Prinzipienpapier

Chatkontrolle verhindern

Zusammen mit der Digitalen Gesellschaft veröffentlichen wir die Prinzipien des EDRi-Netzwerkes zur anstehenden Ausnahmeregelung der ePrivacy-Richtlinie in deutscher Sprache. Gemeinsam wollen wir die Chatkontrolle verhindern.

Nachdem der Termin mehrfach verschoben wurde, wird nun erwartet, dass die EU-Kommission Ende März ihre Pläne zur Bekämpfung der Online-Verbreitung von Darstellung des sexuellen Missbrauchs von Kindern (CSAM – vom englischen „child sexual abuse material”) vorlegt. Soweit bislang öffentlich bekannt, plant die zuständige EU-Kommissarin Ylva Johannson eine umfassende Überwachung der elektronischen Kommunikation der gesamten EU-Bevölkerung.

Seit Ende 2020 gelten verschiedene Regelungen der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) auch für Chats und Messenger. Daraufhin hat die EU bereits im vergangenen Jahr eine Ausnahmeregelung eingeführt, um das von einigen Anbietern wie Microsoft und Meta (ehemals Facebook) bereits freiwillig praktizierte automatisierte Scannen von Kommunikationsinhalten zu legalisieren. Die Kommission will nun noch einen Schritt weiter gehen und eine Verpflichtung der Anbieter zum Überwachen der Kommunikation einführen, die auch verschlüsselte Kommunikation umfassen soll.

Bisherigen Verlautbarungen von EU-Innenkommissarin Johansson zufolge sollen Unternehmen zur Erkennung, Meldung und Löschung von CSAM verpflichtet werden. Dabei hat die Kommission insbesondere das „Client-Side-Scanning“ (CSS) vor Augen. Beim CSS werden unter Umgehung der Ende-zu-Ende-Verschlüsselung Inhalte direkt auf den Endgeräten der Nutzenden durchsucht. Das könnte so ablaufen, dass bei einem Verdachtsfall der Versand einer Nachricht unterbunden und stattdessen an Strafverfolgungsbehörden weitergeleitet wird. Notwendige Voraussetzung für den Einsatz dieser Technik ist das automatisierte Durchleuchten der Kommunikation aller Nutzenden. Entsprechende Pläne von Apple zum „freiwilligen“ Einsatz von CSS wurden im vergangenen Jahr nach massiven Protesten bereits auf Eis gelegt. Führende Sicherheitsforscher sehen im flächendeckenden Einsatz von CSS nicht nur eine ernsthafte Gefahr für die Demokratie, sondern auch ein zusätzliches Risiko für Sicherheitslücken und eine Angriffsfläche für Kriminelle und staatliche Hacker.

In der Vergangenheit hat der Europäische Gerichtshof anlasslose Massenüberwachung immer wieder für rechtswidrig erklärt. Dennoch scheint die Kommission fest entschlossen zu sein, an ihren fragwürdigen Plänen festzuhalten. Dabei scheitert der Kampf gegen CSAM derzeit nicht an mangelnder Überwachung und polizeilichen Kompetenzen, sondern insbesondere auch daran, dass die Strafverfolgungsbehörden das Löschen von CSAM nicht veranlassen. Das haben umfassende Recherchen des ARD-Politikmagazins Panorama, des NDR-Reportageformats STRG_F und des Spiegels im Dezember gezeigt. Eine Gruppe von Europaabgeordneten fordert Aufklärung zur Rolle von Europol in dem Fall. Und das Problem besteht schon länger: Bereits 2017 hat das Europäische Parlament festgestellt, dass die Mitgliedstaaten von der Möglichkeit des Löschens von CSAM nur unzureichend Gebrauch machen.

Unsere 10 Prinzipien

Angesichts der Pläne der Kommission haben wir gemeinsam mit dem EDRi-Netzwerk zehn grundlegende Prinzipien erarbeitet. Nur wenn alle folgenden Prinzipien bei Maßnahmen zur Bekämpfung von CSAM erfüllt sind, können sie rechtsstaatlichen Grundsätzen entsprechen:

1. Keine Massenüberwachung

Das allgemeine, automatische Scannen der privaten Kommunikation aller Menschen zu jeder Zeit ist ein grundlegend unverhältnismäßiger Eingriff in das Recht auf Privatsphäre. Ob zur Entdeckung von CSAM oder zu anderen Zwecken, solche Praktiken sind in einer demokratischen Gesellschaft niemals zu rechtfertigen. Dementsprechend dürfen Diensteanbieter.innen nicht dazu verpflichtet werden, die private Kommunikation generell und automatisch zu scannen;

 

2. Eingriffe müssen gezielt und auf Grundlage eines individuellen Verdachts stattfinden

Jede Überwachung privater Kommunikation darf nur auf die Person oder Personen abzielen, gegen die ermittelt wird (nicht auf andere Nutzer.innen des Dienstes), und zwar auf der Grundlage eines spezifischen, begründeten und individuellen Verdachts (z. B. kann die Überwachung aller Nutzer.innen eines bestimmten Dienstes nicht als gezielt angesehen werden). Nur der individuelle Verdacht gegen eine Person kann Grundlage für eine Überwachung sein. Der Verdacht darf nicht das Ergebnis einer allgemeinen Überwachung sein;

3. Eingriffe müssen rechtmäßig und auf gesetzlicher Grundlage erfolgen

Jede Untersuchung privater Kommunikation muss eine spezifische Rechtsgrundlage haben, die öffentlich zugänglich, klar, bestimmt, abschließend und allgemein sein muss. Außerdem muss sie den nationalen und den EU-Vorschriften über rechtsstaatliche Verfahren, ordentliche Verwaltungspraxis, Strafverfolgung, Rechenschaftspflicht, Transparenz, Nichtdiskriminierung usw. entsprechen;

