| 1 | Durch den Vertrag von Lissabon wurde mit Artikel 83 Absatz 1 |
| 2 | des Vertrags über die Arbeitsweise der Europäischen Union |
| 3 | (AEUV)[FN: Vertrag über die Arbeitsweise der Europäischen |
| 4 | Union, ABl. Nr. C 115 vom 9.5.2008, S. 47.] eine Grundlage |
| 5 | für Maßnahmen im Bereich der Computerkriminalität im Rahmen |
| 6 | der EU geschaffen. Die EU ist demnach ermächtigt, |
| 7 | Richtlinien zur Mindestregelung von Straftaten und Strafen |
| 8 | zu erlassen. |
| 9 | |
| 10 | |
| 11 | I.3.3.2.1 Maßnahmen nach dem Stockholmer Programm |
| 12 | Im Bereich des Strafrechts erklärt das Stockholmer |
| 13 | Programm[FN: Das Stockholmer Programm ist ein Programm der |
| 14 | EU mit Richtlinien für eine gemeinsame Innen- und |
| 15 | Sicherheitspolitik der Mitgliedstaaten für die Jahre 2010 |
| 16 | bis 2014. The Stockholm Programme – An open and secure |
| 17 | Europe serving and protecting citizens, ABl. Nr. C 115 vom |
| 18 | 4.5.2010, S. 1; der deutsche Text des Programms ist abrufbar |
| 19 | unter: |
| 20 | http://register.consilium.europa.eu/pdf/de/09/st17/st17024.d |
| 21 | e09.pdf] aus dem Jahr 2009 die Entwicklung von gemeinsamen |
| 22 | Minimalstandards im Bereich der Kinderpornografie und der |
| 23 | Internetkriminalität zur Priorität der unter dem Vertrag von |
| 24 | Lissabon notwendigen Harmonisierungsbestrebungen.[FN: The |
| 25 | Stockholm Programme – An open and secure Europe serving and |
| 26 | protecting citizens, darin Unterpunkt 3.3.] Im April 2010 |
| 27 | veröffentlichte die EU-Kommission einen Aktionsplan zur |
| 28 | Umsetzung des Programms, der die angestrebten Maßnahmen |
| 29 | konkretisierte.[FN: Mitteilung der Kommission an das |
| 30 | Europäische Parlament, den Rat, den Europäischen |
| 31 | Wirtschafts- und Sozialausschuss und den Ausschuss der |
| 32 | Regionen, Aktionsplan zur Umsetzung des Stockholmer |
| 33 | Programms, KOM(2010) 171; zu diesem Plan und den |
| 34 | vorgeschlagenen Maßnahmen eingehend: Gercke, Die Entwicklung |
| 35 | des Internetstrafrechts 2010/2011, ZUM 2011, 609, 612.] Zu |
| 36 | nennen sind eine Richtlinie zur Bekämpfung der |
| 37 | Kinderpornografie,[FN: Vorschlag für eine Richtlinie des |
| 38 | Europäischen Parlaments und des Rates zur Bekämpfung des |
| 39 | sexuellen Missbrauchs und der sexuellen Ausbeutung von |
| 40 | Kindern sowie der Kinderpornografie und zur Aufhebung des |
| 41 | Rahmenbeschlusses 2004/68/JI des Rates, KOM(2010) 94 endg. |
| 42 | Der Volltext des Vorschlages und der gegenwärtige Stand des |
| 43 | Verfahrens sind abrufbar unter: |
| 44 | http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&Dos |
| 45 | Id=199159#404503] die Unterbindung der Geldtransferprozesse |
| 46 | im Zusammenhang mit Kinderpornografie im Internet mittels |
| 47 | Public-Private-Partnerships (PPP), sowie eine weitere |
| 48 | Förderung von Maßnahmen im Rahmen des Safer Internet Action |
| 49 | Plan.[FN: Dazu sogleich Abschnitt II.3.3.2.2.] Im Rahmen der |
| 50 | Bekämpfung der Computerkriminalität werden unter anderem |
| 51 | Maßnahmen zur Stärkung der Netz- und |
| 52 | Informationssicherheitspolitik sowie Maßnahmen zur schnellen |
| 53 | Reaktion auf Cyber-Angriffe vorgeschlagen. Darüber hinaus |
| 54 | wird angeregt, gesetzliche Regelungen für den Fall von |
| 55 | Angriffen auf Informationssystem zu erlassen. Auch der |
| 56 | Aufbau einer europäischen Plattform zur Meldung von |
| 57 | Straftaten, die Ausarbeitung eines EU-Musterabkommens für |
| 58 | Public-Private-Partnerships zur Bekämpfung der |
