Pandoras Büchse oder: Die Chatkontrolle – Massenüberwachung durch Echtzeit-Scans

Gemunkelt wurde schon länger, nun ist es aber offiziell: Die EU-Kommission stellte vor Kurzem ihre Pläne für ein neues Gesetz zur Chatkontrolle vor. Ziel der EU-Kommission ist es, den Kampf gegen sexuellen Missbrauch Minderjähriger voranzutreiben. Das ist zweifelsfrei dringend notwendig. Doch erreicht werden soll dies, indem die Privatsphäre unter anderem auf unseren Mobiltelefonen ausgehebelt wird. Ob jedoch die anlasslose Massenüberwachung auch unbescholtener Bürgerinnen und Bürger die Strafverfolgung in dieser Hinsicht wirklich weiterbringt, wird allgemein bezweifelt.

Nachdem wir in unserem Beitrag einen Überblick zur Chatkontrolle geliefert haben, setzen wir uns mit Inhalten, Maßnahmen und Zielen des Gesetzentwurfs auseinander. Wir beurteilen die Chatkontrolle aus Datenschutzsicht und zeigen Euch, wie Ihr aktiv werden könnt.

Chatkontrolle: Wozu soll es ein Gesetz geben?

Es sind traurige und erschreckende Zahlen, von denen die EU-Kommission berichtet: Allein im Jahr 2021 gab es 85 Millionen Meldungen von Bildern und Videos, die sexuellen Kindesmissbrauch darstellen – die Dunkelziffer liegt weitaus höher. Offenbar wurde die Situation durch die Corona-Krise noch weiter verschärft. Um Kindesmissbrauch mit neuen Methoden verfolgen zu können, präsentierte die EU-Kommission einen Gesetzesvorschlag zum Schutz von Kindern.

Dass die EU-Kommission ein derartiges Vorhaben plant, war bereits länger bekannt – schon seit geraumer Zeit sucht die EU nach Mitteln, mit denen sie verhindern kann, dass Material zu Kindesmissbrauch online geteilt wird. Mit der Chatkontrolle – also dem Durchleuchten von Online-Kommunikation in Messengern, sozialen Netzwerken oder auch per E-Mail – möchte die EU Algorithmen einführen, die erkennen können, wann es sich um derartiges Material handelt. Um dies zu erreichen, könnte Künstliche Intelligenz (KI) zum Einsatz kommen: Der Algorithmus erkennt bereits bekanntes Material anhand eines Hashwerts, also eines einzigartigen Werts, der den Datei-Inhalt beschreibt. Ist den Algorithmen – und damit auch den Behörden – ein Bild bekannt, auf dem Kindesmissbrauch dargestellt wird, können alle Bilder damit abgeglichen werden. Um bisher nicht bekanntes Material erkennen zu können, sollen die Algorithmen mittels Machine Learning, also maschinellem Lernen, dazulernen können.

Nach Veröffentlichung des Gesetzentwurfs mit dem sperrigen Namen „Verordnung zur Festlegung von Vorschriften zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern“ jedoch werden Kritiken immer lauter. Das anlasslose Scannen von Kommunikationen im Internet sei ein großer Eingriff in die Privatsphäre. Bevor wir auf diese Gegenstimmen detaillierter eingehen, erklären wir Euch erst mal mehr zum Gesetzentwurf.

Inhalte, Maßnahmen und Ziele des Chatkontrolle-Gesetzes

Der Kampf gegen sexuellen Missbrauch von Kindern hat für die EU hohe Priorität – und schon seit geraumer Zeit versuchen Ermittlungsbehörden und die EU-Kommission, dem etwas entgegenzusetzen. So diskutierte man Hintertüren für Ermittelnde, sodass die Ende-zu-Ende-Verschlüsselung umgangen werden könnte. Darüber und über weitere Ideen wie PhotoDNA und Uploadfilter berichteten wir in unserem Beitrag „Zur Entschlüsselung gezwungen“.

IT-Konzerne wie Microsoft, Facebook Google oder Snapchat nutzen bereits Mittel wie die PhotoDNA zur Überwachung von unverschlüsselten Nachrichten – jedoch auf freiwilliger Basis, und das ist aus Sicht der EU-Kommission unzureichend. Harmonisierte bzw. allgemeingültige EU-Vorschriften existieren bislang nicht, sondern für viele Anbieter von Social Media-Plattformen oder Online-Diensten gelten verschiedene Regelungen.

Der nun präsentierte Gesetzesvorschlag baut auf dem Gesetz über digitale Dienste (Digital Services Act, DSA; wir berichteten) auf und konkretisiert es durch Regelungen, die das Erkennen von Kindesmissbrauch online ermöglichen sollen. Der Entwurf zum Chatkontrolle-Gesetz nimmt sozialen Medien, Hosting-Anbieter und Messengerdienste in die Pflicht, Missbrauchsmaterial sowie Cyber-Grooming (Kontaktanbahnungen) von Minderjährigen zu erkennen. Online-Diensteanbieter werden also verpflichtet, Materialien über sexuellen Kindesmissbrauch aufzudecken, zu entfernen und zu melden.

