ENDitorial: Die Cybercrime-Tagung 2001 des Europarates ist gefährlicher denn je

Der Europarat (CoE – Council of Europe) hat die weltweite und breite Ratifizierung seiner Cybercrime-Tagung definitiv zur Priorität erklärt. Diese steht seit November 2001 für Unterschriften bereit und trat am 1. Juli 2004 in Kraft. Als Teil der Bemühungen dieses Ziel zu erreichen, wurde vom 11.-12. Juni 2007 eine Konferenz zum Thema „Kooperation gegen Cybercrime“ in Straßburg abgehalten. Zu diesem Anlass war auch EDRI eingeladen eine Präsentation abzuhalten (einige Präsentationen der Teilnehmer sind auf der Website der Konferenz erhältlich).

Diese Konferenz wurde im Rahmen des Octopus.Proggrammes des Europarats gegen Korruption und organisiertes Verbrechen in Europa organisiert; drei Jahre nach der Veranstaltung „Das Problem Cybercrime“ im Jahre 2004 und zwei Jahre nach der gemeinschaftlichen CoE-OAS-Konferenz (Organisation of American States) zum Thema „Cybercrime: ein globales Problem, eine globale Lösung“. Der Europarat hat diese Tagung auch in vielen internationalen Foren, inklusive dem Weltweiten Gipfeltreffen der Informationsgesellschaft und seinem folgenden Internet Governance Forum, angepriesen. Zum Schluss wurden zahlreiche regionale Treffen und Lehrveranstaltungen für Mitgliedsstaaten und dritte Staaten abgehalten, um ihnen bei der Implementierung konferenzfertiger oder –kompatibler Bestimmungen in ihrer Gesetzgebung zu helfen.

Rund 140 Teilnehmer wohnten der Konferenz bei (die Liste ist auf der Website der Konferenz zu finden). Darunter befanden sich hauptsächlich Gesetzvollzugsbehörden (LEA – Law enforcement authorities) aus der ganzen Welt (49 Länder von 5 Kontinenten), 12 internationale Organisationen (u.a. EUROPOL, INTERPOL und ENISAi – die Sicherheitsbehörde für europäisches Netzwerk und Information), 3 nichtstaatliche Organisationen (EDRI, ICMEC – das Internationale Zentrum für vermisste und ausgebeutete Kinder, und die Französische Menschenrechtsliga), 3 Foren internationaler Multiinteressensvertreter (der Inhope-Verband der Internethotlines, das Anti-Phishing-Forum und die London Action Plan gegen Spam) und 3 aus dem privaten Sektor (Microsoft, NASSCOM – Indiens nationaler Verband für Software- und Dienstleistungsunternehmen, und RSA).

Überraschenderweise nahmen keine Repräsentanten der Internetdienstanbieter (ISPs) teil, und keiner von ihnen wurde eingeladen eine Präsentation vorzuführen, obwohl die Cybercrime-Konferenz ihnen eine große Last auferlegt; schließlich benötigen die meisten ihrer Verfahrensbestimmungen (Artikel 16-21) die Kooperation der Internetdienstanbieter für die Bewahrung, Erzeugung, Suche und Beschlagnahme gespeicherter Computerdaten, der Echtzeiterfassung von Verkehrsdaten und die Überwachung von Inhaltsdaten.

Microsoft hingegen wurde gut repräsentiert und ihm wurde ganzen drei Präsentationen in Plenarsitzungen offensichtlich eine wichtige Rolle in der Konferenz zugesprochen. Die Präsentation von Alexander Seger, Leiter der Technischen Kooperation in der Behörde für Deliktprobleme (Head of Technical Cooperation in the Department of Crime Problems) (CoE Generaldirektion für Rechtsangelegenheiten), lieferte Hilfestellungen zum Verständnis dieser Sonderbehandlung: der Europarat hat ein neues Projekt gegen Cybercrime gestartet, „ein globales Projekt zur Unterstützung europäischer und nicht-europäischer Länder beim Beitritt und der Implementierung der Cybercrime-Konferenz oder dem Protokoll bezüglich Fremdenfeindlichkeit und Rassismus“, das im September 2006 für die Dauer von 30 Monaten begann (Details hierzu sind auf der Website der Konferenz zu finden). Das Gesamtbudget beträgt 1,7 Millionen Euro, von denen derzeit bloß 550,000 Euro erhältlich sind: 290,000 Euro aus eigener Finanzierung des Europarates und 260,000 aus Beisteuerungen seitens Microsoft.

Es muss gesagt werden, dass diese private Fianzierung für den CoE eine neue Methode darstellt, die soweit geht, dass die Finanzierung von Seiten Microsofts vom CoE Ministerrat bewilligt werden muss.

