Aktuelles von Pohlmann & Company

17.02.2023

Deutschland unterzeichnet Zweites Zusatzprotokoll zur Cybercrime-Konvention

Die Bundesrepublik Deutschland hat diese Woche das Zweite Zusatzprotokoll zur Cybercrime-Konvention unterzeichnet. Die Cybercrime-Konvention des Europarats (in Kraft getreten am 1. Juli 2004) ist das erste völkerrechtliche Abkommen zur Bekämpfung von Cyberkriminalität und dient der wirksamen Bekämpfung der Datennetzkriminalität sowie der schnellen und verstärkten internationalen Zusammenarbeit in Strafsachen. Die Effizienz der Strafverfolgung von Cyberkriminalität soll mittels angemessener Rechtsvorschriften in den Unterzeichnerstaaten gesteigert werden. Das Abkommen enthält Regelungen zur internationalen Zusammenarbeit der Unterzeichnerstaaten, Vorgaben für konkrete Straftatbestände (u.a. Computerbetrug, Angriffe auf die Netzsicherheit, Kinderpornographie) und Vorgaben zum Verfahrensrecht.

Das „Zweite Zusatzprotokoll zur Cybercrime-Konvention betreffend die verstärkte Zusammenarbeit und die Weitergabe von elektronischen Beweismitteln“ ergänzt die Cybercrime-Konvention und trägt der Tatsache Rechnung, dass sich Beweismittel in Fällen der Cyberkriminalität zunehmend auf ausländischen Servern befinden. Die Unterzeichnerstaaten verpflichten sich zur gegenseitigen Herausgabe von Daten auf Servern in ihrem Hoheitsgebiet. Grundlegend soll es den Vertragsstaaten ermöglicht werden, auf direktem Wege bei Dienstanbietern im Ausland Zugriff auf strafverfahrensrelevante Daten zu erlangen. Das Zusatzprotokoll sieht konkrete Bereiche vor, in denen ein direkter Zugriff auf Daten bei einem Dienstanbieter im Ausland ermöglicht werden soll. Besonders relevant sind dabei die Vorschriften zum Zugriff auf Bestands-, Nutzungs- und Verkehrsdaten. Bestandsdaten sind nach der Legaldefinition des § 2 Abs. 2 Nr. 2 TTDSG die personenbezogenen Daten, deren Verarbeitung zum Zweck der Begründung, inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Anbieter von Telemedien und dem Nutzer über die Nutzung von Telemedien erforderlich ist. Nutzungsdaten sind gem. § 2 Abs. 2 Nr. 3 die personenbezogenen Daten eines Nutzers von Telemedien, deren Verarbeitung erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen; dazu gehören insbesondere a) Merkmale zur Identifikation des Nutzers, b) Angaben über Beginn und Ende sowie Umfang der jeweiligen Nutzung und c) Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Verkehrsdaten sind gem. § 3 Nr. 70 TKG Daten, deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich sind. Inhaltsdaten sind solche Daten, welche den Inhalt einer Kommunikation betreffen.

Art. 6 des Zweiten Zusatzprotokolls regelt den vereinfachten Zugriff auf Daten von Registrierungsdiensten für Domainnamen. Nach Art. 6 des Zweiten Zusatzprotokolls sollen ausländische Behörden direkt bei Domainregistrierungsdiensten die für ein Strafverfolgungsverfahren relevanten Informationen und Daten abfragen können. Folglich müssen die ausländischen Behörden die Daten nicht zuerst bei den Ermittlungsbehörden des anderen Staates anfragen und können die relevanten Informationen schneller auswerten.

