Unter dem Deckmantel der Sicherheit und des Friedens
Die rasante Geschwindigkeit, mit der digitale Technologien immer mehr vernetzt werden und in alle Lebensbereiche vordringen, erfordere auch eine ständige Anpassung der gesetzlichen Regulierungen, so die NGO Epicenter Works.
Auch vor dem Bereich der Kriminalitätsbekämpfung mache diese Entwicklung nicht halt.
Von Regelungen auf regionaler Ebene zu globalen Reglen
Trotz bereits bestehender Regelungen auf regionaler Ebene (etwa durch die Budapest-Konvention des Europarats) laufen seit einem Jahr deshalb Verhandlungen auf UN-Ebene zu einer neuen, weltweit geltenden Konvention zur Bekämpfung von Computerkriminalität (Cybercrime Convention). Diese sollen laut Plan im Jänner 2024 abgeschlossen werden. Der Vertrag werde in Wien und New York verhandelt.
epicenter.works ist bei den aktuellen Verhandlungen in Wien im Namen der Eticas Foundation vertreten. Die Verhandlungen laufen dabei nach dem in Wien üblichen Verfahren ab. Das heißt, es wird versucht, die Bestimmung im Konsens anzunehmen und nicht mit einem Mehrheitsbeschluss. Sollte dennoch kein Konsens erzielt werden, braucht es zur Einigung eine Zweidrittelmehrheit aller UN-Staaten. Die Staaten verpflichten sich mit der Ratifizierung dieser Konvention dazu, sie in nationales Recht umzusetzen.
Was drohe mit diesem weltweiten Abkommen?
Durch die UN Cybercrime Convention werde ein globaler Standard für Internetkriminalität und deren Verfolgung geschaffen. Gerade bei den Ermittlungsmethoden wurden von manchen Staaten jedoch teils hochgradig invasive Instrumente vorgeschlagen und vorerst in den Rohentwurf aufgenommen, die durch viele höchstgerichtliche Entscheidungen als menschenrechts- und verfassungswidrig beurteilt wurden.
Gut sei in dieser Hinsicht, dass der derzeitige Katalog an Straftaten sicherlich noch stark verändert und gekürzt werde. „Auch sprechen sich viele Staaten und NGOs in den Verhandlungen gegen derart weitreichende Bestimmungen aus“, so epicenter. Jedoch gäbe es auch schon Forderungen, die Ermittlungsbestimmungen in der Anwendung von diesen Straftatbeständen zu entkoppeln. Dies würde sie auch für weitreichende andere Deliktkategorien öffnen und nicht nur für die explizit genannten.
Die größte Neuerung sei jedoch die drastisch vereinfachte grenzüberschreitende Strafverfolgung.
Bisher mussten die Strafverfolgungsbehörden eines Staates beim Zugriff auf Computersysteme eines anderen Staates auf bilaterale Verträge zwischen Staaten zurückgreifen (sogenannte MLATs, mutual legal assistance treaties). Diese gelten als langsam und schwerfällig, da in jedem Einzelfall geprüft werden müsse, ob einem anderen Staat Zugriff auf die Daten gegeben werden darf.
In der EU haben wir deshalb fragwürdige Vorstöße wie das e-Evidence-Gesetz gesehen, das es z.B. der ungarischen Polizei ermöglichen könnte, im Eilverfahren auf die Daten von Servern in Österreich zuzugreifen.
In den USA gibt es ähnliches Abkommen den US CLOUD Act, über den sich die USA weitreichende Zugriffsrechte einräumen. Sie können damit auf die Daten von US-Firmen zugreifen, auch wenn sich deren Server im Ausland befinden. Im Gegenzug können Staaten bilaterale Abkommen mit den USA abschließen, wodurch diese Staaten das Recht erlangen, direkt Daten von US-Firmen abzufragen.
Darüber hinaus gibt es die bereits genannte Budapester Konvention des Europarats, deren Zusatzprotokoll gerade das Europaparlament passiert hat. Sowohl der US CLOUD Act als auch die Budapest Convention werden mit ihren problematischen Zugriffsberechtigungen jedoch v.a. von Ländern des globalen Südens großteils abgelehnt.