4. Eingriffe müssen individuell angeordnet sein

Jede Untersuchung privater Kommunikation muss spezifisch und individuell von einem Richter angeordnet werden. Die Polizei darf nicht ohne richterliche Anordnung die Wohnung einer Verdachtsperson betreten oder Telefongespräche abhören. Dieselben Grundsätze gelten für den privaten Online-Bereich. Eine richterliche Anordnung muss eingeholt werden, bevor die Kommunikation einer Person abgehört wird, und nicht rückwirkend;

5. Maßnahmen dürfen nur so wenig wie nötig in die Privatsphäre eingreifen und müssen sich auf die Erkennung von CSAM beschränken

Jede Untersuchung privater Kommunikation muss gewährleisten, dass der Eingriff in das Recht auf Privatsphäre so gering wie möglich ist. Sie muss sich auf die Aufdeckung von CSAM beschränken und sicherstellen, dass Diskriminierung verhindert und das Risiko falsch positiver Ergebnisse minimiert wird. Um dies zu gewährleisten, sollten die nationalen Datenschutzbehörden und der Europäische Datenschutzausschuss (EDPB) verbindliche Leitlinien für die Zulässigkeit bestimmter Technologien bereitstellen, die zur Aufdeckung von CSAM bereits eingesetzt werden und die künftig eingesetzt werden sollen;

6. Unabhängige Aufsicht und Überprüfung der Technologie und ihres Einsatzes

Es muss eine strenge Aufsicht über bestehende und künftige Technologien zur Aufdeckung von Online-CSAM durch nationale Datenschutzbehörden geben, einschließlich unabhängiger Audits und der Durchsetzung von Melde- und Dokumentationspflichten für Strafverfolgungsbehörden, um die Wirksamkeit der Maßnahmen nachzuweisen und eine Kontrolle zu ermöglichen (z. B. in Bezug auf Verurteilungen, falsch-positive Meldungen, absolute vs. wiederholte Meldungen und die Dienste, bei denen CSAM aufgedeckt werden); die ordnungsgemäße Durchführung von Datenschutz-Folgenabschätzungen für alle verwendeten Technologien/Methoden und Transparenz;

7. Kontrolle durch unabhängige Sicherheitsforschung und Zivilgesellschaft muss gewährleistet sein

Unabhängige Sicherheitsforscher.innen und die Zivilgesellschaft müssen Zugang zu den technischen Details aller vorgeschlagenen Werkzeuge oder Technologien haben, um beabsichtigte oder unbeabsichtigte Risiken zu bewerten. Maßnahmen, die Geräte unsicher und anfällig für böswillige Akteur.innen machen, wie die automatisierte Analyse von Kommunikationsinhalten auf dem Gerät selbst (CSS – vom englischen Client Side Scanning), sollten nicht zugelassen werden;

8. Maßnahmen müssen Verschlüsselung wahren

Die Verfügbarkeit und Verwendung von Verschlüsselung ist für den Schutz unserer digitalen Infrastruktur und Kommunikation unerlässlich. Alle Maßnahmen zur Bekämpfung von CSAM müssen daher Verschlüsselung als wichtige Sicherheitsmaßnahme respektieren und dürfen ihre Entwicklung, Verfügbarkeit oder Verwendung nicht in einer Weise untergraben, die sich auf alle Nutzer.innen des Kommunikationsdienstes auswirkt. Methoden wie Client Side Scanning (CSS) untergraben das Prinzip der Ende-zu-Ende-Verschlüsselung (E2E), indem sie Mittel zur Umgehung kryptographischer Systeme einführen, die irgendwann unweigerlich von böswilligen Akteur.innen ausgenutzt werden;

9. In die Bewältigung komplexer sozialer Probleme investieren

Das gravierende Problem des sexuellen Missbrauchs von Kindern ist nicht nur eine Frage der Online-Verbreitung. Vor allem sollten die Antworten der EU und der Mitgliedstaaten auf dieses schwerwiegende Problem in Prävention, Bildung, Unterstützung der Opfer, sozialen Diensten, sozialstaatlichen Maßnahmen und anderen Methoden zur Bekämpfung der Grundursache dieser Probleme bestehen und in diese investieren. Technologische Lösungen sind kein Allheilmittel für komplexe gesellschaftliche Probleme. Darüber hinaus werden in dem Bericht des Europäischen Parlaments von 2017 über die Umsetzung der „Richtlinie zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern“ durch die Mitgliedstaaten und in der Mitteilung der Europäischen Kommission von 2020 für eine wirksamere Bekämpfung des Kindesmissbrauchs eine Reihe wichtiger Initiativen genannt, die von den Mitgliedstaaten noch umgesetzt werden müssen und für die Abhilfe geschaffen werden sollte, bevor neue technische Lösungen oder Rechtsvorschriften vorgeschlagen werden;

10. Alle Interessengruppen einbeziehen

Es ist unerlässlich, alle relevanten Interessengruppen zusammenzubringen, damit produktive Diskussionen über die Bekämpfung von CSAM im Internet geführt werden. Wenn es um Risiken für die Privatsphäre und den Datenschutz geht, müssen Gruppen, die sich für Grundrechte im Digitalen einsetzen – einschließlich derjenigen, die speziell die Rechte junger Menschen vertreten –, gebührendes Gewicht erhalten.

Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.

Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!

Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.