09.08.24 –

Gastbeitrag bei Euractiv, Tobias B. Bacherle, MdB

Mit der Cybercrime Konvention werde wohl ein internationales Regelwerk geschaffen, das nur auf den ersten Blick Kriminalitätsbekämpfung im digitalen Raum sinnvoll ergänze, so Bundestagsabgeordneter Tobias Bacherle in einem Gastbeitrag. Die ehrbare Überschrift sei reines Blendwerk.

Nach einer kleinen Nachtschicht scheinen sich die Sorgen zu bestätigen: Die Freiheit des Internets und die Menschenrechte im digitalen Raum konnten bei den Verhandlungen zur Cybercrime Konvention nichts gewinnen. Sie waren in der Defensive gegen einen der wirksamsten Angriffe des digitalen Autoritarismus.

Umso irritierender die Reaktionen, nachdem kurz vor Mitternacht die Nachricht aus New York eintrifft: unverhohlene Freude, die mit den ersten Meldungen von der erreichten Einigung mitgeschwungen ist. Freudige Tweets von Diplomaten verkünden einen Kompromiss nach jahrelanger harter Arbeit. Videos geben lauten Jubel nach der Abstimmung wieder. Die Ad Hoc Arbeitsgruppe hat sich nach drei Jahren auf eine Cybercrime Konvention geeinigt.

Doch mit der Cybercrime Konvention wird wohl ein internationales Regelwerk geschaffen, das nur auf den ersten Blick Kriminalitätsbekämpfung im digitalen Raum sinnvoll ergänzt und in internationale Verrechtlichung übersetzt.

Die ehrbare Überschrift ist reines Blendwerk. Seit Russland 2017 das erste Mal den Vorstoß für eine Cybercrime Konvention machte, war klar: Im besten Fall würde das Autokraten-Dreamteam Russland und China die Verhandlungen nur nutzen, um sich als relevanter Verhandlungspartner auf dem internationalen Parkett zu inszenieren. Und im schlimmsten Fall könnten sie ihre Vorstellungen voller Überwachungsfantasien und Repression qua UN-Konvention legitimieren.

Zunächst waren die Verhandlungen im Februar gescheitert. Bei der außerplanmäßigen Verlängerung wurde sich die Ad Hoc Gruppe nun sogar noch vor dem als Deadline gesetzten Freitag einig. Für Showdown hatten viele Stimmen und auch ich bereits gewarnt: Lieber keine Einigung als eine schlechte. Lieber der Status-Quo als eine massive Verschlechterung. Bei aller Liebe zum Multilateralismus und internationaler Kooperation darf keine Einigung der reinen Einigung zuliebe zustande kommen.

Kaum Schutzmaßnahmen, umso mehr Überwachung

In den letzten Wochen wurde insbesondere von Menschenrechtsorganisationen, der Tech-Community und von auch Firmen angemahnt, dass die in Artikel 24 aufgezählten Konditionen und Schutzmaßnahmen nicht ausreichend sind. Wichtige Verpflichtungserklärungen zum Recht auf Anonymität, zu digitaler Privatsphäre, sicherer Kommunikation, Verschlüsselung, zur Autonomie der Selbstverwaltung des Internets und Ausschluss von Massenüberwachung fehlen gänzlich.

Aber auch darüber hinaus sind die Schutzmaßnahmen dünn gehalten. Entgegen der Forderung aus Zivilgesellschaft und Stakeholdern beziehen sie sich auch nur auf das dritte Kapitel, nicht auf die gesamte Konvention.

Wer die Debatte in Deutschland um den sogenannten Hackerparagrafen verfolgt, stolpert allerdings schon früher. Die Diskussion geht im Kern um die Frage, wie wir mit jenen umgehen, die oftmals an vorderster Front für unsere Cybersicherheit unterwegs sind: Hacker und IT-Sicherheitsforscher, die Sicherheitslücken entdecken und diese – oft nach ausgebliebener Reaktion der Systembetreibenden – veröffentlichen. Diese Arbeit ist immens wichtig, denn das Entdecken von Sicherheitslücken ist schließlich die Voraussetzung, dass diese geschlossen werden können – bestenfalls eben, bevor sie mit schlechter Absicht ausgenutzt werden.

