Selten waren sich Menschenrechtsorganisationen und IT-Fachleute so einig wie jetzt: Die von einem UN-Komitee verabschiedete neue Cybercrime Convention sei eine Gefahr für die Demokratie und für die freie Welt. Unter dem Deckmantel der Kriminalitätsbekämpfung würden Dissidenten, Aktivisten und Journalist:innen an Russland und Iran ausgeliefert und diesen zum Frass vorgeworfen. Organisationen wie die Electronic Frontier Foundation (EFF), Access Now, Digitalcourage, Epicenter.works, European Digital Rights (EDRi) und Privacy International versuchten noch Mitte Juli auf die EU einzuwirken, sich gegen die gravierenden Mängel für die Privatsphäre und den Datenschutz aller Bürger:innen zu erheben. Doch die EU ist nur ein Player von vielen, schliesslich muss der Konsens von 193 Staaten mitgetragen werden.
Worum geht es in dieser UN-Konvention genau?
Microsoft ungewohnt scharf gegen die UN
Eigentlich sollte damit die Zusammenarbeit gegen Verbrechen im Cyberspace forciert werden: Das bedeutet die Bekämpfung von Ransomware-Attacken, Betrügereien, Malware, Cyberattacken, oder Konsum und Verbreitung Kindsmissbrauchsmaterial sowie das Heranpirschen an Kinder über Kommunikationssysteme (Cyber-Grooming) aber auch das Teilen nicht einvernehmlicher intimer Bilder (Rachepornos).
Ein legitimes Anliegen. Doch allein um Internetkriminalität geht es hier schon lange nicht mehr. (Es wäre ja nur zu gut gewesen, wenn der russische Staat nun endlich Hand bieten wollte, um seine eigene riesige kriminelle Hackerindustrie zu bekämpfen.) Denn was nach drei Jahren Verhandlung herausgekommen ist, ist nach Meinung von namhaften zivilgesellschaftlichen Organisationen fast schon ein Teufelswerk.
Begonnen hat alles mit einer UN Resolution, die 2019 von Russland, China und weiteren Staaten (wie Iran, Ägypten, Sudan, und Usbekistan) initiiert worden ist, mit 88 gegen 58 Stimmen, bei 34 Enthaltung.
Viele liberale Demokratien ahnten Schlimmes — auch die Schweiz hatte ursprünglich dagegen gestimmt. Für aussenstehende Beobachterinnen war damals schon klar: Es kann kaum was Gutes dabei herauskommen, wenn ein Land wie Russland den globalen Rahmen für die Strafverfolgung ausweiten will. Eigentlich sollte sich daraus schon erahnen lassen, wessen Geistes Kind dieses Konvention ist…
“Wir haben uns daher von Anfang an aktiv in die Verhandlungen eingebracht, um den Menschenrechtsschutz zu gewährleisten”, sagt eine Teilnehmerin der Schweizer Verhandlungsdelegation. In der Tat gilt die Schweiz sehr engagiert bei digitalpolitischen Debatten der UN, bestätigen zwei andere nicht-staatliche Beobachterinnen. Eine davon berichtet von den grossen Widerständen seitens der autoritären “Initiantengruppe”: “Alle liberalen Staaten wussten: Es wird sehr schwierig werden, und das war konstant so, fast drei Jahre lang.”
Der konstante Einsatz habe sich ausbezahlt, so die Ansicht der Schweizer Delegation. Schlussendlich sei ein Textentwurf erarbeitet worden, in dem die notwendigen menschenrechtlichen Minimalstandards verankert seien. Die Delegation stimmte daher dem Entwurf zu. Hier die offizielle Antwort des Eidgenössischen Departements für auswärtige Angelegenheiten:
“Der nun verabschiedete Text ist ein hart erarbeiteter Kompromiss unter allen UNO-Mitgliedstaaten. Die Schweizer Delegation hat sich im Rahmen des gesamten Verhandlungsprozesses konstant und wiederholt für den Respekt menschenrechtlicher Verpflichtungen eingesetzt. Die Konvention wurde am 8. August im Konsens zu Handen der UNO-Generalversammlung verabschiedet, die Schweiz konnte den Konsens mittragen.”
EDA-Mediensprecherin
Entsetzt vom Resultat und von den Verhandlungen hingegen ist nicht nur die Zivilgesellschaft, sondern auch die betroffenen digitalen Player. Der Tech-Gigant Microsoft — der ja auch ein Interesse hat, dass Sicherheitslücken nicht für kriminelle Zwecke eingesetzt würden — äussert sich ungewohnt dezidiert gegen die Konvention: Nach Meinung des Konzerns gehe es gar nicht mehr um Cybercrime, sondern um alle Arten von Verbrechen, die eine digitale Komponente beinhalten würden.
“As we have previously stated, a cybercrime convention should apply to crimes unique to cyberspace and not cover any crime simply because it has an ICT element. The scope of this treaty remains too broad. Applying this Convention to other offences without defining those offences would effectively override the applicability of existing international human rights online, paving the way for abuse by
authoritarian regimes to increase online censorship, preventive content take-downs, and
government surveillance with minimal guardrails.(…)
We must protect individuals, including political dissidents, human rights defenders,
journalists, regime critics, and minorities from extraterritorial surveillance in secret, where they
could be extradited, and prosecuted.(…)
The draft Convention will weaken global cybersecurity by compromising critical
security measures and criminalizing practices that secure the digital ecosystem.”Microsoft-Stellungnahme
Microsoft war Teil der Cybersecurity Tech Accord-Allianz, die sich in kritischen Stellungnahmen wiederholt vehement gegen die Konvention einsetzte.
Kriminalisierung von Hacker:innen
Viel Kritik aus der Tech-Community gibt es für die eigentliche Kriminalisierung der Hacker-Arbeit. Diese zementiere den unbefriedigenden Status Quo. Ein deutscher Politiker kritisiert dies so:
“Leider wird in den Artikeln 7 und 11 des Übereinkommens über Computerkriminalität nicht zwischen der Absicht eines Hackers und dem Umgang mit einer entdeckten Schwachstelle unterschieden.”
Tobias Bacherle, Mitglied des deutschen Bundestags
Das Resultat sei ausserdem eine verpasste Chance, ein Recht auf Anonymität, Verschlüsselung und digitale Privatsphäre in eine UN-Konvention festzuschreiben, moniert der deutsche Politiker Bacherle.
Die Hauptkritik der Zivilgesellschaft und der Tech-Community lautet: Nun kriegen alle UN-Staaten — legitimiert von der UNO — das ganze Arsenal an Überwachungsinstrumenten, egal ob diese Staaten Demokratie und Menschenrechte achten. Wie etwa Echtzeitüberwachung oder Vorratsdatenspeicherung nicht nur von Telefondaten, sondern auch der IP-Adressen. Die Schweizer Piratenpartei weist ferner darauf hin, dass Medienschaffende null Schutz garantiert seien und die Strafverfolgungsbehörden jegliche Daten anfordern könnten. Das wäre der endgültige Tod für den Quellenschutz.
Doch es kommt noch dicker: Ein Staat wie Russland könne “die umgehende Sicherung elektronischer Daten” anordnen, die auf einem System gespeichert sind, das sich im Hoheitsgebiet des anderen Vertragslandes befindet. Gegenseitige Unterstützung wird ferner etwa “bei der Echtzeiterfassung von Verkehrsdaten” und dem Abhören von Inhalten verlangt, schreibt heise.de.
Dasselbe wie bei der Europaratskonvention? Jein
Die EDA-Sprecherin wies ebenfalls darauf hin, dass viele Punkte der UN Cybercrime Convention bereits im Budapest-Abkommen des Europarats von 2001 enthalten seien. Es handelt sich dabei um ein Übereinkommen, das in erster Linie von den Europaratsmitgliedern verhandelt wurde, aber von der ganzen Welt unterzeichnet und ratifiziert werden kann, sofern gewisse Voraussetzungen erfüllt sind (was beispielsweise auch die USA getan hat, China und Russland jedoch nicht).
