Montag, 21. Mai 2001

5: Stellungnahmen

Sichere Informationsgesellschaft, Bekämpfung der Computerkriminalität und Datenschutz

Die EU-Kommission und der Europarat befassen sich in parallelen Initiativen mit einer internationalen Harmonisierung der Verfolgung von Computerkriminalität. Der Entwurf einer Cyber-Crime Convention des Europarats wurde in Expertengremien weitgehend unter Ausschluß der interessierten Öffentlichkeit verhandelt und soll demnächst den politischen Gremien des Europarats zur Entscheidung vorgelegt werden. Demgegenüber hat die EU-Kommission mit einer kürzlichen Anhörung zu ihrer Mitteilung KOM(2000)890 einen Diskussionsprozess zur Bekämpfung der Computerkriminalität eingeleitet, der für alle Interessierten transparent sein und in ein pluralistisches EU-Forum münden soll. In diesem Rahmen hat das ULD Schleswig-Holstein eine Stellungnahme zu beiden Initiativen abgegeben. Sie führt die wesentlichen Defizite des Europaratsentwurfs auf und setzt sich dafür ein, das Recht auf Anonymität von Internetnutzenden lediglich im Einzelfall, bei Vorliegen von Anhaltspunkten für strafbare Handlungen, zu durchbrechen.

Stellungnahme zur Mitteilung der Kommission KOM(2000) 890,
zugleich Kritik des Entwurfs einer "Convention on Cyber-Crime"
des Europarats (PC-CY (2000) Draft No. 25 Rev.)

 

1. Sicherheit in der Informationsgesellschaft durch Datenschutz    

Moderne Kommunikationsmedien und insbesondere das Internet bieten den Bürgerinnen und Bürgern in steigendem Maße Möglichkeiten, sich umfassend zu informieren, im Netz mit zu diskutieren, individuell in Verbindung zu treten und in elektronischer Form am Wirtschaftsleben teilzunehmen. Das Potenzial in der Informationsgesellschaft für eine stärkere Einbeziehung von Bürgern in gesellschaftlich relevante Entscheidungsprozesse ist groß; der von der Kommission zur Mitteilung KOM(2000) 890 in Gang gesetzte Meinungsbildungs- und Diskussionsprozess ist ein gutes Beispiel hierfür. Ebenso bedeutsam ist die freie und ungehinderte Nutzung von Informations- und Kommunikationsmedien für das Wirtschaftsleben, und zwar sowohl auf der Ebene des individuellen Verbrauchers als auch zwischen Wirtschaftsunternehmen. Grundvoraussetzung für eine - gesellschaftlich erwünschte - dynamische Weiterentwicklung in beiden Bereichen ist allerdings das Vertrauen der Bevölkerung und Wirtschaftsakteure, dass ihnen aus einer Teilnahme an der Informationsgesellschaft keine größeren Risiken erwachsen als bei einer Nutzung herkömmlicher Medien oder bei der persönlichen Abwicklung von Transaktionen. Nutzer moderner Kommunikations- und Informationsmedien wissen mittlerweile, dass die Teilnahme an E-Commerce, das Surfen im Internet, die Meinungsäußerung in Chatrooms und das Versenden von E-Mails Datenspuren hinterlassen, die nicht nur von Sicherheitsbehörden, sondern auch von Kriminellen ausgewertet werden können und weit über die bei herkömmlichen Transaktionen anfallenden Informationen hinausgehen. 

Aus dem Blickwinkel des Schutzes der Privatsphäre begrüßen wir die Initiative der EU-Kommission, Anstrengungen zur Bekämpfung von "Computerkriminalität" von vorneherein in einen weitergefassten Zusammenhang der "Sicherheit der Informationsgesellschaft" zu stellen. Wir unterstreichen die in der Mitteilung zum Ausdruck kommende Auffassung der Kommission, dass ein ganz wesentlicher Aspekt der sicheren Informationsgesellschaft die Wahrung der informationellen Selbstbestimmung als Teil der Privatsphäre des Individuums ist. Ohne die Garantie, auch unter technisch hochkomplexen modernen Bedingungen selbst über die Preisgabe persönlicher Daten gegenüber Kommunikationspartnern, Wirtschaftsunternehmen und staatlichen Behörden entscheiden zu können, wird die Informationsgesellschaft weder in demokratisch-gesellschaftlicher noch in wirtschaftlicher Hinsicht so florieren wie erhofft. Dass Verbraucher von den Möglichkeiten des E-Commerce bislang eher zögerlich Gebrauch machen, sollte insoweit als klares Signal wahrgenommen werden.

