Die „Convention on Cybercrime“, oder auch „CCC“ ist bis heute der Grundstein des sich weltweit etablierenden Internet-Strafrechts, dem inzwischen 64 Länder weltweit beigetreten sind und die die Vorgaben des CCC durch nationale Gesetze umgesetzt haben. Am 23. November 2001 unterzeichneten sowohl die 26 Länder des Europarats als auch die USA, Kanada, Japan und Südafrika das „Übereinkommen über Computerkriminalität“ („Budapester Konvention gegen Datennetzkriminalität“, „Convention on Cybercrime“, „CCC“), das das Ziel hat, die länderspezifischen Computerstrafrechtsregelungen anzugleichen.
Bis heute prägt die CCC auch das deutsche IT-Strafrecht – und soll längst weiter entwickelt werden. Seit 2019 laufen die diesbezüglichen Bemühungen und fanden nun im August 2024 ihren Abschluss. Ein exemplarischer Blick auf das Thema, um zu zeigen, dass die Thematik IT-Strafrecht im Blick behalten werden muss.
Sachstand: Auch nach der letzten Sitzung des Ad-hoc-Ausschusses für Cyberkriminalität am 9. Februar 2024 konnte noch kein Konsens erzielt werden. Am 09. August 2024 dann wurde sich endgültig und einstimmig auf eine – nochmals überarbeitete Fassung – geeinigt. Die erhebliche Kritik zurücklässt. Dazu finden Sie im Blog einen eigenen Beitrag:
Es ist nicht gerade eine Aneinanderreihung der bekanntlich demokratischsten Länder auf diesem Planeten, die eine Weiterentwicklung der Cybercrime-Konvention fordern: „Belarus, Cambodia, China, Democratic People’s Republic of Korea, Myanmar, Nicaragua, Russian Federation and Venezuela“. Wenn gerade China und Russland das IT-Strafrecht überarbeiten möchten, also den schärfsten staatlichen Eingriff in die Kommunikationsfreiheit in Form des Strafrechts, mag man etwas genauer hinsehen.
Aktueller Stand eines neuen Cybercrime-Abkommens
Nunmehr, nach zähem und jahrelangem Ringen, wurde erreicht, dass der Vorschlag aus Russland zur weiteren Verhandlung beschlossen wurde. Die Sorgen, die etwa auch Heise aufgreift, sind dabei durchaus berechtigt. Es zeigt sich, dass recht empfindlich Alltagsphänomene auf die Ebene staatlicher Kontrolle gehoben werden, wobei bereits einiges in Deutschland und der bisherigen CCC längst umgesetzt sind. Die Liste liest sich in aller Kürze wie folgt:
- Unbefugter Zugriff auf elektronische Informationen
- Unbefugtes Abfangen
- Unbefugte Dateninterferenzen
- Unterbrechung des IKT-Betriebs (Hinweis: Definiert im Entwurf ist “Information and communications technology” (ICT))
- Erstellung, Nutzung und Verteilung von bösartiger Software
- Verbreitung von Spam
- Unbefugter Handel mit Geräten
- IKT-bedingter Diebstahl
- Straftaten im Zusammenhang mit Kinderpornographie
- Phishingbezogene Straftaten
- IKT-bedingte Verletzung von Urheberrechten und verwandten Schutzrechten
Problematisch in der Umsetzung?
Was sich nach einer Auflistung unerwünschter und grossteils in Deutschland ohnehin schon staatlicher sanktionierter Verhaltensweisen anhört, kann durchaus kritisch gesehen werden. Wenn etwa beim Phishing die „Erstellung und Verwendung elektronischer Informationen“ unter Strafe gestellt wird, sollte man bereits staatlich gesteuerte Sperr-Anordnungen mit Kollateralschaden vor Augen haben. Von der Formulierung in Artikel 15 ist es für mich nur noch ein kleiner Schritt, um eine Filtertechnologie aufzubauen, um proaktiv Phishing-Angebote zu sperren. Ebenso wenn in Artikel 11 schlicht von „distribution of spam“ als Anknüpfungspunkt für staatliche Sanktionen die Rede ist, bei weiter Auslegung kann problemlos jeder Provider als durchreicher in den staatlichen Fokus gelangen. Wiederum weniger für unmittelbare Sanktionen, als vielmehr für Filtertechniken, die bei den hier massgeblich treibenden Ländern nun wirklich nicht allzu fernliegend am Sorgenhorizont sein dürften.
