Wir befinden uns nach sechs Verhandlungsrunden nunmehr vor der für Ende Jänner angesetzten siebenten. Wenn es nach dem Plan der Vorsitzenden des Ad-Hoc-Komitees zur Erarbeitung der Konvention gegen Computerkriminalität geht, soll das die letzte Verhandlungsrunde sein und in einem finalen Text münden. Gemeinsam mit zahlreichen internationalen NGOs haben wir uns bislang aktiv in die Verhandlungen der UN-Mitgliedstaaten vor Ort in Wien und New York eingebracht und wiederholt auf die Unzulänglichkeiten des geplanten Vertragstextes und die dadurch entstehenden Gefahren aus menschenrechtlicher Sicht hingewiesen.

Was zuletzt geschah

Während der letzten Verhandlungsrunde in New York im vergangenen Sommer war beabsichtigt, sich bereits auf so viele Teile des Vertrags wie möglich zu einigen, um möglichst rasch zu einem Abschluss kommen zu können. Es geschah jedoch genau das Gegenteil: Der aus Sicht der Vorsitzenden kompromissfähige Text („Zero Draft“) war vielen Staaten nicht weitreichend genug – sie wollten noch mehr, als der ohnehin schon problematische Entwurf vorgesehen hätte.

Gemeinsam mit weiteren Vertreter:innen aus der Zivilgesellschaft kritisierten wir diesen Text wegen eklatanter Mängel aus menschenrechtlicher Sicht. Nichtsdestotrotz wurde er in jenen zwei Wochen in New York von Staatenvertreter:innen erneut aufgeblasen und dabei um all jene Punkte erweitert, die wir bereits als ausgeschlossen erachtet oder erhofft hatten. Darunter befanden sich nun erneut diverse inhaltsbezogene Straftaten (wie etwa in Bezug auf Terrorismus, Extremismus, Blasphemie, etc.). Dass diese nicht mehrheitsfähig sein würden, war klar und so wurde eine wichtige Chance vergeben, sich stattdessen mit den vielen Baustellen und Lücken des Textes zu befassen. Kurzum: Statt Fortschritten erzielte man gravierende Rückschritte.

Was bringt uns der überarbeitete „Zero Draft“?

Ende November wurde nun der mit Spannung erwartete, überarbeitete Zero Draft vorgelegt. Das ist jener Text, der als Verhandlungsgrundlage für die kommende Verhandlungsrunde gilt und von dem (zumindest seitens des Vorsitzes) wieder angenommen wird, dass er mehrheits- oder gar konsensfähig sei und dem zukünftigen, endgültigen Vertragstext nahe komme.

Nach erster Analyse müssen wir jedoch feststellen, dass auch dieser Entwurf aus menschenrechtlicher Sicht höchst unbefriedigend ist. Weder wurden die bisher zahlreichen, anhaltenden und fundierten Bedenken der Zivilgesellschaft berücksichtigt – in einigen Punkten machte man nun sogar weitere Rückschritte. Der Anwendungsbereich ist immer noch zu weit und die nötigen Schutzmaßnahmen sind nicht einheitlich im gesamten Text enthalten und viel zu schwach ausgestaltet – mit potenziell gravierenden Folgen für Rechte wie die Meinungsfreiheit und Privatsphäre.

Erste Kommentare von Partnerorganisationen sind durchgehend kritisch und auch wir weisen erneut darauf hin, dass der beabsichtigte Vertragstext in seiner gegenwärtigen Form große Gefahren für Demokratie und Menschenrechte birgt. Nachfolgend erläutern wir eine Auswahl an kritischen Punkten im aktuellen Entwurf, bei denen dringend nachgebessert werden muss.

