E-Mails und Chats sollen in der EU schon bald flächendeckend überwacht werden. EU-Kommissarin Ylva Johansson will dem EU-Parlament einen Gesetzesentwurf vorlegen, der alle Anbieter von E-Mail- und Messenger-Diensten (wie zum Beispiel WhatsApp) dazu verpflichten soll, den Inhalt von Nachrichten auf Kinderpornografie beziehungsweise -missbrauch zu prüfen. Was den Kampf gegen Kinderschändung betrifft, gibt es von allen Seiten Unterstützung für die Verordnung. Doch Datenschützer und Juristen prangen die Vorgehensweise an. Die einen fürchten einen Präzedenzfall für die massenhafte Ausspähung privater Kommunikation, die anderen eine Unvereinbarkeit mit den Grundrechten des Datenschutzes.

"Ich werde in den kommenden Monaten eine Gesetzgebung vorschlagen, die Unternehmen verpflichtet, den sexuellen Missbrauch von Kindern zu erkennen, zu melden und zu entfernen", kündigte EU-Innenkommissarin Johansson im Februar in einem Interview an. Anbieter von E-Mail- und Messenger-Diensten müssten dann jedwede Nachrichten ihrer Kunden auf verdächtige Inhalte durchsuchen und diese der Polizei melden. Doch dieses zwingende und flächendeckende Eindringen in die private Korrespondenz stößt einigen sauer auf. Ninon Colneric, ehemalige Richterin am Europäischen Gerichtshof, hat ein Gutachten verfasst, in dem sie zu dem Schluss kommt, dass die unter dem Schlagwort Chatkontrolle bekannte Verordnung grundrechtswidrig sein dürfte. In Deutschland üben die Bundesanwaltskammer und der Deutsche Anwaltverein Kritik an dem geplanten Gesetz. Solche Bedenken gibt es auch in Österreich.

- © WZ-Illustration; Material: stock.adobe.com / bizvector
© WZ-Illustration; Material: stock.adobe.com / bizvector

Grundrechte gefährdet

"Ich würde das Vorhaben auf den ersten Blick sehr kritisch sehen, mag es auch einem legitimen Zweck dienen", sagt Verfassungsjurist Peter Bußjäger von der Universität Innsbruck im Gespräch mit der der "Wiener Zeitung". "Ich kann mir schwer vorstellen, wie man diese Sache technisch so zustande bekommen könnte, dass sie mit den Grundrechten des Datenschutzes und des Privat- und Familienlebens vereinbar wäre, zu welchen auch das Fernmeldegeheimnis zählt." Zwar könne in diese Grundrechte eingegriffen werden, jedoch nur unter der Wahrung der Verhältnismäßigkeit. Eine allgemeine Beweisausforschung (im Fachjargon "fishing expedition" genannt), bei der ohne konkreten Verdacht Daten von Privaten durchsucht würden, sei jedenfalls unzulässig. "Auf das läuft die Chatkontrolle allerdings hinaus", stellt Bußjäger fest.

Bereits im Juli 2021 hat das EU-Parlament eine Verordnung der EU-Kommission verabschiedet, die es Anbietern von E-Mail- und Messenger-Diensten auf freiwilliger Basis ermöglicht, die Nachrichten ihrer Kunden nach kinderpornografischem Inhalt zu durchstöbern. Die Abstimmung über das Gesetz, das bestimmte Vorschriften der EU-Datenschutzrichtlinie bis Mitte 2024 aussetzt, wurde im Eilverfahren durchgeführt. Dies nicht zuletzt deshalb, damit voreilige Firmen nicht gegen EU-Recht verstoßen. Denn während einige Unternehmen die Nachrichten ihrer Kunden bereits seit längerem automatisiert filzen, ist dies eigentlich von der EU-Gesetzgebung untersagt.

Microsoft entwickelte beispielsweise die Software PhotoDNA. Dieses Programm wandelt digitale Bilder in numerische Werte um und erstellt einen digitalen Fingerabdruck, damit diese identifizierbar werden. So sollen bereits einmal als illegal eingestufte Fotos oder auch Videos aufgespürt werden. Der Abgleich der Bilder erfolgt über die Datenbank der staatlich finanzierten US-Organisation National Center for Missing & Exploited Children (NCMEC). Schlägt das Programm an, wird der Versand unterbunden, der Inhalt gelöscht und gegebenenfalls die Polizei verständigt. Zum Einsatz kommt diese Technik bei den hauseigenen Produkten von Microsoft wie Skype oder der Spielkonsole Xbox. Aber auch andere Anbieter wie Google, Twitter und Facebook greifen bereits auf PhotoDNA zurück.

