Der heute genutzte Cyberspace ist ein Computernetzwerk, dessen Vorläufer ursprünglich für den schnellen Austausch unter Projektpartnern der US-amerikanischen Forschungsagentur ARPA diente. Als Mittel der vereinfachten Kommunikation wurde es sukzessive ausgebaut, und heute dient vor allem ein Teil des Cyberspace – das Internet – als globaler Kommunikationsraum. Allerdings umfasst der Cyberspace auch eine Vielzahl anderer Funktionen zum Datenaustausch, die zunächst weniger einfach zugänglich sind, so beispielsweise das „Internet of Things“, in dem Geräte und Einrichtungen untereinander oder mit definierten Servern kommunizieren. Um diese Interaktionen zu ermöglichen, wurden zahlreiche technische Normen definiert – die Regulierung des Cyberspace ist also kein neues Phänomen.
Allerdings verschieben sich mit der Entwicklung und rasant ansteigenden Nutzung des Cyberspace auch die jeweiligen Regulierungsbedarfe: Die Nutzung des Cyberspace umfasst heute alltägliche Lebensbereiche von der Informationsverbreitung zur Kommunikation und zum Warenaustausch. Dieser digitale Austausch wird allerdings auch von kriminellen Aktivitäten begleitet: diese umfassen zunächst digitale Varianten von bereits im analogen Raum verbotenen Aktivitäten, wie den illegalen Verkauf von Waffen, gefälschten Medikamenten oder Drogen. Andere Formen zu sanktionierenden Verhaltens sind Verstösse gegen geistige Eigentumsrechte oder die Verbreitung von „Hate Speech“. Hinzu kommen genuin neue, erst durch den digitalen Raum ermöglichte Straftaten wie Phishing und der Angriff auf digitale Infrastruktur.
Dieser Beitrag zeigt die Besonderheiten des Cyberspace im Hinblick auf Kriminalität und ihre Regulierung auf und argumentiert, dass Accountability, also die Fähigkeit, Verantwortung und Rechenschaft zuzuweisen, in digitalen Räumen eine besondere Bedeutung für Strafverfolgung wie auch für die Gesellschaft als Ganzes hat. Gleichzeitig unterliegt Accountability aber vielschichtigen, neuen Aushandlungsprozessen zwischen verschiedenen Akteuren des Cyberspace.
Cybercrime Governance
Governance beschreibt ein breites Feld von Regulationsformen, die von hierarchischen zu Bottom-up-Initiativen reichen, rechtlich oder auf anderem Weg normativ wirken, mehrere Ebenen involvieren können und in die staatliche, zivilgesellschaftliche und unternehmerische Akteure eingebunden sein können. Im Bereich der Kriminalitätsbekämpfung ist jedoch zu unterscheiden zwischen interner Governance krimineller Gruppen und externer Governance. Interne Governance rekurriert auf die Fähigkeit krimineller Gruppen, sich trotz Verletzung staatlicher Regelsystemen wie Gesetzen intern verbindlich zu organisieren, bindende Absprachen zu treffen und Sanktionen zu verhängen. Beispiele für interne Governance von Kriminalität sind Absprachen über Verkaufsgebiete unter kriminellen Akteuren oder die Regulierung der Produktpallette durch kriminelle Akteure auf illegalen Online-Märkten.
Während interne Governance vorrangig durch die Kriminologie untersucht wird, ist die externe Governance Gegenstand der Politikwissenschaft. Externe Governance von Kriminalität versucht unerwünschtes, kriminelles Verhalten zu vermeiden, aufzudecken oder zu ahnden.
