UN-Cybercrime-Convention

Over 70 countries have signed the new UN Cybercrime Convention in Hanoi. But behind the stated objective of combating cybercrime lies a treaty that enables far-reaching surveillance, provides little protection for human rights and puts journalists, activists and critical voices at risk – very much in line with the interests of authoritarian regimes.

[Translate to English:]

[Translate to English:]

In einer globalen Konferenz in Hanoi am 25. und 26. Oktober wurde die Cybercrime Convention der Vereinen Nationen („UNCC“) feierlich zur Unterschrift aufgelegt. Das Ziel: Sämtliche Staaten der Welt sollten sich mit diesem politisch-formalen Zeichen zum jüngsten Vertragstext der UNO bekennen und ihm ehest bald in ihren nationalen Parlamenten auch völkerrechtlich verbindlich und als Teil der nationalen Rechtsordnung Geltung verleihen („ratifizieren“).

Wir sprechen uns bereits seit mehreren Jahren gegen die UNCC aus, haben uns aktiv in den Verhandlungsprozess eingebracht und nun im Vorfeld zur Konferenz in Vietnam ein gemeinsames Statement der Zivilgesellschaft mitunterzeichnet. Darin fordern wir die Staatengemeinschaft nachdrücklich auf, von der Unterzeichnung und Ratifizierung der UNCC abzusehen und die Bedeutung der Wahrung der Menschenrechte bei der Umsetzung dieser Konvention hervorzuheben.

Zur Erinnerung: Warum sind wir gegen dieses Übereinkommen?

Sollte man weltweite Kooperation im Kampf gegen Computerkriminalität nicht unterstützen? Was auf den ersten Blick verwundern mag, lässt sich nachvollziehbar erklären:

Zunächst einmal sind wir der Überzeugung, dass es diesen Vertrag gar nicht braucht. Seit 2001 gibt es nämlich bereits ein Abkommen, das genau denselben Zweck verfolgt: die sogenannte Budapester Konvention. Diese ist unter dem Dach des Europarates entstanden. Und obwohl es auch daran einiges auszusetzen gibt, gilt sie für viele als der Standard im Kampf gegen Computerkriminalität. Das Besondere an ihr ist, dass sie eingebettet ist in das weitaus größere System des Europarates: also jener Organisation, die den Europäischen Menschenrechtsgerichtshof in Straßburg (samt zugehöriger Menschenrechtskonvention) hervor gebracht hat – und damit wichtige Teile des Fundaments unserer liberalen Demokratien. Neben den 46 Mitgliedern des Europarates (davon alle 27 EU-Mitgliedsstaaten) steht die Budapester Konventionauch Staaten aus anderen Teilen der Welt zum Beitritt offen – und davon wurde reichlich Gebrauch gemacht: aktuell haben 35 Staaten aus Lateinamerika, Afrika und Asien die Konvention offiziell angenommen und sich damit verpflichtet sie umzusetzen.

Die Rolle Russlands

Russland – ein ehemaliges, aber seit dem Angriffskrieg auf die Ukraine ausgeschlossenes Mitglied des Europarates – hatte schon immer Vorbehalte gegen die Budapester Konvention und begründete dies mit vermeintlichen „Eingriffen in die staatliche Souveränität“. Also trieb es auf UN-Ebene Bemühungen voran, ein weiteres Abkommen zur Bekämpfung von Computerkriminalität zu schaffen, ganz nach den eigenen Vorstellungen. Was zunächst weitgehend abgelehnt wurde, nahm nach und nach an Fahrt auf. Und gemeinsam mit seinen Verbündeten (Belarus, Nordkorea, Iran, Syrien, Venezuela, Nicaragua, und anderen) gelang es dem Putin-Regime nicht nur, den Start von Verhandlungen zur UN-Cybercrime Convention (UNCC) Realität werden zu lassen, sondern auch, diese erfolgreich zu Ende zu führen. Am 24. Dezember 2024 wurde die UNCC schließlich von der UN-Generalversammlung als offizieller Vertrag der Vereinten Nationen angenommen.

Wie problematisch ist die Konvention wirklich?

Vorweg gesagt: Der beschlossene Vertragstext entspricht nicht 1:1 dem, den Russland als Ausgangsentwurf vorgelegt hatte. Viele der aus Menschenrechtssicht gefährlichsten Bestimmungen (wie z.B. eine umfassende Vorratsdatenspeicherung, nebulös formulierte Tatbestände zur Ahndung von „Extremismus“ oder „Subversion“) wurden „rausverhandelt“.

Dennoch bleibt ausreichend Grund zur Sorge:

  • Zunächst einmal geht die UNCC weit über die Bekämpfung von Cyberkriminalität – also böswillige Angriffe auf Computernetzwerke, -systeme und -daten – hinaus. Sie verpflichtet die Staaten nämlich, umfassende elektronische Überwachungsbefugnisse einzurichten, um eine Vielzahl von Straftaten zu untersuchen und bei deren Verfolgung zusammenzuarbeiten. Darunter befinden sich auch solche, die nicht mit Informations- und Kommunikationssystemen in Zusammenhang stehen und das ohne angemessene Schutzmaßnahmen für unsere Menschenrechte.
  • Die Konvention verpflichtet Regierungen, elektronische Beweise zu sammeln und diese bei „schweren Straftaten”(solche, die nach innerstaatlichem Recht mit mindestens vier Jahren Freiheitsstrafe geahndet werden) an ausländische Behörden weiterzugeben. Das Problem dabei: Viele Regierungen kriminalisieren Aktivitäten, die durch internationale Menschenrechtsgesetze geschützt sind. ,So könnten beispielsweise Kritik an der Regierung, friedliche Proteste, gleichgeschlechtliche Beziehungen, investigativer Journalismus und Whistleblowing die Voraussetzungen erfüllen und nach UNCC als „schwere Straftat“ eingestuft werden.
  • Die Konvention enthält auch keine ausreichenden Bestimmungen zum Schutz von Sicherheitsforscher:innen („white hat hackers“), Whistleblowern, Aktivist:innen und Journalist:innen vor übermäßiger Kriminalisierung. Sie kann also leicht dazu genutzt werden, um gegen geschützte Aktivitäten vorzugehen, die Menschenrechte fördern und die Sicherheit aller im Internet gewährleisten.
  • Es fehlen ausdrücklich robuste Menschenrechtsschutzbestimmungen für den gesamten Vertrag. So kann nicht sichergestellt werden, dass die Bemühungen zur Bekämpfung der Cyberkriminalität einen angemessenen Schutz der Menschenrechte bieten und im Einklang mit den wichtigen Grundsätzen der Rechtmäßigkeit, Nichtdiskriminierung, legitimen Zweckmäßigkeit, Notwendigkeit und Verhältnismäßigkeit stehen.
  • Die UNCC schafft Rechtsvorschriften zur Überwachung, Speicherung und grenzüberschreitenden Weitergabe von Informationen in einer Weise, die das Vertrauen in sichere Kommunikation untergräbt und die Menschenrechte verletzt.
  • Das Übereinkommen erlaubt auch die übermäßige Weitergabe sensibler personenbezogener Daten für die Zusammenarbeit der Strafverfolgungsbehörden, die über den Rahmen spezifischer strafrechtlicher Ermittlungen hinausgeht und auch das ohne spezifische Datenschutz- und angemessene Menschenrechtsschutzmaßnahmen.
  • Die Mängel des Übereinkommens lassen sich nicht ohne Weiteres beheben, da es keinen Mechanismus zum Ausschluss von Staaten vorsieht, die Menschenrechte oder Rechtsstaatlichkeit systematisch missachten.
  • Die UNCC kann für einige der Menschen, die sie schützen soll sogar gefährlich werden: So könnte das Übereinkommen beispielsweise missbraucht werden, um einvernehmliches Verhalten zwischen Jugendlichen ähnlichen Alters in einvernehmlichen Beziehungen unter Strafe zu stellen. Dazu kommt, dass keine Geschlechtergleichstellung verankert wurde. Es besteht also auch die Gefahr, dass das Übereikommen so zu Verletzungen der Rechte von Frauen und LGBT-Personen beiträgt.