2. Präventive technische Schutzmaßnahmen    

Wir unterstützen die Einschätzung der Kommission, dass Angriffe auf sensible Daten in Netzen primär mithilfe technischer Maßnahmen verhindert werden müssen. Nach diesem präventiven Ansatz muß die Fähigkeit von Nutzern, ihre Selbstverantwortung zum Schutze ihrer Daten insbesondere in technischer Hinsicht wahrnehmen zu können, gefördert werden. Starke Verschlüsselungsverfahren und andere Sicherheitssoftware müssen frei verfügbar sein. Die Bedeutung ihres Einsatzes muss privaten Nutzern wie auch Behörden nahe gebracht werden. Wirtschaftsunternehmen dürften über ein größeres Bewusstsein für die Sensibilität ihrer Daten und über eine höhere Bereitschaft zum technischen Selbstschutz verfügen. Durch finanzielle Förderung der Forschung und Entwicklung im Bereich der Sicherheitstechnik müssen die EU und nationale Regierungen dazu beitragen, dass Verfahren der datenvermeidenden oder -sparsamen Teilnahme an der Informationsgesellschaft allgemein zur Verfügung stehen. Das Unabhängige Landeszentrum für Datenschutz unterstützt die Anwendung und Fortentwicklung technischer Selbstschutzmaßnahmen insbesondere im Internet durch eigene Projekte, durch Teilnahme an internationalen Standardisierungsgremien und im Rahmen der Öffentlichkeitsarbeit.

3. Verwirklichung des Rechts auf Anonymität im Internet    

Im Internet darf weder ein technischer oder rechtlicher Zwang zur Transparenz jedes Nutzers herrschen, noch ist es als rechtsfreier Raum anzusehen, in dem rechtsstaatliche Befugnisse von Überwachungsbehörden nicht zur Anwendung kämen. Der "Normalfall" für Kommunikation und sonstige Nutzung von Diensten im Internet ist allerdings - wie bei "Offline"-Transaktionen - die Anonymität der Teilnehmenden; ein Zwang zur Identifizierung ist die rechtlich zu begründende Ausnahme im Verdachts- und Gefahrenfall. Insofern teilen wir die Erwägungen der Kommission unter Ziff. 5.3. der Mitteilung. 

Wir sind Partner des Projekts "AN.ON", in dem - gefördert durch das deutsche Wirtschaftsministerium - ganz konkret ein Anonymitätsdienst für die Internet-Kommunikation entwickelt wird1. Im Rahmen dieses Projekts wollen wir zu einer technischen Realisierung des Rechts auf Anonymität für alle Internetnutzenden beitragen, ohne jedoch die rechtlich abgesicherten Möglichkeiten der Sicherheitsbehörden ins Leere laufen zu lassen, im Falle eines begründeten Verdachts nach geltenden strafprozessualen Regeln die Identität einzelner Nutzer zu ermitteln.

4. Demokratische Entscheidungen über den Weg der Informationsgesellschaft    

Fragen der Ausgestaltung des Zugriffs von Strafverfolgungsbehörden auf Datenspuren bei der Nutzung von Computern, insbesondere von Netzen, betreffen entscheidende Weichenstellungen für die Zukunft der Informationsgesellschaft mit beträchtlichen politischen und wirtschaftlichen Auswirkungen. Die wesentlichen Entscheidungen hierzu sind von demokratisch legitimierten Organen, den Parlamenten, zu treffen. In welchem Ausmaß und zu welchen Zwecken Daten über die Nutzung von Telekommunikationsdiensten und Informationsnetzen gespeichert werden dürfen, muss in einem transparenten Prozess mit gleichen Beteiligungschancen aller berührten Interessen erörtert und von den Parlamenten entschieden werden.

5. Einflussnahme auf den Entwurf einer Cyber-Crime Convention des Europarats    

Der in der Kommissions-Mitteilung angesprochene Europarats-Entwurf einer Cyber-Crime Convention wurde ausgearbeitet, ohne die in diesem rechtspolitisch sensiblen Bereich erforderliche Transparenz und Beteiligung demokratisch legitimierter Entscheidungsträger sicherzustellen. Bevor der Entwurf endgültig zu einem fest verschnürten Paket wird, das den nationalen Parlamentariern ohne weitere Gestaltungsmöglichkeiten im Ganzen präsentiert wird, müssen die im Europarat verhandelnden Regierungsvertreter dringend ihre Parlamente informieren und deren Entscheidungsspielräume wahren. Eine Einbindung der Parlamentarischen Versammlung des Europarates allein reicht in dieser immer noch stark einzelstaatlich geprägten Materie des Straf- und Strafprozessrechts nicht aus. 