Wie auch Alexander Seger in seiner Präsentation andeutete, “sind [Link!] andere Spender (öffentlich und privat) eingeladen, an diesem Projekt teilzunehmen“ und „abgesehen von diesem Projekt dürfte der Europarat ebenso stärkere Kooperation mit dem privaten Sektor suchen“. Falls solch eine Erweiterung in Zukunft tatsächlich realisiert werden sollte, darf man sich wundern ob der Europarat die Referenz erfüllen kann, die er momentan vertritt im Bezug auf Achtung vor Menschenrechten, Demokratie und dem Rechtsgrundsatz. Interessant genug ist, dass der Trend Projekte des Europarats durch de privaten Sektor zu finanzieren, mit genau dieser Cybercrime-Tagung beginnt; vermutlich das einzige der derzeitigen 200 Europaratsabkommen, die durch Menschenrechts-NGOs so sehr kritisiert wurden, wie durch EDRI in seiner Präsentation in Erinnerung gerufen. Während Alexander Seger und Vertreter von Microsoft darauf beharren, dass „keine speziellen Konditionen an die finanzielle Unterstützung durch Microsoft gebunden sind [Link!]“, wäre es sehr naiv, diese „Garantie“ für ausreichend zu halten: für das bereits ausgegebene Geld durfte man bereits das Programm aufstellen und auch vorantreiben.

Das Interesse einer Firma wie Microsoft an einem solchen Projekt steht in direkter Verbindung mit den stichhaltigen Bestimmungen der Konvention (Art. 2 bis 13), die auf die Harmonisierung der Kriminalisierung durch die Kommission von „Verbrechen gegen die Geheimhaltungspflicht, Integrität und die Verfügbarkeit von Computerdaten und –systemen“ (Art. 2-6), „Verbrechen in Verbindung mit Computern“ (Fälschung und Betrug, Art. 7-8), „Verbrechen in Verbindung mit Inhalten“( Kinderpornographie im Internet, Art. 9), „Verbrechen in Verbindung mit Verstößen gegen das Urheberrecht und verwandte Rechte“ (Art. 10) oder Versuche, Hilfestellungen oder Beihilfe der Kommission zu solchen Vergehen (Art. 11).
Verstöße gegen das Urheberrecht wurde in der 2007-Konferenz beinahe gar nicht aufgegriffen. Der Kampf gegen Kinderpornographie im Internet diente als das gemeinsamer Aufhänger, um solche Programme wie sowohl die Konvention als auch private Hotlines zu bewerben: Bedenken bezüglich des Respekts vor dem Gesetz, wie sie von EDRI geäußert wurden, wurden wie üblich mit dem Verdacht auf Laxheit aufgenommen. EDRI war der einzige Teilnehmer, der darauf hinwies, dass das zusätzliche Protokoll gegen Rassismus und Xenophobie nur von jenen Ländern ratifiziert werden kann, die die Verbreitung solcher Inhalte bereits in ihren nationalen Gesetzen kriminalisieren, sowie auch Beleidigungen und Drohungen, die sich auf Rassismus und Xenophobie stützen. Daher würden Fälle wie der berühmte Yahoo!-Fall zwischen Frankreich und den USA nie gelöst werden, einfach weil – wie EDRI zu bedenken gab – die Konvention und das Protokoll nicht in der Lage sind, das wichtige Thema der Zuständigkeit von Gerichtsbarkeiten zu diskutieren.

