Microsoft scannt allesSkype-Chats auf Terrorverdacht durchleuchtet

Microsoft scannt Bilder und Videos in privaten Chats auf Skype und Linkedin auf illegale Inhalte. Dass er damit neue EU-Regeln verletzt, ignoriert der Softwarekonzern.

Skype-Call
Microsoft durchleuchtet Bilder und Videos, die über Skype und Linkedin verschickt werden. Gemeinfrei-ähnlich freigegeben durch unsplash.com Dylan Ferreira

Wer über Microsoft-Dienste wie Linkedin und Skype chattet, muss mit Durchleuchtung seiner Bilder und Videos rechnen. Microsoft scannt alle privaten Nachrichten auf mögliche Fälle von Kindesmissbrauch und auf verbotene Terrorinhalte. Diese Überwachung von Nachrichten war bislang erlaubt, doch nun ist der Konzern damit in einer Grauzone.

Bereits vor einem Jahrzehnt entwickelte Microsoft die Datenbanksoftware PhotoDNA, die das Aufspüren von Fotos und Videos von Kindesmissbrauch erlaubt. Nicht nur Microsoft, sondern auch Google, Facebook und andere Internetdienste nutzen seit Jahren Scans auf Basis von Hash-Werten, um illegale Inhalte in unverschlüsselten privaten Nachrichten zu finden und an die Behörden zu melden. Auch für Terrorinhalte gibt es eine solche Datenbank.

Möglich sind solche Scans bei unverschlüsselten Inhalten. Skype bietet zwar seit einigen Jahren Ende-zu-Ende-Verschlüsselung für alles außer Video-Chats an, standardmäßig sind Nachrichten auf dem Dienst aber nicht verschlüsselt. Auch Nachrichten aus Linkedin und über Microsofts E-Maildienst Hotmail sind nicht Ende-zu-Ende-verschlüsselt.

Eine Gesetzesänderung macht das pauschale Scannen von Inhalten rechtlich zumindest fragwürdig. Mit 21. Dezember 2020 sollten alle EU-Staaten den Europäischen Kodex für Elektronische Kommunikation umsetzen. Der Kodex stellt Over-the-top-Dienste wie Whatsapp oder Skype beim Datenschutz rechtlich gleich mit herkömmlichen Telefonverbindungen.

Diensteanbietern wird damit das generelle Scannen aller Inhalte untersagt – eigentlich. Durchgesetzt werden können die neuen Regeln hierzulande bislang nicht, da Deutschland den Kodex noch nicht in deutsches Recht übernommen hat.

Während Facebook wegen der Gesetzesänderung das Durchleuchten von privaten Nachrichten vorerst stoppte, scannt Microsoft weiter nach Verdachtsfällen von Kindesmissbrauch und Terrorpropaganda. Der Konzern kündigte das im Dezember gemeinsam mit Google in einer Pressemitteilung an. Der Piraten-Abgeordnete Patrick Breyer reichte dagegen Beschwerde bei der irischen Datenschutzbehörde ein, die EU-weit federführend für Microsoft zuständig ist. Verfahren in Irland können aber Jahre dauern, bis dahin dürfte sich die Gesetzeslage längst wieder geändert haben.

„Könnten auf freiwillige Maßnahmen verzichten“

Hinter verschlossenen Türen drängt Microsoft darauf, ungehindert weitermachen zu können wie bisher. Die EU arbeitet an einem Reparaturgesetz, dass Scannen auf Kindesmissbrauchsinhalte wieder explizit erlauben soll. Dafür soll es nach Wunsch des EU-Parlaments allerdings Auflagen geben, etwa Prüfungen durch die Datenschutzbehörden.

Dagegen lobbyiert Microsoft an höchster Stelle, im Kabinett von EU-Kommissionspräsidentin Ursula von der Leyen. Schaffe das Reparaturgesetz zu viele Auflagen für Dienstbetreiber, dann „könnten einige auf die freiwilligen Maßnahmen verzichten“, sagte ein Microsoft-Vertreter bei einem Videocall mit einem Kabinettsmitarbeiter Von der Leyens. Eine Gesprächsnotiz des Treffens gab die EU-Kommission auf Anfrage von netzpolitik.org heraus.

Droht Microsoft der Kommission? Auf die schriftlich gestellte Frage von netzpolitik.org nach dem Gespräch gab der Konzern keine Antwort.

In dem Videocall machte Microsoft auch Xbox-Chatnachrichten zum Thema. Die lange erwartete ePrivacy-Verordnung der EU könne es dem Konzern rechtlich verunmöglichen, die Chats über die Spielekonsole zu moderieren, sagte ein Konzernvertreter laut der Gesprächsnotiz.

Die Kommission merkt in dem Gespräch an, dass Microsofts Entscheidung zum weiteren Scannen von Nachrichteninhalten „schwierig“ sei, es fehle dabei an „rechtlicher Sicherheit“. Doch warum hat der Kabinettsmitarbeiter dann den Konzern nicht aufgefordert, seine Durchleuchtungsaktion einzustellen?

Auf Anfrage betonte die Kommission, es sei nicht ihre Sache, die Praktiken von Onlinediensten zu beurteilen. „Diese Beurteilung ist Sache der nationalen Datenschutzbehörden oder anderer zuständiger Regulierungsbehörden“, schrieb eine Sprecherin per E-Mail.

Neue Regeln gegen Terrorpropaganda

Während das freiwillige Scannen von privaten Nachrichten vorerst in einer rechtlichen Grauzone steckt, beschließt das EU-Parlament in den kommenden Tagen ein neues Gesetz für das Aufspüren von terroristischen Inhalten. Dieses schreibt vor, dass Plattformen wie Facebook und Youtube binnen einer Stunde reagieren müssen, wenn ihnen Behörden in einem EU-Staat das Löschen von Inhalten anordnen.

Allerdings betreffen diese Anordnungen meist nur Videos oder Bilder, die öffentlich auf einem Dienst wie Youtube abrufbar sind. Private Chatnachrichten sind davon unberührt. Doch im Fall von Terror- und Kindesmissbrauchsinhalten müsse es Maßnahmen geben, heißt es in der Gesprächsnotiz der EU-Kommission, auch wenn diese „gewisse Freiheiten beschränken“.

2 Ergänzungen

  1. Da war schon jemand schneller mit der NSA aus dem Jahr 2013. Leider ist das bei Microsoft Skype genauso wie bei Lenovo, LTD. und Cisco Systems.

    Sind allesamt aufgeflogen mit Backdoors und Koorporation zu diversen Diensten und dem Bruch der Privatsphäre/Sicherheit aber Produkte werden bis heute weiterbeworben. Nicht nur auf (selbsternannten) IT- Seiten.

    Wie ist das zu rechtfertigen? Oder zeigt es wieder nur wie kurz das Gedächtnis im Zeitalter der Massenmedien ist?

    Und wenn wir schon dabei sind, können wir gleich weitermachen bei Scans durch Google, LLC und Google Vision, Amazon Recognition mitsamt kompletter AWS Plattform und zig Einzeldiensten die zuliefern und auch bis heute fleißig die Werbetrommel rühren. Immer vorweg mit dem Satz: Ihre Privatsphäre ist uns wichtig.

    Auch hier, wie ist das zu rechtfertigen dass sich Firmen und Technologiekonzerne nehmen was sie wollen und mit Daten umgehen wie sie wollen?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.