Die Verabschiedung des UN-Übereinkommens über Computerkriminalität (auch "Budapester Übereinkommen" genannt) im Jahr 2001 hatte erhebliche Auswirkungen auf die Entwicklung des internationalen Umgangs mit Computerkriminalität. So auch in Deutschland, wo auf dieser Grundlage im Jahr 2007 wesentliche Änderungen im Strafgesetzbuch vorgenommen wurden. Nun erlebt dieser wichtige Bereich einen Reboot - verbunden mit massiver Kritik.
Die Initiative für eine neue UN-Konvention zur Cyberkriminalität ging - ausgerechnet - von Russland aus. Russland hatte einen von Anfang an umstrittenen Entwurf vorgelegt, der weitreichende Überwachungsbefugnisse vorsah und international insbesondere im Hinblick auf den Schutz der Menschenrechte auf Bedenken stieß. Russland drängte darauf, die bestehende Budapester Konvention durch eine neue, umfassendere UN-Konvention zu ergänzen oder zu ersetzen, die auch von Ländern unterstützt werden sollte, die der Budapester Konvention nicht beigetreten waren, wie Russland selbst. China schloss sich diesem Vorschlag frühzeitig an.
Bereits 2017 hatte Russland die Idee einer neuen Konvention bei den Vereinten Nationen eingebracht, um einen globalen Rechtsrahmen zur Bekämpfung der Cyberkriminalität zu schaffen. Die Verhandlungen begannen dann offiziell im Jahr 2022 mit dem Ziel, eine Konvention zu erarbeiten, die eine verstärkte internationale Zusammenarbeit ermöglichen und verschiedene Aspekte der Cyberkriminalität regeln sollte. Trotz zahlreicher Bedenken und Kritik von Menschenrechtsorganisationen und anderen Akteuren wurde die Konvention 2024 von einem Ad-hoc-Ausschuss der Vereinten Nationen angenommen und soll in diesem Monat der UN-Generalversammlung zur Abstimmung vorgelegt werden.
NGO: Risiko, "das Strafrecht weltweit neu zu schreiben"
Die Verhandlungen wurden von der Öffentlichkeit kaum wahrgenommen, jedoch von einem breiten Spektrum von NGOs und zivilgesellschaftlichen Gruppen zunehmend kritisch begleitet, die insbesondere die mangelnden menschenrechtlichen Schutzvorkehrungen und die weitreichenden Überwachungsbefugnisse der Konvention bemängelten. Es wurde kritisiert, dass die Konvention autoritären Staaten Tür und Tor öffne, Überwachungsmaßnahmen zu verschärfen und das Regelwerk politisch zu missbrauchen.
So warnte in Deutschland der Chaos Computer Club (CCC) davor, dass sich die Konvention als Überwachungskonvention entpuppen könnte, die Menschenrechte mit Füßen trete und sowohl Forschende im Bereich der IT-Sicherheit als auch Journalistinnen und Journalisten weltweit gefährde. Auch die Electronic Frontier Foundation (EFF) befürchtete schon früh, dass die Vorschläge das Risiko bergen, "das Strafrecht weltweit neu zu schreiben". Vor allem die geplanten weitreichenden Überwachungsmaßnahmen stießen bei Menschenrechtsexpertinnen und -experten auf Widerstand. In einem Brief warnten schließlich weit über 100 NGOs und IT-Sicherheitsforscherinnen und -forscher davor, dass der Vertragsentwurf ihre Arbeit behindern und viele ihrer Aktivitäten als kriminell einstufen könnte.
Weite Straftatbestände
Soweit unscharfe und ausufernde Definitionen kritisiert werden, ist dies kaum von der Hand zu weisen. Insbesondere ist eine Tendenz zur Kriminalisierung legitimer Handlungen durch die Cybercrime Convention 2024 klar erkennbar: Die Konvention definiert in den einzelnen Fällen Cybercrime sehr weit, so dass auch Handlungen ohne klare kriminelle Absicht darunter fallen können.
