Lexipedia

Übereinkommen des Europarates über die Cyberkriminalität, Genehmigung, Umsetzung, Schreiben an das EJPD

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 17. Juni 2009

981. Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität (Vernehmlassung) Das am 1. Juli 2004 in Kraft getretene Übereinkommen des Europara- tes vom 23. November 2001 über die Cyberkriminalität ist die erste und bisher einzige internationale Konvention, die sich mit Computer- und Netzwerkkriminalität befasst. Sie verpflichtet die Vertragsstaaten, das materielle Strafrecht, das Strafprozessrecht sowie die Rechtshilfe den Herausforderungen neuer Informationstechnologien anzupassen. Die Schweiz erfüllt die Anforderungen des Übereinkommens bereits weit- gehend. Aus Sicht des Bundes sind lediglich kleinere Anpassungen des Strafgesetzbuches und des Rechtshilfegesetzes sowie die Anbringung von verschiedenen Vorbehalten und Erklärungen notwendig. Die Schweiz hat das Übereinkommen am 23. November 2001 unterzeichnet. Am 27. Februar 2008 hat der Bundesrat die Annahme der Motion Glanzmann-Hunkeler (07.3629) beantragt, welche die Ratifikation der Europaratskonvention fordert. Bisher haben 23 Staaten die Konven- tion ratifiziert.

Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat: I. Schreiben an das Eidgenössische Justiz- und Polizeidepartement (Zustelladresse: Bundesamt für Justiz, Fachbereich Internationales Straf- recht, 3003 Bern): Mit Schreiben vom 16. März 2009 haben Sie uns den Entwurf des Bundesbeschlusses über die Genehmigung und die Umsetzung des Übereinkommens des Europarates vom 23. November 2001 über die Cyberkriminalität sowie den erläuternden Bericht hierzu unterbreitet. Wir danken für die Gelegenheit zur Stellungnahme und äussern uns wie folgt.

A. Grundsätzliches Wir begrüssen es, dass die Schweiz das Übereinkommen des Europa- rates vom 23. November 2001 über die Cyberkriminalität genehmigt. Die Bekämpfung und Verhinderung von Computer- und Netzwerkkrimi- nalität erfordert eine gut funktionierende internationale Zusammen- arbeit in Strafsachen. Das hier infrage stehende Übereinkommen leistet hierzu einen sinnvollen Beitrag. Auffallend ist allerdings, dass auf die

Aufnahme datenschutzrechtlicher Bestimmungen in der Konvention weitgehend verzichtet wurde, obschon die grenzüberschreitende Wei- terleitung von Personendaten und der damit verbundene Eingriff in die Persönlichkeitsrechte der Betroffenen einen wesentlichen Bestandteil der Konvention bildet. Vor diesem Hintergrund erlauben wir uns – unge- achtet unserer Zustimmung zur Genehmigung der Konvention – nach- folgend auf die vom kantonalen Datenschutzbeauftragten geäusserten Bedenken hinzuweisen (siehe Punkt C. 2.).

B. Im Einzelnen

1. Zu Art. 2 der Konvention – Rechtswidriger Zugang / Erklärung der Schweiz Der erläuternde Bericht legt dar, dass Art. 2 der Konvention, der die international einheitliche Kriminalisierung des «Hacking» anstrebt, durch Art. 143bis StGB im Wesentlichen abgedeckt wird (Bericht S. 7). Eine Differenz besteht allerdings bezüglich des Tatbestandselements, wonach sich nur derjenige strafbar macht, der Daten aus einem gegen unbefugten Zugriff besonders gesicherten System beschafft. Die Ver- tragsstaaten können im Rahmen einer Erklärung allerdings vorsehen, dass diese zusätzliche Strafbarkeitsvoraussetzung erforderlich ist. Ent- sprechend schlägt der Bund vor, von einer Änderung des bestehenden Strafartikels abzusehen und stattdessen die genannte Erklärung abzu- geben. Wir haben keine Einwände gegen diese vorgesehene Einschränkung zu Art. 2 der Konvention, ist doch einer Betreiberin oder einem Betrei- ber eines Computersystems zuzumuten, dieses minimal zu sichern. Der hier zugrunde liegende Gedanke ist vergleichbar mit jenem der Opfer- mitverantwortung beim Betrug.