Die wirklich wichtigen Themen für die LEAs während dieser Konferenz bestanden in den häufigsten Drohungen und den neuesten Trends, die sie in den gegenwärtigen Cybercrime-Aktivitäten beobachten: Spamming, Phishing und dessen viele Varianten durch SMS (SMSishing), VoIP (Vishing), DNS Umleitungen (Pharming), die Verwendung von Botnets, die Verwendung von P2P-Netzwerken und Instant Messaging Systemen fanden sich unter den vielen aufgezeigten Formen von Cybercrime. Auch wenn die Präsentationen zu diesen Trends (besonders durch Europol und französischen LEAs) den Mangel an Statistiken und die Schwierigkeiten bei der Sammlung von Daten über Verbrechen solcherart zugaben, konnten sie sich auf den derzeitigen Umfang und dessen Ausweitung einigen, und kamen zu dem Schluß, dass es immer wichtiger wird, Anonymität und Verschlüsselungen von Datenaustauschen einzugrenzen – wenn nicht sogar zu verbieten – um die Verwendung des Internets von Cybercafes und anderen öffentlichen Plätzen aus besser kontrollieren zu können und – last but not least – die Zusammenarbeit zwischen dem privaten Sektor (Telekomanbieter und ISPs) und die Kommunikation und den Datenaustausch zwischen LEAs zu verbessern, sodass beide Seiten sich gegenseitig unterstützen können.
Die internationale Zusammenarbeit zwischen LEAs ist auch das Thema zahlreicher verbleibender Bestimmungen der Konvention (Art. 23 bis 35). Zusammenfassend kann gesagt werden, dass diese Bestimmungen es jeder staatlichen Partei der Konvention möglich machen, von einer anderen Partei die Kommunikation über Daten einzufordern, die unter die Bestimmungen der Artikel 16 bis 21 fallen, ohne dass das Delikt auch in dem betroffenen Land strafbar sein muss (außer wenn bei der Ratifizierung relevante Vorbehalte angemeldet wurden) und mit sehr eingegrenzten Möglichkeiten der Ablehnung: tatsächlich ist es so, wie Henrik Kaspersen, Professor and der Freien Universität von Amsterdam und Vorsitzender des Komitees der CoE Konvention zu Cybercrime, analysiert hat, dass die derzeitigen 43 Unterzeichnenden (von denen 21 den Text ratifiziert haben) die Vorbehalte eher zurückhaltend eingebracht haben. Mehr noch, die Bestimmungen der Konvention und ihre Sicherheitsbestimmungen (Art. 15) sind weit entfernt davon, adäquat oder innerhalb der staatlichen Parteien des Abkommen harmonisiert zu sein: auch wenn die EU-Arbeitsgruppe Artikel 29 schon während der Entwurfsphase des Textes davor und vor anderen Fehlern der Konvention gewarnt hatte, wurde ihre Meinung nicht miteinbezogen. Die Ausweitung der Konvention auf Staaten, in denen wesentlich weniger Sicherheitsbestimmungen als in den CoE Mitgliedsstaaten gelten – die an die Europäische Konvention für Menschenrechte gebunden ist – was mit der USA beginnt, bedeutete das Wahrwerden der schlimmsten Befürchtungen der internationalen Koalition von NGOS der Global Internet Liberty Campaign (GILC) – unter ihnen die zukünftigen Gründer von EDRI – als sie in 2001 ihre „Acht Gründe, warum das Internationale Cybercrime Abkommen Abgelehnt werden sollte“ veröffentlichten, nachdem sie eine lange Kampagne gegen die schließlich unterzeichnete Konvention geführt hatten.
Außerdem, auch wenn man einwerfen kann, dass sich die Situation seit 2001 noch verschlechtert hat, nachdem in der ganzen Welt Gesetze verabschiedet worden sind (einschließlich auf Eben der EU), muss man zugeben, dass „die CoE Konvention zu Cybercrime den Weg zu Gesetzen geöffnet hat, die immer tiefer in die Privatsphäre eingreifen“, wie EDRI am Ende seiner Präsentation auf der Konferenz schlussfolgerte; die Gesetze führen dazu, dass „Online-Aktivitäten und Verhalten stärker kriminalisiert werden als ihre Offline-Äquivalente, und dass Bürger Online von besseren Sicherheitsvorkehrungen profitieren als Offline“. Um das Risiko einzuschränken, dass die CoE Konvention zu Cybercrime sechs Jahre nach der Unterzeichnung gefährlicher wird denn je, plädierte EDRI für „die Notwendigkeit einer Beurteilung der Konvention und ihren nationalen Implementierungen im Hinblick auf Menschenrechte, Demokratie und Gesetzesbestimmungen, bevor an eine weitere Erweiterung in Reichweite und /oder Ratifizierung/Beitritt gedacht wird“. Schlussendlich empfiehlt EDRI auch, so wie Datenschutz auf EU Ebene unter der dritten Säule eine Voraussetzung für jegliche Ausweitung von Informationssystemen in Strafsachen darstellt, dass auch der Europarat „genausoviel Energie in die Ausweitung von Ratifizierungen/Beitritten zur Konvention Nr. 108 zum Schutz von Einzelnen im Hinblick auf die automatische Verarbeitung von persönlichen Daten investieren“ sollte. Diese Ziel scheint jedoch nicht auf dem Programm des CoE zu stehen.

CoE Octopus Conference 2007 (11-12.06.2007)

CoE Octopus Conference 2004 (15-17.09.2004)

Joint COE-OAS Conference 2005 (12-13.10.2005)

EU Article 29WP Opinion on the CoE Draft Convention on Cybercrime (22.03.2001)

GILC coalition "Treaty Watch" website

IRIS dossier of the campaign against the Convention and its Protocol (only in French)

EDRI-gram: From Schengen To Prüm: Data Protection Under 3Rd Pillar A Prerequisite (28.02.2007)

CoE Convention no.108 on data ptrotection (28.01.1981)

(Beitrag von Meryem Marzouki, EDRI-Mitglied IRIS - Frankreich)