02.03.03.02 Europäische Regelungen und Maßnahmen

1-1 von 1
  • 02.03.03.02 Europäische Regelungen und Maßnahmen (Originalversion)

    von EnqueteSekretariat, angelegt
    1 Durch den Vertrag von Lissabon wurde mit Artikel 83 Absatz 1
    2 des Vertrags über die Arbeitsweise der Europäischen Union
    3 (AEUV)[FN: Vertrag über die Arbeitsweise der Europäischen
    4 Union, ABl. Nr. C 115 vom 9.5.2008, S. 47.] eine Grundlage
    5 für Maßnahmen im Bereich der Computerkriminalität im Rahmen
    6 der EU geschaffen. Die EU ist demnach ermächtigt,
    7 Richtlinien zur Mindestregelung von Straftaten und Strafen
    8 zu erlassen.
    9
    10
    11 I.3.3.2.1 Maßnahmen nach dem Stockholmer Programm
    12 Im Bereich des Strafrechts erklärt das Stockholmer
    13 Programm[FN: Das Stockholmer Programm ist ein Programm der
    14 EU mit Richtlinien für eine gemeinsame Innen- und
    15 Sicherheitspolitik der Mitgliedstaaten für die Jahre 2010
    16 bis 2014. The Stockholm Programme – An open and secure
    17 Europe serving and protecting citizens, ABl. Nr. C 115 vom
    18 4.5.2010, S. 1; der deutsche Text des Programms ist abrufbar
    19 unter:
    20 http://register.consilium.europa.eu/pdf/de/09/st17/st17024.d
    21 e09.pdf] aus dem Jahr 2009 die Entwicklung von gemeinsamen
    22 Minimalstandards im Bereich der Kinderpornografie und der
    23 Internetkriminalität zur Priorität der unter dem Vertrag von
    24 Lissabon notwendigen Harmonisierungsbestrebungen.[FN: The
    25 Stockholm Programme – An open and secure Europe serving and
    26 protecting citizens, darin Unterpunkt 3.3.] Im April 2010
    27 veröffentlichte die EU-Kommission einen Aktionsplan zur
    28 Umsetzung des Programms, der die angestrebten Maßnahmen
    29 konkretisierte.[FN: Mitteilung der Kommission an das
    30 Europäische Parlament, den Rat, den Europäischen
    31 Wirtschafts- und Sozialausschuss und den Ausschuss der
    32 Regionen, Aktionsplan zur Umsetzung des Stockholmer
    33 Programms, KOM(2010) 171; zu diesem Plan und den
    34 vorgeschlagenen Maßnahmen eingehend: Gercke, Die Entwicklung
    35 des Internetstrafrechts 2010/2011, ZUM 2011, 609, 612.] Zu
    36 nennen sind eine Richtlinie zur Bekämpfung der
    37 Kinderpornografie,[FN: Vorschlag für eine Richtlinie des
    38 Europäischen Parlaments und des Rates zur Bekämpfung des
    39 sexuellen Missbrauchs und der sexuellen Ausbeutung von
    40 Kindern sowie der Kinderpornografie und zur Aufhebung des
    41 Rahmenbeschlusses 2004/68/JI des Rates, KOM(2010) 94 endg.
    42 Der Volltext des Vorschlages und der gegenwärtige Stand des
    43 Verfahrens sind abrufbar unter:
    44 http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&Dos
    45 Id=199159#404503] die Unterbindung der Geldtransferprozesse
    46 im Zusammenhang mit Kinderpornografie im Internet mittels
    47 Public-Private-Partnerships (PPP), sowie eine weitere
    48 Förderung von Maßnahmen im Rahmen des Safer Internet Action
    49 Plan.[FN: Dazu sogleich Abschnitt II.3.3.2.2.] Im Rahmen der
    50 Bekämpfung der Computerkriminalität werden unter anderem
    51 Maßnahmen zur Stärkung der Netz- und
    52 Informationssicherheitspolitik sowie Maßnahmen zur schnellen
    53 Reaktion auf Cyber-Angriffe vorgeschlagen. Darüber hinaus
    54 wird angeregt, gesetzliche Regelungen für den Fall von
    55 Angriffen auf Informationssystem zu erlassen. Auch der
    56 Aufbau einer europäischen Plattform zur Meldung von
    57 Straftaten, die Ausarbeitung eines EU-Musterabkommens für
    58 Public-Private-Partnerships zur Bekämpfung der
    59 Computerkriminalität, Maßnahmen zur gerichtlichen
    60 Zuständigkeit in Bezug auf den Cyberspace sowie die
    61 Ratifizierung der Cybercrime Convention des Europarates
    62 werden vorgeschlagen.[FN: Eingehend: Gercke, Die Entwicklung
    63 des Internetstrafrechts 2010/2011, ZUM 2011, 609, 612.]