| 59 | Computerkriminalität, Maßnahmen zur gerichtlichen |
| 60 | Zuständigkeit in Bezug auf den Cyberspace sowie die |
| 61 | Ratifizierung der Cybercrime Convention des Europarates |
| 62 | werden vorgeschlagen.[FN: Eingehend: Gercke, Die Entwicklung |
| 63 | des Internetstrafrechts 2010/2011, ZUM 2011, 609, 612.] |
| 64 | |
| 65 | |
| 66 | I.3.3.2.2 EU-Initiative: Safer Internet Action Plan |
| 67 | (Nunmehr: Safer Internet plus Programme)[FN: |
| 68 | http://ec.europa.eu/information_society/activities/sip/polic |
| 69 | y/programme/index_en.htm; s. Walter, Internetkriminalität, |
| 70 | 2008, S. 28.] |
| 71 | |
| 72 | Der EU-Aktionsplan Safer Internet dient nach der Vorstellung |
| 73 | der Europäischen Kommission dazu, in ihren Mitgliedstaaten |
| 74 | auf Chancen und Risiken des Internets aufmerksam zu machen. |
| 75 | Kern des Safer Internet Action Plans ist die Einrichtung und |
| 76 | der Betrieb einer Reihe von Websites und Hotlines, die |
| 77 | aufklären sowie die Möglichkeit der Meldung schädlicher |
| 78 | Inhalte bieten sollen. Erklärtes Ziel ist es, Eltern und |
| 79 | Kinder für die Probleme illegaler Inhalte zu |
| 80 | sensibilisieren. Ein weiteres Element ist die Zusammenarbeit |
| 81 | von Strafverfolgungsbehörden insbesondereum von Nutzerinnen |
| 82 | und Nutzern gemeldete Straftaten im Internet |
| 83 | grenzüberschreitend zu verfolgen. Dafür hat die |
| 84 | EU-Kommission im Mai 2012 eine „Neue Strategie für ein |
| 85 | sicheres Internet und bessere Online-Inhalte für Kinder und |
| 86 | Jugendliche“ vorgestellt.[FN: S. die Pressemitteilung |
| 87 | IP/12/445 vom 02.05.2012, abrufbar unter: |
| 88 | http://europa.eu/rapid/pressReleasesAction.do?reference=IP/1 |
| 89 | 2/445&format=HTML&aged=0&language=DE&guiLanguage=en] |
| 90 | |
| 91 | |
| 92 | I.3.3.2.3 Entwurf EU-Richtlinie über Angriffe auf |
| 93 | Informationssysteme |
| 94 | Auf den Rahmenbeschluss über Angriffe auf |
| 95 | Informationssysteme[FN: Rahmenbeschluss 2005/222/JI des |
| 96 | Rates vom 24. Februar 2005 über Angriffe auf |
| 97 | Informationssysteme, ABl. Nr. L 69 vom 16.3.20005, S. 67.] |
| 98 | aus dem Jahr 2005 folgte der von der EU-Kommission im |
| 99 | November 2010 vorgelegte Vorschlag für eine Richtlinie über |
| 100 | Angriffe auf Informationssysteme.[FN: Vorschlag für eine |
| 101 | Richtlinie des Europäischen Parlaments und des Rates über |
| 102 | Angriffe auf Informationssysteme und zur Aufhebung des |
| 103 | Rahmenbeschlusses 2005/222/JI des Rates vom 30.9.2010, |
| 104 | KOM(2010) 517 endg. Der Volltext des Vorschlags und der |
| 105 | gegenwärtige Stand des Verfahrens sind abrufbar unter: |
| 106 | http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=de&Dos |
| 107 | Id=199692] Der Vorschlag enthält weitere |
| 108 | Harmonisierungsbestrebungen und dient dem Zweck, auch auf |
| 109 | neuere Angriffsformen, insbesondere aus Botnetzen, zu |
| 110 | reagieren. Die Vorgaben der Richtlinie dürften in |
| 111 | Deutschland kaum einer weiteren Umsetzung bedürfen.[FN: |
| 112 | Näher: Gercke, Die Entwicklung des Internetstrafrechts |
| 113 | 2010/2011, ZUM 2011, 609, 613.] |
| 114 | |
| 115 | |
| 116 | I.3.3.2.4 ENISA |
| 117 | Die Europäische Agentur für Netz- und Informationssicherheit |
| 118 | (ENISA) ist eine 2004 durch Verordnung[FN: Verordnung (EG) |
| 119 | Nr. 460/2004 des Europäischen Parlaments und des Rates vom |
| 120 | 10. März 2004 zur Errichtung der Europäischen Agentur für |
| 121 | Netz- und Informationssicherheit, ABl. Nr. L 77 vom |
| 122 | 13.3.2004, S. 1.] geschaffene Einrichtung, deren Ziel die |