2. Zu Art. 3 der Konvention – Rechtswidriges Abfangen / Erklärung der Schweiz Gemäss Art. 3 der Konvention macht sich strafbar, wer mit techni- schen Mitteln vorsätzlich und unrechtmässig nicht öffentlich übertragene Computerdaten einschliesslich der elektromagnetischen Abstrahlung abfängt. Auch hier sind ergänzende Erklärungen der Vertragsstaaten, insbesondere hinsichtlich des Bestehens eines zusätzlichen deliktischen Vorsatzes, zulässig. Der erläuternde Bericht hält hierzu fest, dass im schweizerischen Recht zwar keine deckungsgleiche Regelung besteht. Art. 143 StGB, der die unbefugte Datenbeschaffung unter Strafe stellt, umfasst jedoch auch das Abfangen von Daten im Sinne der genannten Konventionsbestimmung. Allerdings erfordert die tatbestandsmässige Handlung nach Strafgesetzbuch eine Bereicherungsabsicht. Der Bund befürwortet deshalb auch hierfür eine entsprechende Erklärung.

Die vorgesehene Einschränkung zu Art. 3 der Konvention ist auf- grund der heutigen Gesetzgebung zwar logisch. Dennoch erscheint aus Sicht der Strafverfolgung die Frage prüfenswert, ob die bestehende Ein- schränkung auf das Erfordernis der Bereicherungsabsicht tatsächlich sinnvoll ist oder ob der Tatbestand von Art. 143 StGB nicht in dem Sinne ausgedehnt werden sollte, dass das Streben nach einem unrecht- mässigen Vorteil (auch nicht finanzieller Art) oder eine ebensolche Schädigung ebenfalls zur Strafbarkeit führt.

3. Zu Art. 6 der Konvention – Missbrauch von Vorrichtungen / Anpassung des materiellen Strafrechts Unabhängig von der Anpassung der Gesetzgebung an die Anforde- rungen des Übereinkommens soll in Art. 143bis StGB die von der Lehre schon in der Vergangenheit geforderte Streichung des Tatbestands- merkmals der fehlenden Bereicherungsabsicht in die Tat umgesetzt werden. Wir begrüssen diesen Vorschlag. Es wirkt nämlich irritierend, wenn der aus reiner Neugierde handelnde Täter nach Art. 143bis StGB bestraft wird, während er beim Handeln in Bereicherungsabsicht unter Umständen straflos bleibt. Zum andern bezweckt die vorgeschlagene Neuformulierung von Art. 143bis StGB die Umsetzung der vom Übereinkommen geforderten Vorverlagerung der Strafbarkeit. Strafbar soll sich inskünftig auch ma- chen, wer Programme oder Daten zugänglich macht im Wissen, dass diese für das Eindringen in ein Computersystem verwendet werden sol- len. Nach heutigem Recht macht sich lediglich strafbar, wer selber min- destens versucht, in ein fremdes, gegen seinen Zugriff besonders gesi- chertes Datenverarbeitungssystem einzudringen. Wir unterstützen die vorgeschlagene Änderung und erachten es ebenfalls als notwendig, die neu als strafbar erklärte Verbreitung von Zugangscodes und anderen Daten als Offizialdelikt auszugestalten.

4. Zu Art. 9 der Konvention – Straftaten mit Bezug zu Kinderpornografie Gemäss Art. 9 der Konvention macht sich strafbar, wer mittels eines Computersystems vorsätzlich Kinderpornografie anbietet, zugänglich macht, verbreitet, übermittelt, sich verschafft, besitzt oder für die Ver- breitung mittels Computer herstellt. In der Schweiz stellen Art. 197 Ziff. 3 und 3bis StGB die entsprechenden Tathandlungen unter Strafe. a) Personen mit dem Erscheinungsbild einer minderjährigen Person / Vorbehalt der Schweiz Gemäss Art. 9 Abs. 2 Bst. b der Konvention umfasst die strafbare «Kinderpornografie» auch visuelle Darstellungen von Personen mit dem Erscheinungsbild einer minderjährigen Person bei eindeutig sexu- ellen Handlungen. Da das geltende schweizerische Recht einen solchen Tatbestand nicht kennt, wird im erläuterndem Bericht mit Blick auf den

unklaren Gehalt dieser Konventionsbestimmung vorgeschlagen, einen Vorbehalt anzubringen, der deren Anwendbarkeit für die Schweiz aus- schliesst. Zur Begründung dieses Vorbehaltes wird weiter ausgeführt, dass es zwar zutreffe, dass sich solche Darstellungen auf die Betrachte- rin oder den Betrachter zwar korrumpierend auswirken könnten. Das Gefährdungspotenzial und die faktische Bedeutung solcher Darstellun- gen seien jedoch ungleich geringer als die fatalen Auswirkungen der Darstellung von «realer» Kinderpornografie für Betroffene wie Be- trachterinnen und Betrachter, weshalb eine entsprechende Ausweitung der Strafbarkeit nicht als opportun erscheine (Bericht S. 15). Wir teilen diese Auffassung. Ist der Täter der falschen Überzeugung, eine unter 16 Jahre alte Person sei abgebildet, kann er wegen (untaug- lichen) Versuchs bestraft werden. Ist die Minderjährigkeit nicht ab- schliessend feststellbar, ist auch nach schweizerischem Recht im Rahmen der Beweiswürdigung vom Gericht zu prüfen, inwieweit von einer Handlung mit einem Kind auszugehen ist; der Täter kann entsprechend einer Bestrafung zugeführt werden. Der Geltungsbereich von Art. 197 StGB ist damit weit genug gefasst, sodass der vorgeschlagene Vorbehalt auch unter Berücksichtigung des Kindes- und Jugendschutzes als ge- rechtfertigt erscheint. b) Altersgrenze / Erklärung der Schweiz «Minderjährige Person» im Sinne von Art. 9 Abs. 2 der Konvention umfasst alle Personen, die das 18. Lebensjahr noch nicht vollendet haben. Eine Vertragspartei kann jedoch eine niedrigere Altersgrenze vorsehen, wobei 16 Jahre nicht unterschritten werden dürfen. In der Schweiz gilt ein Schutzalter von 16 Jahren, wobei das Schutzalter gemäss verschiedentlich geäusserter Auffassung nicht das alleinige Kriterium ist, um die Frage zu beantworten, wer als Kind im Sinne von Art. 197 StGB zu gelten hat (vgl. Meng/Schwaibold, in: Basler Kommentar, Strafrecht II, 2007, Art. 197 N. 22). In den Erläuterungen wird vorge- schlagen, von der Möglichkeit, die Art. 9 Abs. 3 der Konvention bietet, Gebrauch zu machen und für die Schweiz eine Altersgrenze von 16 Jah- ren vorzusehen. Die Abwägung der Vor- und Nachteile einer entsprechenden Anpas- sung der Altersgrenze – allenfalls unter Aufgabe des bisher in der Schweiz geltenden Schutzalters – erfordert vertiefte Abklärungen. Diese Diskussion muss vorab im Rahmen eines Beitritts zur Europa- ratskonvention zum Schutze von Kindern vor sexueller Ausbeutung und sexuellem Missbrauch ETS 201 bzw. deren Umsetzung eingehend geführt werden. Im Zusammenhang mit der Umsetzung der vorliegen- den Konvention befürworten wir demgegenüber die Beibehaltung der bereits geltenden Altersgrenzen und haben insofern gegen die vorge- schlagene Erklärung der Schweiz zu Art. 9 Abs. 3 der Konvention nichts einzuwenden.

5. Zu Art. 12 der Konvention – Verantwortlichkeit juristischer Personen Was die Verantwortlichkeit juristischer Personen anbelangt, gilt es zu beachten, dass auch bei den Tatbeständen der Netzwerkkriminalität eine direkte Verknüpfung zwischen der wirtschaftlichen Tätigkeit des Unternehmens und der deliktischen Handlung vorliegen kann, etwa bei Unternehmen, die gewerbsmässig Raubkopien verwenden oder in Ver- kehr bringen, Software zum Missbrauch von Computerdaten herstellen oder mittels Informationstechnologie Industriespionage betreiben. Für solche und ähnliche Sachverhalte erscheint eine primäre strafrechtliche Unternehmenshaftung durchaus angezeigt, weshalb entgegen der Auf- fassung im erläuternden Bericht (S. 17 ff.) eine Erweiterung des Delikts- katalogs von Art. 102 Abs. 2 StGB um den Tatbestand der Netzwerkkri- minalität im Sinne des Übereinkommens in Betracht gezogen werden sollte.

