Absatz 4 von Artikel 19, der als Aufforderung an die Staatengemeinschaft gelesen werden konnte, von ihren Bürgern Nachschlüssel zu ihren Kryptoprogrammen einzufordern. Da legen die Verfasser nun die Betonung auf die "verhältnismäßig erscheinende" Hilfe beim Verschaffen von Informationen: Daten, die Behörden eines Landes bisher nicht zugänglich sind, sollen auch in Zukunft nicht zwangsweise erbracht werden müssen.
Neu ist ansonsten der Artikel 27b, der Bestimmungen für den Fall trifft, dass zwischen zwei Staaten oder Parteien keine Rechtshilfeabkommen bestehen. Demnach sollen sachdienliche Hinweise nur weitergegeben werden, wenn sie "vertraulich behandelt" werden. Außerdem dürfen die übermittelten Informationen nicht in Fällen verwendet werden, die mit der ursprünglichen Anfrage nichts zu tun haben. Allerdings bleibt es der Partei, die Daten zur Verfügung stellen soll, letztlich überlassen, ob sie ihre Informationen auch dann weitergibt, wenn diese Bedingungen nicht erfüllt werden können.
Die öffentliche Debatte steht noch ganz am Anfang
Ob der Europarat mit dem Entwurf 25 wirklich bereits seine Arbeit an der Konvention beenden kann, zu deren Unterzeichnung im September 2001 sich auch assoziierte Länder wie die USA, Kanada, Japan oder Südafrika prinzipiell bereit erklärt haben, ist fraglich. So gehen die Autoren des Vertragspapiers selbst beispielsweise bei dem erwähnten Zusatzartikel 27b davon aus, "dass der Text noch verbessert werden muss".
Doch auch die Einwände zahlreicher Verbände sind bisher nur mit kosmetischen Mitteln überdeckt worden: Die Wirtschaft möchte den Schutz vor Hackern generell lieber selbst in die Hand nehmen und nicht einer weltweiten Cyberpolizei zuarbeiten. So hatte Rick Lane, der für Internet-Technologie zuständige Direktor der amerikanischen Handelskammer, erst Anfang Dezember davor gewarnt, dass der vorgeschlagene Vertrag "viel zu weit geht und das bisherige unglaubliche Wachstum im Bereich des elektronischen Handels unterlaufen könnte."
Die Global Internet Liberty Campaign (GILC), zu deren Mitgliedern eine Reihe von Bürgerrechtsorganisationen aus aller Welt zählen, hatte Mitte des Monats zudem in einem offenen Brief an den Europarat ihrer Sorge Nachdruck verliehen, dass die Konvention "die Rechte von Individuen bedroht und gleichzeitig die Macht der Polizeibehörden ausdehnt" (Cyberkriminalitäts-Abkommen verstößt gegen Menschenrechte).
Falls der Europarat selbst, den die GILC mehrfach aufgefordert hatte, den Entstehungsprozess des umstrittenen Dokuments zu öffnen, nicht mehr Hand an den Entwurf legt, dürfen sich in den nächsten Monaten zunächst die Nationalparlamente der Europarat-Mitglieder mit dem Papier auseinandersetzen. Jörg Tauss, Beauftragter der SPD-Bundestagsfraktion für Neue Medien, erwartet jedenfalls eine "lebhafte Debatte" im Bundestag. Dem Bundesjustizministerium habe er seine Bedenken bereits vorgetragen. Nun wolle er vor der Prüfung des Dokuments durch das Ministerkomitee eine "Reihe von öffentlichen Anhörungen" unterstützen.
Dass die Konvention noch lange nicht unterschriftsreif ist, glaubt auch Andy Müller-Maguhn, Sprecher des Chaos Computer Clubs: Dem Europarat wirft der Hacker vor, "mit dem Cybercrime-Abkommen in sehr populistischer Art und Weise das Sicherheitsproblem dadurch lösen zu wollen, dass man Angriffswerkzeuge und Computerviren verbietet". Er sei jedoch zuversichtlich, "dass auch die Industrie nicht jeden Schwachsinn unterstützen wird."