    64
    65
    66 I.3.3.2.2 EU-Initiative: Safer Internet Action Plan
    67 (Nunmehr: Safer Internet plus Programme)[FN:
    68 http://ec.europa.eu/information_society/activities/sip/polic
    69 y/programme/index_en.htm; s. Walter, Internetkriminalität,
    70 2008, S. 28.]
    71
    72 Der EU-Aktionsplan Safer Internet dient nach der Vorstellung
    73 der Europäischen Kommission dazu, in ihren Mitgliedstaaten
    74 auf Chancen und Risiken des Internets aufmerksam zu machen.
    75 Kern des Safer Internet Action Plans ist die Einrichtung und
    76 der Betrieb einer Reihe von Websites und Hotlines, die
    77 aufklären sowie die Möglichkeit der Meldung schädlicher
    78 Inhalte bieten sollen. Erklärtes Ziel ist es, Eltern und
    79 Kinder für die Probleme illegaler Inhalte zu
    80 sensibilisieren. Ein weiteres Element ist die Zusammenarbeit
    81 von Strafverfolgungsbehörden insbesondereum von Nutzerinnen
    82 und Nutzern gemeldete Straftaten im Internet
    83 grenzüberschreitend zu verfolgen. Dafür hat die
    84 EU-Kommission im Mai 2012 eine „Neue Strategie für ein
    85 sicheres Internet und bessere Online-Inhalte für Kinder und
    86 Jugendliche“ vorgestellt.[FN: S. die Pressemitteilung
    87 IP/12/445 vom 02.05.2012, abrufbar unter:
    88 http://europa.eu/rapid/pressReleasesAction.do?reference=IP/1
    89 2/445&format=HTML&aged=0&language=DE&guiLanguage=en]
    90
    91
    92 I.3.3.2.3 Entwurf EU-Richtlinie über Angriffe auf
    93 Informationssysteme
    94 Auf den Rahmenbeschluss über Angriffe auf
    95 Informationssysteme[FN: Rahmenbeschluss 2005/222/JI des
    96 Rates vom 24. Februar 2005 über Angriffe auf
    97 Informationssysteme, ABl. Nr. L 69 vom 16.3.20005, S. 67.]
    98 aus dem Jahr 2005 folgte der von der EU-Kommission im
    99 November 2010 vorgelegte Vorschlag für eine Richtlinie über
    100 Angriffe auf Informationssysteme.[FN: Vorschlag für eine
    101 Richtlinie des Europäischen Parlaments und des Rates über
    102 Angriffe auf Informationssysteme und zur Aufhebung des
    103 Rahmenbeschlusses 2005/222/JI des Rates vom 30.9.2010,
    104 KOM(2010) 517 endg. Der Volltext des Vorschlags und der
    105 gegenwärtige Stand des Verfahrens sind abrufbar unter:
    106 http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&Dos
    107 Id=199692] Der Vorschlag enthält weitere
    108 Harmonisierungsbestrebungen und dient dem Zweck, auch auf
    109 neuere Angriffsformen, insbesondere aus Botnetzen, zu
    110 reagieren. Die Vorgaben der Richtlinie dürften in
    111 Deutschland kaum einer weiteren Umsetzung bedürfen.[FN:
    112 Näher: Gercke, Die Entwicklung des Internetstrafrechts
    113 2010/2011, ZUM 2011, 609, 613.]
