Internet Governance Forum: Experten warnen vor UN-Cybercrime-Konvention 

Auf dem 19. IGF in Riad üben Experten massive Kritik an der geplanten UN-Cybercrime-Konvention – und ihren Folgen für IT-Security, Datenschutz und Grundrechte.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
UN-Gebäude in New York, im Vordergrund Flaggen der Staaten Guyana bis Kenia (in alphabetischer Reihenfolge)

UN-Hauptquartier in New York, im Vordergrund die Halle fĂĽr die Generalversammlung.

(Bild: heise online / ds)

Lesezeit: 5 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Die von den Vereinten Nationen bereits abgestimmte Cybercrime-Konvention sorgt weiter für Debatten. Länder, die das geplante Abkommen unterzeichnen, liefen Gefahr, Menschenrechtsverletzungen zu unterstützen, warnten Teilnehmer des 19. Internet Governance Forum (IGF) in dieser Wochen im saudi-arabischen Riad. Das umstrittene Abkommen ähnelt der Cybercrime-Konvention des Europarates, nur ohne wirksame Garantien für Rechtsstaatlichkeit und Grundrechte, fürchten gerade auch saudische Menschenrechtler.

Noch vor Weihnachten soll das umstrittene Abkommen vom Plenum der UN-Generalversammlung ohne weitere Diskussion angenommen werden. Im Sommer hatte das Adhoc Kommitte den Vertragstext verabschiedet. Seit September macht das maĂźgeblich von Russland initiierte Abkommen seinen Weg durch die UN-Gremien der UN-Vollversammlung. Die Abstimmung der Vollversammlung in New York erwarten Beobachter noch vor Ende des Jahres. Wenn 40 UN-Mitgliedsstaaten den Text unterzeichnet haben, tritt er in Kraft.

Staaten, die den Vertrag anschließend ratifizieren, verpflichten sich, eine Reihe von Computer-Straftaten im nationalen Recht zu kriminalisieren. Dazu gehörten mithilfe von IT-Systemen begangene Straftaten wie Verbreitung und Besitz von Kindesmissbrauchsdarstellungen und Betrugsdelikte ebenso wie Angriffe auf Computersysteme oder das Abfangen oder Stören von Datenverkehr, erläutert Deborah Brown von Human Rights Watch in Riad. Außerdem soll die Verbreitung von Geräten, die für entsprechende Straftaten in Umlauf gebracht werden, geächtet werden.

Der "Hacking-Paragraph" der Konvention erinnere stark an die entsprechenden Bestimmungen der Cybercrime Konvention des Europarates, allerdings ohne Schutzgarantien für Security-Forscher oder investigative Journalisten, warnt Nick Ashton-Hart, der für einen Zusammenschluss von betroffenen Unternehmen an den Verhandlungen beteiligt war. Beteuerungen der Staaten, Sicherheitsforscher und andere im öffentlichen Interesse handelnde Hacker würden im Text ausgenommen, nennt er Augenwischerei: "Dieser Absatz erkennt lediglich die Bedeutsamkeit von deren Arbeit an. Er schützt sie aber mit keinem Wort."

Vorschläge, noch mehr Delikte in den globalen Strafkatalog aufzunehmen, wurden zwar abgelehnt. Doch die Rechtshilfe, die Unterzeichnerstaaten zu leisten haben, geht über diese Straftaten weit hinaus. "Die Konvention verlangt von den Mitgliedsstaaten die Etablierung expansiver Überwachungsmöglichkeiten bei der Ermittlung einer langen Liste von Straftaten, auch solcher, die nichts mit ICT-Systemen zu tun haben", erklärt Brown.

Auch in anderen UN-Abkommen inkriminierte Delikte würden pauschal aufgenommen, warnt Brown. So entstehe ein umfassendes, globales Rechtshilfeabkommen mit Ländern, die darauf bislang nicht hoffen durften. Bei "schweren Straftaten" müssen die Behörden ihre anfragenden Kollegen umfassend unterstützen, und den Zugriff auf gespeicherte oder in Echtzeit erhobene Verbindungs- und Inhaltsdaten erlauben, und Durchsuchungen und Beschlagnahmen von Computersystemen vornehmen.

Als schwere Straftat gilt alles, was im Hilfe ersuchenden Land mit mindestens vier Jahren bestraft werden kann. Richterliche Anordnungen für Überwachungsanforderungen sind in vielen Ländern nicht notwendig. IGF-Gastgeber Saudi-Arabien ist so ein Land, das schon für Kritik an der Regierung deutlich höhere Strafen verhängte, sagt Lina al-Hathloul von Menschenrechtsorganisation ALQST, die aus Sicherheitsgründen nicht selbst zum IGF anreisen konnte.

"Unter Artikel 34 des vorgeschlagenen Cybercrime-Abkommens der UN müssen Staaten ihre Partner beim Sammeln und Speichern von elektronischen Beweisen für schwere Straftaten unterstützen", betont al-Hathoul. "Artikel 40 verpflichtet die Staaten, sich gegenseitig bei Ermittlungen, Strafverfolgungen und Gerichtsverfahren im Zusammenhang mit entsprechenden Handlungen größtmögliche Rechtshilfe zu gewähren."

Ohne klare Einschränkungen würden die Bestimmungen Regierungen schier uneingeschränkte Macht geben, unter dem Deckmantel der Strafverfolgung Personen zu überwachen, warnt al-Hathoul: "Dies birgt die Gefahr, dass Vertragsstaaten sich an den Übergriffen der saudischen Behörden mitschuldig machen."

Auch bei der IGF-Konferenz war Kritik nicht erwünscht. Kritische Nachfragen, etwa ob Einschränkungen von Verschlüsselung nicht Gefahren gerade für saudische Aktivisten bergen, wurden mit dem Ausschluss aus den offenbar engmaschig überwachten Zoom-Sessions geahndet.

Zwar gibt es Ausnahmeklauseln, auf die sich demokratische Länder wie etwa die EU-Mitglieder berufen könnten, sagt die irische Juristin Fionnuala Ní Aoláin: "Sie wirken allerdings wie ein Schweizer Käse. Im Kapitel 7, etwa beim Artikel 35, der die internationale Zusammenarbeit regelt, fehlen sie komplett. Hier ist einfach ein großes Loch."

Die Kritiker setzen ihre ganze Hoffnung nun in ein bereits geplantes Zusatzprotokoll. "Hier muss man die Garantien klarstellen", betont Ashton-Hart. Bis dahin lautet seine Forderung an die Regierungen: "nicht unterzeichnen!" Anders als die USA habe die EU-Kommission allerdings bereits angekĂĽndigt, sie wolle das Abkommen unterzeichnen.

Nun hofft Ashton-Hart auf Widerstand aus dem Europäischen Parlament. Die Weigerung zu unterzeichnen, sei nämlich auch ein Druckmittel für Nachbesserungen im Zusatzprotokoll. Denn wie die USA sind die EU-Mitgliedsstaaten das Ziel von Datenströmen – und damit Ziel künftiger Ausspähersuchen.

(vbr)