Katalog an Straftatbeständen

Der Katalog an Straftaten ist nach wie vor teilweise ungenau und vage formuliert. Zwar wurden die Anzahl der strafbaren Handlungen mittlerweile reduziert und die problematischsten Vorschläge der Staaten nicht weiter übernommen. Dazu gehören z.B. Handlungen mit Bezug zu Terrorismus oder Extremismus. Diese würden u.a. aufgrund ihrer Vagheit und einer fehlenden international anerkannten rechtlichen Definition Missbrauch Tür und Tor öffnen. Jedoch kann nicht ausgeschlossen werden, dass sie aufgrund der ungenauen Formulierung einer Sammelbestimmung¹ quasi durch die Hintertür wieder einbezogen werden.

Der Entwurf beschränkt sich auch nicht nur auf sogenannte „cyber-dependent crimes“,² also Straftaten, die auf ein Computersystem gerichtet sind bzw. die ohne ein solches gar nicht ausgeübt werden könnten. Ganz im Gegenteil: er enthält sogar noch weitere Straftaten. Insbesondere eine neu hinzugefügte Klausel im Zusammenhang mit computerbezogenem Diebstahl oder Betrug ist dabei aufgrund ihrer weiten und äußerst schwammigen Definition riskant.³ Auch bei den enthaltenen CSAM-Bestimmungen muss trotz aller kultureller Differenzen der UN-Mitgliedsstaaten dringend darauf geachtet werden, dass Jugendliche, die sich einvernehmlich z.B. intime Bilder oder Videos schicken, nicht bestraft werden.

Doch selbst bei den Straftatbeständen zu den sogenannten „cyber-dependent crimes“ muss dringend nachgebessert werden. Etwa wenn es um die Vorsätzlichkeit von begangenen Taten geht. Vorsätzlichkeit allein würde viel zu weit greifen, denn auch z.B. ethische Hacker:innen handeln vorsätzlich, wenn sie ein Computersystem auf Schwachstellen hin untersuchen, die sie jedoch dann im Sinne einer „responsible disclosure“ melden. Hier muss durchgehend und verpflichtend sowohl Böswilligkeit („criminal/malicious intent“) als auch eine Schädigungsabsicht eingefügt werden. Andernfalls würde es den Staaten erlauben, Maßnahmen zu ergreifen, die den Schutz der Menschenrechte untergraben würden, zumal auch sogenannte „Ethical Hackers“, Journalist:innen, Aktivist:innen etc. unter die Strafbestimmungen fallen würden.

Sollten im Anwendungsbereich der Straftatbestände keine Änderungen vorgenommen werden, besteht die Gefahr, dass die Konvention ein Instrument wird, das Menschenrechtsverletzungen durch Staaten rechtfertigt.

Überwachungsmaßnahmen...

Über die im Vertrag vorgesehenen, sehr weitreichenden Überwachungsmaßnahmen haben wir bereits in unserem Blogpost von Mitte Jänner berichtet und auch die äußerst mangelhaften Sicherheitsgarantien haben wir öffentlich in einer Pressekonferenz erläutert. Manche der Maßnahmen aus früheren Versionen – wie etwa die Vorratsdatenspeicherung – sind nicht mehr im Entwurf enthalten. Gänzlich entschärft werden konnte der Text jedoch nach wie vor nicht und so sind einige der Überwachungsmaßnahmen, die äußerst stark in die Privatsphäre eingreifen, weiterhin im Entwurf enthalten. Eine besonders große Gefahr bergen dabei die vorgesehene Erfassung und Beauskunftung von Verkehrsdaten in Echtzeit (z.B. wer mit wem wann, wo kommuniziert) – also die Übermittlung der Daten an den sie fordernden Staat zum Erteilen von Auskünften – und die Legalisierung des Abfangens von Inhaltsdaten (z.B. Inhalte digitaler Kommunikation) in Echtzeit.⁴

Auch eine Bestimmung im Zusammenhang mit der Durchsuchung und Beschlagnahme von gespeicherten Computerdaten gibt Anlass zu großer Sorge. Der derzeitige Entwurf kann nämlich dazu führen, dass Staaten Dritten (z.B. Kommunikationsdienstleistern) Verpflichtungen auferlegen, entweder Schwachstellen bestimmter (z.B. der von Kommunikationsdienstleistern verwendeten) Software offenzulegen oder den
Behörden Zugang zu verschlüsselter Kommunikation zu gewähren.⁵

… mit breitem Anwendungsbereich...

