Der Chaosknoten Chaos Computer Club e.V.

          suche

ist das Logo des CCC
Deutsch English


Cybercrime-Konvention des Europarats

09. Februar 2002 (sz)
Die Cybercrime-Konvention des Europarats ist fertig. Diese Seite soll über den Inhalt und die Auswirkungen dieser Konvention informieren.

Einleitung

Am 8. November 2001 wurde die Cybercrime-Konvention trotz Bedenken von Menschenrechtlern und Datenschützern durch das Ministerkomittee des Europarats endgültig verabschiedet. Am 23. November haben die ersten Staaten die Cybercrime-Konvention (ETS-No.: 185) unterzeichnet. Dazu gehören die Mitgliedsstaaten Albanien, Armenien, Belgien, Bulgarien, Deutschland, Estland, Finland, Frankreich, Griechenland, Großbritannien, Italien, ehem. Jugoslawische Republik Mazedonien, Kroatien, Moldavien, Niederlande, Norwegen, Polen, Portugal, Österreich, Rumänien, Spanien (vorbehaltlich eines Referendums), Schweden, Schweiz, Ukraine, Ungarn und Zypern sowie die Nicht-Mitgliedsstaaten Kanada, Japan, Südafrika und die Vereinigten Staaten von Amerika. Am 30. November 2001 ist noch Island zu den Unterzeichnerstaaten hinzugekommen. Damit haben zum gegenwärtigen Zeitpunkt 31 Staaten die Cybercrime-Konvention unterzeichnet. Ratifiziert hat sie bisher kein Staat. Einen aktuellen Überblick über den Stand der Unterzeichnungen und Ratifikationen gibt es beim Europarat unter [Externer Link]conventions.coe.int Die Cybercrime-Konvention tritt in Kraft, sobald sie mindestens fünf Staaten, davon mindestens drei Mitgliedsstaaten, ratifiziert haben.

Der Europarat

Der Europarat umfaßt mit 41 Mitgliedsstaaten weit mehr Länder als die Europäische Union. Die Konventionen des Europarats müssen von den einzelnen Ländern ratifiziert werden. Die Bundesrepublik Deutschland hat bisher 106 der insgesamt 173 Konventionen ratifiziert und 35 weitere unterzeichnet (Quelle: [Externer Link] www.europarat.de ). Ratifizierte Konventionen sind für die Mitgliedsstaaten verbindlich.

Der Europarat umfaßt das Ministerkomitee, die Parlamentarische Versammlung und den Kongreß der Gemeinden und Regionen Europas. Konventionen des Europarates werden von Fachausschüssen vorbereitet und dann von der Parlamentarischen Versammlung, die viermal im Jahr zusammentritt, verabschiedet. Anschließend werden die Konventionen dem Ministerkomitee vorgelegt, das sie endgültig verabschiedet und damit die Konvention verbindlich macht, sobald sie von den Mitgliedsstaaten ratifiziert wurde.

Die Cybercrime-Konvention

Die europäische Cybercrime-Konvention (ETS-No.: 185) heißt mit offiziellem Titel: "Convention on Cybercrime (Convention sur la cybercriminalite')" und ist unter [Externer Link]conventions.coe.int auf englisch und französisch abrufbar. Dazu gehört das [Externer Link]Draft Explanatory Memorandum, ein umfangreicher Kommentar zur Konvention. Das Ziel der Cybercrime-Konvention ist die Bereitstellung von Gesetzen und Vorgehensweisen zur Bekämpfung "verschiedener Arten kriminellen Verhaltens gegen Computer Systeme, Netzwerke und Daten". Ratifiziert werden kann die Konvention praktisch von allen Staaten, zu Anfang jedoch nur von den Mitgliedsstaaten des Europarates und denjenigen Staaten, die bereits aktiv am Entwurf der Cybercrime Konvention mitgewirkt haben. Dies sind beispielsweise die USA, Kanada, Japan und Südafrika.