Der von der EU-Kommission initiierte Prozess einer möglichst pluralistischen Erörterung von Maßnahmen gegen "Cyberkriminalität" sowie das vorgeschlagene EU-Forum unter Beteiligung von Vertretern des Datenschutzes sind insoweit ein Schritt in die richtige Richtung. Die Regierungen der Mitgliedstaaten sollten jedoch keinesfalls - wie im Rahmen des Europarates offenbar bis Mitte des Jahres 2001 geplant2 - in der Zwischenzeit durch Verabschiedung einer endgültigen Fassung des Entwurfs einer Cyber-Crime Convention Fakten schaffen. Die EU-Kommission sollte dringend eine koordinierende Rolle für die Mitgliedsstaaten im Hinblick auf das weitere Schicksal des Europarats-Entwurfs übernehmen. Sie sollte eine Übereinkunft unter den EU-Staaten erzielen, dass der nach unserer Auffassung mit gravierenden Mängeln behaftete Europarats-Entwurf in dieser Form in den dortigen Gremien, insbesondere vom Ministerkomitee, nicht verabschiedet wird. Würde die Konvention vom Europarat abschließend behandelt, bestünde kaum noch Raum für die Berücksichtigung der Ergebnisse des Diskussionsprozesses innerhalb der EU. Dies trifft insbesondere auf eine Umsetzung der Konvention in Nicht-EU-Mitgliedsstaaten zu. Sollten dort die nach unserer Auffassung (s.u. 5.-7.) erforderlichen Rechtsschutz- und Datenschutzstandards bei der Schaffung neuer Normen des Straf- und Strafprozessrechts nicht eingehalten werden, könnte dies Einschränkungen für die Übermittlung von Daten aus EU-Mitgliedstaaten im Rahmen der Rechtshilfe zur Folge haben. Auch EU-Bürger könnten auf Grund der weiten Anknüpfungen für die strafrechtliche Jurisdiktion (z.B. reine Belegenheit des angegriffenen Computersystems im fremden Staat3 ) in unangemessener Weise von Strafermittlungen in Staaten betroffen sein, welche die Umsetzungsspielräume der Konvention in vollem Umfang nutzen.

6. Strafnormen zur Netz- und Computerkriminalität - Beschränkung auf das Erforderliche und Straflosigkeit von Selbstschutzmaßnahmen    

Das Internet ist kein Hort des Verbrechens. Der Computer ist nicht bereits als solcher ein Medium, das stärker als andere Kriminalität begünstigt. Es besteht nach unserer Überzeugung kein Anlass dafür, Menschen, die das Internet, andere Netze oder in sonstiger Weise ihren PC nutzen, stärkeren Eingriffen in ihre Privatsphäre zu unterwerfen und ihnen von vorneherein mit einem Generalverdacht zu begegnen, sie könnten diese Medien zu Straftaten missbrauchen. Die ganz überwiegende Mehrheit der Bürgerinnen und Bürger bewegt sich auch in Computernetzen rechtstreu. Maßnahmen der vorsorglichen Datenerhebung und -sammlung über alle Internetnutzende wären nach den rechtsstaatlichen Vorstellungen der EU-Mitgliedstaaten wie auch der EU selbst grob unverhältnismäßig. Materiellstrafrechtliche und strafprozessuale Maßnahmen gegen "Computerkriminalität" sind nach denselben rechtsstaatlichen Maßstäben zu beurteilen wie Maßnahmen gegen andere Kriminalitätsbereiche, bei denen technische Systeme als Objekt oder Medium illegaler Handlungen eine Rolle spielen. Die Tatsache, dass es in Computernetzen auf Grund der ohnehin anfallenden Datenspuren leichter ist, umfangreiche personenbezogene Informationen zu erheben, darf nicht zur Folge haben, dass dort die Schwelle für Eingriffe der Strafverfolgungsbehörden in Rechte von potenziell Unbescholtenen insgesamt noch weiter sinkt. 