Welche technischen Lösungen eingesetzt werden sollen, ließ die EU-Kommission bisher offen. Aktuell sind zwei Verfahren im Gespräch:

1. Smartphoneseitig – Client-Site-Scanning: Dass Ende-zu-Ende-verschlüsselnde Messenger nicht ausgenommen sind, hat zur Folge, dass die Anbieter Nachrichten vor dem Verschlüsseln („client-side scanning“; CSS) durchleuchten müssen; ggf. werden Nachrichten dann unverschlüsselt ausgeleitet. CSS ist gefährlich für die IT-Sicherheit: Stellen erhalten Zugang zu privaten Inhalten, sodass es sich um Abhöraktionen handelt. Viele Nutzergeräte weisen zudem Schwachstellen auf, die durch die Überwachungs- und Kontrollmöglichkeiten des CSS von weiteren Akteuren ausgenutzt werden können. CSS schwächt aber auch die Meinungsfreiheit und Demokratie: Einmal eingeführt, wird es schwer, sich gegen etwaige Ausweitungen zur Wehr zu setzen oder Kontrolle über den Missbrauch des Systems zu erhalten.
2. Aushebeln der Verschlüsselung (Man-in-the-Middle) durch die Messengerdienste: Die EU möchte Messengerdienst-Anbieter zu einer Hintertür im Messenger verpflichten, sodass man über diese auf die Inhalte des Smartphones zugreifen kann.

Davon betroffen sind laut EU-Kommission insbesondere „relevante Dienste der Informationsgesellschaft“, nämlich Hostprovider (einschließlich Foto- und Videoplattformen), Zugangsprovider, App Store-Betreiber sowie interpersonelle Kommunikationsdienste wie Messenger und E-Mail. Diesen „relevanten Diensten“ soll vorgeschrieben werden, Chats, Nachrichten sowie E-Mails mittels Künstlicher Intelligenz (KI) nach verdächtigen Inhalten zu durchleuchten – daher auch der Begriff „Chatkontrolle“. Wurden verdächtige Inhalte erkannt, sollen diese an Strafverfolgungsbehörden weitergeleitet werden, die dann ihrerseits prüfen, ob sich der Anfangsverdacht bestätigt hat.

Der Gesetzentwurf zur Chatkontrolle sieht zahlreiche Anforderungen für die „relevanten Dienste“ vor, die sich je nach Dienst unterscheiden können:
• Risiken bewerten und mindern: Wer Hosting- oder Messenger-Dienste anbietet, soll mittels Risikobewertung darlegen, ob die Dienste fürs Verbreiten entsprechenden Materials genutzt werden. Diese Anbieter werden auch auf Maßnahmen zur Risikominderung verpflichtet: Beispielsweise durch Altersverifikationen oder ggf. durch das Aufheben von Verschlüsselung.
• Anordnungen für Aufdeckungspflichten: Fürs Prüfen der Risikobewertungen der Dienste sollen die Mitgliedsstaaten nationale Behörden benennen. Stellen diese Behörden ein hohes Risiko fest, können sie eine Anordnung beantragen, um zu verfügen, Material zu sexuellem Kindesmissbrauch oder auch Cyber-Grooming aufzuspüren.
• Meldepflicht: Entdecken Anbieter Inhalte mit sexuellem Kindesmissbrauch, sind sie verpflichtet, dies an das neue EU-Zentrum für Fragen des sexuellen Kindesmissbrauchs zu melden.
• Entfernen und blockieren: Entfernen Dienste entsprechendes Material nicht umgehend, können nationale Behörden die Entfernung per Anordnung erlassen. Der Zugang zu kinderpornografischem Material ist außerdem durch Zugangsprovider zu sperren, wenn dieses nicht gelöscht werden kann.
• Apps löschen: App Stores werden in die Pflicht genommen, keine Apps für Kinder anzubieten, die mit der Gefahr einhergehen, dass Täter darüber Kontakt zu Kindern anbahnen könnten.

Beurteilung der Chatkontrolle aus Datenschutzsicht

Wie oben erwähnt, sind Erkennungstechnologien bereits verfügbar und werden stetig weiterentwickelt. In ihrem Gesetzentwurf benennt die EU-Kommission keine Technologie konkret, fordert jedoch das Erkennen und Melden bestimmter Inhalte, wenn eine Gefahr vorliegt. Problematisch bei aktuell vorhandenen Technologien ist mitunter die hohe Fehlerquote: Auch irrtümliche Treffer müssen an die Strafverfolgungsbehörden gesendet werden, sodass harmlose Nachrichten, Chats, Videos oder Fotos von Unschuldigen gesichtet und unnötig verbreitet werden. Heißt für die Praxis: Menschen, die im geplanten EU-Zentrum arbeiten, müssen falsch-positives Material händisch aussortieren. Damit bekommen Ermittelnde ggf. auch legale Aufnahmen Minderjähriger zu sehen.

Die Seite netzpolitik.org veröffentlichte dazu einen geleakten Bericht. Daraus geht hervor, dass das EU-Zentrum eng mit der EU-Polizeibehörde Europol zusammenarbeiten soll: „Es sei auch wichtig, dass Europol alle Meldungen erhalte, um einen besseren Überblick zu haben“, heißt es. In der Summe scheint klar: Jeder und jede steht mit der Chatkontrolle unter Generalverdacht. Falsch-positive Ergebnisse entstehen, weil die scannende KI den Kontext nicht versteht: Da verbringt die Familie den Sommer am Strand und schickt einander die entstandenen Fotos zu – die dann unter Umständen in der EU-Zentrale und bei Europol landen. Privatsphäre sieht leider anders aus.