Das Zusatzprotokoll "on the criminalisation of acts of a racist or xenophobic nature through computer networks"

Bereits beim Entwurf wünschten sich einige Staaten, daß auch gegen rassistische oder allgemein diskriminierende Texte oder Bilder international vorgegangen werden kann. Man denke beispielsweise an die Nazi-Webseiten in den USA, gegen die Deutschland gerne vorgehen möchte. Allerdings wurden solche Einschränkungen der Meinungsfreiheit - insbesondere auch von den USA - in der eigentlichen Konvention abgelehnt. Deshalb einigte man sich darauf, ein Zusatzprotokoll zu entwerfen, das die betreffenden Staaten zusätzlich ratifizieren können. Dazu wurde das [Externer Link]"Comittee of Experts on the Criminalisation of Acts of Racist or Xenophobic Nature (PC-RX)" ins Leben gerufen. Bis zum 30.04.2002 soll es das Protokoll fertigstellen. Allerdings wurde auch hier eine ganze Zeitlang im Verborgenen gearbeitet. Zahlreiche Bürgerrechtsgruppen, die sich in der Global Internet Liberty Campaign (GILC) zusammengeschlossen haben, veröffentlichten daher Anfang Februar 2002 ein gemeinsames Schreiben, in dem der Europarat aufgefordert wurde, den Entwurf zu veröffentlichen. Gerade einen Tag später wurde der [Interner Link]Entwurf und das Protokoll der ersten Sitzung freigegeben.

Aufbau der Konvention

Die Cyber-crime Convention ist unterteilt in vier Kapitel, die wiederum in mehrere Sektionen unterteilt sein können. Die Sektionen bestehen aus mehreren Titeln. Jeder Titel wiederum besteht aus einem oder mehreren Artikeln. Eine grobe Zusammenfassung der Inhalte der einzelnen Titel ist in der folgenden Tabelle (bezogen auf 25. Fassung) aufgeführt:

Preamble: Die Präambel der Konvention umfaßt die Begründung für die Konvention und verweißt auf bereits bestehende "Recommendations" zur zwischenstaatlichen Verbrechensbekämpfung und Telekommunikationsüberwachung.

Chapter I - Use of terms: Dieser Abschnitt umfaßt den ersten Artikel und enthält Definitionen für "Computer-System", "Computer-Daten", "Service Provider" und "Verkehrs-Daten".

Chapter II - Measures to be taken at the national level:

Section 1 - Substantive criminal law:

Title 1: Offences against the confidentiality, integrity and availability of computer data and systems: Dieser Titel besteht aus den Artikeln 2 bis 6. In ihnen wird verlangt, daß der unerlaubte Zugriff auf Rechnersysteme, das Abhören und Sniffen von Daten, Störung oder Veränderung der Kommunikation, Störung von Computersystemen und der Mißbrauch von Geräten und Programmen (auch der Besitz mit der Absicht des Mißbrauchs) unter Strafe zu stellen sind.

Title 2: Computer-related offences: Der zweite Titel des Kapitels II besteht aus den Artikeln 7 und 8. Nach diesen Artikeln sind Fälschung (oder Veränderung, Unterdrückung, Löschung usw.) von Daten und der Betrug durch Datenveränderung bzw. Störung von Computersystemen unter Strafe zu stellen.

Title 3: Content-related offences: Dieser Titel stellt im großen und ganzen alles im Zusammenhang mit Kinderpornografie unter Strafe. Dies umfaßt die Produktion, den Vertrieb, das Übertragen, das Besitzen und auch das Herunterladen von Kinderpornografie.

Title 4: Offences related to infringements of copyright and related rights: Dieser aus Artikel 10 bestehende Titel verlangt das unter Strafe stellen von Copyright-Verletzungen. Dabei wird bezug genommen auf verschiedene internationale Konventionen und Abkommen, insbesondere auch der WIPO.

