Die Cybercrime-Konvention – Ein Schritt zum weltweiten Fahndungsnetz

von Sönke Hilbrans

Im Digitalzeitalter gibt es für Individuen wie für wettbewerbsorientierte Gesellschaften nur zwei stabile Zustände: online oder tot. Entsprechend erscheint der Politik der inneren Sicherheit die Sicherheit „im Netz“ als vorrangige Aufgabe moderner Daseinsfürsorge. Wegen der steigenden wirtschaftlichen und politischen Bedeutung der Netze sieht der „libertäre oder anarchistische Traum vom Internet“[2] einem Erwachen im Netz polizeilicher Zugriffe entgegen.

Nach langer Diskussion[3] haben sich die 43 Mitgliedstaaten des Europarates unter Mitwirkung von Kanada, den USA, Japan und der Republik Südafrika auf die Cybercrime Convention (CCC)[4] verständigt. Die Konvention soll ermöglichen, dass Straftaten, die in oder unter Zuhilfenahme von Telekommunikations- oder Datennetzen begangen werden, zukünftig effektiver und international bekämpft werden können. Der am 23.11.2001 in Budapest unterzeichnete Text bestätigt die Befürchtungen der Fachwelt: die CCC zielt auf die Ausstattung der Polizeien der Signatarstaaten mit weitreichenden Eingriffsbefugnissen, ohne Gegengewichte im Sinne der Grundrechte zu schaffen.

Materielles Strafrecht

Die 48 Artikel der Konvention enthalten Vorgaben für drei Bereiche: für das Strafrecht und das Strafprozessrecht der Nationalstaaten sowie für die internationale juristische und polizeiliche Kooperation in Delikten des „Cybercrime“.

In den Art. 2-11 macht die Konvention den Signatarstaaten Vorgaben über die „Cyber“-Straftaten, die sie in ihr Strafrecht aufnehmen müssen. Der Katalog reicht von illegalem Eindringen in Computernetze über das Stehlen oder Manipulieren von Daten bis zu einer Reihe von Delikten, die unter Zuhilfenahme von Datennetzen verübt werden können. Darüber hinaus verpflichten sich die Staaten, auch andere Straftaten, die mit Hilfe von Computersystemen begangen werden, unter Strafe zu stellen (Art. 14 CCC). Wohl alle im Umlauf befindlichen Fallbeispiele für „Cybercrime“ – Anbahnung von Geschäften mit Bannware, Verbreitung strafbarer Inhalte im Internet, Betrug, Urheberrechtsverstöße, diverse Formen von „Angriffen“ auf Computersysteme – werden bereits vom geltenden deutschen Strafrecht erfasst. Insgesamt betrifft die Konvention keineswegs besonders schwere oder gefährliche Straftaten; in strafrechtlicher Hinsicht liegt ihre Bedeutung vielmehr darin, dass sie ein international einheitliches Niveau festschreibt, das die Grundlage für vereinfachte Formen internationaler Strafverfolgung bilden soll.

Um strafbare Handlungen oder vorbereitende bzw. unterstützende Kommunikationsvorgänge sichtbar zu machen, bedürfte es idealerweise einer Kopie aller in Frage kommenden Daten zu jedem in Frage kommenden Zeitpunkt. Das klingt monströser, als es von der derzeitigen Praxis entfernt ist, denn viele der in Datennetzen kommunizierten und produzierten Informationen – insbesondere Verbindungs- und Bestands­daten – bleiben auch ohne sicherheitsbehördliche Bedarfsanmeldung länger erhalten, als zur Abwicklung der Kommunikation erforderlich wäre. Den Zugang zu diesen Informationen durch Anpassung der technischen Rahmenbedingungen und rechtlichen Schnittstellen sicherzustellen, ist das zentrale Projekt der CCC.

Ermittlungsmethoden neuen Typs

Dazu wird ein internationaler Mindestbestand formuliert: Zugriff der nationalen Sicherheitsbehörden auf in Computern gespeicherte Informationen, den Inhalt von Telekommunikation sowie auf Bestands- und Verbindungsdaten. Soweit sich Daten auf einem Übertragungsweg befinden, sollen sich die Mitgliedstaaten, ggf. unter Zuhilfenahme der Provider, in die Lage versetzen, Verbindungs- wie Inhaltsdaten von Kommunikationsvorgängen in Echtzeit durch ihre Sicherheitsbehörden zur Kenntnis nehmen zu können. Welche Kommunikationsvorgänge derart überwacht werden können, bleibt den nationalen Regelungen überlassen (Art. 16, 18-21 CCC).