Neue Haftungsregime
Auch wenn wir in Deutschland ist Jahren am bisher nicht existierenden Unternehmensstrafrecht basteln dürfte man durchaus kritisch sehen, dass eine unbedingte „Haftung juristischer Personen“ in Artikel 20 vorgesehen ist. Auch das in Artikel 4(k) die kriminelle Vereinigung in Form einer Bande bereits als Zusammenschluss von zwei und eben nicht mehr drei Personen angesehen wird (womit im deutschen Rechtssystem eine schlichte Mittäterschaft ausgehebelt wird bzw. die Verteidigung zur Beihilfe hin faktisch abgeschossen wird) dürfte man kritisch sehen.
Überwachungsmöglichkeiten
Die CCC im russischen Entwurf sieht (natürlich) eine Vorratsdatenspeicherung vor, nämlich von 180 Tagen Umfang (bei unter Umständen einzurichtendem Echtzeit-Zugriff).
Alles in allem dürfte man skeptisch sein, ob dieser Entwurf tatsächlich weiter kommt, da letztlich sämtliche G7 Staaten sich dagegen gestellt haben. Es ist gleichwohl ein wichtiger und zwischenzeitlich angebrachter Ausblick darauf, was man auf internationaler Ebene versucht und versuchen kann, um über das scharfe Schwert des IT-Strafrechts in Kommunikationsstrukturen einzugreifen.
Kritik (Dezember 2023)
Experten warnen derzeit erneut, dass auch der jüngste UN-Vertragsentwurf zur Cyberkriminalität ein großer Schritt in die falsche Richtung“ sei. Dutzende von Cybersicherheitsexperten und Menschenrechtsgruppen haben den neuesten Entwurf des umstrittenen UN-Vertrags über Cyberkriminalität kritisiert, der derzeit von den Mitgliedsstaaten verhandelt wird. Er sei deutlich schlechter als der erste Entwurf.
Mehrere Experten, die am Verhandlungsprozess beteiligt sind, sagten, dass der Ende letzten Monats veröffentlichte Entwurf die Cybersicherheitsforschung effektiv kriminalisieren und die Menschenrechte missachten würde. Ihre Hauptbedenken umfassen
Die Streichung von Abschnitten, die die Befugnisse des Abkommens auf eng definierte Cyberverbrechen beschränken.
Grenzüberschreitende Überwachung durch Nationalstaaten ohne Schutzmaßnahmen
Der nun optionale Schutz für Opfer von Cyberkriminalität
die Ausweitung des Begriffs „Online-Betrug“.
Die Electronic Frontier Foundation (EFF) beispielsweise kritisiert, dass der aktuelle UN-Vertragsentwurf zur Cyberkriminalität diese Bedenken nicht nur ignoriert, sondern sogar noch verschärft. Er weite den Anwendungsbereich gefährlich über die in der Konvention definierten Cyberverbrechen hinaus aus und enthalte eine lange Liste von Nicht-Cyberverbrechen. Der Entwurf behalte auch eine umstrittene Bestimmung bei, die es Staaten erlaube, Ingenieure oder Angestellte zu zwingen, Sicherheitsmaßnahmen zu untergraben, was eine Bedrohung für die Verschlüsselung darstelle, so Rodriguez.
Darüber hinaus können Staaten ein größeres Netz spannen, indem sie auf Daten zugreifen, die von Unternehmen im Ausland gespeichert werden, was gegen die Datenschutzgesetze anderer Länder verstoßen könnte. Der jüngste Entwurf enthält neue Bestimmungen, die jede Straftat im Zusammenhang mit der Nutzung von Technologie abdecken, die extraterritoriale Überwachung ohne Schutzmaßnahmen ausweiten und die Kriminalisierung legitimer Cybersicherheitsforschung und Penetrationstests ermöglichen.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024