Der heute genutzte Cyberspace ist ein Computernetzwerk, dessen Vorläufer ursprünglich für den schnellen Austausch unter Projektpartnern der US-amerikanischen Forschungsagentur ARPA diente. Als Mittel der vereinfachten Kommunikation wurde es sukzessive ausgebaut, und heute dient vor allem ein Teil des Cyberspace – das Internet – als globaler Kommunikationsraum. Allerdings umfasst der Cyberspace auch eine Vielzahl anderer Funktionen zum Datenaustausch, die zunächst weniger einfach zugänglich sind, so beispielsweise das „Internet of Things“, in dem Geräte und Einrichtungen untereinander oder mit definierten Servern kommunizieren. Um diese Interaktionen zu ermöglichen, wurden zahlreiche technische Normen definiert – die Regulierung des Cyberspace ist also kein neues Phänomen.
Die Regulierung des Cyberspace involviert sowohl staatliche als auch nicht-staatliche Akteure. Jasmin Haunschild und Anja P. Jakobi analysieren an der Hand des Spannungsfeldes um Accountability, dass Staaten und Unternehmen in ihrer Verantwortung auf verschiedene Gruppen und Prinzipien verweisen, und sowohl wirtschaftliche als auch normative Abwägungen treffen.
Raum ohne Rechenschaftspflicht? Kriminalität im Cyberspace
Autoren
Jasmin Haunschild ist Gastwissenschaftlerin am Lehrstuhl für Internationale Beziehungen am Institut für Sozialwissenschaften der TU Braunschweig. In Forschung und Lehre beschäftigt sie sich mit neuen illegalen Märkten, Datenerhebungsherausforderungen und den Implikationen von “Big Data” für die Internationalen Beziehungen. Ihre Veröffentlichungen beinhalten „The Global Governance of Crime and Illegal markets: What are the Implications for Cyberspace?“ In: M Tzanetakis und H Stöver (Hrsg.): Drogen, Darknet und organisierte Kriminalität (Nomos, mit A P Jakobi, im Erscheinen); „‚Big Data‘ or ‚Unknown Numbers‘? What Students Can Learn From Difficult Data Availability“. In: Zeitschrift für Internationale Beziehungen, 2018 (mit A P Jakobi).
Anja P. Jakobi ist Professorin für Internationale Beziehungen und leitet den Lehrstuhl für Internationale Beziehungen am Institut für Sozialwissenschaften der TU Braunschweig. Ihr Forschungsschwerpunkt sind Internationale Organisationen und Global Governance, mit besonderem Schwerpunkt auf globaler Kriminalitätsbekämpfung und der Governance globaler illegaler Märkte. Unter anderem publizierte sie dazu: „Governing Illicit Finance in Transnational Security Spaces: the FATF and Anti-Money Laundering”. In: Crime, Law and Social Change (2018); „The Crime Scene: What Lessons for International Security?“ In: A Gheciu und WC Wohlforth (Hrsg.): The Oxford Handbook of International Security (Oxford University Press, 2018); “Common Goods and Evils? The Formation of Global Crime Governance“ (Oxford University Press, 2013).
Einleitung
Der heute genutzte Cyberspace ist ein Computernetzwerk, dessen Vorläufer ursprünglich für den schnellen Austausch unter Projektpartnern der US-amerikanischen Forschungsagentur ARPA diente. Als Mittel der vereinfachten Kommunikation wurde es sukzessive ausgebaut, und heute dient vor allem ein Teil des Cyberspace – das Internet – als globaler Kommunikationsraum. Allerdings umfasst der Cyberspace auch eine Vielzahl anderer Funktionen zum Datenaustausch, die zunächst weniger einfach zugänglich sind, so beispielsweise das „Internet of Things“, in dem Geräte und Einrichtungen untereinander oder mit definierten Servern kommunizieren. Um diese Interaktionen zu ermöglichen, wurden zahlreiche technische Normen definiert – die Regulierung des Cyberspace ist also kein neues Phänomen.
Allerdings verschieben sich mit der Entwicklung und rasant ansteigenden Nutzung des Cyberspace auch die jeweiligen Regulierungsbedarfe: Die Nutzung des Cyberspace umfasst heute alltägliche Lebensbereiche von der Informationsverbreitung zur Kommunikation und zum Warenaustausch. Dieser digitale Austausch wird allerdings auch von kriminellen Aktivitäten begleitet: diese umfassen zunächst digitale Varianten von bereits im analogen Raum verbotenen Aktivitäten, wie den illegalen Verkauf von Waffen, gefälschten Medikamenten oder Drogen. Andere Formen zu sanktionierenden Verhaltens sind Verstöße gegen geistige Eigentumsrechte oder die Verbreitung von „Hate Speech“. Hinzu kommen genuin neue, erst durch den digitalen Raum ermöglichte Straftaten wie Phishing und der Angriff auf digitale Infrastruktur.
Dieser Beitrag zeigt die Besonderheiten des Cyberspace im Hinblick auf Kriminalität und ihre Regulierung auf und argumentiert, dass Accountability, also die Fähigkeit, Verantwortung und Rechenschaft zuzuweisen, in digitalen Räumen eine besondere Bedeutung für Strafverfolgung wie auch für die Gesellschaft als Ganzes hat. Gleichzeitig unterliegt Accountability aber vielschichtigen, neuen Aushandlungsprozessen zwischen verschiedenen Akteuren des Cyberspace.
Cybercrime Governance
Governance beschreibt ein breites Feld von Regulationsformen, die von hierarchischen zu bottom-up Initiativen reichen, rechtlich oder auf anderem Weg normativ wirken, mehrere Ebenen involvieren können und in die staatliche, zivilgesellschaftliche und unternehmerische Akteure eingebunden sein können (z.B. Benz 2004). Im Bereich der Kriminalitätsbekämpfung ist jedoch zu unterscheiden zwischen interner Governance krimineller Gruppen und externer Governance. Interne Governance rekurriert auf die Fähigkeit krimineller Gruppen, sich trotz Verletzung staatlicher Regelsystemen wie Gesetzen intern verbindlich zu organisieren, bindende Absprachen zu treffen und Sanktionen zu verhängen. Beispiele für interne Governance von Kriminalität sind Absprachen über Verkaufsgebiete unter kriminellen Akteuren oder die Regulierung der Produktpallette durch kriminelle Akteure auf illegalen Online-Märkten (Tzenetakis et al. 2015).
Während interne Governance vorrangig durch die Kriminologie untersucht wird, ist die externe Governance Gegenstand der Politikwissenschaft. Externe Governance von Kriminalität versucht unerwünschtes, kriminelles Verhalten zu vermeiden, aufzudecken oder zu ahnden.
Auf globaler Ebene kooperieren Staaten im Bereich Kriminalitätsbekämpfung dabei durch internationale Organisationen, die besonders dem Informationsaustausch und der Abstimmung dienen. Beispiele hierfür sind das United Nations Office against Drugs and Crime (UNODC) oder das Europäische Polizeiamt Europol. Zusätzlich werden in Governance-Aktivitäten regelmäßig nichtstaatliche Akteure involviert. Dies kann insbesondere dadurch geschehen, dass Kriminalitätsbekämpfung ein Unternehmensinteresse darstellt, und fehlende Aufmerksamkeit gegenüber kriminellen Handlungen geahndet wird. Ein Beispiel hierfür ist der Kimberley Prozess zur Vermeidung von Konfliktdiamanten: Diesem gehören auch die zentralen Unternehmen in diesem Sektor an, die nur mit denjenigen Handel treiben, die auch die Einhaltung der Kimberley-Anforderungen belegen (Jakobi 2013, Haufler 2009).
Auf globaler Ebene werden zusätzlich Normen gegen Kriminalität geschaffen, die die einheitliche Kriminalisierung unerwünschter Aktivitäten in den verschiedenen Staaten vorantreiben. Während einige Konventionen Güter wie Waffen oder Drogen regulieren (mit 96 bzw. 154 Ratifizierungen, Stand 2018), existiert eine vergleichbare Konvention für Kriminalität im Cyberspace nicht. Die 2004 in Kraft getretene Cybercrime-Konvention (auch: Budapest-Konvention) des Europarats ist zwar nicht nur europäischen Staaten vorbehalten, ihre Akzeptanz ist jedoch mit 60 Ratifizierungen (Stand 2018) deutlich geringer. Die Konvention soll die prozedurale Kooperation zwischen Staaten verbessern und Betrug, Kinderpornografie, die unerlaubte Aneignung von Daten und Verstöße gegen das Urheberrecht kriminalisieren (Calderoni 2010, 343-344). Ein zusätzliches Protokoll stellt auch fremdenfeindliche und rassistische Online-Hetze unter Verbot (Europarat Vertrag Nr. 189). Diesem sind allerdings z.B. die USA als zentraler Akteur in der globalen Kriminalitätsbekämpfung bisher nicht beigetreten. Dies zeigt auch, dass transnationale Kriminalisierung normativ umkämpft ist und dabei entscheidende Werte – in diesem Fall Meinungsfreiheit und Antidiskriminierung – in unterschiedlichen Staaten verschieden bewertet werden.
Kriminalität im digitalen Raum kann auch unter die UN Konvention gegen transnationale organisierte Kriminalität fallen, die neben einzelnen Delikten – Korruption, Geldwäsche, Behinderung der Justiz und Mitgliedschaft in einer kriminellen Vereinigung – auch ohne Definition einer spezifischen Tat gerade die Art der Organisation und den transnationalen Charakter der Tat adressiert. Die UN Konvention gegen die grenzüberschreitende organisierte Kriminalität (UNTOC) ist anwendbar auf Verbrechen ab einer gewissen Schwere, definiert durch nationale Mindeststrafen von 4 Jahren Gefängnishaft, die durch mindestens drei Beteiligte durchgeführt werden und in mehr als einem Staat geplant oder durchgeführt werden, oder in ihren Auswirkungen über Staatsgrenzen hinausgehen (United Nations 2000, Jakobi/Haunschild 2017). Gleichzeitig ist es jedoch sehr schwer, bei Cyberkriminalität gleichzeitig auch „organisierte Kriminalität“ nachzuweisen, deren Definition an das Vorliegen bestimmter, eher analog stattfindender Interaktionsmuster unter den Mitgliedern geknüpft ist.