Auf globaler Ebene kooperieren Staaten im Bereich Kriminalitätsbekämpfung dabei durch internationale Organisationen, die besonders dem Informationsaustausch und der Abstimmung dienen. Beispiele hierfür sind das United Nations Office against Drugs and Crime (UNODC) oder das Europäische Polizeiamt Europol. Zusätzlich werden in Governance-Aktivitäten regelmässig nichtstaatliche Akteure involviert. Dies kann insbesondere dadurch geschehen, dass Kriminalitätsbekämpfung ein Unternehmensinteresse darstellt, und fehlende Aufmerksamkeit gegenüber kriminellen Handlungen geahndet wird. Ein Beispiel hierfür ist der Kimberley-Prozess zur Vermeidung von Konfliktdiamanten: Diesem gehören auch die zentralen Unternehmen in diesem Sektor an, die nur mit denjenigen Handel treiben, die auch die Einhaltung der Kimberley-Anforderungen belegen.
Auf globaler Ebene werden zusätzlich Normen gegen Kriminalität geschaffen, die die einheitliche Kriminalisierung unerwünschter Aktivitäten in den verschiedenen Staaten vorantreiben. Während einige Konventionen Güter wie Waffen oder Drogen regulieren (mit 96 bzw. 154 Ratifizierungen, Stand 2018), existiert eine vergleichbare Konvention für Kriminalität im Cyberspace nicht. Die 2004 in Kraft getretene Cybercrime-Konvention (auch: Budapest-Konvention) des Europarats ist zwar nicht nur europäischen Staaten vorbehalten, ihre Akzeptanz ist jedoch mit 60 Ratifizierungen (Stand 2018) deutlich geringer. Die Konvention soll die prozedurale Kooperation zwischen Staaten verbessern und Betrug, Kinderpornografie, die unerlaubte Aneignung von Daten und Verstösse gegen das Urheberrecht kriminalisieren. Ein zusätzliches Protokoll stellt auch fremdenfeindliche und rassistische Online-Hetze unter Verbot (Europarat Vertrag Nr. 189). Diesem sind allerdings z.B. die USA als zentraler Akteur in der globalen Kriminalitätsbekämpfung bisher nicht beigetreten. Dies zeigt auch, dass transnationale Kriminalisierung normativ umkämpft ist und dabei entscheidende Werte – in diesem Fall Meinungsfreiheit und Antidiskriminierung – in unterschiedlichen Staaten verschieden bewertet werden.
Kriminalität im digitalen Raum kann auch unter die UN-Konvention gegen transnationale organisierte Kriminalität fallen, die neben einzelnen Delikten – Korruption, Geldwäsche, Behinderung der Justiz und Mitgliedschaft in einer kriminellen Vereinigung – auch ohne Definition einer spezifischen Tat gerade die Art der Organisation und den transnationalen Charakter der Tat adressiert. Die UN-Konvention gegen die grenzüberschreitende organisierte Kriminalität (UNTOC) ist anwendbar auf Verbrechen ab einer gewissen Schwere, definiert durch nationale Mindeststrafen von 4 Jahren Gefängnishaft, die durch mindestens drei Beteiligte durchgeführt werden und in mehr als einem Staat geplant oder durchgeführt werden, oder in ihren Auswirkungen über Staatsgrenzen hinausgehen. Gleichzeitig ist es jedoch sehr schwer, bei Cyberkriminalität gleichzeitig auch „organisierte Kriminalität“ nachzuweisen, deren Definition an das Vorliegen bestimmter, eher analog stattfindender Interaktionsmuster unter den Mitgliedern geknüpft ist.
Mit Blick auf Cybersicherheit im weiteren Sinne zeigt sich zudem, dass es bisher keine globale Ächtung oder internationale Kooperation gegen Cyberangriffe auf Staaten oder kritische Infrastruktur gibt. Die NATO oder die EU kooperieren jedoch zur Abwehr von Cyberangriffen. Cybercrime wird somit nur in Teilbereichen reguliert, verfolgt und geahndet, insbesondere wenn es durch bereits existierende, weiter entwickelte Regime abgedeckt wird, oder Gegenstand internationaler Polizeikooperation ist. Gerade durch internationale Polizeikooperation gelangen bereits mehrmals international koordinierte Aktionen insbesondere gegen illegale Kryptomärkte oder Kinderpornografie. Innerhalb der EU ist dieser Art der Kooperation besonders fortgeschritten und beinhaltet seit 2004 den Europäischen Haftbefehl.