Gleichwohl ist es sinnvoll und auf Grund der internationalen Implikationen des Internet zumindest dort auch notwendig, netzspezifische, auf die Besonderheiten des Mediums der elektronischen Datenverarbeitung abgestimmte internationale Vereinbarungen über das Vorgehen von Strafverfolgungsbehörden abzuschließen. Auch über das Internet werden zweifelsohne verabscheuenswerte Straftaten verübt, zu deren Bekämpfung eine Zusammenarbeit von Strafverfolgern über nationale Grenzen hinweg stattfinden muss. Darunter finden sich auch Straftaten gegen die Privatsphäre und Angriffe auf die Integrität und Authentizität von Daten, an deren effektiver Bekämpfung auch Datenschützer ein hohes Interesse haben. Dass die EU-Kommission ihr Augenmerk neben einer Harmonisierung der Straftatenbekämpfung im Bereich der Kinderpornografie, der Wirtschaftssabotage oder des Urheberrechts explizit auch auf den Bereich der Straftaten gegen die Privatsphäre richtet möchte, findet daher unsere volle Unterstützung. 

Bei der Schaffung von Mindeststandards für Strafnormen gegen Hacking und sonstige Angriffe auf Dienste muss gewährleistet sein, dass legitime Maßnahmen des Selbstschutzes von Computersystemen - also der Erprobung auf Anfälligkeiten gegenüber Fremdangriffen durch deren Simulation - ohne Risiko der Strafverfolgung möglich bleiben. Den Betreibern und Nutzern von Computersystemen, insbesondere in Netzen, kommt in steigendem Maße eine Selbstschutzverantwortung zu: Aus Sicht der Datensicherheit und des Datenschutzes ist es unverzichtbar, die Belastbarkeit eines Systems gegenüber Fremdangriffen vor und während des Betriebes zu testen. In diesem Rahmen und mit dieser Zielsetzung ist auch die Entwicklung, Verbreitung und der Einsatz sog. Hacking-Tools erforderlich. Der Entwurf der Cyber-Crime Convention versucht dies nun über den subjektiven Tatbestand der entsprechenden Strafnorm (Art. 6) zu berücksichtigen, indem er die Absicht für maßgeblich erklärt, in der Angriffsmaßnahmen gefahren bzw. derartige Tools verbreitet werden. Es sollte ein Schwerpunkt der Erörterungen technischer Experten der Datensicherheit im Rahmen des EU-Forums sein, inwieweit dies ausreicht, um den notwendigen Spielraum für Selbstschutzmaßnahmen außerhalb jeden Risikos einer Strafbarkeit zu garantieren. 

Wo ein grenzüberschreitender Bezug von Straftaten mit Bezug zu Medien der elektronischen Datenverarbeitung nicht erkennbar ist, entweder weil sich die Straftat nicht grenzüberschreitend auswirkt bzw. so begangen wird oder weil zu ihrer Verfolgung keine Zusammenarbeit mit Strafverfolgungsbehörden anderer Staaten erforderlich ist, bedeuten internationale Vereinbarungen strafrechtlicher oder strafprozessualer Art einen begründungsbedürftigen Eingriff in die nationale Regelungshoheit. Der Entwurf der Europarats-Konvention geht jedoch ungeachtet seines Titels weit über den Gegenstand grenzüberschreitender Computerkriminalität und Strafverfolgung hinaus. Im Rahmen der EU bedarf es ebenfalls einer Erörterung, inwieweit ein gemeinsames Vorgehen mit den Rechtsgrundlagen der Art. 29, 31e des EU-Vertrages in Einklang steht, insbesondere bei nicht grenzüberschreitenden Formen von Computerkriminalität.