Doch dagegen lässt sich hier schon mal einwenden, dass jene Konvention des Europarats von westliche Staaten mit einem ähnlichen Mass an Rechtsstaatlichkeit, Werten und Demokratie ausgehandelt worden ist. Für Tanja Fachathaler von epicenter.works (einer wichtigen europäischen Organisation für digitale Bürgerrechte) hinkt der Vergleich mit dem Europarat auch noch aus anderen Gründen. Denn die UN-Konvention geht ihrer Meinung nach weiter als die Budapest Convention:
“Auch können Beitritte von Drittstaaten nur unter gewissen Voraussetzungen geschehen (Einladung bzw Zustimmung durch CoE-Staaten [CoE=Europarat]. Bei der UN Konvention ist das nicht der Fall: Sie gilt – so sie weltweit ratifiziert würde – in allen Mitgliedsstaaten der UN, mit all ihren unterschiedlichen Herangehensweisen an die Themen Menschenrechte und Rechtsstaatlichkeit. Außerdem sind die den Überwachungsmaßnahmen gegenüberstehenden Sicherheitsmaßnahmen bei weitem nicht “on equal footing”: so etwa gibt es in der UN-Konvention kein Recht, darüber informiert zu werden, dass die eigenen Daten im Zuge von Ermittlungen abgefragt/gesammelt wurden. Selbst dann nicht, wenn die Ermittlungen nicht mehr gefährdet wären dadurch. Es passiert also alles in permanenter Geheimhaltung. Das führt auch ein Recht auf “effective remedies” ad absurdum. Weiters bedarf es keiner vorhergehenden Genehmigung durch eine unabhängige Stelle, wie etwa ein Gericht. Das sind nur zwei Beispiele, um zu verdeutlichen, warum die Mängel der UN-Konvention so schwerwiegend sind.“
Tanja Fachathaler, epicenter.works
Die Kritik von Fachathaler und der digitalen Zivilgesellschaft spielt unter anderem auch auf die Artikel 29/30 (Echtzeitdaten-Sammlung sowie die Überwachung von Inhaltsdaten) und die Artikel 45/46 (Rechtshilfe bei der Echtzeit-Erhebung von Trafficdaten) an.
Wichtige Schutzklauseln in der UN-Konvention, um Missbrauch zu verhindern
Diese vier Artikel wiegen sehr schwer, sagt auch die Schweizer Verhandlungsdelegation. Daher war es für die Schweiz wichtig, diese in einen angemessenen Kontext von Schutzklauseln einzubetten.
So zeigen die Gespräche mit der Verhandlungsdelegation aber auch mit anderen Teilnehmer:innen, dass es durchaus schlimmer hätte kommen können. Für die Schweiz war die Einführung der Artikel 6.2, 24, 40.21 und 40.22 eminent wichtig. Diese Pararaphen sollen dafür sorgen, dass Rechtshilfegesuche nicht missbraucht werden können. Länder wie Russland, Turkmenistan oder Nordkorea können damit die Rechtsordnungen liberaler Staaten nicht über ein Rechtshilfegesuch aushebeln.
Artikel 6.2: “Nothing in this Convention shall be interpreted as permitting suppression of human rights or fundamental freedoms, including the rights related to the freedoms of expression, conscience, opinion, religion or belief, peaceful assembly and association, in accordance and in a manner consistent with applicable international human rights law.“
Artikel 40.22: “Nothing in this Convention shall be interpreted as imposing an obligation to afford mutual legal assistance if the requested State Party has substantial grounds for believing that the request has been made for the purpose of prosecuting or punishing a person on account of that person’s sex, race, language, religion, nationality, ethnic origin or political opinions, or that compliance with the request would cause prejudice to that person’s position for any one of these reasons.“
Diese Bestimmungen waren in den Verhandlungen bis zum Schluss heiss umkämpft. Es gab Bemühungen von der Achse Iran, Russland und China, jene Paragraphen komplett zu entfernen, sagt eine nicht-staatliche Teilnehmerin. Vor allem der Iran soll gemäss Insidern noch viele plumpe Versuche unternommen haben, die Menschenrechte und Schutzmechanismen ganz aus der UN-Konvention zu streichen. Doch die Autokraten unterlagen hier.
Nun nochmals konkret: Kann ein Staat wie Iran beim Dienst ÜPF anklopfen und den Swisscom-Anschluss einer Dissidentin in Echtzeit überwachen lassen, vorausgesetzt beide Staaten unterzeichnen und ratifizieren die Konvention?
Nein, solche Anfragen würden weiterhin über Rechtshilfeersuchen gehen, sagt die Schweizer Delegation. Deshalb seien auch Artikel 6.2 und 40.21 sowie Art. 40.22 so essenziell, um beispielsweise Begehren von autokratischen Staaten gegenüber Journalist:innen abzuwehren. Das heisst, ein Staat muss keine Rechtshilfe leisten, wenn einer der in Art. 40.21 und Art. 40.22 genannten Gründe vorliegt.
Aus Sicht der Schweizer Delegation bietet diese UN-Konvention ebenfalls keine Grundlage für mehr innerschweizerische technische Überwachung.
