Alterskontrolle und Netzsperren: Es geht um viel mehr als nur die Chatkontrolle
Im Kampf gegen den sexuellen Missbrauch von Kindern will die EU-Kommission nicht nur eine sogenannte Chatkontrolle einführen. Auch andere der geplanten Maßnahmen könnten weitreichende Wirkungen entfalten und werden als das kleinere Übel dargestellt. Dazu zählen beispielsweise eine wirksame Alterskontrolle von Nutzern sowie europaweite Netzsperren. Doch das ist längst noch nicht alles.
Allein der Verordnungsentwurf (PDF)(öffnet im neuen Fenster) umfasst mehr als 130 Seiten. Nur ein kleiner Teil davon ist der eigentlichen Chatkontrolle gewidmet, also der Detektion von Missbrauchsmaterial und Anbahnungsversuchen auf den Endgeräten der Nutzer. "Es findet sich im Gesetzesvorschlag sogar eine Regelung, die mit einer erweiterten Vorratsdatenspeicherung verglichen werden kann, indem Inhaltsdaten für maximal zwölf Monate gespeichert werden können" , kritisierte der Bremer IT-Sicherheitsrechtler Dennis-Kenji Kipker(öffnet im neuen Fenster) .
"Neue Supersicherheitsbehörde"
Auch ein neues, bei Europol in Den Haag angesiedeltes EU-Zentrum spielt eine große Rolle. Dieses soll unter anderem die Scan-Software für die Chatkontrolle zur Verfügung stellen soll.
Für Kipker wird mit dem geplanten EU-Zentrum eine "neue Supersicherheitsbehörde mit extensiven Datensammelbefugnissen und sehr weitreichenden Datenverarbeitungsbefugnissen geschaffen, deren Mitarbeiter juristische Immunität genießen" . Zudem schreibe der Entwurf vor, dass die neue EU-Behörde die am weitesten reichenden Rechte in den Mitgliedstaaten besitzen solle, die ihr nach Rechtsvorschriften zuerkannt werden könnten.
Enge Kooperation mit Europol
Das EU-Zentrum soll die Überwachungstechnik, mit der die Nachrichten oder Inhalte bei den jeweiligen Anbietern eines Kommunikations- oder Hostingdienstes gescannt werden, kostenlos zur Verfügung stellen. Von wem die Überwachungssoftware stammen soll, steht bisher noch nicht fest. Auch eine Datenbank mit den Indikatoren zu bereits bekannten Inhalten von Kindesmissbrauch soll von dem EU-Zentrum erstellt und gepflegt werden.
Das EU-Zentrum soll sehr eng mit Europol zusammenarbeiten und sich gegenseitig "größtmöglichen Zugang zu einschlägigen Informationen und Informationssystemen" geben. Auch auf administrative Funktionen von Europol soll das EU-Zentrum zurückgreifen, darunter beispielsweise das Personalmanagement und die IT. Parallel dazu wird Europol immer weiter in Richtung eines europäischen FBI ausgebaut , allerdings ohne Exekutivbefugnisse wie Verhaftungen oder Hausdurchsuchungen, aber mit entsprechenden Big-Data- und Geheimdienstkompetenzen.
Interne Kritik aus dem Überprüfungsausschuss
Ganz klar sind die Rolle des Zentrums und die entstehenden Kosten allerdings noch nicht, wie auch eine aktuelle Stellungnahme des Überprüfungsausschusses der Europäischen Kommission(öffnet im neuen Fenster) äußert. Der Ausschuss hatte interne Entwürfe des Gesetzes bereits in der Vergangenheit mit deutlichen Worten kritisiert .
Zu der Argumentationslinie der EU-Kommission gehört inzwischen, die eigentliche Chatkontrolle nur als das letzte Mittel darzustellen. Denn es gebe für die Anbieter noch andere Möglichkeiten, das Risiko zu vermindern, dass ihre Dienste beispielsweise für das sogenannte Grooming genutzt werden können.
Alterskontrolle für alle Kommunikationsdienste?
Der Verordnungsentwurf nennt selbst eine Altersüberprüfung als mögliche Maßnahme, um dieses Risiko zu minimieren. Doch eine wirksame Alterskontrolle ist zum einen für die Anbieter ein aufwendiges Verfahren, zum anderen setzt sie die Nutzer zusätzlichen Datenschutzrisiken aus. Und vermutlich wäre sie leicht zu umgehen.