| 123 | Verbesserung der Netz- und Informationssicherheit in Europa |
| 124 | ist[FN: Nähere Informationen unter: |
| 125 | http://www.enisa.europa.eu/about-enisa] und die als Think |
| 126 | Tank und Analysezentrum die Mitgliedstaaten und andere |
| 127 | EU-Einrichtungen in Fragen der IT-Sicherheit beraten |
| 128 | soll.[FN: MMR-Aktuell 2011, 318598.] ENISA hat allein in |
| 129 | jüngster Vergangenheit zahlreiche Untersuchungen zu diversen |
| 130 | Aspekten der IT-Sicherheit veröffentlicht, die sich u.a. mit |
| 131 | Botnetzen[FN: |
| 132 | http://www.enisa.europa.eu/act/res/botnets/botnets-measureme |
| 133 | nt-detection-disinfection-and-defence], Web Standards[FN: |
| 134 | http://www.enisa.europa.eu/act/application-security/web-secu |
| 135 | rity/a-security-analysis-of-next-generation-web-standards] |
| 136 | sowie den Sicherheitsrisiken im Zusammenhang mit Cookies[FN: |
| 137 | http://www.enisa.europa.eu/act/it/library/pp/cookies] oder |
| 138 | Apps für mobile Endgeräte[FN: |
| 139 | http://www.enisa.europa.eu/act/application-security/smartpho |
| 140 | ne-security-1/appstore-security-5-lines-of-defence-against-m |
| 141 | alware] befassen.[FN: Ein Überblick über ENISAs Aktivitäten |
| 142 | im Bereich „Awareness Raising“ seit 2005 vom 15. Februar |
| 143 | 2011 ist abrufbar unter: |
| 144 | http://www.enisa.europa.eu/act/ar/deliverables/overview-de. |
| 145 | Eine Gesamtübersicht über die Berichte von ENISA ist |
| 146 | abrufbar unter: |
| 147 | http://www.enisa.europa.eu/publications/studies/reports] Zu |
| 148 | den Aufgaben von ENISA gehört auch die regelmäßige |
| 149 | Anfertigung von Berichten über die IT-Sicherheit in der |
| 150 | EU.[FN: S. den Cyber Europe 2010 Report vom 18. April 2011, |
| 151 | abrufbar unter: |
| 152 | http://www.enisa.europa.eu/act/res/ce2010/ce2010report] |
| 153 | Das Mandat für ENISA ist erst kürzlich durch Verordnung bis |
| 154 | zum 13. September 2013 verlängert worden.[FN: Verordnung |
| 155 | (EU) Nr. 580/2011 des Europäischen Parlaments und des Rates |
| 156 | vom 8. Juni 2011 zur Änderung der Verordnung (EG) Nr. |
| 157 | 460/2004 zur Errichtung der Europäischen Agentur für Netz- |
| 158 | und Informationssicherheit bezüglich deren Bestehensdauer, |
| 159 | ABl. Nr. L 165 vom 24.6.2011, S. 3.] Derzeit ist zudem eine |
| 160 | Modernisierung des Mandats in Beratung, durch das ENISA eine |
| 161 | stärkere Rolle bei der Verhütung, Erkennung und Bewältigung |
| 162 | von Störungen der Netz- und Informationssicherheit innerhalb |
| 163 | der EU einnehmen würde.[FN: S. die Pressemitteilung des |
| 164 | Rates 10494/11 vom 27. Mai 2011, abrufbar unter: |
| 165 | http://europa.eu/rapid/pressReleasesAction.do?reference=PRES |
| 166 | /11/145&format=HTML&aged=1&language=DE&guiLanguage=en, sowie |
| 167 | den zugehörigen Sachstandsbericht 10296/11, abrufbar unter: |
| 168 | http://register.consilium.europa.eu/pdf/de/11/st10/st10296.d |
| 169 | e11.pdf] |
| 170 | |
| 171 | |
| 172 | I.3.3.2.5 Einrichtung eines europäischen IT-Notfallteams |
| 173 | Ebenfalls in Vorbereitung ist die Einrichtung eines |
| 174 | IT-Notfallteams (CERT – Computer Emergency Response Team) |
| 175 | für die IT-Infrastrukturen der EU-Organe, das so genannte |
| 176 | iCERT@eu. |
| 177 | Parallel zu den Planungen hat ENISA im Juni 2011 zudem eine |
| 178 | Bestandsaufnahme der in der EU vorhandenen CERTs |
| 179 | veröffentlicht.[FN: Inventory of CERT activities in Europe, |
| 180 | abrufbar unter: |
| 181 | http://www.enisa.europa.eu/act/cert/background/inv/files/inv |