Globale Kriminalitätsbekämpfung ist in vielen Bereichen stark durch Normunternehmertum geprägt, beispielsweise im Bereich Sklaverei oder Korruption. Im Gegensatz dazu sind im Bereich Cybercrime vor allem Unternehmen zentrale Regelungsakteure, die insbesondere die Implementierung sicherstellen. Zentral ist dabei die Tatsache, dass Unternehmen der Digitalindustrie oft Daten zu Nutzer/innen und Transaktionen besitzen, auf die der Staat selbst zunächst keinen Zugriff hat. Daher sind staatliche Behörden beispielsweise darauf angewiesen, dass die privaten Akteure Informationen speichern und nötigenfalls der Strafverfolgung zur Verfügung stellen. Auch das Löschen als rechtwidrig eingestufter Inhalte ist ohne Kooperation der Anbieter nicht ohne weiteres möglich. Diese staatlichen Vorgaben können jedoch auch legitimen Interessen der Nutzer/innen nach Privatsphäre oder Datenschutz entgegenstehen. Dazu ist strengere Regulierung auch für die Unternehmen oft eine Belastung – auch im Hinblick auf die Beziehungen zu Kund/innen, und wird entsprechend oft eher zurückgewiesen. In diesen Spannungsfeldern zeigt sich damit auch, dass sich grössere normative Rahmen über die Abwägung von Aufgaben und Verpflichtungen, auch im Hinblick auf unangemessenes oder verbotenes Verhalten, im Cyberspace bisher kaum herausgebildet haben. Wir zeigen im Folgenden, dass sich dieses Spannungsfeld in weiten Teilen durch die Abwesenheit klarer und transnational einheitlicher Accountability-Prinzipien erklären lässt.
Governance-Probleme als Accountability-Probleme
Accountability wird als zentraler Aspekt von Demokratie und Global Governance betrachtet. „An accountability relationship is one in which an individual, group or other entity makes demands on an agent to report on his or her activities, and has the ability to impose costs on the agent“. Solche Kosten können Umstrukturierung, Rücktritte, Strafzahlungen, Ausübungsverbote, Kunden- und Reputationsverluste beinhalten. Der Begriff Accountability beinhaltet somit je nach Kontext Aspekte der Haftbarkeit und Haftung, eine strafrechtliche Komponente, durch die Geschädigte Schadensersatz erhalten können; die Verantwortung und Verantwortlichkeit als das persönliche Einstehen für Handlungen; sowie eine Rechenschaftspflicht, die Pflicht, über Geschehnisse Auskunft zu geben.
Accountability wird institutionalisiert durch „the requirement to report, and the right to sanction, are mutually understood and accepted“. Dies ist häufig bei internal accountability der Fall, bei der die Accountability-Ansprüche eines Akteurs (principal) mit dem handelnden agent institutionell verflochten sind. Der Anspruch des principals leitet sich hierbei aus der Autorisierung des Agenten oder aus der finanziellen oder politischen Unterstützung des Akteurs ab. In anderen Fällen sind die Verantwortlichkeiten und Ansprüche nicht klar geregelt, diese “[…] accountability relationships are more contested. In such situations, certain individuals, groups, or entities claim the right to hold agents accountable, but the agents do not recognize a corresponding obligation“. Dies trifft speziell bei external accountability zu, wenn Akteure ausserhalb eines Agenten, als von dessen Handlungen betroffene Akteure, Accountability-Ansprüche erheben.
Eine angestrebte Accountability im Cyberspace ist damit also voraussetzungsvoll: Sie benötigt zunächst ein gewisses Mass an Transparenz als Basis für Zurechnungsfähigkeit, also für die Möglichkeit, eine Handlung einer Person oder Entität zuzuordnen. Dies bedeutet, dass digitale (oder ggf. analoge) Protokolle zur Aufzeichnung benötigt werden, und damit für einen gewissen Zeitraum die Information zur Verfügung steht, welche Handlungen von wem wann durchgeführt werden. Die Rechenschaftspflicht wiederum ist aus dieser Perspektive notwendig, damit staatliche Instanzen diese Informationen einfordern können, um sie zu überprüfen und gesetzeswidriges Verhalten zuzurechnen. Gleichzeitig wirft Accountability damit auch Probleme des Datenschutzes auf.
Staatliche Accountability-Forderungen an Unternehmen und Bürger/innen
Die flexible, nicht-territoriale Natur des Cyberspace, die technischen Neuerungen sowie die zentrale Rolle verschiedener nicht-staatlicher Akteure stellen für Accountability-Fragen eine besondere Herausforderung dar, da zum Schutz der Anonymität von Nutzer/innen die Zurechenbarkeit zum Teil schon technisch ausgeschlossen wird. In diesem Zusammenhang wird diskutiert, inwiefern Unternehmen eine Verantwortung haben, diese Zurechenbarkeit technisch grundsätzlich zu ermöglichen und, falls dem so ist, gegenüber welchen staatlichen Stellen und unter welchen Voraussetzungen. Staaten sind dabei auf die Informationen von Unternehmen angewiesen, die digitale Protokolle oder IP-Adressen zur persönlichen Zuordnung der Handlungen besitzen und auswerten können. Hierbei zeigt sich, dass das Informationsgefälle zwischen Unternehmen und Staat zu dessen Abhängigkeit von privaten Unternehmen im digitalen Bereich führt.
Handelt es sich um einzelne Seiten, die als illegale Plattform genutzt werden, wie das DarkNet Portal Silk Road, auf dem zum Beispiel Drogen, gefälschte Ausweisdokumente und Hacking-Dienstleitungen anonym und mit nicht zurück verfolgbaren Kryptowährungen gekauft werden können, ist Rückverfolgbarkeit kaum gegeben. Diese Seiten können dann jedoch durch den Rückgriff auf Betreiber geschlossen werden – oft erfolgt dies, nachdem die Seite bereits überwacht wurde und Ermittlungsbehörden dabei versuchten, Verantwortliche, Händler und Kunden zu identifizieren. Allerdings führt die Schliessung von online-Märkten bei bestehender Nachfrage zu einer schnellen Eröffnung neuer Seiten, deren Schliessung wiederum rechtsstaatlich genehmigt werden muss – und zwar in dem Land, in dem sich der Server befindet. In diesen Fällen muss eine unabhängige juristische Prüfung zeigen, dass die Seiten hauptsächlich illegaler Natur sind und eine Schliessung dem Verhältnismässigkeitsgrundsatz entspricht. Dies ist notwendig um willkürlichen Schliessungen und Zensur vorzubeugen, verlangsamt den Prozess allerdings zugunsten der flexiblen Anbieter.
Wenn das physische Abschalten eines unerwünschten Servers nicht möglich ist, haben Staaten auch die Möglichkeit, den nationalen Zugang zu dem Server zu unterbinden und den Zugriff auf einzelne Seiten oder Informationen zu verhindern. Die Abgrenzung dessen, was blockiert werden darf, wird hierbei in verschiedenen Ländern sehr unterschiedlich eingeschätzt und enthält die Zensur als anstössig empfundenen Materials, „extremistischer“ oder regierungskritischer Seiten, oder sicherheitsrelevanter Informationen (OpenNet Initiative 2013). Allerdings bleibt weitestgehend unklar, welche Länder welche Informationen filtern – ebenso wie Geheimdienste legen auch staatliche Behörden hierüber nicht immer Rechenschaft ab und vermeiden Transparenz.
