Erstmals gibt es ein internationales Abkommen für den grenzübergreifenden Zugriff von Strafverfolgern auf Providerdaten. 22 Staaten haben am Donnerstag in Straßburg das dafür seit 2017 ausgehandelte Zweite Zusatzprotokoll zur Cybercrime-Konvention des Europarats unterzeichnet. Deutschland gehört nicht dazu und will erst später unterzeichnen.

Erste Verpflichtung für Durchgriffsrecht auf Provider

Das Zusatzprotokoll bringe die 2001 zur Zeichnung aufgelegte Cybercrime-Konvention auf den Stand der neuesten technologischen Herausforderungen, sagte Marija Pejčinović Burić, Generalsekretärin des 46-Mitglieder starken internationalen Staatenbundes. Zu den Unterzeichnerstaaten der Cybercrime-Konvention gehören bereits 66 Staaten in aller Welt, sie alle können auch das Zusatzprotokoll unterzeichnen.

Die Cybercrime-Konvention war das erste internationale Abkommen, das internationale Standards für die Kriminalisierung von Computerstraftaten wie Datendiebstahl oder Kinderpornographie im Netz setzte. Umstritten war zur Zeit der Verabschiedung der "Hackerparagraph", der den Unterzeichnerstaaten auferlegte, das "Eindringen in Computersysteme" unter Strafe zu stellen.

Auch mit dem zweiten Zusatzprotokoll betritt die Cybercrime-Konvention Neuland. Erstmals verpflichten sich die Unterzeichnerstaaten gemäß Artikel 7, die gesetzlichen Voraussetzungen für direkte Zugriffe von Strafverfolgungsbehörden auf die Bestandsdaten bei Providern zu schaffen. Zu Bestandsdaten gehören laut dem "Erläuternden Bericht" grob alles, was nicht Verkehrsdaten oder Inhaltsdaten sind, es bleiben also die Art des genutzten Dienstes, die Identität, Postadresse oder Standort, Telefon- oder andere Zugangsnummer, Zahlungsinformation und mehr, sowie Informationen zu bestimmten Zeiten genutzter IP-Adressen.

Die Informationen seien für den Start von Ermittlung auch gegen Bürger im eigenen Land unverzichtbar, die ausländische Diensteanbieter nutzten. Ohne Umweg über die jeweils lokalen Behörden könnte der Zugriff auf ermittlungsrelevante Daten von durchschnittlich 9 Monaten auf 6 Wochen reduziert werden, hofft Alexander Seger, Exekutivsekretär des Vertragsbüros der Cybercrime-Konvention und Chef des Bereichs Cybercrime beim Europarat.

Fragen zur praktischen Ausgestaltung

US-Provider bieten anders als etwa EU-Dienstleister bereits heute an, freiwillig mit Strafverfolgern zusammenzuarbeiten. Die Freiwilligkeit begünstige erhebliche Unterschiede bei der Beantwortung und eine gewisse Willkür der Provider. Was heute noch beantwortet würde, bekäme morgen vielleicht keine Reaktion mehr, beschreibt Seger die Sorge.

Wie nach dem neuen Zusatzprotokoll die Provider verpflichtet werden sollen, die Anfragen zu beantworten, muss die praktische Umsetzung noch zeigen. Grundsätzlich müssen angefragte Unternehmen, die eine Auskunft verweigern, ihre Gründe darlegen. Die anfragende Behörde kann die Angelegenheit dann zu den Partnerbehörden des jeweiligen Landes eskalieren, um den Zugriff dann gemäß Artikel 8 des Protokolls zu erzwingen. Ist das verfolgte Delikt im Zielland nicht strafbar, könnte von dort ein Nein kommen.

Die USA, von wo aktuell das Gros der freiwilligen Providerauskünfte kommt, haben in den Verhandlungen auf die Aufnahme einer Klausel gedrängt, Bestandsdaten immer zuerst bei den Providern abzufragen. Das Kalkül dafür war laut Seger, den Kanal für die Auskünfte zu Inhaltsdaten und Verkehrsdaten nach Artikel 8, beziehungsweise Eilverfahren (Artikel 9) oder die Notfallzusammenarbeit (Artikel 9) nicht zu blockieren.

Zugriff auf Whois-Daten

Spät noch ins Protokoll aufgenommen haben die 66 Verhandlungspartner der Konvention eine Bestimmung zum direkten Zugriff auf Domaininhaberdaten. Seitdem die Internet Corporation for Assigned Names and Numbers (ICANN) die über Jahrzehnte veröffentlichten Kontaktdaten zu Domaininhabern wegen der EU-Datenschutzgrundverordnung (DSGVO) depublizierte, gibt es Streit um den Zugriff durch die Strafverfolger.

Artikel 6 des Zusatzprotokolls regelt das Zugriffsrecht nun zumindest für die Vertragsparteien des Europarats. Registrare und Registries – auch Länderregistries – sollen auf Basis der Regelung die Kontaktdaten von Domaininhabern an ausländische Strafverfolger herausgeben. Weisen sie die Anfragen zurück, soll zu einer dafür vorgesehenen nationalen Stelle eskaliert werden.

Die Diskussionen über Datenschutzfragen hätten bei der Abfassung des zweiten Protokolls die meiste Zeit eingenommen, versicherte Seger im Pressegespräch. Ein ganzer Abschnitt ist dem Datenschutz gewidmet. Die Bürgerrechtsorganisation European Digital Rights (EDRi) mahnte trotzdem, dass beispielsweise die Regeln über die Weiterverwendung der Daten zu vage seien.

Im "Erklärenden Bericht" steht etwa, dass auch die Weitergabe im Rahmen internationaler Kooperation im Bereich der Strafverfolgung, die Nutzung für Berichte von Regierungs- und Aufsichtsbehörden, aber auch die Weitergabe an Privatkläger oder die Medien "nicht inkompatibel" mit dem Protokoll sei.

EDRi forderte daher, das neue Protokoll dem Europäischen Gerichtshof vorzulegen, um zu überprüfen, ob es mit den Grundrechten der EU harmoniere. US-Datenschutzvorkehrungen waren vor dem höchsten US-Gericht immerhin mehrfach durchgefallen.

Rechtsgarantien durch Notifizierung?

Deutschland gehört nicht zu den Erstunterzeichnerstaaten, wie das Bundesjustizministerium bestätigte. Grund dafür ist vor allem, dass die deutsche Sprachfassung noch nicht vorgelegen habe. Zur Unterzeichnung sind die Staaten zugleich verpflichtet, weil der Inhalt des Protokolls die grenzüberschreitende Zusammenarbeit in Strafsachen betrifft. Die fällt in die EU-Kompetenz, und der Rat hat die Unterzeichnung am 5. April beschlossen. Der Ratsbeschluss enthält allerdings laut dem BMJ auch gewisse Absicherungen. Die EU-Staaten werden demnach von den Möglichkeiten zur Notifizierung der direkten Provideranfragen Gebrauch machen.

(mho)