Was folgt, könnte eine nie dagewesene Massenüberwachung aller Bürgerinnen und Bürger sein – anlasslos und vollautomatisiert. Damit würde das Recht auf Verschlüsselung ausgehebelt und das digitale Briefgeheimnis abgeschafft werden. Und das, obwohl eine sehr große Mehrheit bei einer Befragung die verdachtslose Chatkontrolle abgelehnt hat. In dieser Befragung sprachen sich mehr als 80 Prozent gegen eine Anwendung auf verschlüsselte Kommunikation aus.

Machen wir uns nichts vor: Maschinell nach Grooming-Versuchen oder derzeit unbekannten Missbrauchsdarstellungen suchen zu wollen, ist rein experimentell – auch bzw. gerade unter Verwendung von KI. Denn die Algorithmen, die dabei eingesetzt werden, sind weder der Öffentlichkeit noch der Wissenschaft zugänglich – eine Offenlegungspflicht ist auch in dem Gesetzentwurf nicht zu finden. Kommunikationsdienste, die für Grooming-Versuche missbraucht werden könnten – und darunter fallen alle Kommunikationsdienste! – müssen Altersverifikationen mit Nutzerinnen und Nutzern durchführen. Das geht nur, wenn man sich ausweist. Damit wird die anonyme Kommunikation de facto unmöglich gemacht, was gerade Menschenrechtler:innen, Whistleblower:innen, politisch Verfolgte, Journalist:innen oder marginalisierte Gruppen bedrohen könnte.

Werden Zugangsprovider verpflichtet, Zugänge zu entsprechendem Material außerhalb der EU mit Netzsperren zu blockieren, wird damit eine technische Zensurinfrastruktur aufgebaut – um dabei völlig zu übersehen, dass Netzsperren einfach umgangen werden können. Netzsperren wurden unter dem Deckmantel des Kinderschutzes schon einmal diskutiert: Das 2009 beschlossene Zugangserschwerungsgesetz („Zensursula-Gesetz“) wurde früher als geplant wieder beendet.

Chatkontrolle: Der Zweck heiligt nicht die Mittel!

Rückmeldungen der Öffentlichkeit zu den bisherigen Vorschlägen des Gesetzentwurfs sind noch eine Zeitlang möglich – fraglich scheint nur, ob diese dann auch Gehör finden, denn den bisherigen Kritiken zum Trotz wurde der Gesetzentwurf so ausgestaltet. Als nächstes müssen das Europäische Parlament und der Rat über das Chatkontrolle-Gesetz entscheiden. Wird die neue Verordnung angenommen, ersetzt sie die gegenwärtig geltende Übergangsverordnung.

Nicht unerheblich dafür, ob das Chatkontrolle-Gesetz kommt oder nicht, ist die Einschätzung des Bundesdatenschützers Ulrich Kelber, der sich auf Twitter bereits kritisch äußerte: „Der Entwurf der Kommission ist nicht vereinbar mit unseren europäischen Werten und kollidiert mit geltendem Datenschutzrecht.“ Und weiter: „Ich werde mich in meiner Funktion als BfDI auf nationaler und europäischer Ebene dafür einsetzen, dass die Verordnung in dieser Form nicht kommt.“

