Die EU möchte WhatsApp und andere Chats auf verbotene Inhalte wie Kindesmissbrauch scannen. Jeder würde damit dauerhaft unter Generalverdacht stehen – eine völlig neue Form der Massenüberwachung. Was es mit dem Gesetz und der massiven Kritik daran auf sich hat, erfahrt ihr in diesem Beitrag. Wir werden auch einen Blick auf die Hintergründe.
Was genau möchte die EU überwachen?
Die Europäische Union möchte alle Kommunikationsmittel auf illegale Inhalte überwachen – unabhängig davon ob sie privat oder öffentlich sind. Es muss auch kein Verdachtsfall vorliegen. Im Fokus stand anfangs vor allem Kindesmissbrauch, schnell wurden aber die Rufe nach anderen Straftaten laut. Konkret heißt das: Clouddienste, Soziale Netzwerke, private Chats und andere Internetdienste sollen verpflichtet werden, alle Inhalte die ihr dort hochladet pauschal zu prüfen. Sämtliche Nutzer würden damit zu potenziell Verdächtigen und müssten damit rechnen, dass intimste Daten in die Hände von Dritten gelangen.
Fehlalarme sind Vorprogrammiert, dazu später mehr. Verdachtsfälle müssten von Mitarbeitern und Polizeibehörden geprüft werden. Wer also beispielsweise ein leicht bekleidetes oder Nacktbild verschickt, dass fälschlicherweise als Kind erkannt wird weil etwa die Person zwar 18 ist aber etwas jünger aussieht, werden diese Daten zur Prüfung weitergegeben.
Dass solche Daten Begehrlichkeiten wecken und Mitarbeiter sie durchaus selbst missbrauchen, ist bereits seit längerem bekannt und vielfach dokumentiert. Ein Beispiel ist etwa die NSO Group: Hier hat ein Mitarbeiter seine Befugnisse zweckentfremdet, um einen Bekannten zu überwachen. Auch in Deutschland gibt es immer wieder Fälle von Polizisten, die Polizeidatenbanken missbrauchen – etwa um private Daten von der Partnerin einzusehen oder um für Freunde/Bekannte vermeintlich verdächtige Personen zu prüfen. Snowden hat sogar aufgedeckt, dass es für die NSA-Mitarbeiter ganz normal ist, untereinander Nacktbilder vom Fremden zu tauschen, die sie beim Überwachen erspäht haben. Dies ist kein Einzelfall.
Daher nicht verwunderlich, dass sich 72% in einer EU-Weiten Umfrage aus dem Jahre 2021 gegen eine automatisierte Kontrolle mit Anzeige ausgesprochen haben. Die Umfrage ist repräsentativ und wurde von Dr. Patrick Breyer (Piratenpartei) in Auftrag gegeben.
Wie kam es dazu? Waren Onlinedienste bisher Untätig bei Kinderpornografie?
Keineswegs, im Gegenteil: Einige große Dienste wie unter anderem Facebook, Microsofts OneDrive, Skype oder Google Mail haben Techniken zur präventiven Prüfung von Nutzerdaten bereits seit längerem angewendet. Microsofts PhotoDNA wurde 2009 gegründet, um Kinderpornografie zu erkennen. Sie wird von zahlreichen anderen Diensten wie etwa Google, Twitter, Reddit und Discord genutzt. Grundlage ist eine Datenbank mit Fingerabdrücken von bekanntem Material. Lädt ein Nutzer solches Material hoch, kann dies entfernt und eine Strafverfolgungsmethode eingesetzt werden. Dieser Ansatz wirkt noch relativ vernünftig, wenngleich er auch nicht unumstritten ist.
