Zweites Zusatzprotokoll zu Budapest Conention on Cybercrime

Grundlage des modernen IT-Strafrechts ist die Cybercrime-Convention („CCC“, auch als „Budapest Convention on Cybercrime“ bekannt). Dieses Übereinkommen aus dem Jahr 2001 prägt das internationale IT-Strafrecht auf dem gesamten Planeten – und nun steht der nächste Schritt an: der effektive Kampf gegen Cybercrime-Straftaten. Und effektiv bedeutet in dem Zusammenhang: Grenzüberschreitend.

Es gibt inzwischen das „Zweite Zusatzprotokoll„, schon früh angestossen, das genau diesen Weg geht – nach dem ersten Schritt, der grenzüberschreitenden Standardisierung der Strafbarkeiten folgt nun der zweite Schritt in Form der grenzüberschreitenden Verfolgung von Straftaten. Man darf dieses Zusatzprotokoll, das bereits vom Europarat angenommen wurde und voraussichtlich zumindest von sämtlichen EU-Mitgliedsstaaten ratifiziert werden dürfte, als Zeitenwende der Strafverfolgung bezeichnen.

Hinweis: In diesem Beitrag geht es um einen rudimentären ersten Einblick, insbesondere zur Verdeutlichung der Auswirkungen des 2. Zusatzprotokolls. Auf keinen Fall handelt es sich um eine Analyse mit Anspruch auf Vollständigkeit, vielmehr dürfte man alleine mit den hier im Raum stehenden Änderungen eine vollständige Fortbildung füllen können.

Evolution der Cybercrime Convention

Bisher ging es um die Schaffung von einheitlichen Strafbarkeiten, das ursprüngliche Protokoll und das erste Zusatzprotokoll konzentrierten sich insoweit auf das materielle Strafrecht. Nachdem sich die Cyberkriminalität über die letzten Jahrzehnte immer professioneller organisierte wurde aber deutlich, dass nationale Grenzen nicht nur allgemein hinderlich, sondern darüber hinaus zielgerichtetes Mittel von Cyberkriminellen wurden, um sich einer Strafverfolgung zu entziehen.

Modernes IT-Strafrecht, das ist inzwischen klar, kann sich nicht mehr alleine darauf konzentrieren, sich allein mit rechtlichen Fragen zu beschäftigen: In kaum einem Rechtsgebiet greifen Fragen (IT-)forensischer Analyse und (internationaler) Beweismittelbeschaffung so ineinander. Sich ernsthaft mit Cybercrime zu beschäftigen, gleich ob als Anwalt, Richter oder Ermittler, ohne die Werkzeuge auf allen drei Teilgebieten zur Hand zu haben, ist undenkbar.

Vor dem Hintergrund war es nur eine Frage der Zeit, bis man die Cybercrime-Convention als Dreh- und Angelpunkt der nächsten Evolutionsstufe nimmt: Dem internationalen Zugriff auf Beweismittel. Wo sich staatliche, territorial voneinander abgegrenzte, Souveränität sonst im Weg steht, muss ein Ermittlungswerkzeug geschaffen werden, dass dynamischer ist als die bisher schwerfällige Rechtshilfe. Hier setzt nun das zweite Zusatzprotokoll an.

Wie arbeitet das 2. Zusatzprotokoll

Vor allem zwei Ansätze sind aus meiner Sicht besonders hervorzuheben:

  • Es soll die unmittelbare Zusammenarbeit zwischen Unternehmen in dem einen Staat und Ermittlern in einem anderen Staat ermöglicht und erleichtert werden;
  • Weiterhin soll die grenzüberschreitende Weiterreichung von Daten zwischen Behörden drastisch erleichtert werden

Wenn nun grenzüberschreitend, ohne sperrige Rechtshilfeersuchen, Ermittler Informationen erhalten sollen, kann dies nur Funktionieren, indem diese sich unmittelbar bei der Gegenseite melden. Bekanntlich kostet fragen nichts (ausser bei einem Anwalt oder Arzt), aber wenn man mit einem gewissen Druck Informationen begehrt, muss das rechtlich legitimiert sein.