7. Grundrechtsschutz auch bei strafverfahrensrechtlichen Maßnahmen    

Ein gemeinsames zwischenstaatliches Vorgehen gegen Computerkriminalität muss von vorneherein auf einen Ausgleich zwischen Eingriffsbefugnissen der Strafverfolgungsbehörden und Grundrechten, insbesondere dem Recht auf Privatsphäre, der Betroffenen zielen. Eine Annäherung staatlicher Rechtssysteme darf nicht einseitig Polizei und Justiz mehr Überwachungsmöglichkeiten zur Verfügung stellen. Bereits die internationalen Verpflichtungen selbst müssen verfahrensrechtliche Grundrechtssicherungen in Form eines internationalen Mindeststandards vorsehen. Es reicht nicht aus, wie im Europaratsentwurf lediglich im Wege des Vorbehalts nationalen Rechts die Möglichkeit vorzusehen, dass bei der Umsetzung zwischenstaatlicher Vereinbarungen auf nationaler Ebene ein Ausgleich mit Grundrechten vorgenommen wird. Datenschutz und Grundrechtsschutz ganz allgemein muss integraler Bestandteil eines international harmonisierten Vorgehens gegen "Cyberkriminalität" sein. Andernfalls wäre auch die Verwertbarkeit von Erkenntnissen aus ausländischen Überwachungsmaßnahmen in einem rechtsstaatlich geprägten Strafverfahren nicht gesichert, ebenso wie es zu Behinderungen der Rechtshilfe im Verhältnis zu Staaten ohne Garantie datenschutzrechtlicher Mindeststandards kommen könnte. 

Die Überlegungen der Kommission gehen in dieselbe Richtung. Wir unterstützen die Kommission darin, offensiv für eine Berücksichtigung des erreichten europäischen Grundrechtsstandards gemäß der EMRK in Übereinstimmung mit Art. 8 der Charta der Grundrechte der Europäischen Union sowie gemäß den Datenschutzrichtlinien der EU auch im Rahmen der internationalen Kriminalitätsbekämpfung einzutreten. Kritisch sind nach unserer Auffassung insbesondere die folgenden, in der Kommissionsmitteilung und im Europarats-Konventionsentwurf angesprochenen Überwachungsbefugnisse der Strafverfolgungsbehörden:

(a) Überwachung der Inhalte von Individualkommunikation:

Die Anzahl der Abhörmaßnahmen bei individueller Kommunikation hat in den letzten Jahren in Deutschland in auffallendem Maße zugenommen. Eine breit angelegte wissenschaftliche Studie wird derzeit durchgeführt, um die Ursachen dieses Besorgnis erregenden Trends zu klären. Wenn das verfasssungsrechtlich verbürgte Recht auf unbeobachtete Kommunikation in der Rechtswirklichkeit Substanz behalten soll, muss die Einhaltung der gesetzlichen Voraussetzungen für Abhörmaßnahmen in Form von Richtervorbehalt, Katalog schwer wiegender Straftaten sowie Benachrichtigungspflichten gegenüber Betroffenen genau kontrolliert werden. Überwachungen von Kommunikationsinhalten müssen eine deutliche Ausnahme gegenüber dem Grundsatz der Kommunikationsfreiheit bleiben. Wenn Bürger generell unterstellen müßten, dass ihre Interaktion staatlich überwacht werden könnte, würde nicht nur das gesellschaftliche Leben, sondern auch die Kommunikation im wirtschaftlichen Bereich erheblich belastet. 

Auch zwischenstaatliche Vereinbarungen über Telekommunikationsüberwachung müssen den Ausnahmecharakter derartiger schwerer Grundrechtseingriffe wahren und das Abfangen von Inhaltsdaten nur bei schweren Straftaten und mit rechtsstaatlichen Verfahrenssicherungen zulassen. Sie dürfen nicht durch tatbestandlich unbestimmte Abhörbefugnisse, wie sie Art. 18 und 21 des Entwurfs einer Cyber-Crime Convention vorsehen, einer unverhältnismäßigen Ausweitung von Überwachungsinstrumenten in den Unterzeichnerstaaten Vorschub leisten. Es reicht nicht aus, wie dort lediglich die Möglichkeit rechtsstaatlicher, grundrechtswahrender Einschränkungen nach nationalem Recht vorzusehen.

(b) Speicherung und Nutzung von Verbindungsdaten bei Individualkommunikation oder der Nutzung anderweitiger Internet-Dienste:

Ebenso abzulehnen sind Blankettnormen zur vorsorglichen Speicherung von Verbindungsdaten (Verkehrsdaten), wie sie Art. 20 des Europaratsentwurfs darstellt. Weder bei der Individualkommunikation noch bei der Nutzung sonstiger Teledienste darf es auf Grund der erleichterten technischen Möglichkeiten zu einer zwangsweisen Totalerfassung von Verbindungen unabhängig von einem konkreten Straftatenverdacht kommen. Dies käme einer verfassungswidrigen Vorratshaltung der Daten ganz überwiegend rechtstreuer Nutzer gleich, die zudem zu vielfältigen Zwecken (z.B. zur Erstellung kommerziell auswertbarer Persönlichkeits- und Nutzungsprofile) missbraucht werden könnten. Wie die Kommission zutreffend heraushebt, wäre eine generelle Pflicht zur Aufbewahrung von Verbindungsdaten jenseits von Abrechnungszwecken problematisch im Hinblick auf derzeit geltendes sekundäres EU-Datenschutzrecht (Richtlinien 95/46/EG und 97/66/EG). Dies gilt auch für die kürzlich gegen die Bedenken der Datenschutzbeauftragten in Deutschland verabschiedete Ausweitung der Speicherungsfrist für Telekommunikationsverbindungsdaten auf sechs Monate nach Rechnungslegung für Zwecke der Strafverfolgung. 

Gegenüber einer aus datenschutzrechtlicher Sicht abzulehnenden, die Gesamtheit aller Nutzer betreffenden Vorratssammlung von Verbindungsdaten wäre eine "quick freeze order"-Regelung vorzuziehen, nach der - ähnlich wie in Art. 16 Abs. 1 des Europaratsentwurfs, aber mit deutlicheren tatbestandlichen Voraussetzungen - im einzelnen Verdachtsfall nach erleichtertem Verfahren eine Aufbewahrung und Übermittlung solcher Daten an Strafverfolgungsbehörden angeordnet werden könnte.

(c) Zugriff auf "Nutzerinformation" (Bestandsdaten):

Auch anderweitige Informationen über Nutzer eines Telekommunikations- oder Telediensteangebots (Art. 18 Abs. 1 b. der Europaratskonvention) dürfen nicht in unverhältnismäßigem Ausmaß und zu Zwecken, die von der Vertragsabwicklung einerseits und von einzelfallbezogenen Verdachtsfällen andererseits losgelöst sind, gespeichert werden. Sie können die datenschutzrechtliche Sensibilität von Verbindungsdaten erreichen, wenn sie den zeitlichen und gegenständlichen Umfang der Inanspruchnahme von Diensten genauer bezeichnen. Die Definition der "Nutzerinformationen" in der Europaratskonvention geht diesbezüglich deutlich über die Bestimmung von "Bestandsdaten" nach dem deutschen Telekommunikationsrecht (§ 90 Abs. 1 Telekommunikationsgesetz) hinaus.

(d) Mitwirkungspflichten Privater:

Häufig werden Ermittlungsbehörden auf elektronisch gespeicherte Daten nur zugreifen können, wenn sie besondere Zugriffssicherungen wie Passwörter oder Verschlüsselungen überwinden sowie ggf. über spezielle Kenntnisse verfügen, um das betreffende Computersystem in Gang zu setzen und dabei die relevanten Datenbereiche sichtbar zu machen. Hierfür kann die Mitwirkung von Personen, die über die technisch-organisatorische "Herrschaftsgewalt" über das System verfügen (z.B. eines Administrators), erforderlich sein. Der Beschuldigte selbst braucht an den Ermittlungen nach dem rechtsstaatlichen Grundsatz des "nemo tenetur se ipse accusare" nicht mitzuwirken. Eine aktive Mitwirkungspflicht nicht beschuldigter Privater an Ermittlungshandlungen kennt jedenfalls das deutsche Recht nur in sehr begrenztem Rahmen, nämlich in Form der durch Aussage- und Zeugnisverweigerungsrechte durchbrochenen Zeugenpflicht, der Duldungspflichten bei Durchsuchungen und Beschlagnahmen sowie bei körperlichen Untersuchungen, und schließlich in Form von Mitwirkungspflichten von Telekommunikationsbetreibern bei rechtmäßig angeordneten Überwachungsmaßnahmen. Der Europaratsentwurf sieht in Art. 16 Abs. 2, 18 Abs. 1a), 19 Abs. 4 jedoch sehr weitgehende strafprozessuale Verpflichtungen Privater vor, die Integrität gespeicherter Daten zu gewährleisten, diese Daten an Strafverfolgungsbehörden herauszugeben oder in aktiver Weise Informationen über die Funktionsweise des Systems bzw. in ihm verwirklichter Zugangsschutzmechanismen zu liefern. Abgesehen davon, dass auch bei einer derartigen Mitwirkung Aussage- und Zeugnisverweigerungsrechte aus persönlichen oder beruflichen Gründen bzw. aus Gründen der möglichen strafrechtlichen Selbstbelastung vorzusehen wären, sind aktive Mitwirkungspflichten über die übliche Zeugnispflicht hinaus als rechtspolitisches Novum so sensibel, dass sie nicht im Wege einer exekutiv dominierten völkerrechtlichen Verpflichtung erstmals in das deutsche Verfahrensrecht eingeführt werden sollten.

