Cybercrime-Konvention vorerst noch Papiertiger
Viele Länder gehen die Umsetzung des Völkerrechtsvertrags, der Hackern und Crackern Schranken weisen soll, gemächlich an.
Bei der Verabschiedung der Cybercrime Konvention des Europarates 2001 schlugen die Wogen der Kritik hoch. Inzwischen ist es still geworden um den kontrovers diskutierten Völkerrechtsvertrag. Nicht vor dem kommenden Jahr werde man im Justizministerium mit den Vorbereitungen für die Umsetzung starten, sagte Malte Merz vom Referat II A 4 des Justizministeriums am Rande einer Tagung der Deutschen Gesellschaft für Recht und Informatik gestern in der Münchner Kanzlei Jones Day. Bislang haben, so berichtete dort der "Vater" der Konvention, der Amsterdamer Juraprofessor Henrik Kaspersen, erst 10 der 42 Unterzeichnerstaaten die Konvention auch tatsächlich ratifiziert. Große Länder wie die USA, Frankreich oder Deutschland lassen sich Zeit.
Die Gründe für das Zögern lägen vor allem darin, dass einige Eingriffe ins deutsche Strafrecht notwendig sind, sagte die Münchner Juristin Irini Vassilaki, Sprecherin des Fachausschusses Strafrecht bei der DGRI. Genau im Strafrecht aber würden ungern nationale Kompetenzen abgegeben. Viele der Straftaten, gegen die sich die Konvention wendet, sind zwar im deutschen Strafrecht bereits erfasst. Auch für Phänomene wie das Phishing, so sagt Marco Gercke, Jurist an der Uni München, bedarf es eigentlich keiner weiteren Gesetze, wie sie derzeit lautstark gefordert würden.
Aber in Einzelfragen haben die Europaratsmitglieder die Cyberkriminalität doch ein wenig anders beurteilt. Zum Beispiel lässt das deutsche Strafrecht "den Sport Eindringen in fremde Computersysteme" (Gercke) straflos, solange keine Daten ausgespäht werden. Die Europaratskonvention verbietet dagegen das Hacken per se. Die größten Schwierigkeiten orten die deutschen Juristen aber in der Harmonisierung von strafrechtlicher Verfahrensfragen, etwa beim Zugriff der Behörden auf Nutzerdaten. Selbst "Vater" Kaspersen räumt ein: "Ich kann verstehen, dass für ein Land wie Deutschland der Verfahrensteil nicht leicht umzusetzen ist. Es gibt darin harte Sachen wie die Telefon- und Internetüberwachung." Auch die geforderte aktive Mitwirkung der Provider widerspreche teilweise deutschen Vorstellungen, zumindest laut dem Buchstaben des Gesetzes.
Sowohl Vassilaki als auch ihr Münchner Kollege Jyn Schultze-Melling beobachten allerdings derzeit einen Trend, sowohl Service- als auch Accessprovider mit Haftungsfragen zu überziehen. Mehr und mehr würden trotz der gesetzlich geregelten Haftungsprivilegierung Provider aufgefordert, einen festgestellten Missbrauch beispielsweise "künftig" zu verhindern - wie etwa im Urteil um gefälschte Rolexuhren. In der Tat ließen verfeinerte Filtertechniken und hohe Kapazitäten, einfache Filteroperationen in den Providernetzen zu, sagte ECO-Präsident Michael Rotert, wenn auch mit hohem finanziellen und organisatorischen Aufwand.
Solche einfachen Filter laufen aber Gefahr, im Stil des selbst von Ermittlern nur noch mit wenig Vertrauen gesehenen Kinderpornographie-Filters Perkeo, gerade mit Blick auf das Wachstum im Netz wirkungslos zu bleiben. Komplexe Suchen seien zudem im Lifebetrieb praktisch nicht mehr möglich. Auf Ermittlerseite hofft man auf weitere Entwicklungen in Richtung künstliche Intelligenz. Auf Anwaltsseite warnt man vor Systemen wie der chinesischen Netzzensur. "Wir sollten nicht fragen, was geht technisch, sondern wollen wir so ein System," sagte Jurist und CCC-Aktivist Julius Mittenzwei.
Genau diese Frage, so Kaspersen, habe man sich bei der Cybercrime-Konvention auch mit Blick auf die Vorratsdatenspeicherung gestellt und klar mit nein beantwortet. Statt des massiven Eingriffs in Grundrechte durch die verdachtlose Vorratsdatenspeicherung entschied man sich für das "Quick Freeze"-Verfahren, die rasche Speicherung bei drängendem Verdacht. Genau das wird in den aktuellen Debatten in Brüssel von Regierungsvertretern für nicht mehr ausreichend erklärt. Bis zu mehreren Jahren Speicherfrist reichen dort die Forderungen.
"Mir persönlich," so sagte BGH-Richter Jürgen Graf dazu, "würden 30 Tage genügen. Mit 60 oder 90 sind sie auf der sicheren Seite. 180 Tage reichen den meisten Strafverfolgern. Bei 720 Tagen bekommen sie ein Auswertungsproblem." Bei den Regelungen der Cybercrime-Konvention hält Graf den Richtervorbehalt für Überwachungsanordnungen für unerlässlich. Anders bei der generellen Datensammelei. Dort reichte, so Graf, die richterliche Anordnung für die Herausgabe der Daten. So hat die aktuelle Debatte in manchen Punkten die Cybercrime-Konvention ohnehin schon rechts überholt.
Vor diesem Hintergrund ist die Zukunft der Cybercrime-Konvention fraglich. Ohnehin wird man sich in Berlin zunächst um die Umsetzung des neuen Europäischen "Rahmenbeschlusses über Angriffe auf Informationssysteme" kümmern. Denn dieser muss zwei Jahre nach der Verabschiedung im Februar diesen Jahres zwingend in nationales Recht umgesetzt sein. Der Rahmenbeschluss greift eine Reihe von Delikten der Konvention fast wörtlich auf, geht aber nicht auf die Frage der internationalen Zusammenarbeit ein. Genau dieser Punkt ist aber bei der Verfolgung von Internetstraftaten eigentlich besonders wichtig, so Gercke. Praktische Fragen wie etwa die grenzübergreifende Verfolgung von Spammern Fragen kann der internationale Gesetzgeber offensichtlich am wenigsten lösen. (Monika Ermert) / (mw)