Mit Blick auf Cybersicherheit im weiteren Sinne zeigt sich zudem, dass es bisher keine globale Ächtung oder internationale Kooperation gegen Cyberangriffe auf Staaten oder kritische Infrastruktur gibt. Die NATO oder die EU kooperieren jedoch zur Abwehr von Cyberangriffen. Cybercrime wird somit nur in Teilbereichen reguliert, verfolgt und geahndet, insbesondere wenn es durch bereits existierende, weiter entwickelte Regime abgedeckt wird, oder Gegenstand internationaler Polizeikooperation ist (Jakobi/Haunschild im Erscheinen, Andreas/Nadelmann 2008). Gerade durch internationale Polizeikooperation gelangen bereits mehrmals international koordinierte Aktionen insbesondere gegen illegale Kryptomärkte oder Kinderpornografie. Innerhalb der EU ist dieser Art der Kooperation besonders fortgeschritten und beinhaltet seit 2004 den Europäischen Haftbefehl.
Globale Kriminalitätsbekämpfung ist in vielen Bereichen stark durch Normunternehmertum geprägt, beispielsweise im Bereich Sklaverei oder Korruption (Andreas/Nadelmann 2008, Jakobi 2016). Im Gegensatz dazu sind im Bereich Cybercrime vor allem Unternehmen zentrale Regelungsakteure, die insbesondere die Implementierung sicherstellen. Zentral ist dabei die Tatsache, dass Unternehmen der Digitalindustrie oft Daten zu Nutzer/innen und Transaktionen besitzen, auf die der Staat selbst zunächst keinen Zugriff hat. Daher sind staatliche Behörden beispielsweise darauf angewiesen, dass die privaten Akteure Informationen speichern und nötigenfalls der Strafverfolgung zur Verfügung stellen. Auch das Löschen als rechtwidrig eingestufter Inhalte ist ohne Kooperation der Anbieter nicht ohne weiteres möglich. Diese staatlichen Vorgaben können jedoch auch legitimen Interessen der Nutzer/innen nach Privatsphäre oder Datenschutz entgegenstehen. Dazu ist strengere Regulierung auch für die Unternehmen oft eine Belastung – auch im Hinblick auf die Beziehungen zu Kund/innen, und wird entsprechend oft eher zurückgewiesen. In diesen Spannungsfeldern zeigt sich damit auch, dass sich größere normative Rahmen über die Abwägung von Aufgaben und Verpflichtungen, auch im Hinblick auf unangemessenes oder verbotenes Verhalten, im Cyberspace bisher kaum herausgebildet haben. Wir zeigen im Folgenden, dass sich dieses Spannungsfeld in weiten Teilen durch die Abwesenheit klarer und transnational einheitlicher Accountability-Prinzipien erklären lässt.
Governance-Probleme als Accountability-Probleme
Accountability wird als zentraler Aspekt von Demokratie und Global Governance betrachtet (z.B. Held 1995, Held/Koenig-Archibugi 2005, Dingwerth 2007). „An accountability relationship is one in which an individual, group or other entity makes demands on an agent to report on his or her activities, and has the ability to impose costs on the agent“ (Keohane 2003, 139). Solche Kosten können Umstrukturierung, Rücktritte, Strafzahlungen, Ausübungsverbote, Kunden- und Reputationsverluste beinhalten (Koenig-Archibugi 2005, 114). Der Begriff Accountability beinhaltet somit je nach Kontext Aspekte der Haftbarkeit und Haftung, eine strafrechtliche Komponente, durch die Geschädigte Schadensersatz erhalten können; die Verantwortung und Verantwortlichkeit als das persönliche Einstehen für Handlungen; sowie eine Rechenschaftspflicht, die Pflicht, über Geschehnisse Auskunft zu geben (Koenig-Archibugi 2005, 112-114).
Accountability wird institutionalisiert durch „the requirement to report, and the right to sanction, are mutually understood and accepted“ (Keohane 2003, 139). Dies ist häufig bei internal accountabilityder Fall, bei der die Accountability-Ansprüche eines Akteurs (principal) mit dem handelnden agentinstitutionell verflochten sind. Der Anspruch des principalsleitet sich hierbei aus der Autorisierung des Agenten oder aus der finanziellen oder politischen Unterstützung des Akteurs ab (Keohane 2003, 141). In anderen Fällen sind die Verantwortlichkeiten und Ansprüche nicht klar geregelt, diese “[…] accountability relationships are more contested. In such situations, certain individuals, groups, or entities claim the right to hold agents accountable, but the agents do not recognize a corresponding oligation“ (Keohane 2003, 139). Dies trifft speziell bei external accountabilityzu, wenn Akteure außerhalb eines Agenten, als von dessen Handlungen betroffene Akteure, Accountability-Ansprüche erheben (Keohane 2003, 141).
Eine angestrebte Accountability im Cyberspace ist damit also voraussetzungsvoll: Sie benötigt zunächst ein gewisses Maß an Transparenz als Basis für Zurechnungsfähigkeit, also für die Möglichkeit, eine Handlung einer Person oder Entität zuzuordnen. Dies bedeutet, dass digitale (oder ggf. analoge) Protokolle zur Aufzeichnung benötigt werden, und damit für einen gewissen Zeitraum die Information zur Verfügung steht, welche Handlungen von wem wann durchgeführt werden. Die Rechenschaftspflicht wiederum ist aus dieser Perspektive notwendig, damit staatliche Instanzen diese Informationen einfordern können, um sie zu überprüfen und gesetzeswidriges Verhalten zuzurechnen. Gleichzeitig wirft Accountability damit auch Probleme des Datenschutzes auf.