Die Risiken derart weitreichender Überwachungsmaßnahmen bzw. ihre fragliche Kompatibilität mit internationalen Menschenrechtsstandards liegen auf der Hand. Hinzu kommt, dass sämtliche Überwachungsmaßnahmen nicht bloß auf die im Entwurf enthaltenen Straftatbestände angewendet werden können, sondern auf alle Straftaten ausgeweitet werden, die unter Verwendung eines Computersystems begangen werden – unabhängig von der Strafhöhe – also z.B. auch Kavaliersdelikte.

Diese massive Ausweitung stellt eine gravierende Gefahr dar, dass grundlegende Rechte untergraben werden, allen voran das Recht auf Privatsphäre und das Recht auf ein faires Verfahren.

… mangelnden Sicherheitsmaßnahmen...

Die Sicherheitsgarantien, die diesen Eingriffsmöglichkeiten gegenüberstehen, sind äußerst mangelhaft und stellen keinesfalls die Anwendung der Maßnahmen im Einklang mit internationalen Menschenrechtsverpflichtungen sicher. Beispielsweise wurden wesentliche Garantien nicht in den Entwurf übernommen, die vor einer willkürlichen Ausübung staatlicher Überwachungsbefugnisse schützen und die sicherstellen, dass die Verhältnismäßigkeit und Notwendigkeit von Eingriffen in Rechte wie die Meinungsfreiheit oder das Recht auf Privatleben umfassend abgewogen werden. Auch mangelt es nach wie vor an einer verpflichtenden, unabhängigen (gerichtlichen) Genehmigung der Überwachungsmaßnahmen im Vorhinein. Damit aber ist das notwendige Maß an Unabhängigkeit und Objektivität für den Einsatz der Überwachungsmaßnahmen nicht gewährleistet und auch Missbrauch wird dadurch nicht verhindert werden.

… und ohne wirksamen Rechtsbehelf

Ebenso wenig wurde bislang das Recht auf einen wirksamen Rechtsbehelf gegen eingesetzte Überwachungsmaßnahmen in den Entwurf aufgenommen. Im Gegenteil: Nicht einmal zu einer Bestimmung, die sicherstellt, dass überwachte Personen zumindest angemessen benachrichtigt werden, konnte man sich durchringen. Eine solche Benachrichtigung würde aber nicht nur die Person darüber in Kenntnis setzen, dass in ihre Rechte eingegriffen wird: Sie wäre auch unabdingbare Voraussetzung dafür, das ja ebenso fehlende Recht auf einen wirksamen Rechtsbehelf überhaupt ausüben zu können. Denn wie soll man sich gegen Maßnahmen wehren, von deren Einsatz man nicht einmal weiß?

Dass auch jegliche Verpflichtung zu einer regelmäßigen Offenlegung von statistischen Daten über die Anwendung der Überwachungsbefugnisse fehlt und damit weder Transparenz noch Rechenschaftspflicht erhöht werden, vermag vor diesem Hintergrund nicht zu verwundern.

All diese Lücken im Entwurf sind jedenfalls höchst alarmierend und bedürfen einer dringenden Überarbeitung des Textes, um ihn in Einklang mit international anerkannten Menschenrechtsstandards zu bringen.

Internationale Zusammenarbeit (Rechtshilfe)

Auch die internationale Zusammenarbeit soll weit über die Verfolgung der explizit im Vertrag genannten Straftaten hinausgehen.⁶ Eine Beschränkung nur auf den Vertrag (und bestenfalls überhaupt nur auf die sogenannten „cyber-dependent crimes“) wäre aber dringend geboten, um einen klaren Rahmen für die internationale Zusammenarbeit zu schaffen und das Risiko eines möglichen Missbrauchs der Konvention zur Rechtfertigung von Verletzungen etwa des Rechts auf Privatsphäre sowie der Meinungsfreiheit und Vereinigungsfreiheit zu minimieren.

Außerdem ist das Vorliegen der beiderseitigen Strafbarkeit („dual criminality“) im Entwurf nicht in allen Fällen der internationalen Zusammenarbeit zwingend Voraussetzung.⁷ Der Grundsatz der beiderseitigen Strafbarkeit besagt, dass eine Handlung sowohl im ersuchenden als auch im ersuchten Staat als Straftat gelten muss, damit ein Ersuchen um internationale Zusammenarbeit gültig ist. Dadurch ist – gerade bei einem so weit anwendbaren Vertragstext, wie es der aktuelle ist – ein gewisser Schutz für Einzelpersonen gegeben: Er schränkt nämlich die Möglichkeit ein, dass Staaten um Zusammenarbeit bei Straftaten ersuchen können, die nicht allgemein als strafbar gelten. Im Zusammenhang mit Staaten, die etwa überbordende Gesetzgebung in Bereichen wie Extremismus oder Blasphemie haben und damit Journalist:innen, Oppositionelle, Minderheiten oder sonstige gefährdete Gruppen verfolgen, ist das ein mitunter lebenswichtiger Schutz.

Darüber hinaus sorgt die verpflichtende beiderseitige Strafbarkeit aber auch für mehr Klarheit und Vorhersehbarkeit für die Vertragsstaaten selbst in Bezug auf ihre rechtlichen Verpflichtungen und fördert zudem die Effektivität des Vertrages an sich.

Datenschutz

Auch die Bestimmung über den Datenschutz im Kapitel zur internationalen Zusammenarbeit ist nur sehr rudimentär ausgestaltet und muss dringend nachgebessert werden.⁸ Das ist vor allem vor dem Hintergrund des überaus weit gefassten Anwendungsbereichs des Kapitels zur Rechtshilfe dringend geboten.

Vor allem müssen klare, eindeutige und wirksame Standards zum Schutz personenbezogener Daten in den Text aufgenommen werden, um zu verhindern, dass Daten in einer Weise verarbeitet und an andere Staaten weitergegeben werden, die das Grundrecht auf Privatsphäre verletzen. Das beinhaltet einen Verweis auf international anerkannte Datenschutzgrundsätze und auf internationale Menschenrechtsnormen im Text – aktuell ist nichts davon im Entwurf enthalten.

Insbesondere sollte anstatt eines bloßen Verweises auf „effektive und angemessene Sicherheitsmaßnahmen“⁹ explizit in den Vertrag aufgenommen werden, dass

• die personenbezogenen Daten für kompatible Zwecke verarbeitet werden;

• auf das beschränkt werden, was für die Zwecke der Verarbeitung relevant ist;

• nur so lange aufbewahrt werden, wie es für diese Zwecke erforderlich ist;

• die Verarbeitung angemessenen Maßnahmen unterliegt, um ihre Richtigkeit und Sicherheit zu gewährleisten;

• allgemeine Informationen über die Datenverarbeitung durch öffentliche Bekanntmachung bereitgestellt werden;

• sowie dass eine wirksame Aufsicht und Rechtsbehelfe verfügbar sind.

Wie geht es weiter?

Der aktuelle Entwurf gibt ausreichend Grund zur Sorge. Aber noch ist nicht alles verloren.

In der Woche vor Weihnachten sowie Anfang Jänner werden informelle Gespräche der Staatenvertreter:innen in Wien stattfinden. Zu diesen haben die Vertreter:innen der Zivilgesellschaft keinen Zutritt. Ende Jänner geht es dann wieder nach New York zur voraussichtlich letzten Verhandlungsrunde, bei der auch wir wieder vor Ort dabei sein werden. In dieser soll der Text des Vertrages finalisiert und auch jener für eine Resolution der UN-Generalversammlung vorbereitet werden. Dieses Gremium soll in seiner Sitzung Ende Februar darüber abstimmen, das Verhandlungsergebnis offiziell als Vertrag der Vereinten Nationen anzuerkennen. Erst danach können die Staaten den Vertrag offiziell unterschreiben und ihn nach nationalen Gesetzen auch ratifizieren, also sich auch tatsächlich zu dem Vertrag verpflichten. (Durch Zustimmung der jeweiligen gesetzgebenden Körperschaft und Bestätigung durch das Staatsoberhaupt.)