Die Ausnahmeregel um das durchsuchen privater Kommunikation zu ermöglichen ist jedoch ausgelaufen und stand ironischer weise im Widerspruch mit der ePrivacy EU-Richtlinie, welche mehr Privatsphäre schaffen sollte. 2021 wurde die Ausnahme verlängert und verschärft: Auch künstliche Intelligenz soll zum Einsatz kommen. Zu diesem Thema könnte man Bücher füllen – zusammengefasst ist KI keine Wunderwaffe, sondern sehr fehleranfällig. Es gibt Fehlerquoten von bis zu 86%. Auch in diesem Falle soll eine automatische Anzeige erfolgen. Ausnahmen für besonders sensible Berufe wie Anwälte oder Psychologen gibt es nicht – auch keinerlei Transparenz über die Vorgänge. All das scheint für Rechtsstaaten mindestens verwunderlich bis fragwürdig. Dennoch möchte die Mehrheit der EU-Mitgliedsstaaten mehr Daten ohne Grund speichern.
Chatdienste wie WhatsApp sind verschlüsselt, das können die doch gar nicht überwachen?
Theoretisch ja. Praktisch ist das der EU bewusst und sie möchte es umgehen: Bereits 2015 gab es die Forderung, es müsse gar Hintertüren in Verschlüsselungen geben. Dies würde einem Generalschlüssel entsprechen, in der gesamten EU. Nicht nur staatliche Organisationen könnten ihn unkontrolliert missbrauchen: Eine Hintertür kann auch von anderen ausgenutzt werden und zerstört damit die Sicherheit von Verschlüsselungen wie ein brüchiges Fundament ein Haus. Diese Forderung gab es nicht nur für Kinderpornografie, sondern generell auch für Terrorismus und andere Delikte. Unabhängig von der Motivation würden Backdoors sichere IT Systeme unmöglich machen. Es wurden bereits illegale Hintertüren bekannt, die massive Schäden verursacht haben. NotPetya gilt als einer der schlimmsten Angriffe aller Zeiten – ermöglicht durch eine von der NSA geheim gehaltene Sicherheitslücke.
Dementsprechend war die Empörung und Kritik aus vielen Reihen stark. Zumal die EU selbst mittlerweile anerkannt hat, dass sichere Verschlüsselung grundsätzlich wichtig ist. In einigen Ländern kann sie über Leben und Tod entscheiden, wenn etwa gewisse Regierungen versuchen, Kritiker einzusperren und dank Hintertüren deren Kommunikation mitlesen, evtl. sogar manipulieren können.
Mittlerweile versucht die EU daher etwas neues: Man möchte in die Dienste oder gar komplette Geräte eine Hintertür einbauen. Sie spioniert die Inhalte aus, bevor sie etwa zum Versand in WhatsApp und anderen Messengern verschlüsselt werden – oft als Chatkontrolle bezeichnet. Theoretisch müsste dafür die Verschlüsselung nicht manipuliert werden. Allerdings wären alle Menschen unter Generalverdacht gestellt. Als würde man alle Zimmer in jeder Wohnung mit Kameras ausstatten, um Vergewaltiger zu finden. In Ländern wie China wäre das denkbar und ist teilweise bereits Realität. Aber in einem Rechtsstaat ist so etwas aus verschiedenen Gründen nicht denkbar, für eine Demokratie zudem fragwürdig. Schon alleine aufgrund der fehlenden Verhältnismäßigkeit. Derart tiefe Eingriffe in die Privatsphäre sind dort nur erlaubt, wenn Beweise oder zumindest konkrete Hinweise auf eine Straftat vorliegen. In Deutschland hat das Bundesverfassungsgesetz die Massenüberwachung des BND für verfassungswidrig erklärt.
Auch das ist kein Einzelfall. Jüngst wurde das 2016 massiv erweiterte Verfassungsschutzgesetz in Teilen als Grundgesetzwidrig festgestellt. Das Gericht bemängelte unter anderem die Online-Durchsuchung, bei der Ermittler direkt auf Geräte der Bürger zugreifen, als Verfassungswidrig: Es fehle zumindest eine konkrete Gefahr, laut derzeitigem Gesetz kann diese Maßnahme willkürlich angewendet werden. Der Kernbereich der privaten Lebensgestaltung von Betroffenen sei nicht ausreichend geschützt.
Selbst der gelakte Bericht eines EU-Untersuchungsausschusses kam zu dem Schluss, eine derartige Massenüberwachung sei wahrscheinlich illegal und zudem sehr anfällig für Fehler. Dies ist nicht das erste Mal, dass es sogar aus den eigenen Reihen kritische Fragen dazu gibt, wie dies mit rechtsstaatlichen Prinzipien in Einklang gebracht werden soll. Einiges kam zudem nur durch Leaks an die Öffentlichkeit – Transparenz sieht auch hier anders aus.
