EU nähert sich umstrittenem Gesetz zur Chatkontrolle
Plan zum Scannen verschlüsselter Nachrichten löst Gegenreaktion von Technologieunternehmen, Interessensverbänden und Datenschutzexperten aus
Europäische Politiker nähern sich einer Entscheidung, um gegen Material über Kindesmissbrauch vorzugehen. Das geplante Gesetz zur Chatkontrolle könnte Technologieunternehmen dazu zwingen, verschlüsselte Nachrichten zu scannen. Damit wird die seit 2022 schwelende Debatte wiederbelebt, die den Kern der Online-Privatsphäre und -Sicherheit trifft.
Vertreter von Strafverfolgungsbehörden und nationale Vertreter trafen sich am Freitag, 12. September, in Brüssel, um den neuesten Entwurf der sogenannten Chat-Kontrollverordnung zu diskutieren.
Dänemark, das derzeit den rotierenden Vorsitz im EU-Rat innehat, drängt darauf, den Vorschlag bis zum 14. Oktober zur Abstimmung zu bringen, trotz heftigen Widerstands von Kryptografen, Datenschützern und einigen Mitgliedstaaten.
Der aktuelle Vorstoß folgt auf frühere Versuche des EU-Rates, umstrittene Gesetze zum Schutz von Kindern im Internet voranzutreiben, die auf heftigen Widerstand und Verzögerungen gestoßen sind.
Die Gesetzgebung würde Technologieunternehmen verpflichten, Scantechnologien auf Geräten einzusetzen, um Nachrichten, Bilder und Videos vor der Verschlüsselung zu überprüfen. Künstliche Intelligenz und maschinelle Lernsysteme würden ebenfalls eingesetzt werden, um bisher unbekanntes Missbrauchsmaterial aufzuspüren.
Befürworter nennen es Schutz, Kritiker sehen eine Bedrohung der bürgerlichen Freiheiten
Befürworter, darunter Frankreich, Italien, Spanien und Schweden, argumentieren, dass die Verordnung notwendig ist, um Lücken zu schließen, die es ermöglichen, dass schädliche Inhalte unentdeckt auf privaten Messaging-Plattformen zirkulieren. Der dänische Entwurfstext betont, dass nichts in der Gesetzgebung als Verbot oder Schwächung der Verschlüsselung interpretiert werden sollte, besteht jedoch darauf, dass „geprüfte Technologien” eingesetzt werden müssen, um die Kommunikation zu scannen, bevor sie in unlesbaren Code verschlüsselt wird.
Bedenken hinsichtlich der Massenüberwachung
Die Gegner vertreten die Ansicht, dass es sich hierbei um eine andere Bezeichnung für clientseitiges Scannen handelt. In einem offenen Brief, der diese Woche von 660 Forschern unterzeichnet wurde, wird davor gewarnt, dass der neue Vorschlag „die Sicherheits- und Datenschutzmaßnahmen, die für den Schutz der digitalen Gesellschaft unerlässlich sind, vollständig untergräbt”.
Die Unterzeichner fügten hinzu, dass kein Algorithmus für maschinelles Lernen in der Lage sei, missbräuchliches Material zu erkennen, ohne eine große Anzahl von Fehlalarmen zu generieren.
„Wenn Chat Control verabschiedet wird, entscheiden undurchsichtige KI-Algorithmen darüber, ob Ihre persönlichen Nachrichten und privaten Bilder markiert oder weitergegeben werden”, sagte Matthias Pfau, Mitbegründer des verschlüsselten E-Mail-Dienstes Tuta. „Dies untergräbt die Online-Privatsphäre von über 450 Millionen EU-Bürgern, was wir nicht akzeptieren dürfen.”
Auch WhatsApp kritisierte die Vorschläge. Das Unternehmen hatte zuvor gedroht, sich aus Großbritannien zurückzuziehen, weil im Online Safety Act ähnliche Vorschläge zur Schwächung der Verschlüsselung enthalten waren.
Die Gegner dieser Maßnahme bezeichnen das Vorhaben als eine Form der Massenüberwachung, die das Risiko birgt, Hunderte Millionen Europäer als potenzielle Verdächtige zu behandeln.
Technologieunternehmen haben mit unterschiedlichem Widerstand auf die vorgeschlagenen Regelungen reagiert. Signal hatte gewarnt, dass es seinen Dienst aus der EU zurückziehen werde, anstatt sich der obligatorischen Überprüfung zu unterziehen. Der deutsche Anbieter verschlüsselter E-Mail-Dienste Tuta Mail hat unterdessen angekündigt, rechtliche Schritte gegen die EU einzuleiten, sollten die Vorschläge angenommen werden.
Abgesehen von den genannten technischen Einschränkungen erklärte Matthew Hodgson, CEO von Element, gegenüber ComputerWeekly, dass die Verordnung „grundlegende Mängel“ aufweise, und warnte: „Die Schwächung der Verschlüsselung durch die Einführung einer Hintertür für die rechtmäßige Überwachung ist nichts anderes als die absichtliche Schaffung einer Schwachstelle, die letztendlich immer ausgenutzt wird.“
Diese Bedenken spiegeln diejenigen wider, die im Vereinigten Königreich geäußert wurden, als die Regierung Bestimmungen erließ, die es Ofcom ermöglichen würden, digitale Plattformen zur Einführung von Tools zum Scannen von Nachrichten zu verpflichten.
Uneinigkeit unter den Mitgliedstaaten
Interessensverbände gegen die Verordnung in der jetzigen Form
Bitkom e. V. ist gegen das geplante Gesetz zur Chatkontrolle, weil es die Privatsphäre verletzt und die IT-Sicherheit schwächt: „Wir als Bitkom setzen uns dafür ein, dass das geplante EU-Regelungsvorhaben zur Bekämpfung von Online-Darstellungen sexuellen Kindesmissbrauchs in einer Weise weiterentwickelt wird, die einerseits den Schutz von Kindern gewährleistet, andererseits aber verhältnismäßig bleibt und Grundrechte respektiert. Konkret fordern wir, dass die derzeit vorgesehene verpflichtende Chatkontrolle nicht in dieser Form eingeführt wird, sondern alternative Ansätze genutzt werden. ... Ferner soll eine Doppelregulierung mit bestehenden EU-Rechtsakten wie DSA und e-Evidence vermieden werden.“
Bereits im Juni 2024 erklärte Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:
„Der Schutz von Kindern gegen Missbrauch, sexualisierte Gewalt oder zum Beispiel Online-Grooming muss in der EU und in unserer Gesellschaft höchste Priorität haben. Bitkom unterstützt die Ziele der EU-Kommission, Kinder in der digitalen und analogen Welt besser zu schützen, präventiv aktiv zu werden und die Forensik und Verfolgung der Täter zu verstärken. Gleichwohl greift der aktuelle Vorschlag zu tief und in unverhältnismäßiger Weise in die Grundrechte der EU-Bürgerinnen und -Bürger auf geschützte Kommunikation ein, ohne dass sich dadurch der Schutz der Kinder verbessern würde“
Auch eco kritisierte seinerzeit den neuen Vorschlag zur CSAM-Verordnung als unvereinbar mit EU-Recht und der Integrität von Verschlüsselungsmechanismen. Alexandra Koch-Skiba, Leiterin der eco-Beschwerdestelle, erklärte dazu: „Der neue Vorschlag der belgischen Ratspräsidentschaft beeinträchtigt die Sicherheit und den Schutz der Privatsphäre aller EU-Bürger weiterhin immens. Nach EU-Recht muss die Zustimmung zur Verarbeitung personenbezogener Daten freiwillig erteilt werden. Doch nun will die EU von den Nutzenden verlangen, dass sie in das clientseitige Scannen einwilligen, weil sie sonst einen Dienst oder seine essenziellen Funktionen nicht mehr in vollem Umfang nutzen können. Im Ergebnis haben wir damit eine erzwungene Zustimmung, die dem EU-Recht absolut widerspricht, da wohl keiner auf das Teilen von Bildern, Videos oder URLs wird verzichten wollen.“
Wie geht es weiter?
Technisch ist es unmöglich, Inhalte zu scannen, ohne die Verschlüsselung zu brechen. Trotz wiederholter Mahnungen der Cybersicherheitsgemeinschaft hält die EU an ihrem Vorhaben fest. Aktuell unterstützen Berichten zufolge 15 Mitgliedstaaten den dänischen Vorschlag, sechs hatten noch keine Entscheidung getroffen und sechs lehnten ihn ab.
Deutschland bleibt ein Zünglein an der Waage, was die starken Meinungsverschiedenheiten zwischen den Regierungen widerspiegelt, die unter Druck stehen, den Kinderschutz zu verbessern, und denen, die angesichts der Risiken einer massenhaften Überwachung alarmiert sind.
Während die Kommission darauf besteht, dass es bei der Verordnung um den Schutz von Kindern geht, deutet der wachsende Widerstand von Wissenschaftlern, der Zivilgesellschaft und Teilen der Tech-Branche darauf hin, dass der Weg zu einem Konsens schwierig sein wird.
Die Debatte dreht sich nun darum, ob die Politik die öffentliche Sicherheit mit dem Grundsatz der sicheren, privaten Kommunikation in Einklang bringen kann oder ob eines dieser Ziele zurückstehen muss.
Der Artikel erschien in kürzerer Fassung ursprünglich auf unserer Schwester-Website Computing.