Wie viele Ratifikationen nötig sind, um den Vertrag dann auch rechtlich in Kraft zu setzen, soll ebenfalls noch in New York beschlossen werden. Der aktuelle Entwurf ist mit 40 Ratifizierungen eher am unteren Ende der Vorschläge der Mitgliedsstaaten angesiedelt, was ein rascheres Inkrafttreten bedeuten würde.¹⁰

Sollte es Anfang nächsten Jahres noch keine Einigung geben, gibt es zwei Möglichkeiten: entweder die bestehenden Gräben können noch nicht überwunden werden und die Verhandlungen werden um ein paar Monate verlängert, oder: die Staaten können sich nicht einigen und der Prozess scheitert.

Wir werden jedenfalls auch weiterhin aktiv dabei sein und gemeinsam in einer breite Koalition von NGOs aus der Netzpolitik im Plenum und weiteren Veranstaltungen über die Gefahren des Vertrages in der aktuellen Form aufklären.

Denn schließlich darf eines nicht vergessen werden: Die Menschenrechte gelten auch im digitalen Raum. Mit dem momentanen Stand der Cybercrime Convention aber riskieren wir, dass unter dem Emblem der Vereinten Nationen ein internationaler Vertrag verabschiedet wird, der genau diese Menschenrechte mit Füßen tritt und in einem reinen „Datensammelvertrag“ mündet. Dieses Szenario wäre ein eklatanter Widerspruch zu den Gründungsprinzipien der Vereinten Nationen und ihrer Charter, zu deren Einhaltung sich auch die in Wien und New York verhandelnden Staaten verpflichtet haben. Es ist höchste Zeit, dass sie sich auch daran erinnern und ihre Verpflichtungen ernst nehmen.

Fußnoten

1 Artikel 17 des überarbeiteten Zero Drafts: „Die Vertragsstaaten treffen die erforderlichen gesetzgeberischen und sonstigen Maßnahmen, um sicherzustellen, dass die in Übereinstimmung mit den geltenden internationalen Übereinkünften und Protokollen umschriebenen Straftaten auch dann gelten, wenn sie unter Verwendung eines Computersystems begangen werden.“ (keine offizielle Übersetzung)

2 Artikel 6-10 des überarbeiteten Zero Drafts: Rechtswidriger Zugang (zu einem Computersystem); Rechtswidriges Abfangen (unbefugtes Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Computersystem, an ein/aus einem Computersystem oder innerhalb eines Computersystems); Eingriff in Computerdaten (unbefugte Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten); Eingriff in ein Computersystem (unbefugte schwere Behinderung des Betriebs eines Computersystems durch Eingeben, Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern oder Unterdrücken von Computerdaten); Missbrauch von Vorrichtungen (devices).

3 Artikel 12 (c) des überarbeiteten Zero Drafts: „[…] jede mit Hilfe eines Computersystems vorgenommene Täuschung über tatsächliche Umstände, die eine Person dazu veranlasst, etwas zu tun oder zu unterlassen, was sie sonst nicht tun oder unterlassen würde […]“.

4 Artikel 29 und 30 des überarbeiteten Zero Drafts.

5 Artikel 28 (4) des überarbeiteten Zero Drafts.

6 Artikel 35 des überarbeiteten Zero Drafts.

7 Artikel 35 (2) des überarbeiteten Zero Drafts.

8 Artikel 36 des überarbeiteten Zero Drafts.

9 Artikel 36 (2) des überarbeiteten Zero Drafts.

10 Artikel 64 des überarbeiteten Zero Drafts.