Staatliche Accountability-Forderungen an Unternehmen und Bürger/innen
Die flexible, nicht-territoriale Natur des Cyberspace, die technischen Neuerungen sowie die zentrale Rolle verschiedener nicht-staatlicher Akteure stellen für Accountability-Fragen eine besondere Herausforderung dar, da zum Schutz der Anonymität von Nutzer/innen die Zurechenbarkeit zum Teil schon technisch ausgeschlossen wird. In diesem Zusammenhang wird diskutiert, inwiefern Unternehmen eine Verantwortung haben, diese Zurechenbarkeit technisch grundsätzlich zu ermöglichen und, falls dem so ist, gegenüber welchen staatlichen Stellen und unter welchen Voraussetzungen. Staaten sind dabei auf die Informationen von Unternehmen angewiesen, die digitale Protokolle oder IP-Adressen zur persönlichen Zuordnung der Handlungen besitzen und auswerten können. Hierbei zeigt sich, dass das Informationsgefälle zwischen Unternehmen und Staat zu dessen Abhängigkeit von privaten Unternehmen im digitalen Bereich führt (s. Abbildung 1).
Abbildung 1: Staatliche Rechenschaftsforderungen gegenüber Unternehmen bezüglich Bürger/innen und Zivilgesellschaft
Handelt es sich um einzelne Seiten, die als illegale Plattform genutzt werden, wie das DarkNet Portal Silkroad, auf dem zum Beispiel Drogen, gefälschte Ausweisdokumente und Hacking-Dienstleitungen anonym und mit nicht zurück verfolgbaren Kryptowährungen gekauft werden können, ist Rückverfolgbarkeit kaum gegeben. Diese Seiten können dann jedoch durch den Rückgriff auf Betreiber geschlossen werden – oft erfolgt dies, nachdem die Seite bereits überwacht wurde und Ermittlungsbehörden dabei versuchten, Verantwortliche, Händler und Kunden zu identifizieren. Allerdings führt die Schließung von online-Märkten bei bestehender Nachfrage zu einer schnellen Eröffnung neuer Seiten, deren Schließung wiederum rechtsstaatlich genehmigt werden muss – und zwar in dem Land, in dem sich der Server befindet. In diesen Fällen muss eine unabhängige juristische Prüfung zeigen, dass die Seiten hauptsächlich illegaler Natur sind und eine Schließung dem Verhältnismäßigkeitsgrundsatz entspricht. Dies ist notwendig um willkürlichen Schließungen und Zensur vorzubeugen, verlangsamt den Prozess allerdings zugunsten der flexiblen Anbieter.
Wenn das physische Abschalten eines unerwünschten Servers nicht möglich ist, haben Staaten auch die Möglichkeit, den nationalen Zugang zu dem Server zu unterbinden und den Zugriff auf einzelne Seiten oder Informationen zu verhindern. Die Abgrenzung dessen, was blockiert werden darf, wird hierbei in verschiedenen Ländern sehr unterschiedlich eingeschätzt und enthält die Zensur als anstößig empfundenen Materials, „extremistischer“ oder regierungskritischer Seiten, oder sicherheitsrelevanter Informationen (OpenNet Initiative 2013). Allerdings bleibt weitestgehend unklar, welche Länder welche Informationen filtern – ebenso wie Geheimdienste legen auch staatliche Behörden hierüber nicht immer Rechenschaft ab und vermeiden Transparenz.
Dabei ist der Begriff „unerwünschte Web-Inhalte“ ein sehr dehnbarer: In den vergangenen Jahren ist beispielsweise China dazu übergegangen, westliche Wissenschaftsverlage vor die Wahl zu stellen, entweder keine elektronischen Inhalte mehr zur Verfügung stellen zu dürfen, oder verlagsseitig gezielt solche Artikel und Publikationen aus dem Netz zu filtern, die unerwünschte Inhalte – beispielsweise zur Menschenrechtssituation – enthalten. Selbst Cambridge University Press hatte zunächst in diese Praxis eingewilligt, dies dann jedoch nach Protesten von Wissenschaftler/innen geändert; Verlage wie Springer Nature behielten die Praxis jedoch bei (New York Times 2017, Guardian 2017). Durch die mögliche Sperrung des Zugangs zu Webseiten besteht seitens der Seitenbetreiber ein starker Anreiz, auf die Forderungen von Regierungen einzugehen und Informationen in bestimmten Ländern zu filtern: „As the frontline operators of the network, these actors [private parties] are being asked or otherwise compelled to regulate the spaces they own and operate in ways that constitute a de facto exercise of authority. […] It is not too far-fetched to think of companies like Google, Facebook, and Research in Motion having foreign policies” (Deibert 2003, 17). Dieses Vorgehen betrifft zunächst die großen Anbieter im Cyberspace, die für die Inhalte auf ihren Seiten zur Rechenschaft gezogen werden und die ggf. bei Nichtbeachtung durch die Sperrungen sanktioniert werden. Wenn die Sperrung einer Seite für einen Staat keine Option darstellt, da diese beispielsweise besonders bedeutend ist oder als legitim wahrgenommen wird, sind staatliche Behörden allerdings auch auf die Kooperation der Anbieter angewiesen, um einzelne Beiträge zu filtern. Auch hierbei ergibt sich ein Spannungsfeld aus den staatlichen Vorgaben zur Filterung und dem zivilgesellschaftlichen Anspruch auf freie Meinungsäußerung. Staatliche Behörden stellen Anfragen an die entsprechenden Portale und fordern beispielsweise die Löschung einzelner Beiträge, wenn diese gegen Urheberrechte sprechen, oder als verbotene Agitation beurteilt werden. Zum Teil werden die Unternehmen auch aufgefordert, die Identität der Nutzer preiszugeben (z.B. Twitter 2017).