Dabei ist der Begriff „unerwünschte Web-Inhalte“ ein sehr dehnbarer: In den vergangenen Jahren ist beispielsweise China dazu übergegangen, westliche Wissenschaftsverlage vor die Wahl zu stellen, entweder keine elektronischen Inhalte mehr zur Verfügung stellen zu dürfen, oder verlagsseitig gezielt solche Artikel und Publikationen aus dem Netz zu filtern, die unerwünschte Inhalte – beispielsweise zur Menschenrechtssituation – enthalten. Selbst Cambridge University Press hatte zunächst in diese Praxis eingewilligt, dies dann jedoch nach Protesten von Wissenschaftler/innen geändert; Verlage wie Springer Nature behielten die Praxis jedoch bei. Durch die mögliche Sperrung des Zugangs zu Webseiten besteht seitens der Seitenbetreiber ein starker Anreiz, auf die Forderungen von Regierungen einzugehen und Informationen in bestimmten Ländern zu filtern: „As the frontline operators of the network, these actors [private parties] are being asked or otherwise compelled to regulate the spaces they own and operate in ways that constitute a de facto exercise of authority. […] It is not too far-fetched to think of companies like Google, Facebook, and Research in Motion having foreign policies”. Dieses Vorgehen betrifft zunächst die grossen Anbieter im Cyberspace, die für die Inhalte auf ihren Seiten zur Rechenschaft gezogen werden und die ggf. bei Nichtbeachtung durch die Sperrungen sanktioniert werden. Wenn die Sperrung einer Seite für einen Staat keine Option darstellt, da diese beispielsweise besonders bedeutend ist oder als legitim wahrgenommen wird, sind staatliche Behörden allerdings auch auf die Kooperation der Anbieter angewiesen, um einzelne Beiträge zu filtern. Auch hierbei ergibt sich ein Spannungsfeld aus den staatlichen Vorgaben zur Filterung und dem zivilgesellschaftlichen Anspruch auf freie Meinungsäusserung. Staatliche Behörden stellen Anfragen an die entsprechenden Portale und fordern beispielsweise die Löschung einzelner Beiträge, wenn diese gegen Urheberrechte sprechen, oder als verbotene Agitation beurteilt werden. Zum Teil werden die Unternehmen auch aufgefordert, die Identität der Nutzer preiszugeben (z.B. Twitter 2017).
Zivilgesellschaftliche Accountability-Forderungen an Unternehmen
Dabei ergibt sich ein weiteres Spannungsfeld zwischen den an Unternehmen gestellten Rechenschaftsansprüchen von Staaten zur Aufklärung von Verbrechen beizutragen, und den zum Teil eingegangenen Verpflichtungen gegenüber Nutzer/innen, deren Identität und Privatsphäre zu schützen. So verteidigen Plattformen zum Teil ihre Nutzer/innen indem sie die behördlichen Aufforderungen juristisch anfechten, und veröffentlichen Privacy Reports, in denen sie die Informationen oder Löschungen fordernden Staaten, die Anzahl und den Grund für Datenanforderungen nennen, sowie ob diesen stattgegeben wurden (z.B. Twitter 2017). Diese Massnahmen zeigen, dass Transparenz zum Teil dezidiert genutzt wird, um Accountability im Sinne einer staatlichen Rechenschaftspflicht gegenüber den Bürgern zu ermöglichen. Bei gerichtlichen Auseinandersetzungen schreiben sich Unternehmen zum Teil selbst eine Verantwortlichkeit für die vertraulichen Informationen über ihre Nutzer zu. Sie halten also eine (selbst gesetzte Verpflichtung) hoch, gewisse Teilaspekte von Accountability erst gar nicht zu ermöglichen, wobei gleichzeitig Regierungen unter einen Rechenschaftsdruck gegenüber ihrer Bevölkerung stehen bezüglich der von ihnen von den Unternehmen geforderten Massnahmen.