| 182 | entory-of-cert-activities-in-europe] Diese sollen nach dem |
| 183 | Willen der Digitalen Agenda[FN: S. die Mitteilung der |
| 184 | Kommission an das Europäische Parlament, den Rat, den |
| 185 | Europäischen Wirtschafts- und Sozialausschuss und den |
| 186 | Ausschuss der Regionen „Eine Digitale Agenda für Europa“ vom |
| 187 | 19.5.2010, KOM(2010) 245 endg., in der korrigierten Fassung |
| 188 | vom 26.8.2010, KOM(2010) 245 endg./2, sowie unter |
| 189 | http://ec.europa.eu/information_society/digital-agenda/index |
| 190 | _en.htm] der EU-Kommission und des Rates zufolge Teil eines |
| 191 | bis 2012 aufzubauenden, europaweiten Netzwerkes von CERTs |
| 192 | sein, mit dessen Hilfe es möglich werden soll, gezielter und |
| 193 | umfassender auf zukünftige Angriffe auf IT-Systeme zu |
| 194 | reagieren.[FN: S. die Pressemitteilung der EU-Kommission |
| 195 | IP/11/694 vom 10.6.2011, abrufbar unter: |
| 196 | http://europa.eu/rapid/pressReleasesAction.do?reference=IP/1 |
| 197 | 1/694&format=HTML&aged=0&language=DE&guiLanguage=en] In der |
| 198 | Bestandsaufnahme werden aus der Vielzahl der deutschen CERTs |
| 199 | 18 explizit erfasst und dargestellt, von denen die Mehrzahl |
| 200 | privaten Trägern, insbesondere aus der Industrie[FN: S. |
| 201 | beispielsweise http://www.first.org/members/teams/sap_cert |
| 202 | sowie |
| 203 | http://www.siemens.com/corporate-technology/en/research-area |
| 204 | s/siemens-cert.htm] und dem Finanzsektor[FN: S. |
| 205 | beispielsweise http://www.s-cert.de/ sowie |
| 206 | https://www.trusted-introducer.org/teams/teams-c.html#COMCER |
| 207 | T], zuzuordnen sind. Öffentlich-rechtliche Träger sind |
| 208 | einige universitäre Institute[FN: S. beispielsweise |
| 209 | http://cert.uni-stuttgart.de/ sowie |
| 210 | https://www.cert.kit.edu/] sowie der Bund. Letzterer |
| 211 | betreibt über das BSI ein CERT für die Bundesbehörden. |
| 212 | Zusätzlich bietet das BSI ein Bürger-CERT für Bürgerinnen |
| 213 | und Bürger sowie kleine Unternehmen an. Die deutschen CERTs |
| 214 | sind darüber hinaus im CERT-Verbund organisiert, der die |
| 215 | Kooperation zwischen den Mitgliedern ermöglichen soll, ihnen |
| 216 | aber im Übrigen ihre Autonomie belässt.[FN: S. die (zuletzt |
| 217 | 2004 aktualisierte) Internetpräsenz des CERT-Verbunds: |
| 218 | http://www.cert-verbund.de/] Um den Austausch effizient zu |
| 219 | gestalten, haben die Mitglieder des CERT-Verbunds ein |
| 220 | spezielles Austauschformat geschaffen, das Deutsche Advisory |
| 221 | Format (DAF).[FN: http://www.cert-verbund.de/daf/index.html] |
| 222 | |
| 223 | |
| 224 | I.3.3.2.6 Europol |
| 225 | Am 1. Januar 2010 ist mit dem Europol-Beschluss eine neue |
| 226 | Rechtsgrundlage für die Befugnisse von Europol in Kraft |
| 227 | getreten.[FN: Beschluss des Rates vom 6. April 2009 zur |
| 228 | Errichtung des Europäischen Polizeiamts (Europol), ABl. Nr. |
| 229 | L 121 vom 15.5.2009, S. 37.] Mit dem Vertrag von Lissabon |
| 230 | wurden die Aufgaben von Europol in Artikel 88 AEUV |
| 231 | festgeschrieben. Europol ist seither befugt, Polizei und |
| 232 | Strafverfolgungsbehörden der Mitgliedstaaten bei ihrer |
| 233 | Zusammenarbeit zur Bekämpfung der Kriminalität zu |
| 234 | unterstützen. Die Behörde soll besser als bisher in den |
| 235 | gegenseitigen Informationsaustausch eingebunden werden. |
| 236 | |
| 237 | Europol wird damit zur Zentralstelle für den polizeilichen |
| 238 | Informationsaustausch in der EU. Die Behörde kämpft jedoch |