Client-Side-Scanning (CSS): Apple wollte es 2021 bereits auf eigene Faust einführen
Doch das ist nicht genug: Aktuell möchte die EU vor allem private Inhalte überwachen, die eventuell zudem verschlüsselt sind. Denn PhotoDNA & co. funktionieren nur serverseitig, sofern keine Schutzmaßnahmen genutzt werden. Wenn man z.B. ein Foto ungeschützt in OneDrive hochlädt, prüft Microsoft das Bild mithilfe von PhotoDNA. Bei einigen Diensten und auch Messengern wie WhatsApp ist das nicht der Fall, weil die Nachrichten verschlüsselt direkt an das Gerät des Empfängers übertragen werden – eine sogenannte Ende-zu-Ende-Verschlüsselung. WhatsApp kann daher nicht hinein schauen, sonst wäre die Verschlüsselung nicht viel wert.
Um auch diese Inhalte überwachen zu können, möchte die EU das anfangs erwähnte Client-Side-Scanning umsetzen. Genau das ist aktuell in der Diskussion, weil es zwei wichtige Dinge ändert: Die Prüfung findet nicht mehr bei den Diensteanbietern wie Skype oder OneDrive statt, sondern direkt auf dem Gerät des Nutzers und damit noch umfangreicher als ohnehin schon. Außerdem ist es nicht mehr freiwillig, sondern die EU möchte es als Gesetz verpflichtend gestalten.
Diese „Chatkontrolle“ wird in verschiedenen Reihen als brisant angesehen. Apple wollte etwas ähnliches bereits 2021 umsetzen: Alle Medien auf iPhones, iPads & co sollten automatisch mit einer Liste von verbotenem Material abgeglichen werden. Ab einer geheimen Anzahl an Treffern schlägt das Gerät Alarm und die Medien werden geprüft. Schon damals warnten zahlreiche Sicherheitsforscher, die Pläne seien gefährlich für die IT-Sicherheit, Meinungsfreiheit und sogar Demokratie. Zumal die Ausweitung auf andere Inhalte sehr einfach ist, nachdem das System einmal etabliert wurde. Edward Snowden, der die Massenüberwachung der NSA aufzeigte warnt davor, dass autoritäre Regimes solche Technologie gnadenlos ausnutzen würden. Auch Betroffene von Kinderausbeutung stellten sich gegen solche Maßnahmen. Es gibt eine lange Liste an Menschen und Organisationen, die sich dagegen aussprechen. Apple verschob seine Pläne nach der massiven Kritik, die sowohl von extern als auch intern kam. Man möchte das Projekt aber dennoch weiter verfolgen.
Missbrauch eines Anti-Missbrauchsystemes denkbar?
Was man ebenfalls nicht vergessen darf: Da die Prüfung auf dem Gerät selbst stattfindet, ist sie sehr anfällig, selbst manipuliert zu werden. Beispielsweise, in dem man einer Person bewusst illegale Bilder schickt, damit diese auf dem Gerät gescannt werden. Das ist alles andere als abwegig. WhatsApp speichert beispielsweise jedes empfangene Bild automatisch auf dem Handy. Man könnte dadurch einen Alarm auslösen und die betreffende Person in Bedrängnis bringen, ohne dass diese etwas illegales getan hat.
In Indien ließ sich ein prinzipiell ähnlicher Fall beweisen: Das Gerät eines Menschenrechtsaktivist wurde nicht nur überwacht, sondern man hat ihm über entsprechende Hintertüren manipulierte Beweise auf seinem Computer untergejubelt. Unter den manipulierten Dateien sind Briefe mit angeblichen Mordplänen. Diese Dateien wurden von der Polizei bei einer Durchsuchung gefunden, der Mann sitzt wegen Terrorverdacht in einem Gefängnis.