Der Konflikt zwischen staatlichen Forderungen und solchen der Nutzer/innen zeigt sich auch an dem Verhalten des Technologieunternehmens Apple. Dieses hat vor wenigen Wochen durch die Verlegung der Daten der chinesischen Nutzer seines iCloud Services in ein Data Center in der Provinz Guizhou die Verarbeitung der Daten, inklusive Fotos und Kommunikation, durch das chinesische Unternehmen Guizhou-Cloud Big Data Industry Development ermöglicht, das in enger Beziehung zur chinesischen Regierung steht. Auch die Verschlüsselungscodes wurden nach China verlegt, wodurch chinesische Behörden vereinfachten Zugriff auf diese haben und nicht länger auf die Kooperation mit amerikanischen Behörden angewiesen sind. Dies war nötig, um seinen Zugang zum chinesischen Markt und seinen Produktionsstätten zu sichern, denn das 2017 in China angenommene Cybersecurity Law sieht vor, dass Unternehmen, die in China tätig sind, ihre Daten in China speichern müssen. Apple hatte sich dagegen bisher in US-amerikanischen Gerichtsstreiten geweigert, Hintertüren in seine Software einzubauen, die die Entschlüsselung von auf Geräten gespeicherten Daten ermöglichen. Hierbei scheint Apple die eigene Verantwortlichkeit gegenüber chinesischen und amerikanischen Nutzer/innen ungleich zu bewerten und übernimmt keine Rechenschaft für zuvor gemachte Versprechen bezüglich des Unternehmensethos in Bezug auf Privatsphäre. In diesem Zuge scheint das Versprechen, Daten nur in einem „datensicheren“ Land zu hosten, mitunter auch als Unternehmensstrategie an Bedeutung zu gewinnen. So werben einige Unternehmen mit dem Gütesiegel „Software Hosted in Germany“, das von dem Bundesverband IT-Mittelstand (BITMi) vergeben wird.
Für die Frage des Zugangs zu digitalen Daten, die über das Internet in „Clouds“ gespeichert werden, kann jedoch neben der Nationalität oder dem Aufenthaltsort der Betroffenen auch der geografische Ort des Servers relevant sein und zu Regelungskonflikten und -widersprüchen führen. Der Gerichtsstreit zwischen Microsoft und der US-amerikanischen Justizbehörde hatte 2013 einige dieser Widersprüche sichtbar gemacht. Hierbei hatte Microsoft als US-amerikanisches Unternehmen die dort gespeicherten Informationen weitergegeben, sich allerdings geweigert, den US-amerikanischen Durchsuchungsbefehl auch auf in Irland gespeicherte Daten anzuwenden. Während Microsoft dies als Eingriff in die Souveränität Irlands begriff, argumentierte die Justizbehörde der USA, dass die Daten nur kopiert werden müssten und daher kein physischer Eingriff in dem Territorium eines Drittstaates vorliege (Wired 2018, Supreme Court of the United States 2018). Der Gerichtsstreit wurde mit dem Beschluss des Clarifying Overseas Use of Data Act (CLOUD Act) des US-Kongress beigelegt, der regelt, dass Daten über US-Staatsbürger oder in den USA wohnhafte Personen den US-Behörden zugänglich gemacht werden müssen, dies unabhängig davon, an welchen Ort diese Daten gespeichert werden.
In Europa dagegen ist es unter der neuen EU-Datenschutz-Grundverordnung (DSGVO), im Speziellen unter der Data Protection Directive for Police and Criminal Justice Authorities, Kapitel V, seit diesem Jahr nicht mehr ohne Weiteres erlaubt, Daten von europäischen Staatsangehören an Drittstaaten weiterzugeben, ausser wenn ein bilaterales Abkommen zur gegenseitigen Rechtshilfe (MLAT) dies vorsieht.