Fazit: Unklar, was das genau für den Überwachungsstaat Schweiz bedeutet
Unter dem Strich bleibt für mich trotz Auseinandersetzung mit der Vorlage unklar, ob die UN-Konvention als Basis für einen weiteren Ausbau des BÜPF (Bundesgesetz für die Überwachung des Post- und Fernmeldeverkehrs) oder des NDG (Nachrichtendienstgesetz) in Zukunft dienen kann (vorausgesetzt eben die Schweiz unterzeichnet und ratifiziert die UN Konvention).
Viele der rechtlichen Instrumente wendet die Schweiz bereits heute an, wie etwa die Vorratsdatenspeicherung, Echtzeitüberwachung, Antennensuchlauf und Staatstrojaner. Dabei folgen weitere Überwachungsmassnahmen einem gerichtlichen Prozedere (wobei auch immer noch interessant wäre zu wissen, wie oft solche Massnahmen abgelehnt werden würden von kantonalen Zwangsmassnahmengerichten). Der Dienst ÜPF schaut gemäss eigenen Angaben, dass die Anfragen durch die Kanton nicht überborden und die gesetzlichen formellen Kriterien erfüllt sind.
Staatstrojanereinsätze müssen von 3 Bundesräten abgesegnet werden und dem Bundesverwaltungsrichter vorgelegt werden. Es existiert ein Checks-and-Balances-System. Und: die Anordnung erfolgt auf Basis eines Verdachts und innerhalb eines Strafverfahrens.
Randbemerkung: Dass alle Personen in der Schweiz von vom Staat offen gehaltenen Sicherheitslücken betroffen sind und in den Datenbanken der Schweizer Telekom-Provider mit einer Historie von 6 Monaten gespeichert sind, ist natürlich noch ein anderes Thema. Die Überwachungsmassnahmen werden zwar einzeln und auf Verdacht angeordnet, dennoch sind alle Schweizer Einwohner:innen von der Datensammlung des Staates betroffen. Ausserdem ist der staatliche Handel mit Staatstrojaner, die auf den neuesten Lücken den von IT-Systemen basieren, ethisch hochproblematisch. Schliesslich müsste es im Interesse einer demokratischen Regierung sein, die eigene Bevölkerung vor solchen Lücken zu schützen.
Doch machen wir uns nichts vor, auch hierzulande ist die Tendenz der Schweiz klar: Angesichts der zunehmenden Verschlüsselung der digitalen Kanälen versuchen die Behörden neue Wege und Mittel der technischen Überwachung und bauen ihre dahingehenden Verordnungen dazu stetig aus, um neue Technologien zu integrieren. Ich kann mir nicht vorstellen, dass die Schweizer Strafverfolgung und der Geheimdienst allfällige “Lücken” des technischen Überwachungsarsenals nicht noch mit Verweis auf die UN Cybercrime Convention schliessen und neue Verordnungen und Gesetzesanpassungen beim BÜPF anregen werden. It is just too tempting…
Am schwerwiegendsten erachte ich den behördlichen Zugriff auf die Inhaltsdaten, der mit der UN Konvention weltweit legitimiert werden soll (und vielleicht für manche Staaten ein “Upgrade” der Ausspähung bedeuten würde, siehe auch aktuelle Diskussion in Österreich um Bundestrojaner). Trotz verschlüsseltem Datenverkehr gibt es immer mehr Instrumente wie Trojaner oder Stalkerware sowie Handy-Entschlüsselungssoftware wie Cellebrite, mit der direkt auf Inhaltsdaten zugegriffen werden kann.
Auch sind Journalist:innen meiner Meinung nach in der UN-Konvention unzureichend geschützt: Die Pressefreiheit ist theoretisch durch die Bestimmung “Freedom of Expression, Conscience, Opinion” abgedeckt (Artikel 6.2, unter den generellen Bestimmungen, die für die gesamte Konvention gelten).
Doch reichen diese Begriffe wirklich, wenn nicht explizit das Wort Pressefreiheit verankert wird? Ich teile hier die Einschätzung der Piraten, dass hier damit womöglich die Grundlage für eine Ausweitung der Überwachung auf Medienschaffende geschaffen wird. Der Nachrichtendienst plante dies bereits und auch die EU sieht dies mit ihrem Medienfreiheitgesetz ebenfalls vor, bei Bedrohung der “nationalen Sicherheit” eine Definition, die im EU-Gründungsvertrag geregelt ist.