Apple plant bei seinen Produkten ebenfalls den Abgleich mit der NCMEC-Datenbank. Außerdem hat das Unternehmen bereits an Programmen gearbeitet, bei denen mithilfe Künstlicher Intelligenz - und ohne Vergleich mit bekanntem Material - sexuell explizite Bilder erkannt werden sollen und gegebenenfalls Alarm geschlagen wird.

EU torpediert sich selbst

Dies alles geschieht derzeit mehr oder weniger freiwillig. Doch mit der neuen Verordnung soll nun die Verpflichtung hinzukommen. "Eine freiwillige Meldung wird dann nicht mehr ausreichen", so Kommissarin Johansson. Die Betreiber sollen künftig zur automatischen Nachrichtendurchleuchtung gezwungen werden. Wie genau man sich die technische Umsetzung vorstellt, ist noch nicht genau geklärt. In der EU-Kommission hält man sich auf Nachfrage mit offiziellen Aussagen zu dem Thema bedeckt. Experten gehen jedoch davon aus, dass die Überwachungsmethode den Anbietern selbst überlassen werden soll.

Spannend ist dabei die Frage, wie mit dem Thema Verschlüsselung umgegangen wird. Manche Programme, wie WhatsApp, setzen nach jahrelangen Kämpfen und Kritik mittlerweile eine Ende-zu-Ende-Verschlüsselung ein. Auch beim E-Mail-Verkehr greifen manche Nutzer darauf zurück. Dabei wird der Inhalt einer Nachricht beim Absender verschlüsselt und somit unlesbar gemacht. Erst beim Empfänger wird sie dann wieder entschlüsselt. Das stellt sicher, dass niemand auf dem digitalen Transportweg (etwa Provider, Serverbetreiber, Softwareanbieter, aber auch Behörden) mitlesen kann. Die EU steigt bei diesem Thema allerdings gleichzeitig aufs Gas und auf die Bremse. Bereits seit 2016 versucht die EU, eine E-Privacy-Verordnung durchzubringen. Das scheiterte bisher an einer Einigung der einzelnen Mitgliedstaaten. Grundsätzlich soll durch die Verordnung das Abgreifen persönlicher Daten durch Unternehmen und auch den Staat begrenzt werden. Die Ende-zu-Ende-Verschlüsselung soll für jede Datenübertragung zur Pflicht werden und auch nicht von Regierungen eingesehen werden können. Dabei hat man sogar an ein Verbot von Hintertüren gedacht, die Hersteller einbauen könnten, um sich oder Regierungen im Bedarfsfall doch einen Zugang zum Nachrichteninhalt zu gewähren. Genau das wird aber durch die Chatkontrolle ausgehebelt.

Ansätze dafür, wie man an die unverschlüsselten Nachrichten gelangt, gibt es viele. Einer wäre die Schaffung eines Generalschlüssels, mit dem der Inhalt für die Überprüfung dechiffriert werden kann. Wahrscheinlicher ist hingegen, dass die zu verschickende Nachricht noch vor ihrer Chiffrierung auf dem Handy oder Computer überprüft wird. Dieses Client-Side-Scanning (CSS) genannte Verfahren führt wiederum die Ende-zu-Ende-Verschlüsselung ad absurdum. Auf die analoge Nachrichtenwelt umgelegt wäre das in etwa so, also dürfte man einen verschlossenen Brief erst abschicken, nachdem man dessen Inhalt der Post zur Durchsicht gegeben hat.

Kritiker merken zudem an, dass CSS nicht nur unverlässlich, sondern auch potenziell schädlich ist. Unter der Führung von Ross Anderson, Professor an der Universität Cambridge, haben mehr als ein Dutzend der renommiertesten Kryptografen weltweit in einer 40-seitigen Analyse dargelegt, wie CSS "versagen, umgangen oder sogar missbraucht werden kann". Ihr Fazit: "CSS schafft von Natur aus ernsthafte Sicherheits- und Datenschutzrisiken für die gesamte Gesellschaft. Die Hilfe, die es bei der Rechtsdurchsetzung bietet, ist hingegen bestenfalls problematisch." Gefährlich ist diese Methode nicht zuletzt auch deshalb, weil mit ihr nicht nur Kinderpornografie, sondern so gut wie alle Daten ausgeforscht werden können. In den falschen Händen kann sie zu einem übermächtigen Kontrollinstrument werden und Größenfantasien totalitärer Machthaber befeuern.