Diese Fälle zeigen die unterschiedlichen Auffassungen der Frage, wann Unternehmen, wem und zu welchem Grad accountable sind, und wie diese Unterscheide bereits in neuen Gesetzen und transnationalen Vereinbarungen münden. Darin scheint sich zunehmend zu zeigen, dass Staaten Verantwortung für die Informationen ihrer Bürger über ihre Grenzen hinaus übernehmen oder von Unternehmen verlangen, nationale Regeln auch über Grenzen hinweg anzuwenden. In der Regulierung des Cyberspace profiliert sich dabei gerade die EU, die für die Daten der Bürger/innen auch ausserhalb des eigenen Territoriums Rechenschaft von Unternehmen und anderen Staaten verlangt. Im Fall von europäischen Bürger/innen mit Wohnsitz in einem Staat wie den USA, der Ansprüche an die Daten der dort Wohnhaften erhebt, können sich hieraus absehbar allerdings Widersprüche ergeben, die in Kosten und Sanktionen für Unternehmen münden können. Es ist daher in Zukunft eher mit zur Vereinheitlichung strebenden Regulierungsanliegen seitens im digitalen Raum agierender Unternehmen zu rechnen.
Die Notwendigkeit höherer Ansprüche an Accountability wird dadurch gefördert, dass die Akkumulation grosser Datenmengen durch Unternehmen diese sowohl wirtschaftlich lukrativ macht, ebenso wie sie auch für Justizbehörden als potentielle Informationsquellen interessant werden. Unternehmensentscheidungen zum Zugang zu diesen Daten betreffen dabei potentiell alle Nutzer/innen der Unternehmensdienste, aber zum Teil auch Individuen, die die Dienste nicht selbst in Anspruch nehmen. Dies ist möglich durch das Auslesen von Adressbüchern registrierter Nutzer, so dass damit Daten von Nicht-Nutzern bekannt werden. Dies kann sogar in dem Erstellen von „Schattenprofilen“ münden, also in Profilen noch nicht registrierter Nutzer, zu denen aber bereits Daten vorliegen. Wer sich dann später doch einmal für den Dienst anmeldet, ist dem Unternehmen bereits durch andere Datenzusammenhänge bekannt. Ein durch diese Tätigkeiten entstehender Accountability-Anspruch ist allerdings kaum durchzusetzen, da es hierzu keine institutionalisierten Mechanismen gibt, es für Geschädigte schwierig ist, dem Unternehmen dafür Kosten aufzuerlegen, und viele Geschädigte eventuell nicht einmal den potentiellen Schaden kennen.
Um stärkere Accountability-Prinzipien zu etablieren, versuchen zivilgesellschaftliche Organisationen wie Amnesty International dagegen, den Mangel an Rechenschaft gegenüber Nutzer/innen mit Reputationskosten zu verbinden. Mit der EU-Datenschutz-Grundverordnung gibt es dabei nun staatliche Auflagen, die mehr Transparenz schaffen können und bei Fehlverhalten Sanktionen erwirken können. Doch auch die Verarbeitung von Informationen innerhalb der EU und von europäischen Staaten selbst ist nicht unproblematisch. Die Ansprüche von Staaten gegenüber digitalen Unternehmen sowie von Bürger/innen gegenüber digitalen Unternehmen sind nicht einheitlich und verlässliche Prozeduren sind noch nicht etabliert. Welche Unternehmen Informationen unter welchen Bedingungen an welche Akteure weitergeben, ist nicht immer absehbar und kann sich je nach Gegebenheit wandeln, wie beispielsweise das Handeln von Apple in China zeigt. Mit freiwilligen Transparency Reports unternehmen dabei auch einige Anbieter selbst den Versuch, die Anfragen von staatlicher Seite, ihre eigenen Reaktionen und den Umgang mit diesen Daten transparent zu machen.
Während der Austausch von Daten zwischen Behörden verschiedener Länder auch intransparent ist und es von staatlicher Seite wenig Anreize gibt, dies zu ändern, haben sich einige Unternehmen den Forderungen widersetzt und diese gerichtlich angefochten: Das Handeln von Unternehmen unterliegt hierbei allerdings häufig wirtschaftlichen statt normativen Abwägungen. Die Rolle von Unternehmen innerhalb der Governance von Cybercrime ist demnach eine gespaltene, bei der diese einerseits die Implementierung im Sinne der Nationalstaaten umsetzen, um dort weiterhin agieren zu können, die andererseits aber auch die Abhängigkeit von Staaten von ihren Daten und Informationen nutzen können, um die Nutzung von Informationen zur Strafverfolgung zu erschweren.