Natürlich ist es löblich, dass sich die EU stärker gegen Kindesmissbrauch einsetzen möchte und dass dieses Ziel eine hohe Priorität hat. Aus Datenschutzsicht ist der Entwurf zum Chatkontrolle-Gesetz jedoch katastrophal: Auch Ihr steht unter Generalverdacht! Wenn Ihr nun glaubt, Ihr hättet nichts zu verbergen, dann freundet Euch mit diesen Facts an: Kommt die Chatkontrolle, …
• … werden alle Eure E-Mails und Chats automatisch auf verdächtige Inhalte durchsucht. Es existiert dann keine vertrauliche und geheime Kommunikation mehr – Gerichte müssen derlei Durchsuchungen nicht mehr anordnen, sie geschehen immer und automatisiert.
• … werden wahrscheinlich auch Eure Strandfotos falsch-positiv anschlagen und von internationalen Ermittelnden angesehen.
• … könnt auch Ihr unschuldig in Verdacht geraten. Ein Urlaubsfoto von Eurem Sprössling am Strand soll an die Oma versendet werden? Schon ist auch sie verdächtig …
• … könnten Euch bei Eurer nächsten Auslandsreise Probleme erwarten. Stellt Euch vor, eine Verdachtsmeldung wird in die USA weitergeleitet, wo es keinen Datenschutz auf europäischem Niveau gibt. Die Konsequenzen sind absehbar.
• … könnten weitere staatliche Akteure wie Geheimdienste oder auch Cyberkriminelle wie Hacker auf Eure privaten Chats und E-Mails zugreifen. Deshalb warnte der Chaos Computer Club (CCC) bereits davor, „dass sich die Rechteverwertungsindustrie für das System ebenso brennend interessieren wird wie demokratiefeindliche Regierungen“.
• … öffnet sich die Büchse der Pandora. Denn etabliert sich die Technologie zur Chatkontrolle erst, ist es sehr einfach und auch höchstwahrscheinlich, sie auch für andere Zwecke einzusetzen. Diese erzwungene Hintertür ermöglicht das Überwachen bislang sicher verschlüsselter Kommunikationen auch für andere Zwecke. Den Algorithmen ist es egal, ob sie nach Kindesmissbrauch, nach Drogenkonsum oder nach unliebsamen Meinungsäußerungen suchen. In einigen Staaten der EU ist es beispielsweise nicht normal, zur LGTPQ+ Bewegung zu gehören. Tatsächlich verwenden autoritäre Staaten derlei Filter zum Verfolgen und Verhaften von Andersdenkenden.
• … schadet sie sogar beim Verfolgen von Kindesmissbrauch, denn Ermittelnde sind mit Meldungen überlastet, die oftmals strafrechtlich irrelevant sind. Ein Ermittler beschreibt es wie folgt: „Wir haben heute schon ein Heuhaufen-Problem. Die Masse der neuen Meldungen nach den EU-Plänen droht unsere Strafverfolgung eher lahmzulegen“.
• … werden Täter nicht getroffen. Denn: Missbrauchstäter nutzen schon jetzt in aller Regel keine kommerziellen Online-Dienste, sondern richten sich eigene Foren ein. Missbrauchstäter laden Bild- und Videomaterial häufig als verschlüsseltes Archiv in diese Foren und teilen nur Links und Passwörter. Die Algorithmen der Chatkontrolle funktionieren hier leider nicht. Man würde also wirklich nur die ganz „Dummen“ fangen.
• … wird die Strafverfolgung privatisiert. Denn dann entscheiden Algorithmen von großen Tech-Giganten, welche Inhalte als verdächtig gelten.
• … werden Schutzräume für Missbrauchsopfer zerstört. Betroffene sexualisierter Gewalt sind auf sichere und vertrauliche Kommunikation angewiesen – etwa um mit Therapeut:innen oder Anwält:innen zu sprechen. Ist die Echtzeitüberwachung eingeführt, kann genau das Opfer davon abhalten, Unterstützung zu suchen. Aus diesen und weiteren Gründen lehnen der Kinderschutzbund und der Deutsche Kinderverein die Chatkontrolle vehement ab.
• … wird die Strafverfolgung von Kindesmissbrauch zusätzlich erschwert. Kriminelle Täter werden in den Untergrund gedrängt, wo sie nicht mehr zu überwachen sind.

Chatkontrolle: Jetzt aktiv werden!

Es steht außer Frage, dass jeder vernünftige Mensch mehr Schutz für Kinder möchte. Aber wollen wir, dass dafür Werkzeuge genutzt werden, die nicht mal an der richtigen Stelle ansetzen? Wir alle sind jetzt gefragt, denn wenn diese Büchse der Pandora einmal geöffnet wurde, bekommen wir sie nie wieder zu.

Die Chatkontrolle muss in der geplanten Form verhindert werden, denn sie bewirkt das Gegenteil von dem, was sie bewirken soll. Was also können wir unternehmen?
• Schriftlich protestieren: Wendet Euch an die Bundesregierung und die EU und teilt ihr höflich die Gründe mit, die gegen die Chatkontrolle sprechen – s. voriger Absatz.
• Petition unterschreiben: Hierzulande könnt Ihr eine Petition gegen die Chatkontrolle von Campact unterzeichnen, in Österreich gibt es eine Petition von #aufstehn.
• Reden: Berichtet anderen von den Gefahren, die mit der Chatkontrolle einhergehen. Verbreitet Videos und Informationen zum Thema. Da hilft beispielsweise der Nextcloud-Mediapool der Europäischen Piratenpartei, in dem Material rund um die Chatkontrolle gesammelt wird. Nutzt zum Verbreiten der Informationen Hashtags wie #Chatkontrolle oder #digitalesBriefgeheimnis.
• Für mediale Aufmerksamkeit sorgen: Viel zu wenige Journalistinnen und Journalisten haben bislang (kritisch) über die Chatkontrolle berichtet. Wendet Euch an Medienunternehmen wie Eure Lokalredaktion und bittet sie, über die Chatkontrolle zu berichten. Eines der wenigen positiven Beispiele ist netzpolitik.org.
• Anbieter auswählen: Vermeidet Anbieter, die Euch heute schon durchleuchten – wie Google, outlook.com oder Facebook. Fragt nach bei Euren Dienste-Anbietern, ob Nachrichten anlasslos durchsucht werden oder ob dies geplant ist.
• Auf dem Laufenden bleiben: Die Kampagne „Chatkontrolle stoppen!“ – eine Kooperation der Vereine Digitale Gesellschaft und Digitalcourage sowie des Chaos Computer Clubs – informiert über aktuelle Entwicklungen auf der Website, bei Twitter und bei Mastodon. Auf diesen Kanälen sowie auf den Websites der einzelnen Kampagnen-Teilnehmenden könnt ihr nicht nur verfolgen, was passiert, sondern auch mitbekommen, wann Aktionen und Demos geplant sind.

 

Update

Chatkontrolle: Strafverfolgung um jeden Preis?