Was wir fordern:

Leider haben sich in Hanoi über 70 Staaten zu einer Unterschrift entschlossen, darunter auch die EU und gut die Hälfte ihrer Mitgliedstaaten. Auch Österreich befindet darunter. Die USA hingegen haben diesen Schritt nicht gesetzt: Ausnahmsweise ein positiver Schritt der aktuellen Administration. Denn die Aussicht auf erleichterten Zugang zu Daten, die sich auf US-Servern befinden, war in den Verhandlungen natürlich ein großer Anreiz für viele Staaten, diesem Übereinkommen überhaupt erst zuzustimmen. Diese Aussicht läuft (vorerst zumindest mal) ins Leere – an den Gefahren, die dieser Vertrag birgt, sobald er einmal in Kraft getreten ist, ändert das aber leider nichts.

Gemeinsam mit unseren Partnerorganisationen rufen wir daher die Unterzeichnerstaaten dazu auf sich zu weigern, das Übereinkommen zu ratifizieren. Sollten sie dies dennoch tun, müssen sie jedenfalls, konkrete Menschenrechtsschutzmaßnahmen gewährleisten und die Bestimmungen des Übereinkommens unter vollständiger Achtung der Menschenrechte umsetzen.

Noch unentschlossene Staaten, die die Menschenrechte achten und trotz der erheblichen Gefahr, die die UNCC für die Menschenrechte darstellt, eine Unterzeichnung in Zukunft in Betracht ziehen, sollten ihre Unterstützung zurückhalten, solange sie nicht garantieren können, dass bestimmte Bedingungen erfüllt sind: nämlich dass sie und andere Unterzeichnerstaaten den Vertrag mit wirksamen Schutzmaßnahmen und anderen rechtlichen Schutzvorkehrungen umsetzen, die Menschenrechtsverletzungen in der Praxis verhindern. Wie diese konkret aussehen können, könnt ihr im Detail in unserem gemeinsamen Statement nachlesen.

Sobald aber einmal 40 Staaten das Übereinkommen ratifiziert haben und dieses damit tatsächlich in Kraft tritt, hängt wie immer viel davon ab, wie die Bestimmungen gelebt und interpretiert werden. Wie bei anderen völkerrechtlichen Verträgen üblich, wird es auch bei der UNCC in regelmäßigen Abständen eine sogenannte „Conference of the States Parties“ (COSP) geben, um die Implementierung des Vertrags zu begleiten. Angesichts der genannten Probleme mit diesem Vertrag geht es hier also weiterhin um viel! Ob und in wieweit die Zivilgesellschaft einbezogen werden soll und welche Befugnisse wir haben werden, ist aktuell Gegenstand von Verhandlungen bei der UNO in Wien. Neben der Unterstützung mancher Staaten gibt es aber auch einiges an Gegenwind – und man muss nicht hellsehen können, um zu ahnen, wer hier wieder die Hauptbetreiber sind…

[Translate to English:]

[Translate to English:]

At a global conference in Hanoi on 25 and 26 October, the United Nations Convention on Cybercrime (UNCC) was formally opened for signature. The aim is for all countries around the world to commit to the latest UN treaty text and to ratify it as soon as possible according to their national prcedures, making it binding under international law and, subsequently, part of their national legal systems.

We have been speaking out against the UNCC for several years, have been actively involved in the negotiation process and have now co-signed a joint statement by civil society in the run-up to the conference in Vietnam. In it, we urge the international community to refrain from signing and ratifying the UNCC and to emphasise the importance of respecting human rights in the implementation of this convention.

