Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief bemoeit met wat klanten doen “except child porn and anything related to terrorism.” De inval lijkt te suggereren dat dat beleid niet geheel binnen de wet blijft, maar ik kreeg bezorgde hosters in de mail of zij ook strafrechtelijk aansprakelijk gehouden kunnen worden als er een strafbare klant tussen zit.

Bij Emerce een fascinerend verhaal over de geschiedenis van deze cyberbunker. In principe is onder de wet iedere hoster gelijk – je bent als partij die gegevens van klanten opslaat en doorgeeft als hoofdregel niet aansprakelijk voor die gegevens. Dat zou immers ook onwerkbaar zijn, hoe moet je dan iedere klant op ieder moment toetsen.

Het is dan ook weer niet de bedoeling dat je bewust de andere kant op kijkt. In de wet (art. 6:196c BW) staat dan ook dat zodra je actief bewust bent van bepaalde onrechtmatige inhoud, je moet ingrijpen. De bekende notice-takedownpolicies zijn op dat stukje gebaseerd. En voor de duidelijkheid: dat gaat over álle wetsovertredingen, niet alleen auteursrechtschendingen of strafbare zaken. Een NTD verzoek gebaseerd op de AVG behoort dus ook gewoon te werken, zij het dat de overtreding wel onmiskenbaar (evident) juist moet zijn en dat is bij AVG-dingen niet perse het geval.

Maar dat is civiel recht. Strafrecht kent zijn eigen regime, in dit geval artikel 54a Strafrecht, waarin staat:

Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien hij voldoet aan een bevel van de officier van justitie, na schriftelijke machtiging op vordering van de officier van justitie te verlenen door de rechter-commissaris, om alle maatregelen te nemen die redelijkerwijs van hem kunnen worden gevergd om de gegevens ontoegankelijk te maken.

De definitie is grofweg hetzelfde. Je moet een hoster (of access provider) zijn, een partij die gegevens van anderen opslaat en doorgeeft. Die definitie is breed genoeg om ook diensten als Skype of Twitter te vangen. Je kunt dan volgens de normale regels van het strafrecht worden vervolgd voor die handelingen, je bent immers formeel gezien behulpzaam en dus op zijn minst medeplichtig als die handelingen strafbaar zijn.

Maar dit artikel zegt van niet. Althans, wanneer je op bevel van de officier van justitie meteen die gegevens ontoegankelijk maakt. Dat bevel mag dan weer niet zomaar worden gegeven, er moet een machtiging van de onafhankelijke rechter-commissaris worden verkregen. Daar zit dus een stukje gerechtelijke toetsing. Dit mag je “alleen met gerechtelijk bevel” noemen, alleen laat je dan wel zien dat je meer vaart op Amerikaanse rechtbankseries dan Nederlandse wetboeken. De RC is de gerechtelijke instantie die zegt dat de officier mag eisen dat het weggaat. Bevalt dat je niet, dan kun je naar de ‘echte’ rechtbank maar dan sta je dus al in het strafbankje – geen gehoor geven aan een bevoegd gegeven bevel op zijn minst, of als men echt boos is dus medeplichtigheid aan dat strafbare feit.

Wanneer je je echter structureel inhoudelijk gaat bemoeien met wat je klanten doen, dan kun je niet meer spreken van een “tussenpersoon als zodanig”. Dan kun je je dus niet meer beroepen op de bescherming van artikel 54a, en je zou dan als medeplichtige van het handelen van die klanten gezien kunnen worden. Ik denk dat diezelfde situatie kan ontstaan als je je ook nadrukkelijk profileert als bulletproof hoster: je moet weten dat dat een bepaald type klanten aantrekt, met name vaak het type dat illegale zaken op het oog heeft. Dat voelt voor mij niet meer als de opstelling als neutraal tussenpersoon.

Arnoud

8 reacties

  1. Interessant, dat ‘ontoegankelijk’ in A 54a.

    Betekent dat ‘ontoegankelijk voor derden’ als in ‘een website off-line halen’? Of betekent dit ‘ontoegankelijk voor de eigenaar’ wat dan een soort inbeslagname zou zijn?

    Of heeft de wetgever dit bewust onduidelijk gehouden? (wat natuurlijk niet hoort in een democratische rechtsstaat.)