    114
    115
    116 I.3.3.2.4 ENISA
    117 Die Europäische Agentur für Netz- und Informationssicherheit
    118 (ENISA) ist eine 2004 durch Verordnung[FN: Verordnung (EG)
    119 Nr. 460/2004 des Europäischen Parlaments und des Rates vom
    120 10. März 2004 zur Errichtung der Europäischen Agentur für
    121 Netz- und Informationssicherheit, ABl. Nr. L 77 vom
    122 13.3.2004, S. 1.] geschaffene Einrichtung, deren Ziel die
    123 Verbesserung der Netz- und Informationssicherheit in Europa
    124 ist[FN: Nähere Informationen unter:
    125 http://www.enisa.europa.eu/about-enisa] und die als Think
    126 Tank und Analysezentrum die Mitgliedstaaten und andere
    127 EU-Einrichtungen in Fragen der IT-Sicherheit beraten
    128 soll.[FN: MMR-Aktuell 2011, 318598.] ENISA hat allein in
    129 jüngster Vergangenheit zahlreiche Untersuchungen zu diversen
    130 Aspekten der IT-Sicherheit veröffentlicht, die sich u.a. mit
    131 Botnetzen[FN:
    132 http://www.enisa.europa.eu/act/res/botnets/botnets-measureme
    133 nt-detection-disinfection-and-defence], Web Standards[FN:
    134 http://www.enisa.europa.eu/act/application-security/web-secu
    135 rity/a-security-analysis-of-next-generation-web-standards]
    136 sowie den Sicherheitsrisiken im Zusammenhang mit Cookies[FN:
    137 http://www.enisa.europa.eu/act/it/library/pp/cookies] oder
    138 Apps für mobile Endgeräte[FN:
    139 http://www.enisa.europa.eu/act/application-security/smartpho
    140 ne-security-1/appstore-security-5-lines-of-defence-against-m
    141 alware] befassen.[FN: Ein Überblick über ENISAs Aktivitäten
    142 im Bereich „Awareness Raising“ seit 2005 vom 15. Februar
    143 2011 ist abrufbar unter:
    144 http://www.enisa.europa.eu/act/ar/deliverables/overview-de.
    145 Eine Gesamtübersicht über die Berichte von ENISA ist
    146 abrufbar unter:
    147 http://www.enisa.europa.eu/publications/studies/reports] Zu
    148 den Aufgaben von ENISA gehört auch die regelmäßige
    149 Anfertigung von Berichten über die IT-Sicherheit in der
    150 EU.[FN: S. den Cyber Europe 2010 Report vom 18. April 2011,
    151 abrufbar unter:
    152 http://www.enisa.europa.eu/act/res/ce2010/ce2010report]
    153 Das Mandat für ENISA ist erst kürzlich durch Verordnung bis
    154 zum 13. September 2013 verlängert worden.[FN: Verordnung
    155 (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates
    156 vom 8. Juni 2011 zur Änderung der Verordnung (EG) Nr.
    157 460/2004 zur Errichtung der Europäischen Agentur für Netz-
    158 und Informationssicherheit bezüglich deren Bestehensdauer,
    159 ABl. Nr. L 165 vom 24.6.2011, S. 3.] Derzeit ist zudem eine
    160 Modernisierung des Mandats in Beratung, durch das ENISA eine
    161 stärkere Rolle bei der Verhütung, Erkennung und Bewältigung
    162 von Störungen der Netz- und Informationssicherheit innerhalb
    163 der EU einnehmen würde.[FN: S. die Pressemitteilung des
    164 Rates 10494/11 vom 27. Mai 2011, abrufbar unter:
    165 http://europa.eu/rapid/pressReleasesAction.do?reference=PRES
    166 /11/145&format=HTML&aged=1&language=DE&guiLanguage=en, sowie
    167 den zugehörigen Sachstandsbericht 10296/11, abrufbar unter:
    168 http://register.consilium.europa.eu/pdf/de/11/st10/st10296.d
    169 e11.pdf]
    170
    171
    172 I.3.3.2.5 Einrichtung eines europäischen IT-Notfallteams
    173 Ebenfalls in Vorbereitung ist die Einrichtung eines
    174 IT-Notfallteams (CERT – Computer Emergency Response Team)
    175 für die IT-Infrastrukturen der EU-Organe, das so genannte
    176 iCERT@eu.