6. Zu Art. 30 der Konvention – Umgehende Weitergabe gesicherter Verkehrsdaten / Anpassung des geltenden Rechts Art. 30 der Konvention verlangt die rasche Weitergabe von Verkehrs- daten an das Ausland. Diese Verpflichtung lässt sich mit dem heutigen Rechtshilfesystem der Schweiz kaum vereinbaren, zumal Art. 9 des Bun- desgesetzes über internationale Rechtshilfe in Strafsachen (Rechtshilfe- gesetz IRSG; SR 351.1) und Art. 69 des Bundesgesetzes über die Bundes- strafrechtspflege (BStP; SR 312.0) verlangen, dass vor der Übermittlung von Informationen stets eine beschwerdefähige Schlussverfügung zuge- stellt wird. Vor diesem Hintergrund wird ein neuer Art. 18b IRSG vor- geschlagen, der die Übermittlung von Verkehrsdaten aus dem Geheim- bereich an die ausländische Behörde vor Abschluss des Rechtshilfe- verfahrens gestattet. Dieser vorgeschlagene neue Artikel 18b IRSG stellt eine wesentliche Änderung des Rechtshilfegesetzes dar, weil sie die Möglichkeit der be- troffenen Person, sich unverzüglich gegen die Übermittlung von Infor- mationen aus dem Geheimbereich ans Ausland zu wehren, einschränkt. Dieser Einschränkung der Bürgerrechte stehen gewichtige öffentliche Interessen gegenüber, geht es doch um die Aufdeckung schwerer Straf- taten wie Betrug mittels Computernetzwerken, Verbreitung illegalen Inhalts über das Internet, Aufforderung zu Hass, Gewalt und Terror usw. Nachdem die wirksame Bekämpfung dieser Art von Kriminalität aufgrund der Kurzlebigkeit von Daten die schnelle Übermittlung ge- wonnener Informationen voraussetzt, erscheint es unabdingbar, die schweizerischen Vollzugsbehörden zu ermächtigen, Verkehrsdaten vor Abschluss des Rechtshilfeverfahrens weiterzugeben, zumal die umge- hende Weitergabe gesicherter Verkehrsdaten für nur zwei besondere Fälle vorgesehen und so weit eingeschränkt ist, dass die Rechte der be- troffenen Person angemessen geschützt bleiben. Die einschränkenden

Voraussetzungen und die vorgesehenen Schutzmassnahmen in Art. 18b IRSG (neu) gewährleisten unseres Erachtens so weit möglich einen Ausgleich zwischen dem staatlichem Eingriff in die Privatsphäre und den Bedürfnissen des Datenschutzes. Wir teilen deshalb die in den Er- läuterungen vertretenen Auffassung, wonach die vorgeschlagene Rege- lung den Erfordernissen der Strafverfolgung hinreichend Rechnung trägt und gleichzeitig sicherstellt, dass die berechtigten Interessen der betroffenen Person weiterhin angemessen geschützt sind (Bericht S. 38 ff.). Entsprechend stimmen wir der vorgeschlagenen Ergänzung des Rechtshilfegesetzes mit Art. 18b grundsätzlich zu. Für diese Ergänzung gilt es allerdings Folgendes zu beachten: Der Begriff «Verkehrsdaten» unterscheidet sich – entgegen den Aus- führungen im erläuternden Bericht (S. 7 oben) – in praktischer Hinsicht wesentlich von dem in der Schweiz angewendeten Begriff. Nach dem Übereinkommen sind «Verkehrsdaten» Daten, die «im Zusammen- hang mit einer Kommunikation unter Nutzung eines Computersys- tems» anfallen. Der Begriff gemäss Art. 2 lit. g der Verordnung über die Überwachung des Post- und Fernmeldeverkehrs (VÜPF, Stand am 1. September 2007; SR 780.11) geht weit darüber hinaus und umfasst auch Daten, die beim Post- und Fernmeldeverkehr anfallen. Zur Ver- meidung eines übermässigen Eingriffs in die Geheim- und Privatsphäre sind wir deshalb der Auffassung, dass zusätzlich zur Ergänzung des IRSG um den neuen Art. 18b auch Art. 11 IRSG um den folgenden Abs. 3 ergänzt werden sollte: Art. 11 Gesetzliche Ausdrücke 1 Verfolgter im Sinne dieses Gesetzes ist jede verdächtigte, in Straf-

untersuchung gezogene oder von einer Sanktion betroffene Person. 2 Sanktion ist jede Strafe oder Massnahme. 3 Verkehrsdaten im Sinne dieses Gesetzes sind alle Computerdaten in