Nun, Artikel 7 und 11 der Cybercrime Convention klingen hierbei leider unangenehm vertraut: Die Intention und der Umgang mit einer möglicherweise entdeckten Sicherheitslücke müssen keine Rolle spielen.

Es steht Fundamentales auf dem Spiel

Manche sagen also nun: Okay, fast jeder internationale Vertrag oder Konvention hat seine beziehungsweise ihre Fehler. Und ja, auch wenn es in der Cybercrime Konvention noch mehr Problematisches gibt als diese beiden Beispiele – ist es nicht ein Erfolg, dass auch in so geopolitisch unruhigen Zeiten eine Einigung auf internationaler Ebene möglich ist?

Mitnichten, möchte ich entgegnen. Die Cybercrime Convention ist kein Beweis dafür, dass der Multilateralismus und die internationale regelbasierte Weltordnung leben. Vielmehr ist diese Einigung ein Beweis für die Angriffe auf die Freiheit, welche autoritäre Staaten immer ungenierter und erfolgreicher fahren. Und bei denen der digitale Raum immer mehr ins Visier gerät. Denn das Austarieren von Menschenrechtsfragen entscheidet sich immer mehr genau dort. Diese Fragen entscheiden sich darin, inwieweit die Rechte der Menschen im digitalen Raum gewährleistet sind oder eben beschnitten werden.

Das Ausschlusskriterium?

So weit, so durchwachsen. Doch in Artikel 35 werden sogar – ohne große Sicherheitsvorkehrungen – Datenaustauschmöglichkeiten geschaffen, die nur als große Gefahr für Menschenrechte, insbesondere Privatsphäre und Meinungsfreiheit, gewertet werden können.

Es ist zu befürchten, dass es in Zukunft beispielsweise dem russischen Staat erlaubt wäre, im Ausland gespeicherte Daten über und von Personen anzufordern, um sie als elektronische Beweismittel in Strafverfahren zu nutzen. Ohne, dass ein Verfahren festgelegt ist, wie man die Anfrage nach dem Grad ihrer Willkür und Glaubwürdigkeit überprüfen kann. Konkret könnte sich Russland bei der Verfolgung von Oppositionellen, die als Extremisten verfolgt und diffamiert werden, auf die Konvention berufen und Daten aus dem Ausland anfordern. Diese Rolle als digitaler Gehilfe des Autoritarismus sollten wir tunlichst vermeiden.

Es scheint auf den ersten Blick so, als wären die vielen Warnungen aus Zivilgesellschaft, Tech-Community, Politik und betroffenen Firmen ohne Konsequenzen verhallt. Es braucht nun also unbedingt eine kritische Debatte, sowohl über das anstehende Abstimmungsverhalten in der UN-Vollversammlung als auch um eine etwaige Ratifizierung.

Glasklar ist: Das Tauziehen um unsere Freiheit und die Menschenrechte hat sich längst in den digitalen Raum verlagert. Autoritäre Staaten wissen um unsere geringe Wachsamkeit für die Veränderungen in diesem Bereich – und nutzen diese Lücke.

Aus dieser Erkenntnis ergibt sich ein Auftrag, der weit über anstehende UN-Verhandlungen wie den Global Digital Compact hinaus reicht. Er gilt genauso für Standardisierungs- und Normierungsprozesse und eigene, europäische Regulierungsvorhaben. Der Auftrag muss nach der gestrigen Einigung auf die Cybercrime Convention, die ein Punktsieg für den digitalen Autoritarismus ist, umso dringlicher erkannt werden: Freiheit, Selbstverwaltung und Selbstbestimmung im Digitalen müssen verteidigt werden.

Diese Werte dürfen nicht leichtfertig untergraben oder einer Einigung zuliebe hergegeben werden. Denn in unserer digitalisierten Welt des 21. Jahrhunderts sind sie die Grundlage unserer Demokratie und unserer freiheitlichen Grundordnung.