    177 Parallel zu den Planungen hat ENISA im Juni 2011 zudem eine
    178 Bestandsaufnahme der in der EU vorhandenen CERTs
    179 veröffentlicht.[FN: Inventory of CERT activities in Europe,
    180 abrufbar unter:
    181 http://www.enisa.europa.eu/act/cert/background/inv/files/inv
    182 entory-of-cert-activities-in-europe] Diese sollen nach dem
    183 Willen der Digitalen Agenda[FN: S. die Mitteilung der
    184 Kommission an das Europäische Parlament, den Rat, den
    185 Europäischen Wirtschafts- und Sozialausschuss und den
    186 Ausschuss der Regionen „Eine Digitale Agenda für Europa“ vom
    187 19.5.2010, KOM(2010) 245 endg., in der korrigierten Fassung
    188 vom 26.8.2010, KOM(2010) 245 endg./2, sowie unter
    189 http://ec.europa.eu/information_society/digital-agenda/index
    190 _en.htm] der EU-Kommission und des Rates zufolge Teil eines
    191 bis 2012 aufzubauenden, europaweiten Netzwerkes von CERTs
    192 sein, mit dessen Hilfe es möglich werden soll, gezielter und
    193 umfassender auf zukünftige Angriffe auf IT-Systeme zu
    194 reagieren.[FN: S. die Pressemitteilung der EU-Kommission
    195 IP/11/694 vom 10.6.2011, abrufbar unter:
    196 http://europa.eu/rapid/pressReleasesAction.do?reference=IP/1
    197 1/694&format=HTML&aged=0&language=DE&guiLanguage=en] In der
    198 Bestandsaufnahme werden aus der Vielzahl der deutschen CERTs
    199 18 explizit erfasst und dargestellt, von denen die Mehrzahl
    200 privaten Trägern, insbesondere aus der Industrie[FN: S.
    201 beispielsweise http://www.first.org/members/teams/sap_cert
    202 sowie
    203 http://www.siemens.com/corporate-technology/en/research-area
    204 s/siemens-cert.htm] und dem Finanzsektor[FN: S.
    205 beispielsweise http://www.s-cert.de/ sowie
    206 https://www.trusted-introducer.org/teams/teams-c.html#COMCER
    207 T], zuzuordnen sind. Öffentlich-rechtliche Träger sind
    208 einige universitäre Institute[FN: S. beispielsweise
    209 http://cert.uni-stuttgart.de/ sowie
    210 https://www.cert.kit.edu/] sowie der Bund. Letzterer
    211 betreibt über das BSI ein CERT für die Bundesbehörden.
    212 Zusätzlich bietet das BSI ein Bürger-CERT für Bürgerinnen
    213 und Bürger sowie kleine Unternehmen an. Die deutschen CERTs
    214 sind darüber hinaus im CERT-Verbund organisiert, der die
    215 Kooperation zwischen den Mitgliedern ermöglichen soll, ihnen
    216 aber im Übrigen ihre Autonomie belässt.[FN: S. die (zuletzt
    217 2004 aktualisierte) Internetpräsenz des CERT-Verbunds:
    218 http://www.cert-verbund.de/] Um den Austausch effizient zu
    219 gestalten, haben die Mitglieder des CERT-Verbunds ein
    220 spezielles Austauschformat geschaffen, das Deutsche Advisory
    221 Format (DAF).[FN: http://www.cert-verbund.de/daf/index.html]
    222
    223
    224 I.3.3.2.6 Europol
    225 Am 1. Januar 2010 ist mit dem Europol-Beschluss eine neue
    226 Rechtsgrundlage für die Befugnisse von Europol in Kraft
    227 getreten.[FN: Beschluss des Rates vom 6. April 2009 zur
    228 Errichtung des Europäischen Polizeiamts (Europol), ABl. Nr.
    229 L 121 vom 15.5.2009, S. 37.] Mit dem Vertrag von Lissabon
    230 wurden die Aufgaben von Europol in Artikel 88 AEUV
    231 festgeschrieben. Europol ist seither befugt, Polizei und
    232 Strafverfolgungsbehörden der Mitgliedstaaten bei ihrer
    233 Zusammenarbeit zur Bekämpfung der Kriminalität zu
    234 unterstützen. Die Behörde soll besser als bisher in den
    235 gegenseitigen Informationsaustausch eingebunden werden.
