Ministerrat und KommissionNeuer EU-Fahrplan für Zugang zu Verschlüsselung

Der portugiesische Ratsvorsitz fordert eine EU-weite Regelung für den Zugang zu verschlüsselten Inhalten durch Polizei und Justiz. Dies soll erstmals auch Gerätehersteller betreffen. Bei Nichtbefolgung könnte den Firmen das Geschäft in der EU untersagt werden.

Die gesuchten technischen und rechtlichen Lösungen sollen auch zukünftige Ver- und Entschlüsselungstechnologien „antizipieren“.
Die gesuchten technischen und rechtlichen Lösungen sollen auch zukünftige Ver- und Entschlüsselungstechnologien ins Visier nehmen, darunter 5G und „darüber hinaus“. Gemeinfrei-ähnlich freigegeben durch unsplash.com Akhilesh Sharma

Die Europäische Union soll in naher Zukunft einen Rechtsrahmen zur Entschlüsselung verabschieden, damit Behörden auf „strafrechtlich relevante Daten“ zugreifen können. Das schreibt die portugiesische EU-Ratspräsidentschaft in einer Mitteilung und legt dazu auch einen Fahrplan vor. Ein wichtiger Meilenstein darin ist ein „Vorschlag für das weitere Vorgehen“, den die EU-Kommission bis 2022 ausarbeitet.

Das Papier aus Portugal ist mit dem vorangegangenen deutschen und dem kommenden slowenischen EU-Vorsitz abgesprochen. Das deutsche Innenministerium hatte zum Auftakt dieser sogenannten Trio-Präsidentschaft eine neue Initiative gegen Ende-zu-Ende-Verschlüsselung ergriffen und eine Entschließung sowie Schlussfolgerungen zu deren Umsetzung verabschiedet. Darin heißt es, dass die Mitgliedstaaten selbst über die von ihnen genutzten Methoden entscheiden sollen.

„Kohärenter Regelungsrahmen für die gesamte EU“

Die vergangene Woche veröffentlichte Mitteilung des Rates könnte nun eine andere Richtung weisen. Demnach soll überprüft werden, welche Auswirkungen sich aus bereits existierenden „unterschiedlichen einschlägigen Regelwerken“ ergeben. Darauf aufbauend will der Ministerrat einen „kohärenten Regelungsrahmen für die gesamte EU“ entwickeln.

Die in Rede stehenden Richtlinien oder Verordnungen werden nicht genannt. Unter anderem könnte die Europäische Ermittlungsanordnung gemeint sein, mit der die Mitgliedstaaten einander Unterstützung bei polizeilichen Ermittlungen versprechen. Dies betrifft auch das Abhören und Ausleiten von Telekommunikation in den „Anordnungsstaat“ oder Hausdurchsuchungen, um elektronische Geräte sicherzustellen. Sofern nötig und machbar, soll der „Vollstreckungsstaat“ die Geräte anschließend auf eigene Kosten entschlüsseln.

Die geplante Verordnung über Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel in Strafsachen (e-Evidence) kann ebenfalls verschlüsselte Systeme betreffen. Zwar ist der Umgang damit in dem Gesetzesvorschlag nicht direkt angesprochen. Wenn EU-Mitgliedstaaten untereinander jedoch Cloud-Daten herausgeben müssen, könnte dies an Verschlüsselung scheitern.

Zudem stößt auch die Verordnung über eine vorübergehende Ausnahme von bestimmten Vorschriften der Richtlinie 2002/58/EG an die Grenzen verschlüsselter Inhalte. Die im vergangenen Jahr eilig erlassene Regelung erlaubt Messenger- und Mail-Anbietern zur Bekämpfung des sexuellen Missbrauchs von Kindern das Durchleuchten von Inhalten auf ihren Plattformen. Nach Inkrafttreten des europäischen Kodex für die elektronische Kommunikation am 21. Dezember 2020 fallen die Firmen unter die EU-Datenschutz-Grundverordnung, die eine solche Überwachung eigentlich verbietet. Auch die Neufassung der E-Privacy-Verordnung würde dies nach gegenwärtigem Stand untersagen.