Eine erste Reaktion der deutschen Gesetzgebung setzte daher auch nicht im materiellen Strafrecht an, sondern – offenbar in Anlehnung an Art. 14 CCC – im Strafverfahrensrecht: Nach dem neuen § 100g Abs. 1 S. 1 der Strafprozessordnung (StPO) können in Zukunft (bestimmte) Verbindungsdaten schon dann erhoben werden, wenn jemand eine Straftat mittels einer Telekommunikationsendeinrichtung (§ 3 Nr. 3 Telekommunikations-Gesetz, TKG) begangen hat. Der schnelle Zugang zu Verbindungs- und Inhaltsdaten ist durch die Telekommunikationsüberwachungs-Verordnung (TKÜV) vom 22.1.2002 schon weitgehend vorweggenommen – auch wenn noch weiterer Anpassungsbedarf besteht.

Internationalisierung der Strafverfolgung

Neben der Standardisierung der Telekommunikationsüberwachung auf hohem Niveau zielt die CCC auf die internationale Verfügbarkeit der zu gewinnenden Erkenntnisse. Das Instrumentarium ist aus der polizeilichen Kooperation innerhalb der EU (Schengen, Europol) bekannt: die Zulassung von Spontanübermittlungen, jederzeit erreichbare Zentralstellen und die Vereinfachung der Kommunikationsprozesse zwischen den beteiligten Behörden (Art. 25, 27 und 35 CCC).

Ein neues Werkzeug sind „freeze-orders“: Auf qualifizierte Anfrage eines Signatarstaates soll ein anderer Staat in seinem Territorium vorliegende Verbindungs- und Inhaltsdaten bis zu 60 Tagen vorläufig sichern und ggf. Hinweise auf Provider in anderen Staaten weitergeben. Die so zu konservierenden Daten werden im Rahmen der internationalen Rechtshilfe übermittelt. Verbindungsdaten sollen nach Maßgabe des nationalen Rechts jedenfalls dann übermittelt werden, wenn sie bei inländischem Sachverhalt den Sicherheitsbehörden zur Verfügung stünden. Die besonders sensiblen Inhaltsdaten werden nach Maßgabe des jeweils Anwendung findenden nationalen und internationalen Rechts übermittelt, ohne dass die CCC dazu eine eigene Aussage trifft (Art. 29-33 CCC).

Erfolgt die vorläufige Sicherung von gespeicherten Daten auf Anfrage eines Signatarstaates, stehen diesem mindestens 60 Tage zur Formulierung eines Rechtshilfeersuchens zur Verfügung. Abzuwarten bleibt, inwieweit der deutsche Gesetzgeber dieser Regel Rechnung tragen wird, da der Zugriff auch auf Verbindungsdaten bisher einem Richtervorbehalt unterliegt (§ 100h Abs. 2 StPO), der allenfalls für drei Tage durch eine staatsanwaltschaftliche Eilanordnung ersetzt werden kann (§ 100b Abs. 1 StPO). Eine sorgfältige Aufarbeitung des Erkenntnismaterials aus den die Datensicherung verlangenden Signatarstaaten dürfte in der Praxis zu erheblichen Schwierigkeiten führen, wenn nicht die Gerichte zukünftig auf bloßen Zuruf Beschlüsse nach § 100g StPO erlassen wollen.

Cyberspace ohne Privatheit?

Wo ein virtueller rechtsfreier Raum nicht existieren darf, sind es vor allem die informationelle Selbstbestimmung und das Telekommunikationsgeheimnis – international anerkannt durch das Recht auf Privatsphäre (Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention) – denen im Kampf um die Durchsetzung der Rechtsordnung im „cyberspace“ Opfer abverlangt werden.

