Kontrollzwang

Automatische Scans von privaten Nutzerinhalten geplant

Eine EU-Verordnung soll Tech-Unternehmen verpflichten, aktiv nach Darstellungen von Kindesmissbrauch zu suchen. Dafür müssten sie die verschlüsselte Kommunikation aller Bürger unterminieren. Wird das Postgeheimnis durch die Hintertür abgeschafft?

Von Holger Bleich

Kindesmissbrauch hofft die Politik immer wieder mit technischen Mitteln in den Griff zu bekommen. Man erinnere sich an das Vorhaben der damaligen Bundesfamilienministerin Ursula von der Leyen, mit einem leicht zu umgehenden Sichtschutz vor Webseiten den Zugang zu Missbrauchsabbildungen zu erschweren. Sie scheiterte 2010 am massiven Widerstand der Zivilgesellschaft.

Von der Leyen ist mittlerweile Präsidentin der EU-Kommission. Es mehren sich die Anzeichen, dass sie ihren damals zur Schau gestellten Tech-Solutionismus in die europäische Regierungsbehörde implantiert hat: „Ich erwäge, Unternehmen dazu zu verpflichten, bekanntes Material über sexuellen Kindesmissbrauch aufzudecken und den Behörden zu melden“, hatte Ylva Johansson, Kommissarin für Inneres, bereits im Februar angekündigt. Doch außerhalb der Bürgerrechtlerblase hat davon kaum jemand Notiz genommen.

Das ändert sich gerade, denn die Pläne Johanssons stehen kurz davor, als Entwurf einer neuen EU-Verordnung aus ihrem Hause manifest zu werden. Eigentlich war die Vorstellung des Texts für Dezember geplant, sie wurde aber verschoben und dürfte nun Anfang 2022 anstehen. „Bekämpfung des sexuellen Missbrauchs von Kindern: Erkennung, Entfernung und Meldung illegaler Online-Inhalte“ heißt die Gesetzesinitiative. Zum konkreten Entwurf ist nichts in Erfahrung zu bringen. Auf Nachfrage von c’t nannte eine Sprecherin der Kommission keine Details, sondern erklärte lediglich: „Die Kommission arbeitet daran.“

Radikale Richtung

Um eine Idee davon zu bekommen, in welch radikale Richtung die Kommission schwenkt, hilft ein Rückgriff auf September 2020. Ein Leak in der Kommission förderte ein 28-seitiges Arbeitspapier zutage, das es in sich hat. Es führt verschiedene technische Ansätze auf, die geeignet sein sollen, Inhalte in Echtzeit maschinell auf Missbrauchsdarstellungen hin zu prüfen. Spätestens da war klar: Die EU-Kommission arbeitet daran, entweder Inhalte vor der Verschlüsselung auszuleiten oder die Messenger-Verschlüsselungen von den Anbietern aufbrechen zu lassen.

In einem geleakten Arbeitspapier diskutierte die EU-Kommission 2020 Optionen zur Ausleitung von Chat-Inhalten vor der Verschlüsselung.

Dass die grundsätzliche Bereitschaft in der EU besteht, private Nutzerinhalte maschinell zu erfassen, auszuwerten und gegebenenfalls automatisiert Strafverfolgungsbehörden zukommen zu lassen, wurde in diesem Sommer deutlich: Mit einer auf drei Jahre befristeten Verordnung erlaubt die EU „Betreibern von Kommunikationsdiensten“, auf der Suche nach Darstellungen von sexuellem Missbrauch von Kindern maschinell Nutzerinhalte zu scannen und bei Treffern auszuleiten. Auch das EU-Parlament stimmte mehrheitlich zu.

Nach Ansicht der Kommission war die Neuregelung nötig geworden, weil eben diese längst geübte Praxis mit einer Änderung an der Datenschutzrichtlinie für elektronische Kommunikation Ende 2020 plötzlich verboten war. Microsoft etwa hat dies ignoriert und weiter in Mails und Onlinespeichern nach Missbrauchsdarstellungen gesucht, Facebook aber hat die proaktiven Scans daraufhin ausgesetzt.

Der vorläufigen Verordnung soll also nun ein großer unbefristeter Wurf folgen, der Scans verpflichtend macht und auch Ende-zu-Ende-verschlüsselte Kommunikation umfasst. Der EU-Abgeordnete und Bürgerrechtler Patrick Breyer hat dafür den Begriff „Chatkontrolle 2.0“ geprägt (siehe Interview im Kasten). Er sieht das verfassungsrechtlich geschützte Post- und Fernmeldegeheimnis sowie die Achtung der Europäischen Grundrechtecharta (GRCh) gefährdet und ruft derzeit zum Widerstand gegen die geplante Verordnung auf.