| 239 | der Gemeinsamen Kontrollinstanz von Europol (GKI) zufolge |
| 240 | mit datenschutzrechtlichen Problemen: |
| 241 | So hat das Projekt „Check the Web“ (CTW), in dessen Rahmen |
| 242 | offen zugängliche islamistische Internetquellen ausgewertet |
| 243 | und terroristische Netzaktivitäten beobachtet werden, Kritik |
| 244 | auf sich gezogen. „Check the Web“ wird auf Initiative |
| 245 | Deutschlands seit 2007 von Europol betrieben. Ursprünglich |
| 246 | sollte das Portal vornehmlich dem Informationsaustausch der |
| 247 | Mitgliedsländer dienen. Es entwickelte sich jedoch zunehmend |
| 248 | zu einem Europol-Informationssystem. Auf Empfehlung des GKI |
| 249 | wurde es deshalb in eine Arbeitsdatei zu Analysezwecken im |
| 250 | Sinne des Europol-Beschlusses umgewandelt.[FN: |
| 251 | Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für |
| 252 | den Datenschutz und die Informationsfreiheit – 23. |
| 253 | Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.] Die |
| 254 | Umwandlung in eine Analysedatei ermöglicht nun auch die |
| 255 | Speicherung von Personendaten. Darüber hinaus gab es in der |
| 256 | Vergangenheit immer wieder auf europäischer Ebene Vorschläge |
| 257 | „Check the Web“ um andere Phänomenbereiche zu erweitern. |
| 258 | Bislang wurde dies jedoch nicht konkretisiert. Für „Check |
| 259 | the Web“ ist das BKA national der Ansprechpartner im Rahmen |
| 260 | der Zusammenarbeit im Gemeinsamen Internetzentrum (GIZ), in |
| 261 | dem unter Gesamtgeschäftsführung des Bundesamtes für |
| 262 | Verfassungsschutz das BKA, der Militärische Abschirmdienst |
| 263 | sowie der Generalbundesanwalt Fragestellungen zu |
| 264 | islamistischen Internetseiten bearbeiten. |
| 265 | Bemängelt wird auch, dass Europol Cross Matching betreibt, |
| 266 | also Daten, die via Europol ausgetauscht werden, mit eigenen |
| 267 | Informationen abgleicht. Geplant ist auch ein Datenabgleich |
| 268 | europäischer mit nationalen Informationssystemen.[FN: |
| 269 | Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für |
| 270 | den Datenschutz und die Informationsfreiheit – 23. |
| 271 | Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.] Europol ist |
| 272 | neuerdings auch berechtigt, personenbezogene Daten |
| 273 | kommerziell zu erwerben, etwa bei Auskunfteien, darf |
| 274 | allerdings nur insoweit darauf zugreifen, als dies zu seiner |
| 275 | Aufgabenerfüllung unbedingt erforderlich ist.[FN: |
| 276 | Tätigkeitsbericht 2009 und 2010 des Bundesbeauftragten für |
| 277 | den Datenschutz und die Informationsfreiheit – 23. |
| 278 | Tätigkeitsbericht –, BT-Drs. 17/5200, S. 147.] |
| 279 | |
| 280 | Zudem wurde 2009 eine so genannte European Cybercrime |
| 281 | Platform (Europäische Cybercrime-Plattform, ECCP) |
| 282 | eingerichtet, die auf drei Säulen fußt: 1. Internet Crime |
| 283 | Reporting Online System zur Meldung von personenbezogenen |
| 284 | Informationen über Kriminalitätsfälle, bei denen die |
| 285 | Jurisdiktion mehrerer Mitgliedstaaten betroffen ist, sowie |
| 286 | zur Führung des europaweiten Kriminalaktennachweises; 2. |
| 287 | „Cyborg“-Analyse-Datei, konzentriert auf gewinnorientierte |
| 288 | Internet-Delikte; 3. Internet FORencsic Expertise (I-FOREX) |
| 289 | zum Austausch über bewährte Trainingsmethoden und |
| 290 | Praktiken.[FN: Holzberger, Wer gegen wen? Gremien zur |
| 291 | Bekämpfung der Cyberkriminalität, Bürgerrechte & |
| 292 | Polizei/CILIP 98 (1/2011).] |
1-1 von 1
-
02.03.03.02 Europäische Regelungen und Maßnahmen (Originalversion)
von EnqueteSekretariat, angelegt