Um dies nun zu ermöglichen, geht man zwei Schritte in der Konvention: Zuerst einmal soll jeder Staat seine Behörde ermächtigen, überhaupt unmittelbar und grenzüberschreitend Anfragen stellen zu können; weiterhin soll jeder Staat für sein Hoheitsgebiet die Möglichkeit der Antwort auf solche Anfragen schaffen. Der Blick auf die konkrete Ausgestaltung erleichtert das Verständnis.

Unmittelbare Abfrage von Daten bei Anbietern

Zukünftig können Ermittler der unterzeichnenden Staaten sich unmittelbar mit einem Auskunftsersuchen auf originärer nationalstaatlicher Grundlage (in Deutschland würde man dies in der verorten und nicht im IRG; wegen des vom BVerfG vorgesehenen Doppeltürmodells wird man wohl zusätzlich Hand an TKG/ legen) an einen Anbieter im Ausland wenden. Hier wäre gesetzlich dann geregelt, dass dieser Anbieter auf ein solches Ersuchen antworten darf (nicht muss!). Vorgesehen ist dies im Grundsatz für zwei Anwendungsbereiche: Registrare von Domains (Artikel 6) und Diensteanbieter (Artikel 7).

Domainregistrare

Domainregistrare sind hierbei durchaus privilegiert, wenn sie nicht antworten wollen kann man höchstens um eine Begründung ersuchen und dann im nicht näher bestimmten Einvernehmen mit dem betroffenen Staat versuchen die Informationen zu erlangen (Art. 6 V).

Bestandsdaten

Im Übrigen ist in Artikel 7 die Abfrage von Bestandsdaten bei Diensteanbieter vorgesehen. Entsprechend Art.1 III 2ZP iVm Art. 18 III CCC handelt es sich bei Bestandsdaten um die im Rahmen der Dienstnutzung angefallenen Daten ausgenommen Verkehrsdaten und inhaltsbezogene Daten im Übrigen.

Der Diensteanbieter (definiert in Art. 1c CCC) soll dann im Regelfall binnen 30 Tagen antworten (Umkehrschluss aus Art. 7 VII). Wenn der Anbieter die Information nicht herausgeben möchte, verbleibt der Rückgriff auf die internationale Rechtshilfe zur Durchsetzung. Bei der Beauskunftung von Bestandsdaten kann ein Staat verlangen, dass mit der Anfrage zugleich eine vorher bestimmte Behörde über die Anfrage zu informieren ist.

Mittelbare Abfrage von Daten bei Anbietern

Die in Artikel 6 und 7 2ZP vorgesehenen Abfragen sind bereits ein Novum, aber noch sehr weich. Sie beinhalten keinen Druck und haben dafür das erhebliche Risiko, am Ende doch wieder im zeitaufwändigen Rechtshilfeersuchen zu landen, das Zeit kostet, die Ermittler nicht haben.

Die Lösung bietet Artikel 8, mit dem dann auch tatsächlich eine Zeitenwende festzustellen ist: Ermittler des einen Staates sollen zukünftig gesetzlich ermächtigt sein, unmittelbar eine Anordnung zu erlassen, um Auskunft von einem ausländischen Anbieter zu erlangen. Diese bezieht sich dann auch auf Bestandsdaten sowie auf Verkehrsdaten.

Die Anordnung wird an die zuständige Behörde des anderen Staates gesendet, die möglichst binnen 45 Tagen Zustellung und Durchsetzung gegenüber dem Anbieter vornimmt (Art. 8 VI 2ZP). Die Durchführung kann unter Umständen verweigert oder nur unter Bedingungen durchgeführt werden (Art. 8 VIII 2ZP).

Das Ergebnis ist dann also eine unmittelbare Beauskunftung über nationalstaatliche Grenzen hinweg, wobei die Behörde im betroffenen Staat als quasi ausführende Hand agiert. Der Vergleich zur europäischen Ermittlungsanordnung (EEA) liegt auf der Hand, allerdings ist die Frist zur Umsetzung hier deutlich kürzer und anders als bei der EEA ist kein optionaler Richtervorbehalt im ausführenden Staat vorgesehen, was den Zugriff unmittelbarer gestaltet.