Art. 7 des Zweiten Zusatzprotokolls ermöglicht ausländischen Ermittlungsbehörden die direkte Abfrage gespeicherter Bestandsdaten bei Dienstanbietern. Bestandsdaten im Sinne des Art. 7 sind gem. Art. 18 Abs. 3 der Cybercrime-Konvention alle in Form von Computerdaten oder in anderer Form enthaltenen Informationen, die bei einem Dienstanbieter über Teilnehmer seiner Dienste vorliegen, mit Ausnahme von Verkehrsdaten oder inhaltsbezogenen Daten. Durch diese Computerdaten kann die Identität des Teilnehmers, seine Post- und Hausanschrift, Telefon- oder sonstige Zugangsnummer sowie Angaben der Rechnungsstellung und Zahlung, die auf der Grundlage des Vertrags in Bezug auf den Dienst zur Verfügung stehen festgestellt werden.

Art. 8 des Zusatzprotokolls sieht darüber hinaus ein vereinfachtes und beschleunigtes Verfahren zur Abfrage von Verkehrsdaten von Datendienstanbietern im Ausland vor. „Verkehrsdaten“ sind gem. Art. 1 lit. c der Cybercrime-Konvention alle Computerdaten in Zusammenhang mit einer Kommunikation unter Nutzung eines Computersystems, die von einem Computersystem, das Teil einer Kommunikationskette war, erzeugt wurden. Bei der Erfragung von Verkehrsdaten kann die Ermittlungsbehörde allerdings nicht direkt den ausländischen Datendienstanbieter kontaktieren sondern muss zunächst die ausländische Behörde ersuchen. Nach Art. 8 des Zusatzprotokolls soll die Datenauskunft in elektronischer Form möglich sein und die Bearbeitung innerhalb fester Bearbeitungs- und Übermittlungsfristen erfolgen.

In Art. 9 und 10 des Zweiten Zusatzprotokolls sind zwei beschleunigte Notfallverfahren vorgeschrieben. Gem. Art. 9 soll im Notfall den Zugriff auf Bestands-, Verkehrs und Inhaltsdaten beschleunigen und erleichtern. Die Ermittlungsbehörde kann über eine 24/7-erreichbare Kontaktstelle Daten auf deren Hoheitsgebiet erfragen und im Notfall ohne langes Rechtshilfeverfahren Zugang zu den ermittlungsrelevanten Daten erlangen. Art. 10 sieht darüber hinaus ein engl. „rapidly expedited“ Verfahren vor, welches im Notfall eine direkte Datenübermittlung an die Ermittlungsbehörde ermöglichen soll.

Das Zweite Zusatzprotokoll enthält aufgrund der sensiblen Natur elektronischer Daten auch bestimmte Daten- und Rechtsschutzmechanismen. Art. 13 sieht vor, dass die Einrichtung und Durchführung der vom Zweiten Zusatzprotokoll vorgesehenen Datenübermittlungsverfahren den im jeweiligen nationalen Recht vorgesehenen Rechtsgarantien entsprechen. Auch müssen die Menschenrechte und Freiheitsrecht bei der Implementierung der Vorschriften angemessen berücksichtigt werden. Art. 14 enthält Bestimmungen zum Datenschutz, sofern die Vertragsparteien nicht bereits individuelle datenschutzrechtliche Abkommen zur elektronischen Datenübermittlung in Strafverfolgungsverfahren getroffen haben. Demnach müssen die Behörden bei der Übermittlung sensibler elektronischer Daten (z.B. biometrische Daten oder politische Ansichten) angemessene Datenschutzvorkehrungen treffen. Des Weiteren ist die Verarbeitung und Auswertung von Daten nur auf die im Zweiten Zusatzprotokoll vereinbarte Zwecke beschränkt.

