Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Die Cybercrime-Konvention

Die Cybercrime-Konvention ist ein Übereinkommen des Europarats aus dem Jahr 2001. Sie wurde ausgehandelt, um dem grenzüberschreitenden Charakter der Kriminalität im Internet Rechnung zu tragen.

abgebildet sind komplexe digitale Netzwege in orange sowie ein Augenpaar das aus dem dunklen Hintergrund hervorblickt
Quelle: ©John Lund via Getty Images

Seit November 2001 können die Mitgliedstaaten des Europarates und andere Staaten der Cybercrime-Konvention des Europarats, auch bekannt als Budapest-Konvention, beitreten. Dabei handelt es sich um einen völkerrechtlichen Vertrag, der von den beitretenden Staaten unterzeichnet und in ihr innerstaatliches Recht umgesetzt werden muss (sog. Ratifikation).

Mit der Ratifikation durch fünf Staaten trat das Übereinkommen am 1. Juli 2004 in Kraft. Inzwischen haben 68 Staaten das Übereinkommen unterzeichnet; 65 davon haben es ratifiziert, darunter auch Deutschland.

Die Cybercrime-Konvention ist das erste völkerrechtliche Abkommen zur Bekämpfung von Cyberkriminalität. Ausgangspunkt ist die Überzeugung, dass eine wirksame Bekämpfung der Datennetzkriminalität eine verstärkte und rasche internationale Zusammenarbeit in Strafsachen verlangt.

Der Schutz der Gesellschaft vor der Gefahr, dass Rechnernetze und elektronische Daten auch zur Begehung von Straftaten genutzt werden können, soll unter anderem durch angemessene Rechtsvorschriften in den Unterzeichnerstaaten erreicht werden. Das Abkommen enthält daher sowohl Vorgaben für konkrete Straftatbestände (unter anderem Verletzungen des Urheberrechts, Betrugstatbestände, Kinderpornographie, Angriffe auf die Netzsicherheit), als auch zum Verfahrensrecht, d. h. wie diese Straftaten verfolgt werden sollen und welche Befugnisse die Strafverfolgungsbehörden haben sollen. Ein weiterer Komplex befasst sich mit Fragen der internationalen Zusammenarbeit.

Im Laufe der Beratungen auf nationaler und auf internationaler Ebene wurde der Entwurf des Abkommens inhaltlich vielfach geändert. Aus datenschutzrechtlicher Sicht waren die Bestimmungen zu den Überwachungsmaßnahmen im Bereich der elektronischen Kommunikation besonders wichtig. Hier geht es um die Überwachung der sog. Verkehrsdaten. Das sind Daten, die bei der Inanspruchnahme der elektronischen Kommunikationswege anfallen. Außerdem wird der Umgang mit den sog. Inhaltsdaten geregelt, dies sind die Gespräche oder Nachrichten selbst. In der nun geltenden Fassung ist eine Überwachung der Inhaltsdaten auf schwerwiegende Delikte beschränkt und steht unter dem Vorbehalt nationalen Rechts. Hinsichtlich der Verkehrsdaten ist eine Sammlung oder Aufzeichnung nur zu Zwecken strafrechtlicher Ermittlungen und Verfahren möglich, wenn nationale Bestimmungen nicht entgegenstehen. Eine ursprünglich vorgesehene Verpflichtung der Diensteanbieter, Verkehrsdaten, die bei der Übertragung über ihre Computersysteme entstehen, quasi auf Vorrat für einen längeren Zeitraum zu speichern, enthält das Übereinkommen nicht.

Die Zusatzprotokolle zur Cybercrime-Konvention

Das erste Zusatzprotokoll ergänzt die Cybercrime-Konvention und verfolgt das Ziel der Kriminalisierung rassistischer und fremdenfeindlicher Handlungen mittels Computersystemen. Dieses Zusatzprotokoll wurde von Deutschland und 44 anderen Staaten unterzeichnet; 32 davon haben es ratifiziert.

Das zweite Zusatzprotokoll vom 28. Mai 2022 soll einen rechtlichen Rahmen für die Offenlegung von Informationen über Registrierung von Domainnamen und für die direkte Zusammenarbeit (dritt-) staatlicher Stellen mit Providern im Hinblick auf Bestandsdaten, Verfahren zum Abruf von Bestands- und Verkehrsdaten, der sofortigen Zusammenarbeit in Notfällen, gegenseitige Unterstützung sowie Garantien für den Schutz personenbezogener Daten bieten. Es wurde durch die Bundesrepublik Deutschland am 27. Januar 2023 unterzeichnet, jedoch bis dato noch nicht ratifiziert.

Hier finden Sie den Text zur Konvention: