Die rasante Geschwindigkeit, mit der digitale Technologien immer mehr vernetzt werden und in alle Lebensbereiche vordringen, erfordert auch eine ständige Anpassung der gesetzlichen Regulierungen. Auch vor dem Bereich der Kriminalitätsbekämpfung macht diese Entwicklung nicht halt. Trotz bereits bestehenden Regelungen auf regionaler Ebene (etwa durch die Budapest-Konvention des Europarats) laufen seit einem Jahr deshalb Verhandlungen auf UN-Ebene zu einer neuen, weltweit geltenden Konvention zur Bekämpfung von Computerkriminalität (Cybercrime Convention). Diese sollen laut Plan im Jänner 2024 abgeschlossen werden. Der Vertrag wird in Wien und New York verhandelt. epicenter.works ist bei den aktuellen Verhandlungen in Wien im Namen der Eticas Foundation vertreten. Die Verhandlungen laufen dabei nach dem in Wien üblichen Verfahren ab. Das heißt, es wird versucht, die Bestimmung im Konsens anzunehmen und nicht mit einem Mehrheitsbeschluss. Sollte dennoch kein Konsens erzielt werden, braucht es zur Einigung eine Zweidrittelmehrheit aller UN-Staaten. Die Staaten verpflichten sich mit der Ratifizierung dieser Konvention dazu, sie in nationales Recht umzusetzen.

Was droht mit diesem weltweiten Abkommen?

Durch die UN Cybercrime Convention wird ein globaler Standard für Internetkriminalität und deren Verfolgung geschaffen. Gerade bei den Ermittlungsmethoden wurden von manchen Staaten jedoch teils hochgradig invasive Instrumente vorgeschlagen und vorerst in den Rohentwurf aufgenommen, die durch viele höchstgerichtliche Entscheidungen als menschenrechts- und verfassungswidrig beurteilt wurden. Gut ist in dieser Hinsicht, dass der derzeitige Katalog an Straftaten sicherlich noch stark verändert und gekürzt wird. Auch sprechen sich viele Staaten und NGOs in den Verhandlungen gegen derart weitreichende Bestimmungen aus. Jedoch gibt es auch schon Forderungen, die Ermittlungsbestimmungen in der Anwendung von diesen Straftatbeständen zu entkoppeln. Das würde sie auch für weitreichende andere Deliktkategorien öffnen und nicht nur für die explizit genannten.

Die größte Neuerung ist jedoch die drastisch vereinfachte grenzüberschreitende Strafverfolgung. Bisher mussten die Strafverfolgungsbehörden eines Staates beim Zugriff auf Computersysteme eines anderen Staates auf bilaterale Verträge zwischen Staaten zurückgreifen (sogenannte MLATs, mutual legal assistance treaties). Diese gelten als langsam und schwerfällig, da in jedem Einzelfall geprüft werden muss, ob einem anderen Staat Zugriff auf die Daten gegeben werden darf. In der EU haben wir deshalb fragwürdige Vorstöße wie das e-Evidence-Gesetz gesehen, das es z.B. der ungarischen Polizei ermöglichen könnte, im Eilverfahren auf die Daten von Servern in Österreich zuzugreifen.

Ein ähnliches Abkommen ist der US CLOUD Act, über den sich die USA weitreichende Zugriffsrechte einräumen. Sie können damit auf die Daten von US-Firmen zugreifen, auch wenn sich deren Server im Ausland befinden. Im Gegenzug können Staaten bilaterale Abkommen mit den USA abschließen, wodurch diese Staaten das Recht erlangen, direkt Daten von US-Firmen abzufragen. Darüber hinaus gibt es die bereits genannte Budapester Konvention des Europarats, deren Zusatzprotokoll gerade das Europaparlament passiert hat. Sowohl der US CLOUD Act als auch die Budapest Convention werden mit ihren problematischen Zugriffsberechtigungen jedoch v.a. von Ländern des globalen Südens großteils abgelehnt.