Notfallzugriff

Bereits in der ursprünglichen Konvention wurde in Artikel 35 CCC ein 24/7-Netzwerk für Notfälle vorgesehen. Dieses Netzwerk wird nun aufgegriffen und erweitert um eine Datendurchreichung: Im „Notfall“ (definiert in Art. 3 II c als für Leben oder Sicherheit einer natürlichen Person bedrohliche Lage) können unmittelbar Daten eines Dienstleisters angefordert und weitergegeben werden. Dies kann auch mündlich geschehen und auch ohne dass ein Rechtshilfersuchen vorliegt (Art. 9 I 2ZP); jeder Staat kann bei der Ratifikation des Zusatzprotokolls angeben, ob hierzu auf die Wege der Rechtshilfe zurückzugreifen ist.

Ausblick

Es ist ein erster Schritt, dort wo es besonders kritisch ist, dürfte es beim bewährten System der Rechtshilfe bleiben; neu ist aus meiner Sicht das unmittelbare Herantreten an Diensteanbieter über Grenzen hinweg, wobei man festhalten sollte, dass dies auch heute längst gängige Praxis ist. Durch zielgerichtete Änderungen im TTDSG wird man hier einfache Lösungsmöglichkeiten für die Praxis schaffen können.

Das zweite Zusatzprotokoll dürfte den Weg ebnen für eine moderne Strafverfolgung – und zugleich erhebliche Fragen aufwerfen. Wenn etwa ein Staat über Ermittlungen eines anderen Staates informiert wird, dürfte man dort eigene Ermittlungen anregen, jedenfalls wenn es um eigene Staatsbürger geht die betroffen sind, was die Frage der (rechtswidrigen) Doppelverfolgung komplizierter machen kann. Eine Informationspflicht des ersuchten Staates gegenüber dem ersuchenden Staat hinsichtlich eigener angestoßener Verfahren wäre insoweit wünschenswert gewesen.

Des Weiteren dürfte das zweite Zusatzprotokoll das Voranschreiten der zuletzt ins Stocken geratenen europäischen eEvidence-Verordnung massiv beschleunigen, da es hier erhebliche Überlappungen gibt. Die bisherigen Vorbehalte dürften sich auflösen, vielmehr wird man die eEvidence-Verordnung als innereuropäische Umsetzung des zweiten Zusatzprotokolls „vermarkten“ können.

Auf die verkrustete deutsche Justiz kommt dabei einiges an Umdenken zu, wie der Bedarf nach Videovernehmungen in Artikel 11 zeigt: Unsere Ermittlungs-Standards, längst um Jahrzehnte zurückgeblieben, müssen dringend überarbeitet werden. Dass Zeugen und Verdächtige immer noch nicht als Standard-Situation per Video vernommen werden (sondern der Vernehmungsleiter selber aufschreibt was er erfragt haben möchte), ist kein Zustand mehr und im Blicke der modernen Justiz anderer Staaten nicht mehr haltbar. Die CCC geht hier nun einen weiteren, kleinen Schritt.

Insgesamt zeigt sich, dass die Staaten erkannt haben, dass sie sich öffnen müssen, um Datenabfragen zu erleichtern bzw. überhaupt erst zu ermöglichen. Die Zahl der Strafverfahren wird dadurch nicht weniger werden. Und auch wenn ein umfangreicher Artikel 14 sich dem Schutz personenbezogener Daten widmet, ist es bedauerlich, dass die Rechte der Bürger bei grenzüberschreitenden Abfragen etwas kurz im zweiten Zusatzprotokoll gekommen sind. Die erste Hürde ist genommen, in Zukunft wird sicherlich innerhalb Europas zu bemerken sein, wie noch intensiver Cybercrime auch über Grenzen hinweg verfolgt werden wird.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.