Die angestrebte UN Cybercrime Convention
Mit der UN Cybercrime Convention solle trotz der bereits bestehenden Abkommen nun ein globales Regime geschaffen werden, das die Möglichkeiten des Datenzugriffs für Strafverfolgungsbehörden durch weltweite Interoperabilität massiv ausweite. Bei den derzeit vorgeschlagenen Straftatbeständen müsse es nach aktuellem Stand des Rohentwurfs beispielsweise. keine detaillierte Überprüfung mehr geben, ob ein in einem Staat begangenes Verbrechen auch in einem anderen Staat illegal sei („dual criminality standard“). Auch das werde allerdings diskutiert und wurde von Staatenvertreter:innen in ihren Stellungnahmen bereits ins Treffen geführt. Denn ohne eine solche Überprüfung könnten Ermittlungen, die sich auf ein anerkanntes Verbrechen in einem bestimmten Land berufen, auf andere Staaten ausgeweitet werden, selbst wenn es in diesem gar kein strafrechtlich relevantes Delikt sei. Wenn eine Person von einer solchen Ermittlungsmaßnahme betroffen sei, gäbe es derzeit keine ausreichenden rechtsstaatlichen Garantien, welche die Verfahrens- und Betroffenenrechte gewährleisten. Auch diese Maßnahmen würden aber aktuell diskutiert und deren Bedeutung vielfach hervorgehoben.
Der Entwurf der Konvention sieht auch vor, dass ein Staat seine Zuständigkeit für ein konkretes Verbrechen beanspruchen kann. Das soll aktuell möglich sein, wenn ein:e Staatsbürger:in, eine ansässige Person, eine staatliche Stelle oder ein Computersystem, das einer dieser Personen zuzurechnen ist, davon betroffen ist. In derartigen Bestimmungen liegt der Grundstein eines sehr breiten Regimes für die extra-territoriale Anwendung von sehr invasiven Überwachungsmethoden bis hin zu staatlichem Hacking überall auf der Welt. Staatenvertreter hätten sich jedoch großflächig in ihren Stellungnahmen gegen die Aufnahme dieser Bestimmung in den Konventionstext ausgesprochen – es werde wohl auch hier zu Änderungen kommen.
Überwachungsinstrumente
Im aktuellen Entwurf werden weitreichende Ermittlungsinstrumente vorgeschlagen, die jeder Staat in nationales Recht übernehmen solle und die teilweise die Grundrechte aller Bürger:innen gefährden, so Epicenter.
Daten, die durch diese Verfahren gewonnen wurden, sollen auch vor Gericht als Beweismittel zugelassen sein, wenn nationales Recht dem nicht entgegen stehe. Betroffen seien dabei nicht nur Verkehrsdaten darüber, welche Parteien wann und wo miteinander kommunizieren, sondern auch die Überwachung der Inhalte der Kommunikation. Dazu zählen etwa
- Quick-Freeze und
- Vorratsdatenspeicherung von Daten auf einem IT-System sowie
- von Metadaten,
- Verkehrs- und Inhaltsdaten.
- die Durchsuchung und Beschlagnahme von Stammdaten,
- Standortdaten,
- Metadaten,
- Verkehrs- und Inhaltsdaten vor.
- Erfassung und Beauskunftung von Verkehrsdaten in Echtzeit, also die Übermittlung der Daten an den sie fordernden Staat zum Erteilen von Auskünften.
- Der Entwurf geht sogar so weit, dass das Abfangen von Inhaltsdaten in Echtzeit in allen Staaten legalisiert werden könnte.
Der letzte Punkt beinhalte auch eine sogenannte „Gag-order“, also eine Art Redeverbot, für die Betreiberfirmen eines IT-Systems. Dadurch würde es sehr schwierig werden, sich gegen überschießende Überwachungsanordnungen mit Rechtsmitteln zu wehren und damit würde der Rechtsstaat potentiell ausgehebelt werden.
Selbst wenn die Rechtsordnung und Verfassung eines Staates vor solchen Überwachungsmethoden schütze, werde das durch eine Bestimmung im Entwurf umgangen. Die betreffenden Staaten sollen dann nämlich nicht näher beschriebene „technische Maßnahmen“ zur Echtzeit-Erhebung oder -aufzeichnung von Inhaltsdaten oder Verkehrsdaten treffen. Diese Bestimmung könnte damit auf staatliches Hacking von Internet-Service-Providern, Hostern oder betroffenen Zielpersonen hinauslaufen.