Zivilgesellschaftliche Accountability-Forderungen an Unternehmen
Dabei ergibt sich ein weiteres Spannungsfeld zwischen den an Unternehmen gestellten Rechenschaftsansprüchen von Staaten zur Aufklärung von Verbrechen beizutragen, und den zum Teil eingegangenen Verpflichtungen gegenüber Nutzer/innen, deren Identität und Privatsphäre zu schützen. So verteidigen Plattformen zum Teil ihre Nutzer/innen indem sie die behördlichen Aufforderungen juristisch anfechten, und veröffentlichen Privacy Reports, in denen sie die Informationen oder Löschungen fordernden Staaten, die Anzahl und den Grund für Datenanforderungen nennen, sowie ob diesen stattgegeben wurden (z.B. Twitter 2017). Diese Maßnahmen zeigen, dass Transparenz zum Teil dezidiert genutzt wird, um Accountability im Sinne einer staatlichen Rechenschaftspflicht gegenüber den Bürgern zu ermöglichen. Bei gerichtlichen Auseinandersetzungen schreiben sich Unternehmen zum Teil selbst eine Verantwortlichkeit für die vertraulichen Informationen über ihre Nutzer zu. Sie halten also eine (selbst gesetzte Verpflichtung) hoch, gewisse Teilaspekte von Accountability erst gar nicht zu ermöglichen, wobei gleichzeitig Regierungen unter einen Rechenschaftsdruck gegenüber ihrer Bevölkerung stehen bezüglich der von ihnen von den Unternehmen geforderten Maßnahmen (s. Abbildung 2).
Abbildung 2: Zivilgesellschaftliche Rechenschaftsansprüche gegenüber Unternehmen bezüglich staatlicher Aktivität
Der Konflikt zwischen staatlichen Forderungen und solchen der Nutzer/innen zeigt sich auch an dem Verhalten des Technologieunternehmens Apple. Dieses hat vor wenigen Wochen durch die Verlegung der Daten der chinesischen Nutzer seines iCloud Services in ein Daten Center in der Provinz Guizhou die Verarbeitung der Daten, inklusive Fotos und Kommunikation, durch das chinesische Unternehmen Guizhou-Cloud Big Data Industry Development ermöglicht, das in enger Beziehung zur chinesischen Regierung steht (BBC 2018, Apple 2018). Auch die Verschlüsselungscodes wurden nach China verlegt, wodurch chinesische Behörden vereinfachten Zugriff auf diese haben und nicht länger auf die Kooperation mit amerikanischen Behörden angewiesen sind (BBC 2018). Dies war nötig, um seinen Zugang zum chinesischen Markt und seinen Produktionsstätten zu sichern, denn das 2017 in China angenommene Cybersecurity Law sieht vor, dass Unternehmen, die in China tätig sind, ihre Daten in China speichern müssen. Apple hatte sich dagegen bisher in US-amerikanischen Gerichtsstreiten geweigert, Hintertüren in seine Software einzubauen, die die Entschlüsselung von auf Geräten gespeicherten Daten ermöglichen (Time 2016). Hierbei scheint Apple die eigene Verantwortlichkeit gegenüber chinesischen und amerikanischen Nutzer/innen ungleich zu bewerten und übernimmt keine Rechenschaft für zuvor gemachte Versprechen bezüglich des Unternehmensethos in Bezug auf Privatsphäre (Amnesty International 2018). In diesem Zuge scheint das Versprechen, Daten nur in einem „datensicheren“ Land zu hosten, mitunter auch als Unternehmensstrategie an Bedeutung zu gewinnen. So werben einige Unternehmen mit dem Gütesiegel „Software Hosted in Germany“, das von dem Bundesverband IT-Mittelstand (BITMi) vergeben wird (BITMi 2018).
Für die Frage des Zugangs zu digitalen Daten, die über das Internet in „Clouds“ gespeichert werden, kann jedoch neben der Nationalität oder dem Aufenthaltsort der Betroffenen auch der geografische Ort des Servers relevant sein und zu Regelungskonflikten und -widersprüchen führen. Der Gerichtsstreit zwischen Microsoft und der US-amerikanischen Justizbehörde hatte 2013 einige dieser Widersprüche sichtbar gemacht. Hierbei hatte Microsoft als US-amerikanisches Unternehmen die dort gespeicherten Informationen weitergegeben, sich allerdings geweigert, den US-amerikanischen Durchsuchungsbefehl auch auf in Irland gespeicherte Daten anzuwenden. Während Microsoft dies als Eingriff in die Souveränität Irlands begriff, argumentierte die Justizbehörde der USA, dass die Daten nur kopiert werden müssten und daher kein physischer Eingriff in dem Territorium eines Drittstaates vorliege (Wired 2018, Supreme Court of the United States 2018). Der Gerichtsstreit wurde mit dem Beschluss des Clarifying Overseas Use of Data Act(CLOUD Act) des US-Kongress beigelegt, der regelt, dass Daten über US-Staatsbürger oder in den USA wohnhafte Personen den US-Behörden zugänglich gemacht werden müssen, dies unabhängig davon, an welchen Ort diese Daten gespeichert werden.