Auch die renommierte deutsche Gesellschaft für Informatik (GI) äußerte sich Anfang November sehr kritisch. Hartmut Pohl, Sprecher des GI-Präsidiumsarbeitskreises, betonte: „Will die EU-Kommission auf eingebaute Hintertüren verzichten, gibt es nach dem Stand der Technik nur die ‚heimliche Online-Durchsuchung‘ – sogenanntes ‚client-side scanning‘ – der Endgeräte beispielsweise durch Staatstrojaner mit der Durchsuchung aller Speicherinhalte aller Clients und Server. Dies verstößt gegen die europäischen Grundrechte.“

Genau dieses client-side Scanning ist jüngst Apple auf die Füße gefallen: Als der Konzern angekündigt hatte, künftig auf iPhones automatisiert nach Missbrauchsbildern zu suchen, bevor die Daten verschlüsselt in die Cloud geschoben werden, brach ein Sturm der Entrüstung los. Kleinlaut verschob Apple den Plan daraufhin und beschränkt sich auf weniger invasive Maßnahmen. Nun soll diese Methode – bislang weitgehend unbemerkt von der Öffentlichkeit – sogar verpflichtend in der gesamten EU werden. (hob@ct.de)

„Fatale Folgen“

Seit Mai 2019 sitzt Patrick Breyer für die Europäische Piratenpartei im EU-Parlament. Der gelernte Jurist ist Mitglied des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und will sich sich dort nach eigenem Bekunden gegen staatliche Überwachung in der digitalen Welt einsetzen. Breyer hat für die Pläne der Kommission den Begriff „Chatkontrolle“ geprägt.

c’t: Befürworter der automatisierten Suche nach Missbrauchsinhalten in privaten Chats sprechen von einer Rechtsgüterabwägung: Das Recht auf Privatsphäre müsse sich hier dem Recht auf körperliche Unversehrtheit von Kindern unterordnen.

Patrick Breyer: Es dient ja eben nicht den Schutz von Kindern, verdachtsunabhängig im Nebel zu stochern. Dadurch zerstört man das digitale Briefgeheimnis. Kinder brauchen übrigens auch Privatsphäre, etwa, wenn sie im Rahmen von Sexting Nacktfotos verschicken. Die dürfen nicht in falsche Hände geraten. Und auch jugendliche Missbrauchsopfer sind auf vertrauliche Kommunikation angewiesen, um Hilfe zu finden. Uns hat etwa ein Opfer erläutert, wie wichtig es war, in einem geschützten Raum via verschlüsseltem Messenger mit Therapeuten und Polizei in Kontakt zu treten.

c’t: Vielfach wird aber auch behauptet, es gebe einen gesellschaftlichen Konsens: Wenn ein Mittel hilft, Kindesmissbrauch einzudämmen, sollte es genutzt werden.

Breyer: Kinderpornoringe, die tatsächlich für den Missbrauch verantwortlich sind, nutzen aber doch kein WhatsApp oder GMail, sondern beispielsweise Darknet Foren. In die gilt es, mit verdeckter Polizeiarbeit einzudringen. Heute dauert es auch bei konkretem Verdacht teils Monate, bis Durchsuchungsbeschlüsse vollstreckt werden. Und danach können Monate bis Jahre vergehen, bis die Datenträger ausgewertet sind. In dieser bestehenden Überlastungssituation bei der Strafverfolgung den Heuhaufen sogar vergrößern zu wollen, in dem sich die Nadeln verstecken, halte ich für skandalös.

c’t: Ist denn dem EU-Parlament bekannt, wie sich die Kommission konkret ein automatisiertes Scannen von Inhalten auf dem Gerät und vor der Übermittlung in verschlüsselten Chats vorstellt?

Breyer: Die Kommission macht es sich da sehr einfach und sagt: „Kommunikationsdienste sind verpflichtet.“ Punkt. Es läuft auf zwei Optionen hinaus: Entweder werden Inhalte auf dem Client durchsucht, also etwa dem Smartphone, oder die Ende-zu-Ende-Verschlüsselung muss weg. In beiden Fällen verlieren Sender und Empfänger das Vertrauen darin, dass nur sie vertrauliche Inhalte sehen können. Das hätte auch fatale Folgen für sensible Bereiche wie Whistleblowing oder Geschäftsgeheimnisse. Man muss sich das mal vorstellen: Die EU-Kommission selbst empfiehlt ihren Mitarbeitern, mit dem Messenger Signal Ende-zu-Ende-verschlüsselt zu kommunizieren, um Backdoors auszuschließen.

c’t: Wäre es für Sie ein gangbarer Weg, die Scans wie bislang optional zu belassen, also die Verpflichtung dazu zu streichen?

Breyer: Eine Ausnahme für verschlüsselte Kommunikation würde Dienste wie E-Mail völlig ungeschützt lassen. Ein Rechtsgutachten hat uns außerdem bestätigt, dass es grundrechtlich keinen Unterschied macht, ob Provider freiwillig oder aufgrund einer Pflicht private Kommunikation der Kunden durchleuchten. Beides ist ein illegaler, unverhältnismäßiger Grundrechtseingriff, hat uns die ehemalige EuGH-Richterin Ninon Colneric erklärt. Die einzige Option, die ich sehe, ist: Die Durchleuchtung muss auf öffentlich zugängliche Inhalte beschränkt sein. Und dies sollten Behörden tun, nicht die intransparenten Algorithmen der Plattformen. Der Bund Deutscher Kriminalbeamter hat jüngst in Bezug auf das Kommissionsvorhaben nicht umsonst darauf hingewiesen, dass die Verfolgung von Straftaten eine hoheitliche Aufgabe ist, die nicht in private Hände gehört.