Serienweise falsche Treffer

Abgesehen davon haben Facebook und Apple beim Einsatz von CSS serienweise falsche Treffer gemeldet. Die Schweizer Bundespolizei wiederum berichtet, dass 86 Prozent der vermeintlichen Treffermeldungen im Jahr 2020 gar nicht strafrechtlich relevant waren. So würde es an Gewissheit grenzen, dass letztlich Unschuldige im Visier strafrechtlicher Fahnder landen würden. Zahllose Beispiele sind denkbar: von harmlosen Urlaubsfotos, auf denen Kleinkinder nackt am Strand spielen, bis hin zu anzüglichen Selfies, die unter Partnern ausgetauscht werden. Aber auch völlig Irrelevantes könnte durch einen Analysefehler falschen Alarm auslösen: Zugangscodes für die Bank, Haustiere - der Fantasie sind keine Grenzen gesetzt. Das alles würde dann ohne Wissen der Nutzer bei einem Mitarbeiter des Messaging-Anbieters, der Polizei oder sonst einer Behörde landen.

Datenschützer fürchten, dass die Kinderpornografie nur der geeignete Hebel ist, um den Datenschutz auszuhebeln. Ist das Tor erst einmal geöffnet, könnten weitere Delikte folgen - Waffen, Drogen, usw. Doch wo zieht man die Grenze? Die EU-Kommission beteuert, dass es sich um eine einzige Ausnahme zum Wohle der Kinder handle. Doch manch offizielles Schriftstück verunsichert Kritiker. Etwa ein Schreiben zum Thema Prävention von Kindesmissbrauch des Europäischen Rates. In diesem wurde herausgestrichen, wie schwierig die Ende-zu-Ende-Verschlüsselung den Behörden ihre Recherche macht. Andererseits wird darauf verwiesen, dass Kindesmissbrauch nur eine der kriminellen Aktivitäten ist, die mittlerweile eine starke digitale Dimension erhalten haben, wie etwa auch der Verkauf von Waffen und Drogen oder Terrorismus.

Ob der neue Gesetzesvorschlag vom EU-Parlament angenommen werden wird, ist derzeit noch nicht abzuschätzen. Das nicht zuletzt auch deshalb, weil der Text der geplanten Verordnung noch nicht vorliegt. Von den österreichischen Abgeordneten im EU-Parlament haben sich die Grünen im Sommer 2021 noch als Einzige gegen die Übergangsverordnung zur Chatkontrolle ausgesprochen. FPÖ und Neos enthielten sich, während ÖVP und SPÖ dafür stimmten. Doch die einheitliche Front der Großparteien beginnt zu bröckeln. Mit ein Grund dafür dürfte letztlich der Zwang zur unausweichlichen Durchleuchtung der privaten digitalen Korrespondenz sein.

Konkrete Vorlage abwarten

"Wir lehnen die Massenüberwachung von Chats der EU-Bürger ab", erklärt Andreas Schieder, Leiter der SPÖ-Delegation im EU-Parlament. Man müsse aber erst einmal abwarten, was die EU-Kommission schließlich konkret vorlege. "Eigentlich geht es um ein Paket gegen Kindesmissbrauch, und da gibt es auf europäischer Ebene einiges zu verbessern, und zwar viel mehr als nur diese eine Maßnahme." Letztlich werde man die Grundrechte des Kinderschutzes und des Datenschutzes abzuwägen. "Sollte der Vorschlag aber wirklich lauten, dass eine Art Roboter entwickelt werden muss, der alle Inhalte von Chats nach Schlagwörtern durchsucht, und das Ganze auch noch vor Verschlüsselung, dann wäre das eine überschießende Maßnahme, die die Privatsphäre und den Datenschutz verletzen könnte. Solche Ermittlungsmethoden halte ich nicht für sinnvoll", so Schieder. Noch sei es aber nicht so weit. Erst müsse die Verordnung präsentiert werden und dann der zuständige Ausschuss im EU-Parlament diese behandeln. Er geht davon aus, "dass es noch großen Änderungsbedarf geben wird".

Bei der ÖVP ist man zurückhaltender. Auch dort wartet man gespannt auf den konkreten Text der Verordnung. "Das EU-Parlament ist gar nicht am Zug, sondern die EU-Kommission. Dort hütet man die Arbeit am Vorschlag wie ein Geheimnis", sagt Lukas Mandl, ÖVP-Sprecher für Justiz und Sicherheit im EU-Parlament. "Wenn dafür etwas Gutes herauskommt, soll mir das recht sein." Es werde darum gehen, mit Hausverstand, Seriosität und Kompromissbereitschaft einen guten Weg zu finden. "Ich will keine Orwell’sche Welt, und ich will auch nicht, dass Kinderschänder frei herumlaufen." Allerdings gibt Mandl schon jetzt zu bedenken: "Es werden nachher nicht alle zufrieden sein."