Sie werden in ihr Aspekte von Cybersicherheit und Cyberkriminalität vermischt, etwa im Bereich der IT-Sicherheitsforschung oder beim Einsatz von Verschlüsselung. Dies zeigt sich insbesondere an dem unter Strafe zu stellenden "unbefugten Zugang zu elektronischen Informationen" (Art. 7). Vorgesehen ist, dass strafbar schon sein soll „(...) when committed intentionally, the access to the whole or any part of an information and communications technology system without right.“ Dies ist so umfassend definiert, dass der Zugriff auf öffentlich zugängliche Daten oder das Testen von Sicherheitslücken in Systemen ohne ausdrückliche Genehmigung kriminalisiert wird. Dass nicht bereits ausdrücklich an dieser Stelle eine Ausnahme für Wissenschaft und Forschung vorgesehen wurde, ist zumindest unglücklich und provoziert ein erhebliches Risiko für die Arbeit in diesem Bereich. Hierfür müssten auf nationalstaatlicher Ebene dringend Ausnahmetatbestände geschaffen werden.
Diese Problematik entwickelt sich dann fort in Art. 11, in dem es um den Missbrauch von Vorrichtungen geht: Dieser verbietet umfangreich jeglichen Umgang mit einem Programm, Passwort oder einer Zugangskennung, die in erster Linie zur Begehung einer Straftat wie explizit dem Zugriff auf ein IT-System nach Artikel 7 bestimmt ist. Hiermit können auch legitime Werkzeuge der IT-Sicherheitsforschung kriminalisiert werden. Dies betrifft insbesondere die Herstellung, Verbreitung oder Verwendung von Software, die für Hacking verwendet werden kann, auch wenn diese Handlungen im Rahmen legitimer Sicherheitsanalysen, speziell Pentesting, erfolgen. Zwar sieht die Konvention eine Ausnahme für "authorized testing" vor, diese bezieht sich aber schon begrifflich nur auf Tests auf Basis einer Einwilligung der Berechtigten. Jedoch testen oftmals auch Hackerinnen und Hacker ohne kriminelle Absicht IT-Systeme und helfen damit Unternehmen, Sicherheitslücken aufzudecken, von denen sie zuvor nichts wussten.
Gefahr für Whistleblower und Journalisten
Neben diesen, heute schon im deutschen Strafrechts-Diskurs wiederzufindenden, Aspekten sind auch gesellschaftliche Gefahren zu erkennen: Wenn in Art. 7 der Umgang mit Kommunikationsinhalten geregelt wird - und Handlungen im Zusammenhang mit der Verbreitung oder dem Zugang zu digitalen Inhalten kriminalisiert werden - geht es originär um die Pressefreiheit und den Schutz von Whistleblowern. Diese umfangreiche Regelung stellt eine Gefahr für Journalistinnen und Journalisten wie Aktivistinnen und Aktivisten dar, die mit diesen Inhalten arbeiten.
Wenn darüber hinaus in der Konvention die Authentizität von Daten in Art. 12 geschützt wird, klingt das nach der hierzulande bekannten Fälschung beweiserheblicher Daten. Bei näherem Hinsehen zeigt sich aber, dass gar keine beweiserhebliche Bestimmung vorgesehen ist, sondern vielmehr die inhaltliche Lüge unter Strafe gestellt wird - mit entsprechenden Risiken für Oppositionelle in Ländern, in denen abweichende politische Meinungen gerne als Lügen gebrandmarkt werden. Zu beachten ist auch, dass die in Art. 13 vorgesehene Strafbarkeit des digitalen Betrugs oder Diebstahls ohne (unmittelbare) Vermögensverfügung auskommt und letztlich jede digitale Einflussnahme auf menschliches Verhalten mit vermögensmindernder Wirkung erfasst. Mit der Systematik des (Computer-)Betrugs im deutschen Recht, gerade mit Blick auf die Stoffgleichheit, ergeben sich hier absehbar erhebliche Probleme.
Comeback der Vorratsdatenspeicherung?