Der geplante Verordnungsentwurf der EU zur Prävention von sexuellem Missbrauch von Kindern im Internet und der damit einhergehenden Chatkontrolle wird von Datenschützern, Bürgerrechtsorganisationen und Sicherheitsbehörden innerhalb der Bundesregierung heftig kritisiert. Grund hierfür sind die weitreichenden Überwachungsmaßnahmen, die bezweifelt werden, effektiv zu sein. Zudem sehen Kritiker einen Widerspruch zur europäischen Grundrechtecharta.

Nicht mit der Grundrechtecharta vereinbar

Der Deutsche Anwaltverein (DAV) zeigt sich äußerst besorgt über die Pläne der EU-Kommission bezüglich einer sogenannten Chatkontrolle. Die Vorschläge sind unangemessen und würden eine automatisierte, umfangreiche Analyse der Kommunikationsdaten aller Nutzer erfordern. Das würde eine vollständige Aufhebung der Vertraulichkeit der digitalen Kommunikation bedeuten. Die derzeit diskutierten Änderungen im EU-Parlament sind nicht ausreichend, um alle rechtlichen Bedenken auszuräumen. Rechtsanwalt David Albrecht, Mitglied im Ausschuss Gefahrenabwehrrecht des DAV, betont, dass diese Pläne nicht mit der Grundrechtscharta der Europäischen Union vereinbar sind. Ohne Änderungen würde der Europäische Gerichtshof (EuGH) diese Regelungen in einigen Jahren zurückweisen.

Vor etwa einem Jahr präsentierte die EU-Kommission ihren Plan, um sexuellen Kindesmissbrauch im Internet zu bekämpfen. Die vorgeschlagene Verordnung beinhaltet nicht nur die umstrittene Chatkontrolle, sondern auch andere Maßnahmen wie Altersverifikation und die Verantwortung von App-Store-Betreibern. Der Deutsche Anwaltverein (DAV) begrüßt diesen Vorstoß grundsätzlich, betont jedoch, dass weitere Schritte notwendig sind. Eine bessere Koordination der Strafverfolgungsbehörden in den Mitgliedstaaten und einheitliche Regeln für die Löschung von illegalen Inhalten sind sinnvolle Ergänzungen, so der DAV. Die Dringlichkeit, den sexuellen Kindesmissbrauch im Internet zu bekämpfen, erfordert entschlossene Maßnahmen und eine klare Zusammenarbeit innerhalb Europas.

Die Anordnung von Massenüberwachung ist ein umstrittenes Thema

Besonders die Aufdeckungsanordnung steht im Fokus der Kritik. Diese erlaubt es Behörden, Online-Dienste zu zwingen, die Inhalte ihrer Nutzer automatisiert auszuwerten, ohne dass ein konkreter Verdacht vorliegt. Lediglich das Risiko, dass etwa Missbrauchsdarstellungen verbreitet werden könnten, reicht aus, um diese Anordnung zu rechtfertigen. Kritiker befürchten, dass dies auf jeden Dienst zutreffen könnte, auf dem Nutzer Inhalte teilen.

Der Deutsche Anwaltverein (DAV) teilt diese Ansicht und kritisiert die unpräzisen Bestimmungen, die auf sämtliche Hosting- und Kommunikationsdienste, insbesondere soziale Netzwerke, anwendbar wären. Die Massenauswertung von Kommunikationsinhalten verletze die Freiheitsgrundrechte und greife schwerwiegend in die Vertraulichkeit der Kommunikation ein. Weiterhin würden alle Nutzer von E-Mail-, Chat- und Hosting-Diensten unter Generalverdacht gestellt und es drohten „chilling effects“, also eine Selbstzensur von EU-Bürgern. Auch das Vertrauensverhältnis zu Berufsgeheimnisträgern wie Rechtsanwälten, Ärzten und Journalisten wäre gefährdet.

Es ist daher dringend geboten, die Bestimmungen klarer zu fassen und den Schutz der Freiheitsgrundrechte sowie das Vertrauensverhältnis zu Berufsgeheimnisträgern zu gewährleisten. Eine Massenüberwachung darf nicht zum Standard werden, denn sie gefährdet die Grundpfeiler unserer Demokratie.

Nichts als leere Versprechen

Der Deutsche Anwaltsverein (DAV) schlägt Alarm wegen der weitverbreiteten Überwachung und befürchtet gleichzeitig, dass die Ende-zu-Ende-Verschlüsselung ausgehöhlt werden könnte, wenn sogenanntes Client-Side-Scanning zum Einsatz kommt. Dies würde bedeuten, dass verschlüsselte Messenger-Kommunikation vor der Verschlüsselung auf dem Gerät der Nutzer:innen gescannt wird, um möglicherweise illegales Material aufzuspüren. Der DAV sieht jedoch die Gefahr einer zu hohen Anzahl falsch-positiver Treffer, bei denen harmlose Inhalte fälschlicherweise als missbräuchlich identifiziert werden könnten. Besonders im Fall von „Grooming“ – der Kontaktanbahnung Erwachsener mit Minderjährigen – würde dies zu täglich milliardenfachen Fehlalarmen führen, die die Strafverfolgungsbehörden lahmlegen würden. Der DAV fordert daher ein Umdenken in der Überwachungspolitik, um nicht unschuldige Nutzer:innen zu kriminalisieren.