Zusammenfassung
Insgesamt zeigt die Regulierung des Cyberspace eine starke Tendenz zu polyzentrischer Governance zwischen staatlichen und nichtstaatlichen Akteuren. Gleichzeitig wurde jedoch kein globaler, normativer Rahmen etabliert. Die Cybercrime-Konvention adressiert zwar einige Arten von Onlinekriminalität, sie ist aber bisher deutlich weniger akzeptiert als andere Konventionen im Bereich Kriminalitätsbekämpfung – auch kann sie aktuelle Entwicklungen kaum abbilden und dient eher der Kooperation als der substantiellen Definition von Verhaltensstandards im Netz. Auch die Tatsache, dass sich die USA nicht dem Protokoll gegen Hassrede angeschlossen hat, zeigt, wie normativ umstritten einige Aspekte der Cyberumgebung sind, und dass Eingriffe hier von einigen Staaten besonders im Widerspruch zu Meinungsfreiheit und zum Schutz der Privatsphäre beurteilt werden. Auch ohne das Vorhandensein eines umfassenden normativen oder gesetzlichen Rahmens kooperieren einzelne Staaten und Unternehmen allerdings auf prozeduraler Ebene.
Die Diskussion des Spannungsfeldes um Accountability zeigt hierbei, dass Staaten und Unternehmen in ihrer Verantwortung auf verschiedene Gruppen und Prinzipien verweisen, und sowohl wirtschaftliche als auch normative Abwägungen treffen. Inwieweit Unternehmen bereit sind, mit Staaten zu kooperieren ist auch eine Frage des „Unternehmensimage“.
Das Handeln von Apple im Hinblick auf Datenweitergabe in den USA und in China zeigt die zum Teil auch instabilen Allianzen zwischen Unternehmen und Nutzer/innen sowie Unternehmen und Staaten. Der Umgang mit ansässigen Digitalunternehmen sowie mit gespeicherten Daten kann hierbei auch als Standortvorteil oder Nachteil interpretiert und vermarktet werden.
Zusätzlich zu der Abwägung von Normen und Wirtschaftsinteressen wird auch die Entscheidung über die Moralität von Verhalten in der digitalen Domäne unterschiedlich abgewogen und die Grenze zwischen Verbrechen und zivilem Ungehorsam, wie im Fall Edward Snowden, von verschiedenen Staaten und unterschiedlichen Communities unterschiedlich bewertet. Auch deshalb ist eine globale substanzielle Übereinkunft über Cyberkriminalität nicht abzusehen. In dem wenig regulierten, sich schnell wandelnden, nicht-territorialen Cyber-Bereich sind es häufig Gerichtsprozesse, die die Unvereinbarkeit verschiedener Normen und die Widersprüche unterschiedlicher nationaler Regulierung sichtbar machen und Regulierungsbedarf aufzeigen. Wo diese Widersprüche zwischen nationalstaatlichen Gesetzen im Hinblick auf den Umgang mit und die Verfügung über Daten Unternehmen hohe Kosten verursachen, ist es allerdings daher zumindest wahrscheinlicher, dass Angleichungsprozesse gefordert und angestossen werden.
Anmerkung: In obigem Text wurden aus Platz- und Lesbarkeitsgründen alle Illustrationen und Quellenverweise entfernt. Diese finden sich im Originaldokument. Ferner wurden einige Grammatik- und Rechtschreibfehler korrigiert und ein Passus über die Gültigkeit der DSGVO nur für EU-Bürger entfernt. Der Text wurde auf die schweizerische Rechtschreibung angepasst.
Jasmin Haunschild; Anja P. Jakobi; regierungsforschung.de; 27.07.2018
http://regierungsforschung.de/raum-ohne-rechenschaftspflicht-kriminalitaet-im-cyberspace/