    1. Volgens mij wordt inderdaad gewoon “ontoegankelijk voor derden” bedoeld, de informatie is strafbaar en moet dus offline. Ik zie nergens in de wetsgeschiedenis discussie over het ook blokkeren voor de eigenaar zelf. Ik denk wel, hoe problematisch gaat dat werkelijk zijn gezien de meeste mensen toch backups maken van wat ze online zetten?

      1. Ja, maar als ze die back-up in de cloud gemaakt hebben (wat steeds meer mensen doen) zou die back-up provider het ook ‘ontoegankelijk’ moeten maken.

        Als ‘ontoegankelijk’ dus de tweede betekenis heeft is het dus wel problematisch, want tenzij hij een back-up heeft op een eigen fysieke harde schijf, is hij zijn data kwijt.

        Ik ben het met je eens dat waarschijnlijk het eerste bedoeld wordt, maar wat meer duidelijkheid in de wet, (zeker in het strafrecht!) zou fijn zijn.

  2. Ik denk dat je in laatste alinea de wet een beetje richting je eigen wensen begint te interpreteren. Er staat niets in A 54a over een ‘neutraal tussenpersoon’, en ook niet ‘een tussenpersoon als zodanig’. Er staat alleen ‘…een tussenpersoon die […] , wordt als zodanig niet vervolgd ….’

    Dat betekent in mijn Nederlands dat de tussenpersoon niet in de hoedanigheid van tussenpersoon kan worden vervolgd. Misschien wel in een andere hoedanigheid, maar niet als tussenpersoon.

    ‘als zodanig’ is dus geen beperking van ’tussenpersoon’ zoals jij lijkt te interpreteren, maar een beperking van de vervolgingsuitsluiting.

    Het is te gemakkelijk om te zeggen ‘door je zo te presenteren weet je dat je een bepaald type klanten aantrekt’.

    Ten eerste kun je naar alle eerlijkheid stellen: dat type klanten is het type dat zeer gesteld is op zijn privacy, een grondrecht!

    Ten tweede kun je het vergelijken met de cafehouder die (toevallig of niet) veel criminele klanten heeft. Het verkopen van koffie of biertjes wordt niet ineens dubieus omdat de klant mogelijk criminele bedoelingen heeft.

    1. Ten eerste kun je naar alle eerlijkheid stellen: dat type klanten is het type dat zeer gesteld is op zijn privacy, een grondrecht!
      Ik denk dat privacy veelal een rol speelt bij internet toegang maar niet zo bij commerciele hosting voor het dark web. Het is normaal gezien juist evident dat commerciële partijen op het internet wel aangesproken moeten kunnen worden (bijvoorbeeld door particuliere kopers of particulieren gebruikers van commerciële diensten) en dat commerciële partijen dus juist niet anoniem zouden moeten opereren.

      Bj internettoegang is privacy goed. Bij hosting van commerciele sites is aonmiteit heel dubieus.

      1. Nou dat weet ik niet. Als ik illegale producten zou verkopen zou ik heel erg gesteld zijn op mijn privacy. En zelfs als ik legale maar controversiele producten zou verkopen. En zelfs als ik neutrale producten verkoop, weet je maar nooit wie zich daar nu of in de toekomst aan kan storen, ook dan liever privacy.

        1. Als je het verkopen van controversiele producten als commerciele activiteit uitvoert, dan kan je, in ieder geval in Nederland, niet anoniem zijn. Je moet sowieso je BTW nummer op enig moment vermelden – dit hoeft weliswaar niet op de website zelf maar je moet het BTW nummer op ening moment wel verstrekken/beschikbaar maken. (zelfs als je BTW nummer je BSN bevat!) ref: richtlijn 2006/123/EG.

          Anoniem kan dus net, en daarmee is dus ook je privacy niet gegarandeerd.

          1. Het hangt er vanaf hoe groot je bedrijf is. Als de omzet het toe laat kan je ook een BV oprichten met als enige aandeelhouder een BV in off shore BV met een nominee shareholder.

            Dat kost echter wel geld, dus niet interessant voor (heel) kleine ondernemingen.

            Als je dan toch bezig is, dan zoek je daar een land met lage belastingen voor ondernemingen voor uit en stop je jouw merk rechten in dat bedrijf en huur je het recht om je eigen naam te gebruiken. Hierdoor druk je op legale wijze de winst in Nederland en maak je de winst in het buitenland. Je zou zoiets zelfs samen met andere ondernemers op kunnen zetten om wat omvang te krijgen.

            Het voordeel is dat je dan van dezelfde belasting constructies gebruik kan maken als grote multinationals.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.