Prüfung der Rechtshilfegesuche von Autokratenstaaten werden essenziell
Was die Zusammenarbeit mit autokratischen Staaten betrifft: Hier hängt es wohl sehr von der Resilienz und aufmerksamen Prüfung ab, ob Rechtshilfegesuche von Autokratien bei Verfolgung von Oppositionellen oder Aktivisten zuverlässig abgeblockt werden. Ein repressiver Staat wie Russland hat die gesamte LGBTQ+-Gemeinschaft als extremistische Organisation eingestuft. In vielen liberalen Demokratien gibt es durchaus “Extremismus” als Tatbestand im Strafgesetz. Und die LGBTQ-Bewegung ist damit sicherlich nicht gemeint, sondern Dschihadismus, Rechts-/Linksextremismus etc. Bleibt zu hoffen, dass die europäischen Staaten die Rechtshilfegründe pingelig genau prüfen und Gesuche um die digitalen Daten eines vermeintlichen “Extremisten”, der in Russland gesucht wird nur weil er schwul ist, systematisch abgelehnt wird.
Übrigens keep in mind: Auch innerhalb der EU wird diese direkte Kooperation forciert mit der letztes Jahr in Kraft getretenen e-Evidenz-Verordnung, mit der sich auch die Schweiz in einem Bericht auseinandersetzte. Ein EU-Staat wie Ungarn könnte direkt bei einem IT-Anbieter wie Threema oder Proton Daten von bestimmten Targets herausverlangen (es bestehen aber keine Verhandlungen zwischen der Schweiz und der EU über eine Teilnahme der Schweiz an e-Evidence). Ausserdem gilt wie erwähnt bereits das Budapest-Abkommen, das bereits eine Kooperation der Staaten etabliert hat im Bereich der Strafverfolgung.
Der Aufschrei für die Cybercrime Convention kommt sehr spät, die UN-Generalversammlung wird diese bald verabschieden müssen. Ob noch dieses Jahr, bleibt unklar.
Danach folgt die innerstaatliche Ratifizierung. Dieser Prozess steht auch in der Schweiz zuerst an, noch ist also gar nichts beschlossen. Der Bundesrat und das Bundesparlament werden sich zuerst mit den Konvention beschäftigen müssen.
Wichtig auch zu wissen: Nicht jede UN-Konvention wurde von der Schweiz unterzeichnet oder ratifiziert (so etwa das Übereinkommen zum Schutz der Rechte aller Wanderarbeitnehmer und ihrer Familienangehörigen). Gut möglich, dass Organisationen wie die Digitale Gesellschaft, die Piratenpartei und die Linken zum Widerstand aufrufen werden.
Damit die UN-Konvention global in Kraft tritt, braucht es eine Mindestzahl von 40 ratifizierenden Staaten. Da reichen leider schon die Stimmen der Autokratien.
Der Westen ist bei digitalen Themen zu naiv
Dass hier Staaten wie Russland und China eine UN-Konvention zu einem sehr kontroversen Thema mit viel technischen Dimensionen ohne grosse mediale Öffentlichkeit durchpeitschen konnte, ist aber nicht weiter verwunderlich. China beispielsweise redet immer mehr in den internationalen Gremien mit, die sich mit Standards und Protokollen auseinandersetzen.
Ich schliesse daher nochmals mit einem Zitat aus dem Meinungsbeitrag von Tobias B. Bacherle, Mitglied des Deutschen Bundestages. Er sieht das grösste Problem genau in dieser mangelnden Aufmerksamkeit westlicher Staaten für digitale Themen. Denn genau dieses Defizit machen sich Autokraten zunutze, um ihre Tech-Diktaturen einführen zu können. Unter dem Deckmantel von globalen Normen.
Das Tauziehen um unsere Freiheit und Menschenrechte hat sich längst in den digitalen Raum verlagert. Autoritäre Staaten wissen um unsere mangelnde Wachsamkeit in diesem Bereich und nutzen sie aus.
Tobias B. Bacherle
Eine Antwort
Die Haltung der CH-Delegation wirkt ein bisschen wie wenn Widerstand gegen den Vorstoss zwecklos gewesen ist und man einfach das beste rausholen wollte. Das mag ja punktuell durchaus gelungen sein, aber rechtfertigt das eher erschreckende Endergebnis wirklich ein diplomatisches sich-auf-die-Schultern-klopfen?