Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Die Cybercrime-Konvention

Die Cybercrime-Konvention ist ein Übereinkommen des Europarats aus dem Jahr 2001. Sie wurde ausgehandelt, um dem grenzüberschreitenden Charakter der Kriminalität im Internet Rechnung zu tragen.

abgebildet sind komplexe digitale Netzwege in orange sowie ein Augenpaar das aus dem dunklen Hintergrund hervorblickt
Quelle: Getty Images International

Seit November 2001 können die Mitgliedstaaten des Europarates und andere Staaten der Cybercrime-Konvention des Europarats, auch bekannt als Budapest-Konvention, beitreten. Dabei handelt es sich um einen völkerrechtlichen Vertrag, der von den beitretenden Staaten unterzeichnet und in ihr innerstaatliches Recht umgesetzt werden muss (sog. Ratifikation).

Mit der Ratifikation durch fünf Staaten trat das Übereinkommen am 1. Juli 2004 in Kraft. Inzwischen haben 68 Staaten das Übereinkommen unterzeichnet; 65 davon haben es ratifiziert, darunter auch Deutschland.

Die Cybercrime-Konvention ist das erste völkerrechtliche Abkommen zur Bekämpfung von Cyberkriminalität. Ausgangspunkt ist die Überzeugung, dass eine wirksame Bekämpfung der Datennetzkriminalität eine verstärkte und rasche internationale Zusammenarbeit in Strafsachen verlangt.

Der Schutz der Gesellschaft vor der Gefahr, dass Rechnernetze und elektronische Daten auch zur Begehung von Straftaten genutzt werden können, soll unter anderem durch angemessene Rechtsvorschriften in den Unterzeichnerstaaten erreicht werden. Das Abkommen enthält daher sowohl Vorgaben für konkrete Straftatbestände (unter anderem Verletzungen des Urheberrechts, Betrugstatbestände, Kinderpornographie, Angriffe auf die Netzsicherheit), als auch zum Verfahrensrecht, d. h. wie diese Straftaten verfolgt werden sollen und welche Befugnisse die Strafverfolgungsbehörden haben sollen. Ein weiterer Komplex befasst sich mit Fragen der internationalen Zusammenarbeit.

Im Laufe der Beratungen auf nationaler und auf internationaler Ebene wurde der Entwurf des Abkommens inhaltlich vielfach geändert. Aus datenschutzrechtlicher Sicht waren die Bestimmungen zu den Überwachungsmaßnahmen im Bereich der elektronischen Kommunikation besonders wichtig. Hier geht es um die Überwachung der sog. Verkehrsdaten. Das sind Daten, die bei der Inanspruchnahme der elektronischen Kommunikationswege anfallen. Außerdem wird der Umgang mit den sog. Inhaltsdaten geregelt, dies sind die Gespräche oder Nachrichten selbst. In der nun geltenden Fassung ist eine Überwachung der Inhaltsdaten auf schwerwiegende Delikte beschränkt und steht unter dem Vorbehalt nationalen Rechts. Hinsichtlich der Verkehrsdaten ist eine Sammlung oder Aufzeichnung nur zu Zwecken strafrechtlicher Ermittlungen und Verfahren möglich, wenn nationale Bestimmungen nicht entgegenstehen. Eine ursprünglich vorgesehene Verpflichtung der Diensteanbieter, Verkehrsdaten, die bei der Übertragung über ihre Computersysteme entstehen, quasi auf Vorrat für einen längeren Zeitraum zu speichern, enthält das Übereinkommen nicht.

Das Zusatzprotokoll zur Cybercrime-Konvention

Es gibt ein Zusatzprotokoll zur Cybercrime-Konvention mit dem Ziel der Kriminalisierung rassistischer und fremdenfeindlicher Handlungen mittels Computersystemen. Dieses Zusatzprotokoll wurde von Deutschland und 44 anderen Staaten unterzeichnet; 32 davon haben es ratifiziert.

Das Cybercrime Komitee des Europarates (T-CY) veröffentlichte im November 2020  seine aktuelle Version des Zusatzprotokolls. Der Europäische Datenschutzausschuss verfasste hierzu im Februar die Stellungnahme 02/2021.

Der endgültige Entwurf des Protokolls wurde am 17. November 2021 vom Ministerkomitee des Europarats verabschiedet. Gleichzeitig wurde erstmals auch ein erläuternder Bericht zum Protokoll, der „Explanatory Report“, veröffentlicht.

Das Protokoll bietet nun einen rechtlichen Rahmen für die Offenlegung von Informationen über Registrierung von Domainnamen und für die direkte Zusammenarbeit (dritt-)staatlicher Stellen mit Providern im Hinblick auf Bestandsdaten, Verfahren zum Abruf von Bestands- und Verkehrsdaten, der sofortige Zusammenarbeit in Notfällen, gegenseitige Unterstützung sowie Garantien für den Schutz personenbezogener Daten.

Der ausführliche Text des Explanatory Reports, den das Ministerkomitee ebenfalls zur Kenntnis genommen hat, soll die Vertragsparteien bei der Anwendung des Protokolls anleiten und unterstützen und spiegelt das Verständnis der Verfasser hinsichtlich seiner Funktionsweise des Protokolls wider.

Am 25. November 2021 hat die Europäische Kommission zwei Vorschläge für Ratsbeschlüsse vorgelegt, mit denen die Mitgliedstaaten ermächtigt werden, das Protokoll im Interesse der Europäischen Union zu ratifizieren bzw. zu unterzeichnen. Hintergrund ist, dass die im Protokoll geregelten Bereiche aus Sicht der Kommission weitgehend Themen betreffen, die in der Regelungskompetenz der Union fallen. Dementsprechend sollen die Mitgliedstaaten einheitlich von Vorbehalten Gebrauch machen und Erklärungen, Notifikationen oder Mitteilungen in Bezug auf bestimmte Artikel abgeben.

Der EDPS ist beauftragt, eine Stellungnahme zu den Vorschlägen der Kommission abzugeben, die bis Ende Januar 2022 veröffentlicht wird.

Der EDSA sich auf Bitten des Europäischen Parlaments Mitte Februar zu dem endgültigen Entwurf des Protokolls äußern, dabei auch die oben genannten Dokumente sowie die Stellungnahme des EDPS zu den Vorschlägen der Kommission berücksichtigen.

Die Unterzeichnung des Protokolls durch die Vertragsstaaten ist für Mai 2022 vorgesehen.

Hier finden Sie den Text zur Konvention: