Chatkontrolle - Massenüberwachung Made in Europe
Worum es geht
Es ist schon manchmal merkwürdig, was die Europäische Kommission so für Vorstellungen hat. Im Jahr 2022, könnte man meinen, ist es völlig unübersehbar, dass Journalisten, Menschenrechtler und politisch engagierte Bürger auf sichere Kommunikation angewiesen sind. Und doch hält die Kommission an einem Vorhaben fest, dass selbst die -bislang auf ganzer Linie gescheitere- Vorratsdatenspeicherung in den Schatten stellt.
In einem Strategiepapier schlägt die EU-Kommission Maßnahmen vor, die den weltweiten Handel mit Darstellungen von sexuellem Missbrauch an Kindern bekämpfen sollen. Wie immer ist dies ein hehres Ziel, wer sollte schon etwas dagegen haben, Kinder vor sexuellem Missbrauch zu schützen?
Aber, wie immer, enthält die Vorlage -besonders im Bereich des Digitalen- Vorschriften, die sich wie ein Generalangriff auf unsere viel beschworene europäische Werteordnung lesen:
Um die Verbreitung von Missbrauchsbildern von vornherein zu unterbinden, soll eine umfassende Überwachung aller Kommunikation im Internet erfolgen. Auf die Frage des Europaabgeordneten Patrick Breyer was der Vorschlag umfassen würde, antwortete der Generaldirektor für Inneres, Olivier Onidi, dass der Vorschlag “alle Kommunikationsmittel in den Geltungsbereich einzubeziehen” versuche. Den wahren Mehrwert sehe er darin “eben alle Kommunikationsformen zu erfassen, einschließlich privater Kommunikation”. Gesagt hat er dies im 9. Treffen der Joint Pariarmentary Scrutiny Group(JPSG) am 26.10.2021.
Gemeint ist damit, dass jegliche Kommunikation aller EU-Bürger überwacht werden soll, ob nicht eventuell strafbare Inhalte zum Thema Kindesmissbrauch darin vorkommen. Patrick Breyer hat dem ganzen den griffigen Namen Chatkontrolle gegeben, obwohl das zu kurz greift.
Das Problem, dem sich Ermittler bei der Suche nach strafbaren Darstellungen von Kindesmissbrauch gegenüber sehen, ist das heute viel Internet-Verkehr verschlüsselt ist, und daher nicht mitgelesen werden kann. Der Ansatz der EU-Kommission erinnert an die umstrittene Online Durchsuchung. Allerdings mit dem Unterschied, dass sie nicht nur bei Tatverdächtigen durchgeführt werden soll, sondern bei allen Bürgern. Und zwar immer.
Eine auf den Endgeräten der Benutzer verpflichtend installierte Software soll dafür sorgen, dass entweder die Verschlüsselung so aufgeweicht wird, dass die Provider alle Inhalte mitlesen können, oder -was den Innenministern vermutlich noch lieber wäre- auf jedem Endgerät verpflichtend eine Software installiert sein muss, die andauernd alle Inhalte darauf scannt, das keine Gesetze verletzt werden, und Verdachtsfälle sofort automatisiert an die Strafverfolgungsbehörden weiterleitet.
Wie soll das technisch überhaupt gehen?
Wie üblich in solchen Fällen, schweigt die Kommission zu den technischen Details. Die technische Umsetzung wird dann wohl den Anbietern überlassen werden.
Es gibt natürlich bereits einige technologische Ansätze, um einen automatischen Scan zu ermöglichen. Etwa Microsofts Software PhotoDNA, die auf einer Datenbank der amerikanischen Organisation National Center For Missing And Exploited Children (NCMEC) basiert. Diese Datenbank enthält kryptographische Einweghashes (“digitale Fingerabdrücke”) bereits bekannter Missbrauchsdarstellungen. So können entsprechende Bilder erkannt werden. Microsoft setzt diese Technologie bereits in einigen seiner Produkte ein.
Apple hatte im Jahr 2021 bereits mit einem Vorschlag für Aufregung gesorgt, der für einigen Protest gesorgt hat. Um die sichere Verschlüsselung nicht zu beschädigen, sollte das Scannen der Inhalte, und der Abgleich mit einer Datenbank wie PhotoDNA direkt auf dem Endgerät geschehen. Also genau der Vorschlag, der sich auch in dem Kommissionspapier findet. Nach öffentlichen Protesten hatte Apple die Pläne vorerst auf Eis gelegt.
Diese Client-Side-Scanning genannte Technologie würde zwar die Ende-zu-Ende-Verschlüsselung auf der Netzseite nicht brechen, sie aber weitestgehend nutzlos machen. Wenn dritte Parteien sowieso alle Daten aus einem Computer auslesen können, ist Verschlüsselung obsolet. Netzpolitik.org verwies dabei in einem lesenswerten Artikel vom letzten Herbst auf eine Studie (pdf), in der einige der schwergewichtigsten Kryptographie-Forscher die Risiken dieser Idee aufzeigen.
Warum ist die Chatkontrolle keine gute Idee?
Zunächst mal ist der Eingriff in die Privatsphäre der Bürger, der hier vorgeschlagen wird, sehr tief. Der Plan sieht vor alle Nachrichten, die die Menschen sich schicken auf verdächtige Inhalte zu prüfen. Da dabei die bis auf Weiteres sehr unzuverlässigen Algorithmen wie PhotoDNA zum Einsatz kommen, müsste ein nicht unerheblicher Teil der Bilder und Texte (es geht ja auch um geschriebene Textnachrichten, zum Beispiel um Grooming zu unterbinden) von Menschen überprüft werden. Privateste Chats zwischen Menschen würden also von Wildfremden mitgelesen und protokolliert.
Dazu besteht die Gefahr, dass echte Hinweise auf andauernden Kindesmissbrauch im Grundrauschen permanenter Fehlalarme untergehen.
Für die Anbieter von Internetdiensten stellt die Kontrolle eine gigantische technische Herausforderung dar: Laut einem Bericht des Magazins TechCrunch aus dem Jahr 2020, versenden allein die Nutzer von WhatsApp jeden Tag weltweit mehr als 100 Milliarden Nachrichten.
Mittelfristig wird das Gesetz wohl vor allem den großen Tech-Giganten nutzen: Nur sie verfügen ansatzweise über die Ressourcen dieser Datenmenge Herr zu werden.
Ob das Ganze Europarechtlich überhaupt zulässig wäre, ist darüber hinaus mehr als fraglich. Schon die pauschale Vorratsdatenspeicherung hatte der europäische Gerichtshof in seinem Urteil vom 08. April 2020 bereits gekippt. Der hier geplante Eingriff geht noch viel weiter, als eine Vorratsdatenspeicherung von Telefonverbindungen und E-Mail-Headern jemals gehen könnte.
Ein Rechtsgutachten(pdf) der Rechtswissenschaftlerin und ehemaligen Richterin am EuGH, Prof. Dr. Ninon Colneric im Auftrag der Europafraktion der Grünen, kommt zumindest zu diesem Schluss.
Schon aufgrund der jüngsten Erfahrungen halte ich es für ziemlich unwahrscheinlich, dass ein solches Gesetz lange auf so spezielle Bereiche wie Kindesmissbrauch beschränkt bleibt. Vielmehr werden neben den Ermittlungsbehörden noch ganz andere die Finger nach diesen Daten ausstrecken: Die Dienstanbieter selbst, Arbeitgeber, Versicherungen, Finanzämter oder Krankenkassen. Der Druck auf die Politik, anderen Interessengruppen Zugriff auf die privaten Gespräche der Bürger zu geben, dürfte groß sein, ist ein solches System erst mal etabliert.
Für die Bürger bedeutet dies ein deutliches Demokratiedefizit: Wenn man weiß, dass immer jemand zuhört -völlig egal, was der Zweck dieses Zuhörens ist- wird man dann in privaten Gesprächen noch unbefangen, z.B. seine politische Meinung äußern? Es ist nicht nötig, dass der Bürger mit rechtlichen Sanktionen bedroht wird, damit solche Chilling Effects auftreten. Das vage Gefühl des Überwacht-Werdens reicht schon aus, um das politische Engagement der Bürger zu dämpfen.
Und zuletzt bleibt natürlich die Glaubwürdigkeit der Europäischen Union selbst. Seit Jahren beklagt die EU die bürgerrechtsfeindliche Massenüberwachung inklusive Social-Scoring in China. Und zuletzt Stand Russland heftig in der Kritik für sein Gesetz zu Fake-News, dass bis zu 15 Jahre Haft für jeden vorsieht, der der staatlichen Propaganda widerspricht.
Wie soll die EU hier noch glaubwürdig gegen argumentieren, wenn sie ihre eigenen Bürger auf dem selben Niveau überwacht?