Why We Oppose the Convention

Shouldn't we support global cooperation in the fight against cybercrime? What may seem surprising at first glance can be easily explained:

To begin with, we are convinced that this treaty is not necessary at all. Since 2001, there has already been an agreement that serves exactly the same purpose: the Budapest Convention. It was created under the umbrella of the Council of Europe. And alltough we are not particularly happy with this one either, many consider the Budapest Convention the standard in the fight against cybercrime. What makes this convention special is that it is embedded in the much larger system of the Council of Europe: the organisation that created the European Court of Human Rights in Strasbourg (along with the associated European Convention on Human Rights) – elements at the very heart of our liberal democracies.

In addition to the 46 members of the Council of Europe (including all 27 EU Member States), the Budapest Convention is also open to accession by states from other parts of the world – and this has been widely utilised: currently, 35 states from Latin America, Africa and Asia have officially adopted the Convention and thus committed themselves to implementing it.

The Role of Russia

The Russian Federation – a former member of the Council of Europe, but excluded since its illegal act of aggression against Ukraine – had always had reservations about the Budapest Convention, citing alleged ‘interference in state sovereignty’. It therefore pushed ahead with efforts at UN level to create another agreement to combat cybercrime, according to its own ideas. What was initially largely rejected, gradually gained momentum. And together with its allies (Belarus, North Korea, Iran, Syria, Venezuela, Nicaragua, and others), the Putin regime not only succeeded in making the start of negotiations on the UN Cybercrime Convention (UNCC) a reality, but also in bringing them to a successful conclusion. On 24 December 2024, the UNCC was eventually adopted by the UN General Assembly as an official United Nations treaty.

The Real Cost of this Treaty

First of all, it should be noted that the final text of the agreement does not correspond exactly to the draft initially proposed by Russia. Many of the provisions that were considered most dangerous from a human rights perspective (such as comprehensive data retention and vaguely worded provisions for punishing ‘extremism’ or ‘subversion’ or acts ‚related to terrorism‘) were negotiated out of the agreement.

But there is still plenty to be concerned about:

  • First of all, the UNCC goes far beyond combating cybercrime – i.e. malicious attacks on computer networks, systems and data. It in fact obliges states to establish comprehensive electronic surveillance powers in order to investigate a wide range of criminal offences and to cooperate in their prosecution. These include offences that are not even related to information and communication systems, and do so without adequate safeguards for our human rights.
  • The convention obliges governments to collect electronic evidence and pass it on to foreign authorities in cases of ‘serious crimes’ (those punishable by at least four years' imprisonment under domestic law). The problem with this is that many governments criminalise activities that are protected by international human rights laws. For example, criticism of the government, peaceful protests, same-sex relationships, investigative journalism and whistleblowing could meet the criteria and be classified as ‘serious crimes’ under the UNCC.
  • The convention also lacks sufficient provisions to protect security researchers (‘ethicalhackers’), whistleblowers, activists and journalists from excessive criminalisation. It can therefore easily be used to target activities that promote human rights and ensure the safety of everyone on the internet.
  • The UNCC creates legislation on the monitoring, storage and cross-border transfer of information in a manner that undermines the trust in safe communication and violates human rights.
  • The Convention also permits the excessive transfer of sensitive personal data for law enforcement cooperation that goes beyond the scope of specific criminal investigations, without specific data protection and adequate human rights safeguards.
  • The shortcomings of the Convention cannot be easily remedied, as it does not provide for a mechanism to exclude states that systematically violate human rights or the rule of law.
  • The UNCC could even endanger some of the people it is supposed to protect: for example, it could be misused to criminalise consensual behaviour between young people of similar ages in consensual relationships. On top of that, gender equality has not been enshrined in the agreement. This means there is also a risk that the convention could contribute to violations of the rights of women and LGBT people.