„Dass es dazu nicht kommen darf, haben wir in unserer ersten Intervention im Plenum vergangene Woche bereits deutlich zur Sprache gebracht“ so epicenter works.
https://embed.epicenter.works/yt/sVae0BVFTyk
Katalog an Straftatbeständen
Der Rohentwurf der Konvention sieht auch eine große Reihe an Tatbeständen vor, die in jedem Land strafbar sein sollen. Diese sind teilweise sehr vage formuliert, wie z.B. die Terrorismus- und Extremismusstraftatbestände. Diese berge ein enormes Risiko, für staatliche Repression missbraucht zu werden. Im Kern definiere der Entwurf klassische Cybercrime-Tatbestände, wie
- den illegalen Zugriff auf Computersysteme,
- das illegale Abfangen von Daten,
- den widerrechtliche Zugriff auf ein Computersystem,
- die Störung von Computersystemen oder Daten mit schwerer Schadensfolge oder
- den Missbrauch von Geräten und Programmen.
Außerdem beinhalte der Vertrag in der Rohfassung – auf Betreiben von UN-Mitgliedsstaaten – auch ganz klassische Straftatbestände, wenn diese mithilfe eines Computers durchgeführt werden. Dazu zähle z.B.
- computerbezogener Diebstahl,
- Betrug und Fälschung oder
- die unerlaubte Verwendung elektronischer Zahlungsmittel.
- Bei der Ausformulierung dieser Straftatbeständen gäbe es jedoch das große Problem, dass dadurch auch legitime Sicherheitsforscher:innen und responsible disclosure kriminalisiert würden. Auch das habe epicenter in der zweiten Intervention im Plenum angemerkt.
Auch Datenschutzverletzungen sollen auf Basis dieses UN-Vertrags strafbar werden. Hierzu gäbe es aber keine näheren Vorgaben. Damit gäbe es eigentlich keine Veränderungen zu bestehendem nationalen oder europäischen Datenschutzrecht. Außerdem solle die unberechtigte Verwendung von Passwörtern, biometrischen oder anderen eindeutigen Merkmalen oder elektronischen Signaturen verboten werden.
Weitere Straftatbestände beinhalten
- Urheberrechtsverletzungen,
- Waffen- und Drogenschmuggel, sexuelle Nötigung,
- den Illegalen Vertrieb von gefälschten Arzneimitteln und medizinischen Produkten,
- Geldwäsche und
- noch einiges mehr.
Auch der Schutz von Kindern (also Personen unter 18 Jahren) vor (sexuellem) Missbrauch spiele eine große Rolle im aktuellen Entwurf und werde von vielen Staaten aus allen Weltregionen unterstützt. Genauer gehe es um die Straftatbestände der elektronischen Verbreitung, des Besitzes und der Produktion der Dokumentation von Kindesmissbrauch (Child Sexual Abuse Material, „CSAM“) und auch sonstige Handlungen im Bezug auf CSAM sowie das Anbahnen von sexuellen Handlungen mit Kindern („Grooming“) und Cyberstalking von Kindern.
Allerdings gäbe es bereits eine UN-Konvention zum Schutz von Kindern. Diese sei nicht nur einer der meist ratifizierten Verträge weltweit, sie mache nach Meinung von Kinderrechts-NGOs auch genau die richtigen Vorgaben in diesem Bereich. Ihr Hauptproblem sei vielmehr die fehlende und lückenhafte Umsetzung ihres optionalen Zusatzprotokolls, das sich gegen derartige Verbrechen an Kindern richte. Ein separates Abkommen mit abweichenden Formulierungen berge das Riskio in sich, Rechtsunsicherheit zu erzeugen und drohe deshalb eher, sich nachteilig auf den Kinderschutz auszuwirken. Auf EU-Ebene werde parallel gerade versucht, der sexualisierten Gewalt gegen Kinder mit einer Chatkontrolle beizukommen. Hier zeige sich bereits, wie derartige Überwachungsmaßnahmen beim Kinderschutz versagen und stattdessen das Risiko für Kinder und Jugendliche noch weiter erhöhen. Die Dokumentation von Kindesmissbrauch sei bereits in so gut wie allen Staaten der Welt strafbar. Unklarer isei die Situation eher bei der genauen Ausgestaltung. Die Cybercrime Convention sehe derzeit 18 Jahre als Altersgrenze vor. Bei manchen Tatbeständen reiche es auch, wenn die Person so aussähe, als wäre sie unter 18 Jahre alt.
