Nicht einmal abgestimmt wurde über die Konvention. Sie wurde am 24.12. im Konsens durchgewunken, sodass sich keine Regierung dafür rechtfertigen muss, zugestimmt zu haben. Was am 24.12. beschlossen wird, läuft keinerlei Gefahr, in einer Zeitung abgedruckt oder in einer Nachrichtensendung verkündet zu werden.
Es geht, wie so oft, um ein durchaus sinnvolles Ziel, nämlich die internationale Zusammenarbeit bei der Bekämpfung von Internetkriminalität zu verbessern. Wer die Konvention unterzeichnet, verpflichtet sich zur Zusammenarbeit, wenn ein anderer Staat z.B. um Hilfe bei der Verfolgung von Internetbetrügern, Waffenhändlern oder Kinderporno-Vertreibern bittet, die ihre Server im betreffenden Staat haben.
Das Problem ist nur: Da die Öffentlichkeit keinerlei Notiz von den Verhandlungen nahm, ließ man alle Organisationen einfach abblitzen, die im Interesse der Bürgerrechte, des Datenschutzes und der Rechtssicherheit für die betroffenen Unternehmen Änderungen forderten. Heraus kam ein Überwachungspakt mit Bürgerrechtsschutz nur als kurzem Lippenbekenntnis und einem gänzlich offenen Katalog der Straftaten, mit denen sich die vereinbarten Maßnahmen rechtfertigen lassen.
Eine Gruppe von 22 Verbänden aus Europa, zu denen aus Deutschland unter anderem die Digitale Gesellschaft und Digitalcourage gehören, forderte in einem offenen Brief an EU und EU-Mitgliedsländer, dass die Konvention auf eine eindeutige Liste von Internetvergehen beschränkt wird. Vergeblich. Laut Artikel 4 gilt sie auch für Delikte, die in einer beliebigen UN-Konvention oder einem beliebigen Protokoll definiert sind oder noch werden. Es muss nur ein Computer oder Server mit Internetanbindung im Spiel sein. Letzteres ist heutzutage praktisch immer der Fall. Der Schwachkopf und die Holhlbratze lassen grüßen.
Bei der Haftung der Plattform-Betreiber für Delikte ihrer Nutzer als Mittäter nach Artikel 18 fehlt den Autoren des Briefs, ebenso wie der ebenfalls protestierenden International Chamber of Commerce (internationale Handelskammer), ein klarer Hinweis, dass das nur für wissentliche Mittäterschaft gilt. Die Erwartung der Kritiker ist, dass die Plattformen, um das Risiko zu minimieren, sehr rigide alles kontrollieren und einschränken, was ihre Nutzer tun, und dadurch deren Grundrechte beschnitten werden – etwa das Recht auf freie Meinungsäußerung. Hacker, die gesellschaftsdienlich arbeiten, um Schwachstellen aufzudecken, werden mit Strafverfolgung bedroht, weil es an klaren Aussagen fehlt, dass es auf kriminelle Absicht und die Verursachung von Schäden ankommt.
Artikel 6 enthält eine Generalklausel, dass die Grundrechte zu beachten sind. Aber es fehlen ausdrückliche Verweise auf konkrete Grundrechte, die zu wahren sind, wo es darauf ankommt – beim Datenaustausch und bei der Strafverfolgung zum Beispiel. Auch das Rechtsstaatsprinzip der Verhältnismäßigkeit der Maßnahmen hat keinen nennenswerten Eingang in die Konvention gefunden. Diese verlangt stattdessen an den verschiedensten Stellen ausdrücklich größtmögliche Kooperation und Datenaustausch so umfassend wie möglich, sowie Strafverfolgung so intensiv wie möglich, ohne dass ein Bezug zur Schwere oder Nichtschwere der Straftat hergestellt würde.
Auch der Cybersecurity Tech Accord, ein Bündnis von über 100 Internet-Sicherheitsfirmen, und der UN-Hochkommissar für Menschrechte plädierten in offenen Briefen vergeblich für einen besseren Grundrechtsschutz.
Fast unnötig zu erwähnen, dass man auch einen ausdrücklichen Verweis auf das Erfordernis einer richterlichen Anordnung für Ausforschungsmaßnahmen und für das Abgreifen und Sperren von Daten nicht für nötig befand. Auch Information der Betroffenen über die gegen sie getroffenen Maßnahmen, wenn das die Ermittlungen nicht mehr gefährdet, wird nicht gefordert. Ebensowenig sind regelmäßige statistische Berichte über das Ausmaß der getroffenen freiheitseinschränkenden Maßnahmen verlangt. Die Hürden für die Ablehnung eines Kooperationsersuchens sind dafür um so höher.
Behörden eines Staates, der die Konvention ratifiziert hat, sind daran gebunden. Sie werden sich nicht allzu sehr bitten lassen. Falls sich jemand beschwert: Die hiesigen Gerichte berücksichtigen solche Konventionen bei der Auslegung der heimischen Rechtsvorschriften. Es ist also durchaus wichtig, dass Deutschland dieses an der Weltöffentlichkeit vorbei beschlossene Machwerk nicht ratifiziert. Wann genau die Zeremonie in Hanoi 2025 stattfinden soll, bei der der Ratifizierungsprozess eröffnet wird, scheint noch nicht klar zu sein.
Schlussfolgerung
Die Konvention gegen Cyberkriminalität ist in der jetzigen Form eine Anschlag auf die Meinungsfreiheit und weitere Grundrechte und darf deshalb nicht ratifiziert werden.
