Gegen Massenüberwachung: Bürgerrechtler entwickeln zehn Grundsätze für Chatkontrolle

Bürgerrechtsgruppen warnen vor einer unzulässigen Massenüberwachung, wenn künftig Kommunikationsinhalte zur Bekämpfung von Kindesmissbrauch durchleuchtet werden sollen. Bei den geplanten gesetzlichen Regelungen in der EU sollten daher zehn Grundsätze beachtet werden, heißt es in einem Papier (PDF) der Organisation Edri, die von 45 europäischen Initiativen unterstützt wird. Die EU-Kommission wird ihren Gesetzentwurf voraussichtlich Ende März 2022 veröffentlichen.

Die Verordnung soll den Anbietern von Mail- und Messengerdiensten dauerhaft die Durchleuchtung von Nutzerinhalten ermöglichen. Im vergangenen Juli hatte das Europaparlament eine vorläufige Verordnung gebilligt, die zunächst für drei Jahre gilt. Die Inhalte der Nutzer sollen dabei auf Darstellungen des sexuellen Missbrauchs von Kindern ("child sexual abuse material"/CSAM) durchsucht werden.

Durchleuchtung auf Endgeräten

Der Entwurf könnte deutlich weiter als die aktuelle Regelung gehen. Das betrifft vor allem die Möglichkeit, verschlüsselte Inhalte, wie sie bei den Messengerdiensten wie Whatsapp oder Signal versendet werden, zu überprüfen. Diskutiert wird beispielsweise ein Zweitschlüssel ("Exceptional Access"), mit dem Strafverfolgungsbehörden oder Geheimdienste auf die dann nicht mehr Ende-zu-Ende-verschlüsselten Inhalte zugreifen könnten.

Als Alternative wird vorgeschlagen, dass die Inhalte mit einer Art Uploadfilter ("Client-Side-Scanning" (CSS)) auf dem Smartphone oder Computer des Benutzers analysiert und je nachdem an Behörden ausgeleitet werden. Auch damit würde die Ende-zu-Ende-Verschlüsselung ausgehebelt. Der US-Computerkonzern Apple hatte im August 2021 ein vergleichbares System für seine iPhones und iPads angekündigt. Diese Foto-Scans wurden von Kritikern als "Backdoor" auf den Endgeräten bezeichnet. Wegen der heftigen Kritik verschob Apple schließlich den Start der Funktion.

Zehn Grundsätze sollen eingehalten werden

In einem Statement der Digitalen Gesellschaft zu dem Edri-Papier heißt es nun: " Nur wenn alle folgenden Prinzipien bei Maßnahmen zur Bekämpfung von CSAM erfüllt sind, können sie rechtsstaatlichen Grundsätzen entsprechen". Dazu zählten:

• 1. Keine Massenüberwachung
• 2. Eingriffe müssen gezielt und auf Grundlage eines individuellen Verdachts stattfinden
• 3. Eingriffe müssen rechtmäßig und auf gesetzlicher Grundlage erfolgen
• 4. Eingriffe müssen individuell angeordnet sein
• 5. Maßnahmen dürfen nur so wenig wie nötig in die Privatsphäre eingreifen und müssen sich auf die Erkennung von CSAM beschränken
• 6. Unabhängige Aufsicht und Überprüfung der Technologie und ihres Einsatzes
• 7. Kontrolle durch unabhängige Sicherheitsforschung und Zivilgesellschaft muss gewährleistet sein
• 8. Maßnahmen müssen Verschlüsselung wahren
• 9. In die Bewältigung komplexer sozialer Probleme investieren
• 10. Alle Interessengruppen einbeziehen

Verschlüsselung nicht aushebeln

Zur Begründung heißt es unter anderem: "Das allgemeine, automatische Scannen der privaten Kommunikation aller Menschen zu jeder Zeit ist ein grundlegend unverhältnismäßiger Eingriff in das Recht auf Privatsphäre. Ob zur Entdeckung von CSAM oder zu anderen Zwecken, solche Praktiken sind in einer demokratischen Gesellschaft niemals zu rechtfertigen."

Nur der individuelle Verdacht gegen eine Person könne Grundlage für eine Überwachung sein. "Der Verdacht darf nicht das Ergebnis einer allgemeinen Überwachung sein", heißt es weiter. Dem Papier zufolge sollen die nationalen Datenschutzbehörden und der Europäische Datenschutzausschuss (EDSA) "verbindliche Leitlinien für die Zulässigkeit bestimmter Technologien bereitstellen, die zur Aufdeckung von CSAM bereits eingesetzt werden und die künftig eingesetzt werden sollen".

Methoden wie Client Side Scanning lehnen die Bürgerrechtsorganisationen ab. Diese untergrüben das Prinzip der Ende-zu-Ende-Verschlüsselung, indem sie Mittel zur Umgehung kryptographischer Systeme einführten, die irgendwann unweigerlich von böswilligen Akteuren ausgenutzt würden.