Auch die in der Konvention erlaubten Überwachungsmaßnahmen sind erschütternd: Das Dokument sieht in Art. 29 weitreichende Befugnisse zur Echtzeitüberwachung von Telekommunikationsmetadaten und zum Abhören von Kommunikation vor. In Artikel 30 ist zudem eine Vorratsdatenspeicherung enthalten, die es erlaubt, Kommunikationsdaten für einen bestimmten Zeitraum zu speichern, um sie später zur Strafverfolgung nutzen zu können. Diese weitreichenden Befugnisse werden ohne ausreichende rechtliche Mindeststandards gewährt: In beiden Fällen ist weder die Beschränkung auf das inhaltlich Notwendige, noch der Schutz der Privatsphäre oder eine zeitliche Begrenzung vorgesehen.
Manchmal sind es Details, die aufhorchen lassen: Wenn etwa in Art. 28 Abs. 4 klargestellt wird, dass die ratifizierenden Staaten sicherzustellen haben, dass jede Person (einschließlich Beschuldigter), die über Informationen zu einem Computersystem verfügt, von den Behörden gezwungen werden kann, beim Auslesen des Systems mitzuwirken, so geht es dabei offensichtlich um die Schwächung von Verschlüsselungen. Ähnlich sind wohl auch die Regelungen zur Telekommunikationsüberwachung zu verstehen, wo Provider im Rahmen ihrer technischen Möglichkeiten zur Mitwirkung verpflichtet werden sollen - was durchaus so verstanden werden kann, dass der Einsatz wirksamer Verschlüsselung zu unterbleiben hat.
Menschenrechte nur ein Feigenblatt
Die neue Cybercrime-Konvention gibt sich zumindest große Mühe: Dass die Geltung der Menschenrechte nicht unterlaufen werden soll, wird ausdrücklich betont (Art. 6), und es war zu hören, dass sich einzelne Staaten am Ende sogar beschwerten, es handele sich um ein Abkommen, das vor Menschenrechten nur so triefe. In einem funktionierenden Europa mit zahlreichen menschenrechtlichen Mindeststandards dürften Bürgerinnen und Bürger zudem auch künftig gut geschützt bleiben.
Gleichwohl zeichnet sich ein düsteres Bild ab: Die Konvention fügt sich als Mosaikstein in ein Gesamtbild veränderter Umstände ein: Wo früher der EuGH als Bollwerk gegen die Vorratsdatenspeicherung stand, ist diese in der jüngsten Rechtsprechung des Gerichtshofs plötzlich wieder salonfähig geworden. Dazu passt der Eindruck der Cybercrime-Konvention, die schwere Straftaten ohne Rücksicht auf die Bedeutung im Einzelfall pauschal anhand des Strafrahmens definiert (oberes Ende des Strafrahmens liegt bei mindestens 4 Jahren, Art. 2 (h)) und die - abgesehen von dem feigenblattartigen Verweis auf die Menschenrechte in Art. 6 und der Anerkennung der Bedeutung der IT-Sicherheitsforschung in Art. 53 - keinerlei beschränkte Regelungen vorsieht. Insbesondere nicht zu Beschuldigtenrechten, wie etwa dem Zugriff der Verteidigung auf beschlagnahmte Datenträger. Diese Defizite sind mit europäischen Grundsätzen und der Rechtsprechung von EGMR und EuGH nicht in Einklang zu bringen.
Vor diesem Hintergrund sind die ansonsten grundsätzlich zu begrüßenden Regelungen zur internationalen Zusammenarbeit im Bereich der Cyberkriminalität bedenklich. Auch wenn nationale Behörden und Staatsanwaltschaften Überwachungsersuchen russischer Behörden zurückweisen können, ist der unnötige Mehraufwand für die hierzulande derzeit ohnehin am Limit agierenden Ermittlungsbehörden bereits absehbar.
Entscheiden wird die UN-Generalversammlung auf ihrer Versammlung am 22. und 23. September. Nach derzeitigem Eindruck gibt es keine Zweifel daran, dass die Cybercrime-Konvention dort durchgewunken werden wird. Die Auswirkungen werden vermutlich in einigen Jahren zu besichtigen sein.
Der Autor Jens Ferner ist Fachanwalt für Strafrecht und IT-Recht. Sein Tätigkeitsschwerpunkt liegt im Bereich der Strafverteidigung, insbesondere in der Schnittmenge von IT-Recht und Strafrecht.