    236
    237 Europol wird damit zur Zentralstelle für den polizeilichen
    238 Informationsaustausch in der EU. Die Behörde kämpft jedoch
    239 der Gemeinsamen Kontrollinstanz von Europol (GKI) zufolge
    240 mit datenschutzrechtlichen Problemen:
    241 So hat das Projekt „Check the Web“ (CTW), in dessen Rahmen
    242 offen zugängliche islamistische Internetquellen ausgewertet
    243 und terroristische Netzaktivitäten beobachtet werden, Kritik
    244 auf sich gezogen. „Check the Web“ wird auf Initiative
    245 Deutschlands seit 2007 von Europol betrieben. Ursprünglich
    246 sollte das Portal vornehmlich dem Informationsaustausch der
    247 Mitgliedsländer dienen. Es entwickelte sich jedoch zunehmend
    248 zu einem Europol-Informationssystem. Auf Empfehlung des GKI
    249 wurde es deshalb in eine Arbeitsdatei zu Analysezwecken im
    250 Sinne des Europol-Beschlusses umgewandelt.[FN:
    251 Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für
    252 den Datenschutz und die Informationsfreiheit – 23.
    253 Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.] Die
    254 Umwandlung in eine Analysedatei ermöglicht nun auch die
    255 Speicherung von Personendaten. Darüber hinaus gab es in der
    256 Vergangenheit immer wieder auf europäischer Ebene Vorschläge
    257 „Check the Web“ um andere Phänomenbereiche zu erweitern.
    258 Bislang wurde dies jedoch nicht konkretisiert. Für „Check
    259 the Web“ ist das BKA national der Ansprechpartner im Rahmen
    260 der Zusammenarbeit im Gemeinsamen Internetzentrum (GIZ), in
    261 dem unter Gesamtgeschäftsführung des Bundesamtes für
    262 Verfassungsschutz das BKA, der Militärische Abschirmdienst
    263 sowie der Generalbundesanwalt Fragestellungen zu
    264 islamistischen Internetseiten bearbeiten.
    265 Bemängelt wird auch, dass Europol Cross Matching betreibt,
    266 also Daten, die via Europol ausgetauscht werden, mit eigenen
    267 Informationen abgleicht. Geplant ist auch ein Datenabgleich
    268 europäischer mit nationalen Informationssystemen.[FN:
    269 Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für
    270 den Datenschutz und die Informationsfreiheit – 23.
    271 Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.] Europol ist
    272 neuerdings auch berechtigt, personenbezogene Daten
    273 kommerziell zu erwerben, etwa bei Auskunfteien, darf
    274 allerdings nur insoweit darauf zugreifen, als dies zu seiner
    275 Aufgabenerfüllung unbedingt erforderlich ist.[FN:
    276 Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für
    277 den Datenschutz und die Informationsfreiheit – 23.
    278 Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.]
    279
    280 Zudem wurde 2009 eine so genannte European Cybercrime
    281 Platform (Europäische Cybercrime-Plattform, ECCP)
    282 eingerichtet, die auf drei Säulen fußt: 1. Internet Crime
    283 Reporting Online System zur Meldung von personenbezogenen
    284 Informationen über Kriminalitätsfälle, bei denen die
    285 Jurisdiktion mehrerer Mitgliedstaaten betroffen ist, sowie
    286 zur Führung des europaweiten Kriminalaktennachweises; 2.
    287 „Cyborg“-Analyse-Datei, konzentriert auf gewinnorientierte
    288 Internet-Delikte; 3. Internet FORencsic Expertise (I-FOREX)
    289 zum Austausch über bewährte Trainingsmethoden und
    290 Praktiken.[FN: Holzberger, Wer gegen wen? Gremien zur
    291 Bekämpfung der Cyberkriminalität, Bürgerrechte &
    292 Polizei/CILIP 98 (1/2011).]