Ein von der UN-Generalversammlung im Dezember 2000 eingesetzter ad hoc-Ausschuss hat den Entwurf einer neuen Konvention gegen Cyberkriminalität (Draft UN Convention Against Cybercrime) verabschiedet:
- Medienmitteilung
- Entwurfstext (EN, noch nicht auf DE verfügbar)
Die Generalversammlung solle diesen Entwurf wohl noch 2024 verabschieden. Die Konvention würde 90 Tage nach der 40. Ratifikation in Kraft treten.
Die Konvention richtet sich an den jeweiligen Gesetzgeber und wäre das erste “global rechtsverbindliche Instrument” zur Bekämpfung der Cyberkriminalität. Die “Cybercrime Convention” (CCC, “Budapest Convention”) ist ein Abkommen des Europarats, das aber immerhin von 64 Staaten ratifiziert worden ist.
Die UN-Konvention soll in erster Linie Rechtshilfe zwischen Ländern ermöglichen, die noch keine Rechtshilfeabkommen (MLATs) geschlossen haben. Die Electronic Frontier Foundation befürchtet deshalb, dass auch repressive Regime in den Genuss der Rechtshilfe kämen, die bisher bspw. aufgrund ihrer Menschenrechtslage von MLATs ausgeschlossen waren. Ein Streitpunkt der Verhandlung war offenbar auch, welche Straftaten Anlass für Rechtshilfe sein können – offenbar haben Staaten wie Russland, China, Nigeria, Ägypten, Iran und Pakistan eine Ausweitung des Katalogs verlangt, während insbesondere die EU und die USA eine Beschränkung auf die Computerkriminalität und wenige weitere Straftaten verlangt hatten.
Im Rahmen der erfassten Straftaten sieht die Konvention vor, dass die ratifizierenden Staaten u.a. folgende Zwangsmittel einsetzen können:
- bestimmte elektronische Daten einschliesslich von gespeicherten oder sich in Übermittlung befindenden Inhalts- und Metadaten sicherstellen,
- die Herausgabe elektronischer Daten anordnen, sofern die betreffende Person oder der betreffende Provider darüber “possession or control” hat,
- in ihrem Staatsgebiet befindliche IT-Systeme und Datenträger durchsuchen, und
- Verkehrs- und Inhaltsdaten abfangen und aufzeichnen oder einen Provider zwingen, im Rahmen seiner technischen Möglichkeiten dasselbe zu tun.
Vor diesem Hintergrund dürfte es noch schwerer fallen, die Zugriffsmöglichkeiten nach dem US Stored Communication Act als ordre public-widrig zu bezeichnen.