Ein Beispiel dafür ist die Alterskontrolle bei der Google-Tochter Youtube. Die Videoplattform verlangt in Europa inzwischen einen Altersnachweis auf Basis von Kreditkartenangaben oder eines amtlichen Ausweises. Es ist nicht gerade eine beruhigende Vorstellung, künftig bei jedem Messenger- und E-Mail-Dienst sowie sozialen Netzwerk seinen Personalausweis hochladen zu müssen.
Null-Wissen-Beweis möglich
Andererseits lässt sich die Alterskontrolle bei Youtube beispielsweise über einen VPN-Anbieter umgehen(öffnet im neuen Fenster) . Denn in den USA verlangt das Portal weiterhin nur eine Altersbestätigung per Mausklick. Es ist ebenfalls davon auszugehen, dass die Anbieter die Alterskontrolle nicht global, sondern nur in der EU umsetzen würden.
Eine Alternative zum Dokumenten-Upload könnte das Konzept des sogenannten Null-Wissen-Beweises(öffnet im neuen Fenster) (engl.: Zero-Knowledge-Proof) darstellen. Hierbei würde beispielsweise von einem Anbieter über einen elektronischen Personalausweis nur die Volljährigkeit des Nutzers überprüft. Damit könnte verhindert werden, dass dem Dienst ebenfalls die Identität des Nutzers und weitere, nicht erforderliche Daten bekannt werden. Allerdings könnte die Maßnahme auch bedeuten, dass Dienste, die derzeit ohne Account genutzt werden können, eine Anmeldung verlangen.
ID-Dienste würden attraktiver
Die Sicherheitsexpertin Lilith Wittmann warnte kürzlich vor den Gefahren solch "selbstbestimmter Identitäten"(öffnet im neuen Fenster) (engl.: Self Sovereign Identity (SSI)). Dazu hat die EU-Kommission bereits vor einem Jahr eine europaweit einheitliche digitale Identität vorgeschlagen .
"Sehr große Plattformen werden verpflichtet sein, die Verwendung von EUid-Brieftaschen auf Verlangen des Nutzers, beispielsweise zum Nachweis seines Alters, zu akzeptieren" , teilte die Kommission damals mit. Demnach müssten Anbieter wie Google oder Facebook auch die neue EU-ID zum Login ermöglichen. Eine pseudonyme Nutzung der elektronischen Identität wird in dem Vorschlag aber ausdrücklich untersagt, was wiederum von Datenschützern kritisiert wird.
Warnung vor SSI-Verfahren
Wittmann warnt abschließend in ihrer ausführlichen Analyse: "Die SSI-Technologie ist für uns als Gesellschaft gefährlich. Sie ist gefährlich, weil sie Bürger*innen und deren Daten ein enormes Risiko aussetzt. Vor allem birgt sie aber soziale Gefahren. Eine völlige Nachverfolgbarkeit unserer digitalen Aktivitäten und immer absolut korrekte und nachvollziehbare personenbezogene Daten mögen zwar für die Wirtschaft ziemlich attraktiv sein. Für uns als Bürger*innen würden wir mit einer flächendeckenden SSI-Nutzung aber einer Überwachungsdystopie einen ganzen Schritt näherkommen."
Mit der Chatkontrolle in der geplanten Form wäre eine Alterskontrolle über solche digitale Identitäten wohl für viele Anbieter eine Option. Denn gerade Anbieter verschlüsselter Kommunikation stehen vor einem Dilemma: Weil sie nicht in die Kommunikation ihrer Nutzer hineinschauen können, wissen sie im Grunde nicht, ob ihre Dienste überhaupt zur Verbreitung von Missbrauchsdarstellungen oder für Grooming genutzt werden.
Darüber könnten möglicherweise nur Ermittler Auskunft geben, die beispielsweise Geräte von Verdächtigen überprüft oder Anzeigen mit entsprechenden Beweisen erhalten haben. Doch neben den Identitäten will die EU mit ihrem Verordnungsentwurf auch Appstores kontrollieren und Internetprovider zu Netzsperren zwingen.