In Europa dagegen ist es unter der neuen EU Datenschutz-Grundverordnung (DSGVO), im Speziellen unter der Data Protection Directive for Police and Criminal Justice Authorities, Kapitel V, seit diesem Jahr nicht mehr ohne Weiteres erlaubt, Daten von europäischen Staatsangehören an Drittstaaten weiterzugeben, außer wenn ein bilaterales Abkommen zur gegenseitigen Rechtshilfe (MLAT) dies vorsieht (European Commission 2017).
Diese Fälle zeigen die unterschiedlichen Auffassungen der Frage, wann Unternehmen, wem und zu welchem Grad accountablesind, und wie diese Unterscheide bereits in neuen Gesetzen und transnationalen Vereinbarungen münden. Darin scheint sich zunehmend zu zeigen, dass Staaten Verantwortung für die Informationen ihrer Bürger über ihre Grenzen hinaus übernehmen oder von Unternehmen verlangen, nationale Regeln auch über Grenzen hinweg anzuwenden. In der Regulierung des Cyberspace profiliert sich dabei gerade die EU, die für die Daten der Bürger/innen auch außerhalb des eigenen Territoriums Rechenschaft von Unternehmen und anderen Staaten verlangt. Im Fall von europäischen Bürger/innen mit Wohnsitz in einem Staat wie den USA, der Ansprüche an die Daten der dort Wohnhaften erhebt, können sich hieraus absehbar allerdings Widersprüche ergeben, die in Kosten und Sanktionen für Unternehmen münden können. Es ist daher in Zukunft eher mit zur Vereinheitlichung strebenden Regulierungsanliegen seitens im digitalen Raum agierender Unternehmen zu rechnen.
Die Notwendigkeit höherer Ansprüche an Accountability wird dadurch gefördert, dass die Akkumulation großer Datenmengen durch Unternehmen diese sowohl wirtschaftlich lukrativ macht, ebenso wie sie auch für Justizbehörden als potentielle Informationsquellen interessant werden. Unternehmensentscheidungen zum Zugang zu diesen Daten betreffen dabei potentiell alle Nutzer/innen der Unternehmensdienste, aber zum Teil auch Individuen, die die Dienste nicht selbst in Anspruch nehmen. Dies ist möglich durch das Auslesen von Adressbüchern registrierter Nutzer, so dass damit Daten von Nicht-Nutzern bekannt werden. Dies kann sogar in dem Erstellen von „Schattenprofilen“ münden, also in Profilen noch nicht registrierter Nutzer, zu denen aber bereits Daten vorliegen (Times 2018). Wer sich dann später doch einmal für den Dienst anmeldet, ist dem Unternehmen bereits durch andere Datenzusammenhänge bekannt. Ein durch diese Tätigkeiten entstehender Accountability-Anspruch ist allerdings kaum durchzusetzen, da es hierzu keine institutionalisierten Mechanismen gibt, es für Geschädigte schwierig ist, dem Unternehmen dafür Kosten aufzuerlegen, und viele Geschädigte eventuell nicht einmal den potentiellen Schaden kennen.
Um stärkere Accountability-Prinzipien zu etablieren, versuchen zivilgesellschaftliche Organisationen wie Amnesty International dagegen, den Mangel an Rechenschaft gegenüber Nutzer/innen mit Reputationskosten zu verbinden. Mit der EU-Datenschutz-Grundverordnung gibt es dabei nun staatliche Auflagen, die mehr Transparenz schaffen können und bei Fehlverhalten Sanktionen erwirken können. Doch auch die Verarbeitung von Informationen innerhalb der EU und von europäischen Staaten selbst ist nicht unproblematisch. Die Ansprüche von Staaten gegenüber digitalen Unternehmen sowie von Bürger/innen gegenüber digitalen Unternehmen sind nicht einheitlich und verlässliche Prozeduren sind noch nicht etabliert. Welche Unternehmen Informationen unter welchen Bedingungen an welche Akteure weitergeben, ist nicht immer absehbar und kann sich je nach Gegebenheit wandeln, wie beispielsweise das Handeln von Apple in China zeigt. Mit freiwilligen Transparency Reportsunternehmen dabei auch einige Anbieter selbst den Versuch, die Anfragen von staatlicher Seite, ihre eigenen Reaktionen und den Umgang mit diesen Daten transparent zu machen.
Während der Austausch von Daten zwischen Behörden verschiedener Länder auch intransparent ist und es von staatlicher Seite wenig Anreize gibt, dies zu ändern, haben sich einige Unternehmen den Forderungen widersetzt und diese gerichtlich angefochten: Das Handeln von Unternehmen unterliegt hierbei allerdings häufig wirtschaftlichen statt normativen Abwägungen. Die Rolle von Unternehmen innerhalb der Governance von Cybercrime ist demnach eine gespaltene, bei der diese einerseits die Implementierung im Sinne der Nationalstaaten umsetzen, um dort weiterhin agieren zu können, die andererseits aber auch die Abhängigkeit von Staaten von ihren Daten und Informationen nutzen können, um die Nutzung von Informationen zur Strafverfolgung zu erschweren.