Auf nationaler Ebene ist der Zugriff auf Bestands- und Nutzungsdaten bei Datendienstanbietern nach §§ 22, 24 TTDSG zulässig. Gem. § 22 TTDSG darf wer geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zur Nutzung daran vermittelt, zur Erfüllung von Auskunftspflichten Bestandsdaten an die in der Vorschrift genannten Stellen verwenden. Das Auskunftserlangen ist schriftlich oder elektronisch zu stellen. Nach § 22 Abs. 3 Nr. 1 TTDSG darf die Auskunft über Bestandsdaten an die für die Verfolgung von Straftaten und Ordnungswidrigkeiten zuständigen Behörden soweit zureichende tatsächliche Anhaltspunkte für eine Straftat oder Ordnungswidrigkeit, die gegenüber einer natürlichen Person mit Geldbuße im Höchstmaß von mehr als fünfzehntausend Euro bedroht ist, vorliegen und die in die Auskunft aufzunehmenden Daten erforderlich sind, um den Sachverhalt zu erforschen, den Aufenthaltsort eines Beschuldigten oder Betroffenen zu ermitteln oder eine Strafe zu vollstrecken erteilt werden. Gem. Art. 24 Abs. 1 TTDSG kann wer geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zur Nutzung daran vermittelt, darf die Nutzungsdaten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden. Nach Art. 24 Abs. 3 Nr. 1 TTDSG dürfen die Telemediendienste den Strafverfolgungsbehörden, soweit zureichende tatsächliche Anhaltspunkte für eine Straftat vorliegen und die zu erhebenden Daten erforderlich sind, um den Sachverhalt zu erforschen oder den Aufenthaltsort eines Beschuldigten zu ermitteln bei Telemediendiensten auch Auskunft über die Nutzungsdaten erteilen.

Strafprozessual sind die Anforderungen für dem eigentlichen Zugriff auf Daten durch die Strafverfolgungsbehörden sehr hoch. Gem. § 100a Abs. 1 S. 2, Abs. 4 StPO hat jeder, der Telekommunikationsdienste erbringt oder daran mitwirkt, dem Gericht, der Staatsanwaltschaft und ihren im Polizeidienst tätigen Ermittlungspersonen (§ 152 des Gerichtsverfassungsgesetzes) Zugriff auf Inhaltsdaten aus einer Telekommunikationsüberwachung zu ermöglichen und die erforderlichen Auskünfte unverzüglich zu erteilen. Dabei muss allerdings gem. § 100a Abs. 1 der Verdacht einer schweren Tat des Katalogs des § 100a Abs. 2 StPO vorliegen, die Tat im Einzelfall schwer wiegen und die Erforschung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos sein.

Ähnlich hohe Voraussetzungen werden in § 100g StPO an die Erhebung von Verkehrsdaten gestellt. Insbesondere wenn der Verdacht einer in § 100a Abs. 2 StPO bezeichneten Straftat vorliegt und die Erhebung der Daten gem. § 100g StPO in einem angemessenen Verhältnis zur Sache steht, können Daten von den Strafverfolgungsbehörden erhoben werden. Auch zur Erforschung des Sachverhalts oder der Ermittlung des Aufenthaltsortes eines Beschuldigten können die Strafverfolgungsbehörden Auskunft über Bestandsdaten gem. § 100j StPO verlangen. Ein solches Auskunftsverlangen unterliegt den Voraussetzungen des § 100j Abs. 1 StPO und darf gem. Abs. 3 nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden.

Des Weiteren sieht § 100g Abs. 1 StPO vor, dass wenn bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Absatz 2 bezeichnete Straftat, begangen hat dürfen von demjenigen, der geschäftsmäßig eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt, Nutzungsdaten erhoben werden, soweit dies für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Auch im Rahmen der Nutzungsdatenerhebung muss also eine schwere Straftat vorliegen und eine Ermessensabwägung im Einzelfall vorgenommen werden.

Die von dem Zweiten Zusatzprotokoll vorgesehenen Verfahrensvorschriften werden nun in Hinblick auf die internationale Zusammenarbeit mit ausländischen Behörden in der nationalen Gesetzgebung umgesetzt werden müssen. Es bleibt zu hoffen, dass der Umsetzung die hohe Eingriffsschwelle und der in der Strafprozessordnung verankerte Rechtsschutz weiterhin gewährleistet wird und die datenschutzrechtlichen Vorschriften durch die europarechtlichen Vorgaben nicht verwässert werden. Die datenschutzrechtlichen Vorkehrungen und der hohe Schutzstandard wie er in § 100a ff StPO festgelegt ist, darf nicht untergraben werden.