EU will Netzsperren errichten und Appstores kontrollieren
Zudem betrifft die Chatkontrolle bei weitem nicht nur Messenger, Chats und soziale Medien, sondern auch Hosting-Provider und Appstores. Über letztere kann die EU Druck auf Apps ausüben, die den Anforderungen nicht nachkommen und beispielsweise ihre Ende-zu-Ende-Verschlüsselung nicht aushebeln wollen. Diese könnten dann in der EU schlicht aus den Appstores verschwinden. Ein immenser Hebel, um die Apphersteller zur Kooperation zu bewegen und gleichzeitig die Möglichkeit einen Großteil der Bürger der EU von den Apps – beispielsweise eine Messenger mit Ende-zu-Ende-Verschlüsselung – abzuschneiden. Dazu kommen Strafen von bis zu sechs Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens – und damit mehr als die höchstmögliche Strafe der Datenschutzgrundverordnung (DSGVO).
Nach dem Gesetzentwurf werden die Appstores zudem selbst zu einer Art Hilfssheriff herangezogen. So sollen diese "angemessene Anstrengungen" unternehmen, um für jede angebotenen App beziehungsweise deren Dienste einzuschätzen, ob sie zur Anwerbung von Kindern verwendet werden können. Wird das Risiko vom Appstore-Betreiber als signifikant eingeschätzt, muss verhindert werden, dass Kinder diese nutzen können – beispielsweise durch eine Altersverifikation.
Die notwendigen Kriterien sollen von den Appstore-Betreibern ausgearbeitet und öffentlich zugänglich gemacht werden. Informationen, welche die Wirksamkeit der Maßnahme einschränken, sollen jedoch nicht enthalten sein.
Wie Community-Appstores wie beispielsweise F-Droid solche Regelungen umsetzen soll, bleibt vollkommen unklar. Dieser verfügt aus Datenschutzgründen bewusst über keine Accounts, die Apps können einfach heruntergeladen werden – sowohl über Appstore-Anwendungen als auch über die Webseite. Unklar ist ebenfalls, ob auch Linux- oder BSD-Distributionen mit ihren Repositorien von entsprechenden Regelungen erfasst wären.
Die Netzsperren der Zensursula sind zurück
Als Bundesfamilienministerin hatte Ursula von der Leyen bereits 2009 versucht , in Deutschland Netzsperren durchzusetzen. Dabei schreckte sie auch nicht davor zurück, Journalisten Abbildungen von sexueller Gewalt gegen Kinder vorzuführen. Eine Anzeige gegen von der Leyen(öffnet im neuen Fenster) wegen der Verbreitung von Kinderpornografie wurde eingestellt.
Die Netzgemeinde protestierte, verpasste von der Leyen den Spitznamen Zensursula und forderte, das Konzept "Löschen statt Sperren" einzuführen – das letztlich auch Gesetz wurde .
Nun erleben die Netzsperren vonseiten der EU – mit Kommissionspräsidentin von der Leyen – ein Revival. Auch der aktuelle Verordnungsentwurf verpflichtet Internetzugangsanbieter, den Zugang zu kinderpornografischen Inhalten zu sperren – sofern diese nicht gelöscht wurden.
Dabei ergab eine Recherche(öffnet im neuen Fenster) , dass die Polizei das Löschen von Links zu kinderpornografischen Inhalten gar nicht als ihre Aufgabe ansah . Die Journalisten sammelten daraufhin entsprechende Links und ließen sie löschen.
Schnelle Umgehung bei XHamster
Auch bei den Netzsperren besteht wie bei der Chatkontrolle die Gefahr, dass sie – einmal eingeführt – thematisch kontinuierlich erweitert werden und so eine Zensurinfrastruktur entsteht. Diese lässt sich zwar leicht durch alternative DNS-Server, Tor(öffnet im neuen Fenster) oder VPNs umgehen, dürfte aber bei den meisten Bürgern die entsprechende Wirkung entfalten.
Gleichzeitig hat eine erst kürzlich durch die Landesmedienanstalt Nordrhein-Westfalen erlassene Sperrverfügung gegen die Pornoseite XHamster gezeigt, wie leicht solche Sperren auch anbieterseitig zu umgehen sind . Die Sperre hielt nur wenige Stunden, bis sie vom Anbieter durch einen Austausch der verwendeten Subdomain umgangen wurde.
Die genannten Beispiele machen deutlich, wie weitgehend sich die Pläne der EU-Kommission auf die alltägliche Internetnutzung auswirken könnten. Es reicht daher nicht aus, sich nur auf die Details der eigentlichen Chatkontrolle zu konzentrieren. Auch bei den Themen Alterskontrolle, Netzsperren und Datensammlungen sollten Politik und Öffentlichkeit genau hinschauen, was am Ende beschlossen wird und was damit überhaupt erreicht werden kann.