Zusammenfassung
Insgesamt zeigt die Regulierung des Cyberspace eine starke Tendenz zu polyzentrischer Governance zwischen staatlichen und nicht-staatlichen Akteuren. Gleichzeitig wurde jedoch kein globaler, normativer Rahmen etabliert. Die Cybercrime Konvention adressiert zwar einige Arten von Onlinekriminalität, sie ist aber bisher deutlich weniger akzeptiert als andere Konventionen im Bereich Kriminalitätsbekämpfung – auch kann sie aktuelle Entwicklungen kaum abbilden und dient eher der Kooperation als der substantiellen Definition von Verhaltensstandards im Netz. Auch die Tatsache, dass sich die USA nicht dem Protokoll gegen Hassrede angeschlossen hat, zeigt, wie normativ umstritten einige Aspekte der Cyberumgebung sind, und dass Eingriffe hier von einigen Staaten besonders im Widerspruch zu Meinungsfreiheit und zum Schutz der Privatsphäre beurteilt werden. Auch ohne das Vorhandensein eines umfassenden normativen oder gesetzlichen Rahmens kooperieren einzelne Staaten und Unternehmen allerdings auf prozeduraler Ebene.
Die Diskussion des Spannungsfeldes um Accountability zeigt hierbei, dass Staaten und Unternehmen in ihrer Verantwortung auf verschiedene Gruppen und Prinzipien verweisen, und sowohl wirtschaftliche als auch normative Abwägungen treffen. Inwieweit Unternehmen bereit sind, mit Staaten zu kooperieren ist auch eine Frage des „Unternehmensimage“.
Das Handeln von Apple im Hinblick auf Datenweitergabe in den USA und in China zeigt die zum Teil auch instabilen Allianzen zwischen Unternehmen und Nutzer/innen sowie Unternehmen und Staaten. Der Umgang mit ansässigen Digitalunternehmen sowie mit gespeicherten Daten kann hierbei auch als Standortvorteil oder Nachteil interpretiert und vermarktet werden. Aktuelle Gesetzesänderungen verweisen allerdings weniger auf die Territorialität der Daten, als mehr auf die Nationalität der Bürger/innen, deren Daten weitergegeben werden. Während hier für EU-Bürger/innen neue Möglichkeiten etabliert wurden, um Transparenz und Rechenschaft für die Weitergabe ihrer Daten zu fordern, bleibt die Weitergabe von Informationen zum Justizvollzug zwischen Staaten weiterhin unklar, besonders da Staaten hier hauptsächlich bilateral und prozedural kooperieren.
Zusätzlich zu der Abwägung von Normen und Wirtschaftsinteressen wird auch die Entscheidung über die Moralität von Verhalten in der digitalen Domäne unterschiedlich abgewogen und die Grenze zwischen Verbrechen und zivilem Ungehorsam, wie im Fall Edward Snowden, von verschiedenen Staaten und unterschiedlichen Communities unterschiedlich bewertet. Auch deshalb ist eine globale substanzielle Übereinkunft über Cyberkriminalität nicht abzusehen. In dem wenig regulierten, sich schnell wandelnden, nicht-territorialen Cyber-Bereich sind es häufig Gerichtsprozesse, die die Unvereinbarkeit verschiedener Normen und die Widersprüche unterschiedlicher nationaler Regulierung sichtbar machen und Regulierungsbedarf aufzeigen. Wo diese Widersprüche zwischen nationalstaatlichen Gesetzen im Hinblick auf den Umgang mit und die Verfügung über Daten Unternehmen hohe Kosten verursachen, ist es allerdings daher zumindest wahrscheinlicher, dass Angleichungsprozesse gefordert und angestoßen werden.
Literatur:
Amnesty International(2018): Campaign targets Apple over privacy betrayal for Chinese iCloud users, URL: https://www.amnesty.org/en/latest/news/2018/03/apple-privacy-betrayal-for-chinese-icloud-users/(letzter Zugriff: 19 Juli 2018).
Andreas, Peter/Nadelmann, Ethan (2008): Policing the Globe. Criminalization and Crime Control in International Relations. Oxford and others: Oxford University Press.
Apple(2018): Learn more about iCloud in China, URL:https://support.apple.com/en-us/HT208351(letzter Zugriff: 01 Juli 2018).
BBC(2018): Apple iCloud: State firm hosts user data in China. 18.07.2018,URL: https://www.bbc.co.uk/news/technology-44870508(letzter Zugriff: 19 Juli 2018).
Benz, Arthur (2004): Multilevel Governance – Governance in Mehrebenensystemen, in: Benz, Arthur (Hrsg.): Regieren in komplexen Regelsystemen. VS Verlag für Sozialwissenschaften, S. 125-146.
BITMi(2018): Software Hosted in Germany, URL: https://www.bitmi.de/leistungen/software-hosted-in-germany/(letzter Zugriff: 19 Juli 2018).
Calderoni, Francesco (2010): The European Legal Framework on Cybercrime: Striving for an Effective Implementation, in: Crime, Law and Social Change,Jg. 54, Nr. 5, S. 339-357.