Aktueller Verhandlungsstand – globaler Überwachungsstandard
Eine zeitgemäße Strafverfolgung in Reaktion auf neue Entwicklungen im Bereich der Computerkriminalität sei selbstverständlich wichtig und nötig. Der vorliegende Entwurf gehe jedoch weit über dieses simple Ziel hinaus. Die ersten drei Kapitel des Entwurfs wurden im November 2022 in ihrer Rohfassung veröffentlicht (in der Zwischenzeit gäbe es davon bereits zwei neue Versionen) und in der Folge den zweiten Teil mit weiteren Kapiteln des Vertragsentwurfs zur Kooperation zwischen Staaten. Der erste Teil fokussiert neben allgemeinen Bestimmungen auf die Straftatbestände, die alle ratifizierenden Staaten in ihre Strafgesetzbücher aufnehmen sollen und auf Strafverfahrens- und -verfolgungsbestimmungen.
- Der gesamte Entwurf orientiere sich im Grunde stark an bereits bestehenden Verträgen, wie etwa der Budapest-Konvention des Europarats.
- Zusätzlich spiegele er aber weitere Forderungen diverser UN-Staaten wider, die ihre jeweiligen Anliegen und Wünsche in den Rohentwurf eingebracht und diesen signifikant ausgeweitet haben – es liege also noch kein Konsenentwurf vor.
An einem solchen werde in der aktuellen und den kommenden Sitzungen gearbeitet. Vieles am Vertragstext werde sich deshalb auch noch ändern. Insbesondere sei mit der Streichung von vorgeschlagenen Bestimmungen zu rechnen und auch an den konkreten Formulierungen werde noch gefeilt. Man hoffe, dass dies nicht im Sinne invasiver Überwachungsstaaten, sondern mit starken Sicherheitsmaßnahmen für die Menschenrechte einher gehe. Dafür machten sich glücklicher Weise nicht nur zahlreiche NGOs stark. Auch von vielen UN-Mitgliedsstaaten gäbe es große Unterstützung für verstärkte Maßnahmen zur Absicherung der Grund- & Menschenrechte in der Konvention.
Wie geht es weiter?
Die aktuelle vierte Verhandlungsrunde sei bis zum 20. Jänner 2023 in Wien gelaufen. Über das Jahr 2023 werde es weitere Verhandlungsrunden in Wien und New York geben und damit einhergehend neue Versionen des Vertragsentwurfs. Diese würden sich im Zuge der Verhandlungen immer weiter dem schlussendlichen Text annähern. Die Zusammenstellung der Österreichischen Delegation für die Verhandlungen wurde im Ministerrat beschlossen.
Die UN Cybercrime Convention stelle potenziell ein hohes Risiko durch eine global ausgeweitete staatliche Überwachung und hochgradig invasive Ermittlungsinstrumente dar. Deshalb verfolge eine breite Koalition von NGOs aus der Netzpolitik die Verhandlungen und sei darum bemüht, im Plenum und in vielen Einzelgesprächen mit Vertreter:innen der staatlichen Delegationen möglichst große Änderungen am derzeitigen Entwurf zu erzielen.
epicenter hat im Vorfeld der vierten Verhandlungsrunde auch einen gemeinsamen offenen Brief von 89 NGOs aus 45 Staaten verfasst, in dem konkrete Vorschläge zur Verbesserung des Vertragstextes gemacht werden. Auf diesen verweisen wir in den Verhandlungen durchgehend, wie z.B. in unserer zweiten Intervention (siehe unten), und auch die UNO hat bereits Interesse daran gezeigt.
https://embed.epicenter.works/yt/QDhC-SlRYkcTags: Datenschutz und PrivatsphäreÜberwachungBundestrojanerVorratsdatenspeicherung
Posted in Uncategorized