Der DAV zieht eine ernüchternde Bilanz:

Die geplante Verordnung zur Eindämmung von Missbrauchsmaterial wird höchstwahrscheinlich wirkungslos bleiben. Denn der Austausch findet längst abseits des regulären Internets statt. Wenn überhaupt, würde die Verordnung lediglich dazu führen, dass sich die illegalen Aktivitäten verstärkt ins schwer zugängliche Dark Web verlagern. Wir brauchen dringend effektivere Maßnahmen, um gegen diese abscheulichen Verbrechen vorzugehen.

EU-Kommission reagiert

Die EU-Kommission reagiert auf die Vorwürfe bezüglich der geplanten Chatkontrolle und betont, dass es unerlässlich ist, strafrechtlich relevante Inhalte auf Online-Diensten aufzuspüren, um Kindesmissbrauch zu verhindern. Dabei wird jedoch darauf geachtet, dass keine drastischen Eingriffe in die Privatsphäre vorgenommen werden und die Grundrechte aller Beteiligten gewahrt bleiben. Die Umsetzung des Gesetzes soll flexibel gehandhabt werden und im Rahmen einer Risikobewertung erfolgen.

 

Update

Internetwirtschaft fordert den Schutz von Verschlüsselung

Kurz vor dem endgültigen Verhandlungsabschluss zur Chatkontrolle in den kommenden Wochen haben IT-Verbände aus ganz Europa erhebliche Bedenken geäußert. In zwei offenen Briefen an die EU-Ratspräsidentschaft, die EU-Innenkommissarin und Mitglieder des Parlaments warnen diese Organisationen vor einer Untergrabung von Verschlüsselung und Privatsphäre. Sie fordern, dass das Gesetzespaket den Schutz von Verschlüsselung gewährleisten muss. Insgesamt wurden beide Briefe von 26 Organisationen unterzeichnet, darunter der deutsche Verband Eco und der österreichische Providerverband ISPA.
In beiden Briefen wird einhellig vor einer überstürzten Umsetzung der Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern gewarnt. Der Ministerrat plant, seine Position am 28. September zu verabschieden, gefolgt vom Europaparlament im Oktober.

Besondere Besorgnis äußern die Verbände über die Auswirkungen auf Verschlüsselung und Privatsphäre. Der Brief, der hauptsächlich von mittel- und osteuropäischen Digitalverbänden unterstützt wird, betont die „entscheidende Rolle“, die Verschlüsselungstechnologien, einschließlich Ende-zu-Ende-Verschlüsselung, bei der Sicherstellung privater und sicherer Kommunikation für Nutzerinnen und Nutzer, einschließlich Kinder, spielen.
Auch der zweite Brief, unterzeichnet von hauptsächlich westeuropäischen Verbänden, kritisiert die Umgehung von Verschlüsselung. Client-Side-Scanning würde den robusten Schutz, den die Ende-zu-Ende-Verschlüsselung für Privatsphäre und Sicherheit bietet, ernsthaft untergraben und das Risiko unbegründeter Verletzungen der Privatsphäre erhöhen. IT-Sicherheitsexperten haben wiederholt davor gewarnt, dass die Schwächung eines Teils eines verschlüsselten Systems die Sicherheit für alle beeinträchtigen würde.

Die Verbände kritisieren auch automatische Erkennungsmaßnahmen und betonen, dass diese nur als letztes Mittel eingesetzt werden sollten, wenn klar ist, dass ein Anbieter nicht alle anderen Maßnahmen ausgeschöpft hat. Weiterhin warnen sie vor Schwierigkeiten bei der Erkennung von bisher unbekannten Darstellungen von Kindesmissbrauch und „Grooming“, wobei letzteres die Anbahnung von missbräuchlicher Kommunikation von Erwachsenen zu Kindern bezeichnet. Die Detektion dieser beiden Dinge sei technisch und operativ schwierig und erfordere den Einsatz von Menschen und eine Analyse des Kommunikationskontextes, so die Verbände.

Beide Gruppen von Verbänden betonen auch, dass Anordnungen sich auf Dienste beschränken sollten, die technisch dazu in der Lage sind. Zudem sei das Missbrauchsrisiko bei Anbietern von Cloud-Infrastruktur und App-Stores gering. Derzeit sei zudem der Begriff „Hosting-Dienste“ im Gesetzestext zu weit gefasst.
Die mittel- und osteuropäischen Verbände loben das Europäische Parlament für seine vorgeschlagenen Änderungen, die deutlich umsetzbare Lösungen bieten und Innovationen nicht behindern würden. Die endgültige Position des Europäischen Parlaments steht jedoch noch aus. Vor einer Abstimmung im Oktober muss der Innenausschuss seine Empfehlung abgeben. Sobald Rat und Parlament ihre Positionen festgelegt haben, beginnt der Trilog-Prozess in Zusammenarbeit mit der EU-Kommission.

Es bleibt weiterhin spannend!

 

UPDATE

Die Regierung möchte nicht, dass EU-Vorschläge die Kontrolle über Chatnachrichten ermöglichen.