Deibert, Ronald J. (2003): Black Code: Censorship, Surveillance, and the Militarisation of Cyberspace, in: Millennium, Jg. 32, Nr. 3, S. 501-530.
Dingwerth, Klaus (2007): The New Transnationalism: Transnational Governance and Democratic Legitimacy. Houndsmills: Palgrave.
European Commission(2017): Communication from the Commission to the European Parliament and the Council (COM/2017/07 final). Exchanging and Protecting Personal Data in a Globalised World, URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2017%3A7%3AFIN(letzter Zugriff 19 Juli 2018).
Guardian(2017): Cambridge University Press backs down over China censorship, URL: https://www.theguardian.com/education/2017/aug/21/cambridge-university-press-to-back-down-over-china-censorship(letzter Zugriff: 01 Juli 2018).
Haufler, Virginia (2009): The Kimberley Process Certification Scheme: An Innovation in Global Governance and Conflict Prevention, in: Journal of Business Ethics, Jg. 89, Nr. 4, S.403-16.
Held, David (1995): Democracy and the Global Order. Cambridge: Polity Press.
Held, David/Koenig-Archibugi, Mathias (Hrsg.) (2005): Global Governance and Public Accountability. Malden: Blackwell Publishing.
Jakobi, Anja P. (2013): Governing war economies: Conflict diamonds and the Kimberley Process, in: Jakobi, Anja/Wolf, Klaus Dieter (Hrsg.): The Transnational Governance of Violence and Crime. Palgrave Macmillan, London, S. 84-105.
Jakobi, Anja P. (2016): Non-state actors and global crime governance: Explaining the variance of public-private interaction. The British Journal of Politics and International Relations, Jg. 18, Nr. 1, S. 72-89.
Jakobi, Anja P./Haunschild, Jasmin (2017): Organized Crime and International Politics. In: Sauer, Frank/Masala, Carlo (Hrsg.): Handbuch Internationale Politik, 2. Aufl. Wiesbaden: Springer VS, 803-827.
Jakobi, Anja P./Haunschild, Jasmin (im Erscheinen): The Global Governance of Crime and Illegal markets: What are the Implications for Cyberspace? In: Tzanetakis, Meropi/Stöver, Heino (Hrsg.): Drogen, Darknet und organisierte Kriminalität. Baden Baden: Nomos.
Keohane, Robert O. (2003): Global Governance and Democratic Accountability, in Held, David/Koenig-Archibugi, Matthias (Hrsg.): Taming Globalization. Frontiers of Governance. Cambridge: Polity Press, S. 130-159.
Koenig-Archibugi, Mathias (2005): Transnational Corporations and Public Accountability, in: Held, David/Koenig-Archibugi, Mathias (Hrsg.):Global Governance and Public Accountability. Malden: Blackwell Publishing, S. 110-135.
New York Times(2017): Leading Western Publisher Bows to Chinese Censorship, URL: https://www.nytimes.com/2017/11/01/world/asia/china-springer-nature-censorship.html(letzter Zugriff 01 Juli 2018).
OpenNet Initiative(2013): OpenNet Initiative Internet Censorship Data, Updated, URL: https://opennet.net/research/data(letzter Zugriff: 15 Juni 2018).
Supreme Court of the United States(2018): United States v. Microsoft. No.17-2. 27.02.2018. Heritage Reporting Corporation,URL: https://www.supremecourt.gov/oral_arguments/argument_transcripts/2017/17-2_j4ek.pdf (letzter Zugriff18 Juli 2018).
Time(2016): Inside Apple CEO Tim Cook’s Fight With the FBI, URL: http://time.com/4262480/tim-cook-apple-fbi-2/ (letzter Zugriff: 01 Juli 2018).
Times(2018): Mark Zuckerberg in Facebook ‘shadow profiles’ row, URL: https://www.thetimes.co.uk/article/mark-zuckerberg-in-facebook-shadow-profiles-row-mxzfhmh7z(letzer Zugriff: 20 Juli 2018).
Twitter(2017): New Data, New Insights: Twitter’s Latest #Transparency Report, URL: https://blog.twitter.com/official/en_us/topics/company/2017/New-Data-Insights-Twitters-Latest-Transparency-Report.html(letzter Zugriff: 19 Juli 2018).
Tzanetakis, Meropi/Kamphausen, Gerrit/Werse, Bernd/von Laufenberg, Roger (2015): The Transparency Paradox. Building Trust, respolving Disputes and optimising Logistics on conventional and online Drug Markets, in: International Journal of Drug Policy. Jg. 35, S. 58-68.
United Nations(2000): United Nations Convention against Transnational Organized Crime, URL: www.unodc.org/unodc/crime_cicp_signatures_convention.html (letzter Zugriff: 25 Juli 2018).
Wired(2018): Microsoft’s Supreme Court Case Has Big Implications For Data. 27.02.2018, URL: https://www.wired.com/story/us-vs-microsoft-supreme-court-case-data/(letzter Zugriff: 18 Juli 2018).
Zitationshinweis:
Haunschild, Jasmin und Anja Jakobi (2018): Raum ohne Rechenschaftspflicht? Kriminalität im Cyberspace, Essay, Erschienen auf: regierungsforschung.de. Online verfügbar: https://regierungsforschung.de/raum-ohne-rechenschaftspflicht-kriminalitaet-im-cyberspace/