Title 5: Ancillary liability and sanctions: In den Artikeln 11 bis 13 wird die Behilfe und der Versuch von Verstößen gegen die oben genannten Artikel unter Strafe gestellt. Weiterhin können auch juristische Personen für die Taten von natürlichen Personen, die die juristische Person repräsentieren oder entsprechende Entscheidungsbefugnisse haben, haftbar gemacht werden. Dies gilt auch dann, wenn der Verstoß durch nicht nicht ausreichende Aufsicht bzw. Kontrolle ermöglicht wurde.

Section 2 - Procedural Law:

Title 1 - Common Provisions: Artikel 14 und 15: Hier wird gefordert, daß die entsprechenden Gesetze geschafft werden, die die Verfolgung von Verstößen gegen die Cybercrime-Konvention oder andere Verstöße im Zusammenhang mit Computersystemen erlauben. Dabei müssen die Menschenrechte beachtet werden.

Title 2 - Expedited preservation of stored computer data: In den Artikeln 16 und 17 wird eine Gesetzgebung gefordert, die es erlaubt, die unverzügliche Sicherung und unverfälschte Aufbewahrung von Computerdaten zu verlangen. Dabei soll es egal sein, ob einer oder mehrere ISPs an der Kommunikation beteiligt sind. Weiterhin sollen unverzüglich alle Daten den staatlichen Autoritäten zur Verfügung gestellt werden, die zur Identifizierung der beteiligten ISPs und dem Kommunikationspfad nötig sind. Ohne richterlichen Beschluß können die Netzbetreiber dazu verpflichtet werden, Daten für bis zu 90 Tage zu speichern.

Title 3 - Production order: Der Artikel 18 verlangt, daß eine gesetzliche Situation geschaffen wird, durch die jede Person verpflichtet werden kann, Computerdaten herauszugeben. ISPs müssen Kundendaten bereitstellen. Artikel 14 und 15 sind zu beachten.

Title 4 - Search and Seizure of Stored Computer Data: Nach Artikel 19 muß ein Gesetz erlassen werden, das es den staatlichen Autoritäten erlaubt, Zugriff auf sämtliche Computersysteme und Datenspeicher im Territorium des Landes zu verlangen. Die Suche darf dabei sofort auf andere Computersysteme oder Datenspeicher ausgedehnt werden, wenn diese vom ursprünglichen Computersystem aus zugreifbar sind. Weiterhin dürfen die Computersysteme und Datenspeicher beschlagnahmt werden. Daten dürfen von den beschlagnahmten Geräten gelöscht werden. Außerdem kann jede Person, die sich mit dem Computersystem oder den Mechanismen zum Schutz der gespeicherten Daten auskennt (z.B. Verschlüsselung), verpflichtet werden, alle nötigen Informationen zur Ermöglichung der oben genannten Maßnahmen bereitzustellen. Artikel 14 und 15 sind zu beachten.

Title 5 - Real-time collection of computer data: Artikel 20-22: Es müssen Gesetze geschaffen werden, die es den staatlichen Autoritäten erlauben, einen ISP dazu zu zwingen, in Echtzeit Kommunikationsdaten und Kommunikationsinhalte zu sammeln oder Unterstützung dazu zu gewähren. Der ISP ist dabei zur Geheimhaltung verpflichtet. Artikel 14 und 15 sind zu beachten.

Section 3 - Jurisdiction: Artikel 23: Der Staat hat seine Rechtszuständigkeit für Verstöße im Zusammenhang mit den Artikeln 2-11 zu erklären, wenn diese in seinem Territorium, auf einem Schiff unter nationaler Flagge, in einem nach nationalem Recht registriertem Flugzeug oder von einem seiner Staatsbürger außerhalb der Rechtszuständigkeit aller anderen Staaten begangen wurden. Ebenso ist Zuständigkeit zu erklären, wenn der vermeintliche Straftäter aufgrund seiner Nationalität nach Aufforderung nicht an andere Staaten ausgeliefert wird (siehe auch Artikel 25).