What needs to happen now

Unfortunately, 72 countries decided to sign the agreement in Hanoi, including the EU and half of its member states. Austria is among them. The US, on the other hand, did not take this step: For once, a positive move by the current administration (which, however, has to be seen against the backdrop of a seemingly increased pull-out from multilateralism altogether rather than in a human rights-friendly context). The prospect of easier access to data stored on US servers was, of course, a major incentive for many countries to agree to this agreement in the first place. This prospect is now (at least for the time being) coming to nothing – but unfortunately, this does not change the dangers that this agreement poses once it comes into force.

Together with our partner organisations, we therefore call on the signatory states to refuse to ratify the agreement. But if they do so, they must make sure they take real steps to protect human rights and follow the agreement's rules while fully respecting human rights.

States that are still undecided, that respect human rights and that are considering signing in the future despite the significant threat that the UNCC poses to human rights, should withhold their support until they can guarantee that certain conditions are met: namely, that they and other signatory states implement the treaty with effective safeguards and other legal protections that prevent human rights violations in practice. You can read about what these might look like in detail in our joint statement.

However, once 40 states have ratified the agreement and it actually comes into force, much will depend on how the provisions are applied and interpreted. As is customary with other international treaties, the UNCC will also hold a so-called ‘Conference of the States Parties’ (COSP) at regular intervals to monitor the implementation of the treaty. In view of the problems mentioned above, there is still a lot at stake here! Whether and to what extent civil society should be involved and what powers we will have is currently the subject of negotiations at the UN in Vienna. However, despite the support of some states, there is also a fair amount of opposition – and you don't need a crystal bowl to guess who the main opponents are...

Since you're here

… we have a small favour to ask. You want to keep a close eye on the government? You want to stay up-to-date on surveillance, privacy, net neutrality, and all matters related to your fundamental rights on the internet? Subscribe to our newsletter and approximately once a month, we will send you a message (in German) about everything that happens around digital policy in Austria and in Europe, about our actions, legal analyses and position papers.

Together, we defend our fundamental rights in the digital age – because civil society works! Stay informed!

Related stories:

An eventful and successful year: This was our anniversary year 2025.

Education , Government Spyware , Privacy and Data Protection , Digital Euro - Right to Cash , eID , Face Recognition , IT-Security , AI , Net Neutrality , Transparency/Open Government , UN-Cybercrime-Convention , Surveillance

An eventful and successful year: that was 2024 in network policy.

Education , Government Spyware , Privacy and Data Protection , Digital Euro - Right to Cash , eID , Face Recognition , Internal , IT-Security , AI , Net Neutrality , Platform Regulation , Rule of Law , Transparency/Open Government , Surveillance , UN-Cybercrime-Convention , Whistleblowing

This week, the final round of negotiations of the so called “UN Cybercrime Convention” has started. The content of the treaty seriously alarms us as a human rights NGO, so we once again travelled to New York to stop a potential agreement on this dangerous draft.

UN-Cybercrime-Convention , IT-Security , Privacy and Data Protection

This was 2023 from a digital rights perspective: We look back on an eventful year.

Government Spyware , Chat Control , Privacy and Data Protection , Digital Euro - Right to Cash , eID , Net Neutrality , Platform Regulation , PNR , Transparency/Open Government , Surveillance , UN-Cybercrime-Convention , Data Retention , Whistleblowing

The year is drawing to a close - and one of the topics that was and still is high on our agenda is the planned United Nations Cybercrime Convention.

UN-Cybercrime-Convention

UN Cybercrime Convention – The Talks Continue

 

Back in January we published a blogpost explaining what to expect from the UN Cybercrime Convention negotiations in Vienna, Austria.

 

Now, the fifth round of talks (11 – 21 April 2023), held at the UN’s Vienna Office, has concluded. Tanja…

UN-Cybercrime-Convention