Denn die Besonderheiten der Datennetze potenzieren nicht die Verwundbarkeit der öffentlichen Sicherheitsinteressen, sondern der Grundrechte: Die Speicherung von Verbindungsdaten ergibt informationelle Bewegungsprofile der Betroffenen; sie hat damit einen Informationswert vergleichbar einer flächendeckenden Videoüberwachung im Cyberspace. Bestandsdaten im Telekommunikationsverkehr sind erheblich umfangreicher als die „Bestandsdaten“ des postalischen Briefverkehrs (vgl. Art. 18 Abs. 1 CCC oder, (noch) enger gefasst: §§ 89 Abs. 6, 90 Abs. 1 TKG). Kaum ein anderes privates Vertragsverhältnis des alltäglichen Lebens ist so gut dokumentiert und schon nach der TKÜV so weitgehenden Offenbarungspflichten ausgesetzt wie ein Telefon- oder Internet-Service­vertrag. Das Internet in den Händen der Sicherheitsbehörden wird zum Fahndungsnetz. Die CCC ist ein Meilenstein zur internationalen Harmonisierung und Forcierung dieser Entwicklung.

Die CCC enthält sich – trotz energischer Kritik der Fachöffentlichkeit, Datenschutzbeauftragten und auch aus der EU-Kommission – auch nach einigen Nachbesserungen hinreichend tragfähiger Aussagen zum Schutz der Privatsphäre bzw. des Telekommunikationsgeheimnisses. Die von den beteiligten Behörden zu beachtenden Standards sind veraltet und kaum geeignet, der internationalen Kooperation der Sicherheitsbehörden effektive Schranken im Interesse der BürgerInnenrechte zu setzen. Zwar wird der Anschluss an die vorgefundene (datenschutz-)rechtliche Umgebung in Europa hergestellt. Diese verdichtet aber das vertragliche Schutzprogramm für die Grundrechte nicht zu einem inhaltlich tragfähigen Standard. Soweit Nicht-Mitgliedstaaten des Europarates der CCC beitreten (USA, Kanada, Japan, Südafrika), fehlt es ohnehin an einer vertraglichen Bindung. Der Grundrechtsschutz bleibt mit diesen Vorgaben Aufgabe der nationalen Rechtsordnungen (Art. 15 CCC), denen die Beachtung völkerrechtlicher Menschenrechtsgarantien und das Prinzip der Verhältnismäßigkeit anempfohlen ist. In der Bundesrepublik wird dadurch kein Änderungsbedarf ausgelöst.

Im Hinblick auf das Niveau des Datenschutzes erlaubt die Konvention den Signatarstaaten große Spielräume. So soll die Erhebung von Inhaltsdaten an einen Katalog schwerer Straftaten gebunden werden. Auch für die Erhebung von Verbindungsdaten besteht die nationale Option für derartige Kataloge. Die Computerüberwachung in Echtzeit (nach Art. 20 und 21 CCC) soll nur nach Maßgabe des nationalen Rechts bestimmte („spezifizierte“) Kommunikationen betreffen – über Mindestspezifikationen als Abgrenzung zur anlasslosen Totalerfassung schweigt sich der Text aus, obgleich das Problem erkannt wurde. Entsprechend wird sich auch der deutsche Gesetzgeber nicht zu einer Reaktion veranlasst sehen.

Aus dem datenschutzrechtlichen Gefälle zwischen den Signatarstaaten müsste folgen, dass Unterschiede im Schutzniveau zur Verweigerung der Rechtshilfe berechtigen müssen. Die CCC folgt dieser Konsequenz bewusst nicht. Ebenso findet sich kein Wort zu grenzüberschreitenden Rechten und Ansprüchen der Betroffenen. Ob, wie und nach welchem Verfahren Auskunft oder Mitteilung über die Übermittlung personenbezogener Daten zu machen ist, bleibt Sache des nationalen Rechts, obwohl gerade in diesen Fragen erhebliche Unterschiede zwischen den beteiligten Rechtsordnungen bestehen – und unangetastet bleiben.

Sönke Hilbrans ist Rechtsanwalt in Berlin und Mitglied im Vorstand der Deutschen Vereinigung für Datenschutz (DVD).
[1] überarbeitete und gekürzte Fassung des Beitrages „Verfassungskonflikte im Cyberspace“, in: Datenschutz-Nachrichten (DANA) 2001, H. 2, S. 16-21
[2] Berichterstatter Tallo der Parlamentarischen Versammlung des Europarates in der Debatte vom 24.4.2001 zum 25. CCC-Entwurf, www.cyber-rights.org/documents/coe_
assembly.htm.
[3] s. zur Vorgeschichte: Kugelmann, D.: Die „Cyber-Crime“ Konvention des Europarates, in: Datenschutz und Datensicherheit (DuD) 2001, H. 4. S. 215-223
[4] Convention on Cybercrime, ETS No. 185, http://conventions.coe.int/treaty/en/treaties/ html/185.htm)