Die EU-Mitglieder können sich nicht einigen, ob Chatgespräche überwacht werden sollten oder nicht. Deutschland plant, dieses Thema auszuklammern. Die Bundesregierung hat einen neuen Vorschlag gemacht, um die Verhandlungen voranzutreiben. Laut Berichten vom 20. September 2023 hat Deutschland vorgeschlagen, den EU-Kommissionsentwurf zur Bekämpfung des sexuellen Missbrauchs von Kindern (CSAM) in verschiedene Teile aufzuteilen. Es wurde auch berichtet, dass das Thema von der Tagesordnung eines Treffens gestrichen wurde.

Nach dem Vorschlag der Bundesregierung sollten die streitigen Abschnitte des Entwurfs, die sich mit dem sogenannten Client-Side-Scanning (CSS), der Überwachung von Chats, und Verschlüsselung befassen, getrennt werden. Der Entwurf zu den „Aufdeckungspflichten“ beinhaltet speziell die Artikel 7 bis 11. Die Regierung glaubt, dass sich die EU-Mitgliedstaaten schnell auf die anderen Teile des Vorschlags einigen könnten, wie beispielsweise das Risikomanagement und die Berichts- und Löschpflichten.

Die Zeit läuft ab

Es ist unklar, ob die anderen EU-Länder dem Vorschlag zustimmen werden. Die Zeit ist begrenzt, da im nächsten Jahr die Europaparlamentswahl stattfindet und die Verhandlungen abgeschlossen werden müssen. Eine Einigung wäre wahrscheinlich einfacher, ohne diese strittigen Elemente.

Andere Lösung wünschenswert

Es könnte auch eine Lösung für die freiwillige Überprüfung von Inhalten gefunden werden. Die britische Regierung hat bereits ihre Pläne aufgegeben, dass Messenger-Anbieter Inhalte auf Missbrauchsmaterial überprüfen sollen. Die Bundesregierung ist gegen die Überwachung von Chats und der FDP-Politiker Marco Buschmann vertritt diesen Standpunkt. Die Bundesregierung glaubt, dass der aktuelle Verordnungsentwurf nicht angemessen ausgewogen ist und dem Kinderschutz möglicherweise schaden könnte. Die Regierung hat sich gegen das Überwachen von Endgeräten (CSS) ausgesprochen, aber nicht gegen das Scannen von Kommunikation auf Missbrauchsinhalte.

 

UPDATE

EU-Bericht wirft Fragen zur freiwilligen Chatkontrolle auf

Ein kürzlich veröffentlichter EU-Bericht wirft Fragen zur geplanten freiwilligen Chatkontrolle auf. Die EU-Kommission möchte die Verlängerung dieser Kontrolle vornehmen, da die ursprünglichen Ziele verzögert wurden. Allerdings gibt es Zweifel an der Verhältnismäßigkeit des Vorhabens.

Keine Einigung

Die Chatkontrolle hat mit verschiedenen Herausforderungen zu kämpfen. Das EU-Parlament stimmt nur bei erheblichen Änderungen für die Verordnung und im EU-Rat gibt es noch keine Einigung. Daher ist es unwahrscheinlich, dass die Verhandlungen zwischen den Institutionen in diesem Jahr beginnen können. Auch die Europa-Wahl im Jahr 2024 könnte das Vorhaben weiter erschweren, wenn sich die Mehrheitsverhältnisse ändern. Es besteht die Möglichkeit, dass das Vorhaben mit einer neuen EU-Kommission nicht weiterverfolgt wird.

Freiwillige Chatkontrolle um weitere 2 Jahre verlängert

Die EU-Kommission plant daher, die freiwillige Chatkontrolle um zwei Jahre zu verlängern. Das aktuelle Gesetz läuft nur noch bis zum 3. August 2024. Um ein abruptes Ende nach der Europa-Wahl zu verhindern, soll die Mehrheit der EU-Abgeordneten ihre Zustimmung geben. Die freiwillige Kontrolle erlaubt es Internet-Diensten wie Facebook, Google oder Microsoft bereits jetzt, die Inhalte ihrer Nutzer zu überprüfen, obwohl dies gegen Datenschutzrichtlinien verstößt. Um dies zu ermöglichen, bedarf es einer Ausnahmeregelung.

Der kürzlich veröffentlichte Bericht wirft jedoch weitere Fragen auf und bekräftigt die Zweifel an der Verhältnismäßigkeit. Die Mitgliedsstaaten haben unterschiedliche Statistiken vorgelegt, was darauf hindeutet, dass die Datenerhebung nicht immer systematisch und ordnungsgemäß erfolgt. Auch die Informationen der Diensteanbieter sind schwer vergleichbar, so dass kein umfassender Überblick möglich ist.

Andere Länder, andere Altersgrenzen

Ein weiteres Problem sind die unterschiedlichen Rechtsstandards der europäischen Staaten. Altersgrenzen für „Kinder“ und die Definition von strafbarer Kinderpornografie variieren von Land zu Land.

Es wurde auch festgestellt, dass nur jedes vierte private Foto oder Video für die Polizei relevant ist. Durch die Chatkontrolle werden also bis zu 75 Prozent der überprüften Inhalte als strafrechtlich irrelevant eingestuft. In einigen Ländern wie Irland und der Schweiz ist diese Quote sogar noch höher.