Chapter III - International Co-operation:

Section 1 - General principles:

Title 1 - General principles relating to international co-operation: Im Artikel 24 geht es um die Zusammenarbeit zwischen den Unterzeichnerstaaten. Durch reziproke Anwendung der Gesetze soll weitestgehend kooperiert werden bei der Ermittlung und beim Sammeln von Beweisen.

Title 2 - Principles relating to extradition: Der Artikel 25 regelt die Auslieferung bei Verstößen gegen die Artikel 2 bis 11 dieser Konvention, wenn sie durch eine maximale Freiheitsstrafe von mindestens einem Jahr oder eine schlimmere Strafe geahndet werden. Andere Auslieferungsabkommen haben Vorrang, die oben genannten Verstöße müssen aber mit aufgenommen werden in bestehende Abkommen. Wenn eine Auslieferung beantragt wurde, die Gegenseite aber die Auslieferung aufgrund der Nationalität des vermeintlichen Straftäters verweigert, soll die Gegenseite auf Wunsch des Antragstellers selbst den Fall an die Strafverfolgungsbehörden übergeben.

Title 3 - General principles relating to mutual assistance: Artikel 26 und 28 (!): Die Unterzeichner der Konvention sollen sich gegenseitig weitmöglichst bei Ermittlungen und der Sicherstellung von Beweisen unterstützen. Die Parteien sollen entsprechende Gesetze erlassen, um den Verpflichtungen aus Artikeln 27 bis 35 nachkommen zu können. Jede Partei kann in dringenden Fällen die gegenseitige Unterstützung per Fax und E-Mail anfordern, wenn ein ausreichendes Maß zur Identifizierung sichergestellt wurde. Informationen aus Ermittlungen können auch ohne Anforderung an andere Parteien weitergegeben werden.

Title 4 - Procedures pertaining to mutual assistance requests in the absence of applicable international agreements: Artikel 27 und 27bis: Gibt es keine gegenseitigen Unterstützungsabkommen zwischen den einzelnen Parteien, dann ist dieser Artikel anzuwenden. Er bestimmt, daß die Kontaktkoordinaten der zuständigen Stellen an den Europarat gemeldet werden müssen. Weiterhin wird geregelt, wann eine Unterstützungsanfrage ablehnt werden darf und die Information des Antragstellers. Außerdem kann die Interpol mit einbezogen werden. Der Artikel 27bis wird noch überarbeitet.

Section 2 - Specific provisions:

Title 1 - Mutual assistance regarding provisional measures: In den Artikeln 29 und 30 wird die konkrete Umsetzung der gegenseitigen Unterstützung bei Anfragen zur beschleunigten Sicherstellung von Computerdaten geregelt. Daten sind für einen Zeitraum vom mindestens 60 Tagen sicherzustellen. Stellt sich dabei heraus, daß ein weiterer ISP in einem anderen Staat beteiligt ist, ist unverzüglich eine ausreichende Menge an Verkehrsdaten dem Antragsteller zu übermitteln, die die Identifikation des ISPs und den Pfad der Daten erlaubt.

Title 2 - Mutual assistance regarding investigative powers: Artikel 31 bis 34: Hier wird der Zugriff auf die sichergestellten oder sonstwie gespeicherten Daten im Rahmen der gegenseitigen Unterstützung geregelt. Jede Partei darf von einem Computersystem in seinem Territorium ohne Zustimmung einer anderen Partei auf Daten zugreifen, die öffentlich sind, oder wenn eine Zustimmung eingeholt wurde von einer Person, die dazu berechtigt ist. Gegenseitige Unterstützung ist auch bei der Echtzeit-Sammlung und dem Abhören von Daten zu gewähren.

Title 3 - 24/7 Network: Artikel 35: Jede Partei soll eine Kontaktstelle schaffen, die 24 Stunden am Tag, 7 Tage die Woche erreichbar ist. Diese soll technische Hilfestellungen geben und die Sicherstellung von Daten nach Artikeln 29 und 30 durchführen. Weiterhin soll sie Indizien sammeln, Verdächtige lokalisieren und Rechtsinformationen geben.