8. Angemessener Datenschutzstandard bei Rechtshilfe    

Bei besonders sensiblen Eingriffen im Rahmen der internationalen Rechtshilfe wie dem Abhören von Inhaltsdaten sowie der Speicherung und Übermittlung von Verbindungsdaten reicht eine Rechtmäßigkeitsprüfung allein im ersuchten Staat anhand von dessen nationalen Eingriffsvoraussetzungen (Art. 34 des Europaratsentwurfs) nicht aus. Wie nach dem Europäischen Rechtshilfeübereinkommen muss zusätzlich eine rechtmäßige Anordnung auch des ersuchenden Staates vorliegen, die nach deutschem Recht zwingend wäre, um das im ersuchten Staat ermittelte Material im Strafverfahren verwenden zu können. Vereinbarungen der Rechtshilfe im Bereich der Computerkriminalität müssen ausschliessen, dass Staaten mit niedrigen Eingriffsvoraussetzungen unter Umgehung nationaler Anforderungen des ersuchenden Staates zu "Ermittlungsoasen" für dessen Polizei werden könnten. 

Soweit im Rahmen der Rechtshilfe auch Spontanübermittlungen an andere Staaten ohne vorheriges Informationsersuchen vorgesehen werden, muss nach dem mit der EU-Datenschutzrichtlinie erreichten Standard ausdrückliche Voraussetzung für die Übermittlung ein angemessenes Schutzniveau im Empfängerstaat außerhalb der EU sein.

9. Keine Allzuständigkeit von Europol für Computerkriminalität    

Der Vorschlag der Kommission, die Zuständigkeit Europols auf "die Cyberkriminalität" auszudehnen (6.2. der Mitteilung), stößt auf gravierende Bedenken. Sowohl in der Kommissionsmitteilung als auch im Europaratsentwurf einer "Cyber-Crime Convention" leidet der Begriff der Cyberkriminalität unter erheblicher Unschärfe; er wird auch teilweise unzutreffend benutzt, wo Regelungsinhalte des Entwurfs ganz allgemein Comupterkriminalität unabhängig vom Internet betreffen (s.o. 5.). Eine Zuständigkeit Europols für die Informationssammlung oder eine Unterstützung der Ermittlung von Mitgliedsstaaten bezüglich von Computerstraftaten im weiteren Sinne jedoch würde, verglichen mit den bisherigen Deliktsbereichen nach Art. 29 des EU-Vertrages und Art. 2 des Europol-Übereinkommens, die Tätigkeit des Polizeiamtes in kaum abgrenzbarer Weise ausweiten. Bereits jetzt ist Europol für Computerdelikte zuständig, wenn sie mit grenzüberschreitender organisierter Kriminalität zu tun haben; eine Zuständigkeit im Bereich der Straftaten gegenüber Kindern ist primärrechtlich in Art. 29 EUV angelegt. Angesichts der aus unserer Sicht nach wie vor gegebenen Mängel der rechtsstaatlichen, insbesondere der justiziellen Einbindung von Europol wäre eine Erweiterung auf Computerdelikte allgemein, aber auch auf alle Formen der Internetkriminalität, soweit sie nicht stärkere grenzüberschreitende Bezüge aufweisen als die zwangsläufig gegebene internationale Struktur des Internets selbst, unvertretbar. Mit dem Europäischen Rechtshilfeübereinkommen wie auch mit einer etwaigen künftigen Cyber-Crime Convention des Europarats soll die Zusammenarbeit nationaler Strafverfolgungsbehörden erleichtert werden. Die Früchte dieser Vereinbarungen in der Praxis sollten abgewartet und evaluiert werden, bevor über neue Zuständigkeiten von Europol nachgedacht wird.

 

Links    

Mitteilung der EU-Kommission und Stellungnahmen hierzu:
europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/crime1.html
Europaratsentwurf einer Cyber-Crime Convention (25. Entwurf):
conventions.coe.int/Treaty/EN/projets/projets.htm
Hintergrund und weitere Stellungnahmen:
www.privacyinternational.org/issues/cybercrime