Nicht alle Meldungen führen zu potenziellen Straftaten

Der EU-Bericht mischt auch Meldungen des National Center for Missing and Exploited Children (NCMEC) mit der freiwilligen Chatkontrolle, obwohl nicht alle Meldungen eine potenzielle Straftat darstellen. Dies könnte dazu führen, dass tausende Minderjährige kriminalisiert werden, ohne dass dies tatsächlich zur Rettung missbrauchter Kinder oder zur Überführung von Tätern beiträgt.

Zahlreiche Kontroversen

Die Chatkontroll-Gesetzgebung war von zahlreichen Kontroversen geprägt. Enthüllungen über eine Lobbygruppe von selbsternannten Kinderschutzorganisationen, ein KI-Startup, das Software zur Erkennung von Missbrauchsmaterial entwickelt, und Millionenbeträge für eine Kommunikationsagentur wurden gemacht. Zudem wurde eine fragwürdige Werbekampagne für den Gesetzesentwurf auf X/Twitter geschaltet. Diese Verwendung von Microtargeting, das zuvor stark reguliert wurde, ist äußerst bedenklich. Bei einer Anhörung im EU-Innenausschuss gab es Ausweichmanöver und Verharmlosungen seitens der Kommission.

Wahrung der Grundrechte

Die Abstimmung über den Gesetzesentwurf wurde vom EU-Rat mehrmals verschoben. Inzwischen liegt ein neuer Kompromiss des EU-Parlaments vor, der stärker auf die Wahrung der Grundrechte ausgerichtet ist und beispielsweise die Durchsuchung verschlüsselter Kommunikation ausschließt.

 

UPDATE

EU erweitert Überwachung von privater Kommunikation

Nachdem die Einigung über die Kontrolle von Chats gescheitert ist, hat die EU beschlossen, das freiwillige Durchsuchen unverschlüsselter Kommunikation für weitere zwei Jahre zu erlauben. Gemäß Angaben der belgischen Ratspräsidentschaft vom 15. Februar 2024 haben Unterhändler des Europaparlaments und der EU-Mitgliedsstaaten diesem Vorschlag zugestimmt. Diese Vereinbarung erstreckt sich bis zum 3. April 2026. Ursprünglich plante die EU-Kommission, das freiwillige Scannen der Inhalte durch eine neue Verordnung zur Bekämpfung des sexuellen Missbrauchs (CSAM) zu ersetzen. Der Vorschlag für eine so genannte Chatkontrolle stieß jedoch sowohl in der Zivilgesellschaft als auch in Teilen der Politik auf heftigen Widerstand. Das Europaparlament hat die Pläne erheblich abgeschwächt, während sich die EU-Mitgliedsstaaten bisher nicht auf eine gemeinsame Position einigen konnten. Daher schlug die Kommission im Dezember 2023 die Verlängerung vor.

Vertraulichkeit der Kommunikation wird eingeschränkt

Die neue Zwischenlösung ist notwendig, da seit Ende 2020 E-Mail- und Messengerdienste unter die sogenannte E-Privacy-Richtlinie fallen, die die Vertraulichkeit der Kommunikation gewährleistet. Dadurch sind automatische Filtersysteme, die beispielsweise nach kinderpornografischem Material suchen, ohne Ausnahmeregelung nicht mehr zulässig. Im Dezember 2020 hat das Europaparlament erstmals der Interimsverordnung zugestimmt.

Eine Überprüfung von Nachrichten, die Ende-zu-Ende verschlüsselt sind, ist jedoch nicht möglich. Dies betrifft beispielsweise Messenger wie Whatsapp oder Signal. Eine reine Transportverschlüsselung, beispielsweise über einen Mailprovider, bietet hingegen keinen ausreichenden Schutz.

Es bleibt abzuwarten, wie hier weiter verhandelt wird. Es ist nicht mehr zu erwarten, dass Trilogverhandlungen vor den Wahlen zum Europaparlament im Juni 2024 beginnen.

Datenschützer lehnen Chatkontrolle ab

In diesem Zusammenhang haben der Europäische Datenschussausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) die Mitgliedstaaten aufgefordert, die wesentlichen Änderungsvorschläge des Europaparlaments zu unterstützen. In einer Stellungnahme vom 13. Februar 2024 drängen die Datenschutzbeauftragten auf noch weitergehende Änderungen am Kommissionsentwurf. Der vom Parlament vorgeschlagene Text ist offenbar keine vollständige Lösung für die vom EDSA im Juli 2022 aufgezeigten Probleme im Zusammenhang mit der allgemeinen und wahllosen Überwachung privater Kommunikation.

Darüber hinaus kritisiert der Ausschuss, dass Aufdeckungsanordnungen nicht nur auf bekanntes Material über sexuellen Kindesmissbrauch beschränkt sind und der Einsatz von Verfahren zur Aufdeckung von neuem Material angeordnet werden kann, obwohl die Fehlerquoten dieser Systeme „immer noch besorgniserregend sind“. Der Bundesdatenschutzbeauftragte Ulrich Kelber forderte in einer Mitteilung: „Die Durchleuchtung sämtlicher privater Nachrichteninhalte ist keine Option. Der Verordnungsentwurf der Kommission in seiner ursprünglichen Form darf daher nicht realisiert werden.“