Chapter IV - Final Provisions: Artikel 36 bis 48: Hier ist die Ratifizierung und das Inkrafttreten der Konvention geregelt. Sowohl Mitgliedsstaaten des Europarats als auch Nichtmitgliedsstaaten, die bei der Ausarbeitung mitgewirkt haben, können unterzeichnen. Die Konvention tritt drei Monate nach der Unterzeichnung durch mindestens fünf Staaten, davon mindestens drei Mitgliedsstaaten, in Kraft. Nach Inkrafttreten können auch weitere Nichtmitgliedsstaaten Unterzeichner werden. Jeder Unterzeichner kann die Territorien, für die die Konvention gelten soll, angeben. Die Konvention ergänzt die bereits bestehenden Konventionen, insbesondere: European Convention on Extradition (1957), European Convention on Mutual Assistance in Criminal Matters (1959), Additional Protocol to the European Convention on Mutual Assistance in Criminal Matters (1978). Ergänzungsvorschläge (Amendments) zur Konvention sind an das European Committee on Crime Problems (CDPC) zu richten. Internationale Tribunale sollen bei Interpretationsfragen schlichten. Die Parteien sollen sich gegenseitig und das CDPC regelmäßig über die effektive Anwendung und Kriminalitätsentwicklungen in Computernetzen informieren.

Fassungen auf unserem lokalen Mirror:

Verabschiedungsprozeß und derzeitiger Stand

Am 10.04.2001 gab der Rechtsausschuß der Parlamentarischen Versammlung seine [Externer Link]Stellungnahme ab. Zwei Wochen später, am 24.04.2000, wurde der 25. Entwurf dann direkt der Parlamentarischen Versammlung des Europarats zur Stellungnahme vorgelegt. Überraschenderweise wurde trotz der Kritik von Experten und Datenschützern nur ein einziger Änderungsantrag angenommen , der die Berücksichtigung der Menschenrechts-Konvention bei der nationalen Umsetzung verlangt (Quelle: [Externer Link] Heise-Newsticker ). Der Entwurf wurde dann ein letztes Mal von dem "European Committee on Crime Problems (CDPC)" überarbeitet und dann beim nächsten Plenum (18.-22. Juni 2001) genehmigt. Eine weitere Zustimmung erfolgte durch die Abgesandten der Minister am 19. September 2001. Zuletzt mußte das Ministerkomitee die Konvention annehmen. Dies war am 8. November 2001 der Fall. Mit den Unterzeichnungen durch 30 Staaten am 23. November 2001 war die Konvention fertig und kann ratifiziert werden.

Auswirkungen auf Deutschland

Sollte Deutschland die Konvention ratifizieren, so muß Deutschland die in der Konvention geforderten Gesetzesänderungen vornehmen. Doch selbst wenn Deutschland nicht ratifizieren sollte, ist davon auszugehen, daß der Druck aus dem Ausland und insbesondere der EU wachsen wird, die Konvention zu implementieren, insbesondere dann, wenn viele andere Staaten die Konvention ratifizieren sollten. Da die Bundesregierung an dem Entwurf der Cyber-crime Convention beteiligt war, ist davon auszugehen, daß eine Ratifikation nicht unwahrscheinlich ist. Insbesondere die Ereignisse des 11. September 2001 dürften ihr übriges tun, einen starken Rückhalt für eine Ratifikation zu erzeugen. Allerdings sind die im Unterausschuß für Neue Medien des Bundestages vertretenen Abgeordneten in der Mehrheit gegen eine Ratifikation, wie der [Externer Link] Bericht der PDS-Abgeordneten Angela Marquardt nahelegt, haben aber wenig Einfluß darauf.

Stellungnahmen der Kritiker

Weitere Links

Version 1.2 (09.02.2002)

Kommentare/Ergänzungen bitte an: [Mail]cybercrime@hamburg.ccc.de


Kabelsalat ist gesund.