Besonders brisant ist, dass die Angreifer auch mit anderen brisanten politischen Verhaftungen in Zusammenhang stehen – unter anderem von Menschenrechlern, Anwälten und Akademikern. Dies scheint dem Staat in die Hände zu spielen.
Und das sind nur die komplexeren Szenarien. Im Alltag sind die Auswirkungen einer solchen Überwachung deutlich massiver. Eine Selbstzensur ist aus Sorge um etwa eine fehlerhafte KI-Erkennung auch zu erwarten.
Wie nutzen die Ermittler die bisherigen Werkzeuge?
Das Bundeskriminalamt steht in der Kritik: Vor einigen Monaten deckten Journalisten auf, dass pädophile Inhalte nicht gelöscht werden – obwohl die Behörde durch Ermittlungen davon wusste. Noch umstrittener ist die Begründung: Man habe andere Prioritäten und zu wenig Personal. Das ist nicht nur ein Spott für Betroffene, deren Bilder weiterhin im Internet verfügbar sind. Es wirkt auch fraglich, wenn dafür alle Menschen unter Generalverdacht gestellt werden.
Und dies ist längst passiert: Die Schweizer Bundespolizei erhielt rund 9.000 Meldungen im Jahre 2019. 90% davon sind nicht illegal, auch 2020 war die Bilanz ähnlich katastrophal. In tausenden fällen wurden also mit privaten Bildern gegen unschuldige Ermittelt. In einem Beispielhaft dargestellten Fall ist ein Mann im Liegestuhl zu sehen, weiter hinten im Hintergrund spielen andere Kinder. In der EU sind solche Daten gar nicht bekannt, da keinerlei Transparenz in dem zuvor erwähnten Gesetz vorgeschrieben ist. Weitere Beispiele und Probleme finden sich auf dieser Seite von Patrick Breyer (Piratenpartei).
Sind die vorhandenen und neuen Pläne der EU geeignet?
Dies ist sehr umstritten. Es gibt zahlreiche Kritik aus verschiedenen Quellen. Der Bundesdatenschutzbeauftragter sagte 2020, dass eine Massenüberwachung ohne Grund nicht zielführend sei. Außerdem hält er es für falsch, diese Ermittlungsarbeit an private Unternehmen durch verpflichtende Scans zu übertragen. Lieber sollte der Staat zielgerichtet ermitteln. Auch der Deutsche Anwaltsverein äußert sich kritisch. Es gibt zahlreiche weitere, das ist nur ein Auszug.
Sogar Missbrauchsopfern selbst kritisieren, dass dadurch vertrauliche Kommunikationswege zerstört werden, auf die vor allem Opfer angewiesen sind, um sich Gehör zu verschaffen. Alexander Hanff sagt beispielsweise, durch das Zerstören von Freiheitsrechten wird man die Kinder nicht schützen. Stattdessen treibt man die Täter weiter in den Untergrund, wodurch sogar mehr Missbrauch entstehen soll.
Fazit
Der Entwurf sollte ursprünglich im Dezember 2021 veröffentlicht werden. Es kam zu mehreren Verschiebungen, die alle ebenfalls nicht eingehalten wurden. Mit der Veröffentlichung wird im Mai gerechnet, ein exakter Termin ist bislang nicht bekannt.
Die durchgesickerten Forderung der EU haben es bereits in sich: Sie würde eine neue Form der Massenüberwachung bedeuten. Für den Nutzer verschwimmen die Grenzen zwischen lokalen Daten und Cloud noch mehr, zumal beides verdachtsunabhängig gescannt wird. Das Missbrauchspotenzial und die Fehlerquote sind riesig – Schon alleine durch den Einsatz von künstlicher Intelligenz.
Wenngleich die Motive gegen Missbrauch nobel sein mögen: Die Maßnahmen scheinen völlig unverhältnismäßig und zudem an der falschen Stelle anzusetzen. Denn auf der anderen Seite kümmer sich das BKA beispielsweise nicht darum, bekanntes Material von gefassten Tätern zu Entfernen. Aufnahmen von Missbrauchsopfer sind dadurch weiterhin im Internet verfügbar, obwohl der Täter längst verurteilt wurde. Wenn das BKA damit bereits überfordert ist, wirft das unangenehme Fragen auf.