Claudia Gamon von den Neos wollte vorab noch nicht Stellung beziehen.

FPÖ und Grüne klar dagegen

Bei der FPÖ kann man sich nach derzeitigem Stand der Dinge nicht vorstellen, der Verordnung zuzustimmen. "Natürlich ist der Kampf gegen Kinderpornografie wichtig. Was hier allerdings auf dem Tisch liegt, wäre eine aus unserer Sicht weit überschießende Bestimmung. Damit würde die gesamte Ende-zu-Ende-Verschlüsselung von Chat-Apps aufgehoben werden", erklärt Harald Vilimsky, FPÖ-Delegationsleiter im EU-Parlament. "Jegliche Kommunikation über solche Apps - sowohl textbasiert als auch Fotos und Videos - könnte automatisiert gescannt werden. Damit wäre die Tür für Überwachungsmaßnahmen jeder Art weit offen. Heute reden wir vom notwendigen Kampf gegen Kinderpornografie, aber wer garantiert, dass morgen mit solchen Instrumenten nicht auch ganz andere Dinge überwacht werden?" Das Prinzip hinter solchen Ideen sei, dass jeder verdächtig sei - auch ohne Anlass. "Die EU-Kommission droht mit einem solchen Zugang unter dem Vorwand eines respektablen Ziels die Union zum Überwachungsweltmarktführer zu machen. Das kann man in dieser Form nicht gutheißen."

Weiterhin gegen Chatkontrolle sind auch die Grünen, die auf europäischer Ebene in einer Fraktion mit den datenschutzaffinen Piraten sitzen. Deren deutscher Abgeordneter Patrick Breyer lässt an der Chatkontrolle kein gutes Haar. "In Europa ist es eigentlich selbstverständlich, dass es dem Fernmeldegeheimnis unterliegt, wenn Sie telefonieren oder Nachrichten schreiben." Dieses Grundrecht werde verletzt, wenn flächendeckend nach verdächtigen Inhalten gescannt werde. Für Breyer läuft die Regelung an der Realität vorbei: "Kinderpornoringe verschlüsseln ganze Archive von Bildern und Videos als Zip-Datei, die laden sie bei einem Filesharing-Anbieter hoch und teilen dann einfach nur den Link samt Passwort."

Verordnung am Ziel vorbei

Der von Breyer beschriebene Vorgang zeigt, wie schon jetzt die vermutlichen Mechanismen der EU-Verordnung umgangen werden. Die EU geht von einem Idealszenario aus: Kinderschänder 1 macht ein grausliches Foto und verschickt dieses per WhatsApp an Kinderschänder 2. Er fühlt sich sicher, weil durch die Verschlüsselung des Anbieters niemand den Inhalt seiner Nachricht überprüfen kann. Die neue EU-Regelung zielt darauf ab, dem einen Riegel vorschieben. Doch für das Szenario, das Breyer beschreibt, ist diese Methode ungeeignet. Kinderschänder 1 verschickt das Foto nämlich gar nicht via WhatsApp oder E-Mail. Er verschlüsselt es auf seinem Handy oder Computer mit einem der unzähligen Verschlüsselungsprogramme. Dann lädt er die unkenntliche Datei bei irgendeinem Anbieter hoch, ohne dass dieser die verschlüsselten Daten ordnungsgemäß überprüfen könnte oder müsste. Zum Abschluss schickt er Kinderschänder 2 die Internetadresse, auf der das verschlüsselte Foto zu finden ist, und dazu das Passwort, das die Entschlüsselung des Fotos erlaubt. Nichts davon würde dazu führen, dass ein Nachrichten-Programm Alarm schlägt.

Auch EU-weit zeigt sich eine fraktionsübergreifende Skepsis. In Deutschland etwa haben sich FDP-, aber auch SPD-Abgeordnete gegen die geplante Verordnung ausgesprochen. Die Frage wird letztlich sein, ob man bereit ist, in ein Grundrecht einzugreifen - was auch die EU selbst im Text ihrer derzeit gültigen Übergangsverordnung einräumt: "Trotz ihres legitimen Ziels bedeuten die freiwilligen Maßnahmen von Anbietern zur Aufdeckung von sexuellem Missbrauch von Kindern im Internet einen Eingriff in die Grundrechte auf Achtung des Privat- und Familienlebens und auf den Schutz personenbezogener Daten aller Nutzer."