Zusammenhang mit einer Kommunikation unter Nutzung eines Com- putersystems, die von einem Computersystem, das Teil der Kommuni- kationskette war, erzeugt wurden und aus denen der Ursprung, das Ziel, der Leitweg, die Uhrzeit, das Datum, der Umfang oder die Dauer der Kommunikation oder die Art des für die Kommunikation benutz- ten Dienstes hervorgeht.

C. Weitere Bemerkungen

1. Auswirkungen der Europaratskonvention auf die Kantone Zuzustimmen ist dem erläuternden Bericht, dass aufgrund der nach wie vor raschen technologischen und gesellschaftlichen Entwicklung im Bereich der modernen Kommunikationstechnologien grundsätzlich mit einem Anstieg der Fallzahlen im Bereich der Cyberkriminalität zu rech- nen ist. Gestützt auf diese Annahme haben wir allerdings gewisse Vor-

behalte gegenüber der im Bericht geäusserten Meinung, die Umsetzung der Europaratskonvention lasse kaum Auswirkungen auf die Kantone erwarten. Vielmehr rechnen wir mit einem deutlichen Anstieg entspre- chender Rechtshilfeersuchen, sodass ein zusätzlicher Mittelbedarf nicht ausgeschlossen scheint. Ebenso dürfte aufgrund der rasanten Entwick- lung im IT-Bereich zusätzlicher Handlungsbedarf in der Strafverfol- gung bezüglich neuer technischer Geräte und im Ausbildungsbereich des Personals bestehen.

2. Einschätzung des kantonalen Datenschutzbeauftragten Wie bereits erwähnt, steht der Datenschutzbeauftragte des Kantons Zürich der Genehmigung und Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität grundsätzlich kritisch gegen- über. Er vertritt die Auffassung, dass das Fehlen materiell-rechtlicher Bestimmungen zum Umgang mit personenbezogenen Daten im Über- einkommen selbst dazu führe, dass die innerstaatlichen Rechtsgaran- tien in Verfassung, Bundes- und Kantonsgesetzen zum Schutz von Per- sonendaten teilweise nicht eingehalten werden könnten. Der enge Ka- talog in Art. 42 des Übereinkommens schliesse Vorbehalte zur Siche- rung eines verbesserten Datenschutzes praktisch aus. Dies stehe auch im Widerspruch zu den jüngeren Bestrebungen der EU, im Rahmen der polizeilichen und justiziellen Zusammenarbeit einen verbesserten und harmonisierten Datenschutzstandard bei der Bereitstellung und Über- mittlung personenbezogener Daten zu erreichen. Er verweist hierzu auf den erarbeiteten Rahmenbeschluss Datenschutz im 3. Pfeiler, der am 30. Dezember 2008 im Amtsblatt der EU veröffentlicht worden sei und entsprechende Gesetzesänderungen erfordere. Deshalb sei es aus Sicht des Datenschutzes stossend, wenn die für die Umsetzung des Rahmen- beschlusses zu schaffenden Rechtsanpassungen beim Bund und in den Kantonen auf das hier zu beurteilende Übereinkommen überhaupt nicht anwendbar seien (vgl. die Einschränkungen der Anwendbarkeit des Rahmenbeschlusses Datenschutz gegenüber älteren Erlassen mit Drittstaaten bzw. EU-Ländern: Art. 27 f. und Erwägungsgründe 38–40). II. Mitteilung an die Geschäftsleitung des Kantonsrates, die Mitglieder des Regierungsrates sowie an die Direktion der Justiz und des Innern.

Vor dem Regierungsrat Der Staatsschreiber:

Husi

Übereinkommen des Europarates über die Cyberkriminalität, Genehmigung, Umsetzung, Schreiben an das EJPD | Lexipedia | Lexipedia