Mit der UN Cybercrime Convention soll trotz der bereits bestehenden Abkommen nun ein globales Regime geschaffen werden, das die Datenzugriffsmöglichkeiten für Strafverfolgungsbehörden durch weltweite Interoperabilität massiv ausweitet. Bei den derzeit vorgeschlagenen Straftatbeständen muss es nach aktuellem Stand des Rohentwurfs bspw. keine detaillierte Überprüfung mehr geben, ob ein in einem Staat begangenes Verbrechen auch in einem anderen Staat illegal ist („dual criminality standard“). Auch das wird allerdings diskutiert und wurde von Staatenvertreter:innen in ihren Stellungnahmen bereits ins Treffen geführt. Denn ohne eine solche Überprüfung könnten Ermittlungen, die sich auf ein anerkanntes Verbrechen in einem bestimmten Land berufen, auf andere Staaten ausgeweitet werden, selbst wenn es in diesem gar kein strafrechtlich relevantes Delikt ist. Wenn eine Person von einer solchen Ermittlungsmaßnahme betroffen ist, gibt es derzeit keine ausreichenden rechtsstaatlichen Garantien, die die Verfahrens- und Betroffenenrechte gewährleisten. Auch diese Maßnahmen werden aber aktuell diskutiert und deren Bedeutung vielfach hervorgehoben.

Der Entwurf der Konvention sieht auch vor, dass ein Staat seine Zuständigkeit für ein konkretes Verbrechen beanspruchen kann. Das soll aktuell möglich sein, wenn ein:e Staatsbürger:in, eine ansässige Person, eine staatliche Stelle oder ein Computersystem, das einer dieser Personen zuzurechnen ist, davon betroffen ist. In derartigen Bestimmungen liegt der Grundstein eines sehr breiten Regimes für die extra-territoriale Anwendung von sehr invasiven Überwachungsmethoden bis hin zu staatlichem Hacking überall auf der Welt. Staatenvertreter haben sich jedoch großflächig in ihren Stellungnahmen gegen die Aufnahme dieser Bestimmung in den Konventionstext ausgesprochen – es wird auch hier wohl zu Änderungen kommen.

Überwachungsinstrumente

Im aktuellen Entwurf werden weitreichende Ermittlungsinstrumente vorgeschlagen, die jeder Staat in nationales Recht übernehmen soll und die teilweise die Grundrechte aller Bürger:innen gefährden. Daten, die durch diese Verfahren gewonnen wurden, sollen auch vor Gericht als Beweismittel zugelassen sein, wenn nationales Recht dem nicht entgegen steht. Betroffen sind dabei nicht nur Verkehrsdaten darüber, welche Parteien wann und wo miteinander kommunizieren, sondern auch die Überwachung der Inhalte der Kommunikation. Dazu zählen etwa Quick-Freeze und Vorratsdatenspeicherung von Daten auf einem IT-System sowie von Metadaten, Verkehrs- und Inhaltsdaten. Weiters sieht er die Durchsuchung und Beschlagnahme von Stammdaten, Standortdaten, Metadaten, Verkehrs- und Inhaltsdaten vor. Außerdem beinhaltet der Entwurf die Erfassung und Beauskunftung von Verkehrsdaten in Echtzeit, also die Übermittlung der Daten an den sie fordernden Staat zum Erteilen von Auskünften. Der Entwurf geht sogar so weit, dass das Abfangen von Inhaltsdaten in Echtzeit in allen Staaten legalisiert werden könnte.

Der letzte Punkt beinhaltet auch eine sogenannte „Gag-order“, also eine Art Redeverbot, für die Betreiberfirmen eines IT-Systems. Dadurch würde es sehr schwierig werden, sich gegen überschießende Überwachungsanordnungen mit Rechtsmitteln zu wehren und damit der Rechtsstaat potentiell ausgehebelt werden. Selbst wenn die Rechtsordnung und Verfassung eines Staates vor solchen Überwachungsmethoden schützt, wird das durch eine Bestimmung im Entwurf umgangen. Die betreffenden Staaten sollen dann nämlich nicht näher beschriebene „technische Maßnahmen“ zur Echtzeit-Erhebung oder -aufzeichnung von Inhaltsdaten oder Verkehrsdaten treffen. Diese Bestimmung könnte damit auf staatliches Hacking von Internet-Service-Providern, Hostern oder betroffenen Zielpersonen hinauslaufen. Dass es dazu nicht kommen darf, haben wir in unserer ersten Intervention im Plenum vergangene Woche bereits deutlich zur Sprache gebracht.

Katalog an Straftatbeständen

Der Rohentwurf der Konvention sieht auch eine große Reihe an Tatbeständen vor, die in jedem Land strafbar sein sollen. Diese sind teilweise sehr vage formuliert, wie z.B. die Terrorismus- und Extremismusstraftatbestände, und bergen damit ein enormes Risiko, für staatliche Repression missbraucht zu werden. Im Kern definiert der Entwurf klassische Cybercrime-Tatbestände, wie den illegalen Zugriff auf Computersysteme, das illegale Abfangen von Daten, den widerrechtliche Zugriff auf ein Computersystem, die Störung von Computersystemen oder Daten mit schwerer Schadensfolge oder den Missbrauch von Geräten und Programmen.

Außerdem beinhaltet der Vertrag in der Rohfassung – auf Betreiben von UN-Mitgliedsstaaten – auch ganz klassische Straftatbestände, wenn diese mithilfe eines Computers durchgeführt werden. Dazu zählen z.B. computerbezogener Diebstahl, Betrug und Fälschung oder die unerlaubte Verwendung elektronischer Zahlungsmittel. Bei der Ausformulierung dieser Straftatbeständen gibt es jedoch das große Problem, dass dadurch auch legitime Sicherheitsforscher:innen und responsible disclosure kriminalisiert werden. Auch das haben wir in unserer zweiten Intervention im Plenum angemerkt.

Auch Datenschutzverletzungen sollen auf Basis dieses UN-Vertrags strafbar werden. Hierzu gibt es aber keine näheren Vorgaben. Damit gibt es eigentlich keine Veränderungen zu bestehendem nationalen oder europäischen Datenschutzrecht. Außerdem soll die unberechtigte Verwendung von Passwörtern, biometrischen oder anderen eindeutigen Merkmalen oder elektronischen Signaturen verboten werden.

Weitere Straftatbestände beinhalten Urheberrechtsverletzungen, Waffen- und Drogenschmuggel, sexuelle Nötigung, den Illegalen Vertrieb von gefälschten Arzneimitteln und medizinischen Produkten, Geldwäsche und noch einiges mehr.

Auch der Schutz von Kindern (also Personen unter 18 Jahren) vor (sexuellem) Missbrauch spielt eine große Rolle im aktuellen Entwurf und wird von vielen Staaten aus allen Weltregionen unterstützt. Genauer geht es um die Straftatbestände der elektronischen Verbreitung, des Besitzes und der Produktion der Dokumentation von Kindesmissbrauch (Child Sexual Abuse Material, „CSAM“) und auch sonstige Handlungen im Bezug auf CSAM sowie das Anbahnen von sexuellen Handlungen mit Kindern („Grooming“) und Cyberstalking von Kindern.

Allerdings gibt es bereits eine UN-Konvention zum Schutz von Kindern. Diese ist nicht nur einer der am meisten ratifizierten Verträge weltweit, sie macht nach Meinung von Kinderrechts-NGOs auch genau die richtigen Vorgaben in diesem Bereich. Ihr Hauptproblem ist vielmehr die fehlende und lückenhafte Umsetzung ihres optionalen Zusatzprotokolls, das sich gegen derartige Verbrechen an Kindern richtet. Ein separates Abkommen mit abweichenden Formulierungen birgt das Riskio in sich, Rechtsunsicherheit zu erzeugen und droht deshalb eher, sich nachteilig auf den Kinderschutz auszuwirken. Auf EU-Ebene wird parallel gerade versucht, der sexualisierten Gewalt gegen Kinder mit einer Chatkontrolle beizukommen. Hier zeigt sich bereits, wie derartige Überwachungsmaßnahmen beim Kinderschutz versagen und stattdessen das Risiko für Kinder und Jugendliche noch weiter erhöhen. Die Dokumentation von Kindesmissbrauch ist bereits in so gut wie allen Staaten der Welt strafbar. Unklarer ist die Situation eher bei der genauen Ausgestaltung – die Cybercrime Convention sieht derzeit 18 Jahre als Altersgrenze vor, um von den Bestimmungen umfasst zu sein bzw. bei manchen Tatbeständen reicht es auch, wenn die Person so aussieht, als wäre sie unter 18 Jahre alt.

Aktueller Verhandlungsstand – globaler Überwachungsstandard

Eine zeitgemäße Strafverfolgung in Reaktion auf neue Entwicklungen im Bereich der Computerkriminalität ist selbstverständlich wichtig und nötig. Der vorliegende Entwurf geht jedoch weit über dieses simple Ziel hinaus. Die ersten drei Kapitel des Entwurfs wurden im November 2022 in ihrer Rohfassung veröffentlicht (in der Zwischenzeit gibt es davon bereits zwei neue Versionen) und in der Folge der zweite Teil mit weiteren Kapiteln des Vertragsentwurfs zur Kooperation zwischen Staaten. Der erste Teil fokussiert neben allgemeinen Bestimmungen auf die Straftatbestände, die alle ratifizierenden Staaten in ihre Strafgesetzbücher aufnehmen sollen und auf Strafverfahrens- und -verfolgungsbestimmungen.

Der gesamte Entwurf orientiert sich im Grunde stark an bereits bestehenden Verträgen, wie etwa der  Budapest-Konvention des Europarats. Zusätzlich spiegelt er aber weitere Forderungen diverser UN-Staaten wider, die ihre jeweiligen Anliegen und Wünsche in den Rohentwurf eingebracht und diesen signifikant ausgeweitet haben – es liegt also noch kein Konsenentwurf vor. An einem solchen wird in der aktuellen und den kommenden Sitzungen gearbeitet. Vieles am Vertragstext wird sich deshalb auch noch ändern. Insbesondere ist mit der Streichung von vorgeschlagenen Bestimmungen zu rechnen und auch an den konkreten Formulierungen wird noch gefeilt – hoffentlich nicht im Sinne invasiver Überwachungsstaaten sondern mit starken Sicherheitsmaßnahmen für die Menschenrechte. Dafür machen sich glücklicher Weise nicht nur zahlreiche NGOs stark. Auch von vielen UN-Mitgliedsstaaten gibt es große Unterstützung für verstärkte Maßnahmen zur Absicherung der Grund- & Menschenrechte in der Konvention.

Wie geht es weiter?

Die aktuelle vierte Verhandlungsrunde läuft noch bis zum 20. Jänner 2023 in Wien. Über das Jahr 2023 wird es weitere Verhandlungsrunden in Wien und New York geben und damit einhergehend neue Versionen des Vertragsentwurfs. Diese werden sich im Zuge der Verhandlungen immer weiter dem schlussendlichen Text annähern. Die Zusammenstellung der Österreichischen Delegation für die Verhandlungen wurde im Ministerrat beschlossen.

Die UN Cybercrime Convention stellt potenziell ein hohes Risiko durch eine global ausgeweitete staatliche Überwachung und hochgradig invasive Ermittlungsinstrumente dar. Deshalb verfolgt eine breite Koalition von NGOs aus der Netzpolitik die Verhandlungen und ist darum bemüht, im Plenum und in vielen Einzelgesprächen mit Vertreter:innen der staatlichen Delegationen möglichst große Änderungen am derzeitigen Entwurf zu erzielen.

Wir haben im Vorfeld der vierten Verhandlungsrunde auch einen gemeinsamen offenen Brief von 89 NGOs aus 45 Staaten verfasst, in dem konkrete Vorschläge zur Verbesserung des Vertragstextes gemacht werden. Auf diesen verweisen wir in den Verhandlungen durchgehend, wie z.B. in unserer zweiten Intervention (siehe unten), und auch die UNO hat bereits Interesse daran gezeigt.