Schließlich tangiert der geforderte Entschlüsselungs-Rechtsrahmen auch die geplante EU-Verordnung für Künstliche Intelligenz. Denn liegen die verschlüsselten Daten im Klartext vor, sollen sie der Kommission zufolge mithilfe neuer Technologien analysiert werden. Um „das Gefundene“ zu verstehen, müssten die entschlüsselten Daten „in Verbindung mit anderen Daten gebracht werden“. In welchem Umfang dieses Data-Mining der Polizei und Justiz erlaubt ist, soll die neue Verordnung regeln.

Drohung mit „Stärke ihres Binnenmarktes“

Laut dem Ratspapier müssten Strafverfolgungs- und Justizbehörden „sowohl online als auch offline“ auf verschlüsselte Inhalte zugreifen dürfen. Diese Formulierung hatte bereits die Kommission am 14. April in ihrer Mitteilung über eine EU-Strategie zur Bekämpfung der organisierten Kriminalität 2021-2025 verwendet. Gemeint sind unter anderem verschlüsselte Speichermedien.

Direkt angesprochen sind aber auch Anbieter von verschlüsselter Telefonie. Die Kommission beklagt einen „Nischenmarkt für verschlüsselte Kommunikationsgeräte“, der nach den jüngsten Razzien gegen Encrochat und SkyECC offenkundig wurde. Die Firmen wurden von Geheimdiensten gehackt, anschließend erhielten Polizei- und Justizbehörden Millionen abgefangener Nachrichten für Ermittlungen und Anklagen.

Die drohende Regulierung nimmt deshalb nicht nur Internetdienstleister, sondern allgemein auch Gerätehersteller in die Pflicht. Beide sollen laut dem Ministerrat „Technologien entwickeln, die den Bedürfnissen der Mitgliedstaaten entsprechen“.

Verweigern die Firmen ihre Mitarbeit, könnte ihnen das Geschäft in der Europäischen Union in der neuen Regulierung auch untersagt werden. Das Papier des portugiesischen Ratsvorsitzes betont, dass die EU dazu „die Stärke ihres Binnenmarktes nutzen könnte“.

Lösung soll zukünftige Technologien vorwegnehmen

Für welche Straftaten das geforderte Gesetz gelten soll, lässt das Papier des Rates offen. Im Text sind aber Terrorismus, schwere organisierte Kriminalität, der Handel mit illegalen Substanzen und Geldwäsche erwähnt. Die Kommission will außerdem, dass die technischen und rechtlichen Lösungen zukünftige Ver- und Entschlüsselungstechnologien „antizipieren“. Genannt werden das Abhören von 5G „und darüber hinaus“.

Die Mitgliedstaaten sind nun aufgerufen, sich an dem Gesetzgebungsprozess zu beteiligen. Hierzu sollen die Innen- und Justizministerien einen Fragebogen beantworten, den die Kommission für ihren „Vorschlag für das weitere Vorgehen“ auswertet. Die deutsche Präsidentschaft hatte durchgesetzt, dass der Rat regelmäßig über den Fortschritt dieses Berichtes informiert wird.

Offenbar wollen die Minister:innen dessen Inhalte jetzt maßgeblich mitbestimmen. Denn in dem Ratspapier wird der Kommission der Platz als „Mitgestalter an der Seite der Mitgliedstaaten“ angewiesen. Als neuen Akteur bringt der Rat die „COSI-Gemeinschaft“ ins Spiel. Gemeint ist der Ständige Ausschuss für die innere Sicherheit, der sich aus hohen Beamt:innen der Innen- und/oder Justizministerien aller EU-Mitgliedstaaten sowie der Kommission und des Auswärtigen Dienstes zusammensetzt.

Darüber erhalten auch die an den COSI angeschlossenen EU-Agenturen und Ratsarbeitsgruppen mehr Gewicht. Dort versammeln sich „Praktiker“ wie das deutsche Innenministerium und sein Bundeskriminalamt. Beide bestimmen den Kurs für eine EU-Entschlüsselungsgesetzgebung seit fünf Jahren maßgeblich mit.

8 Ergänzungen

  1. Privatsphärenaffine Dienste bekommen jetzt den Markthebel zu spüren, und die fetten Allesfresser dürfen „endlich“ die Ende-zu-Ende Verschlüsselung abschaffen, die noch als Alibi hinten dranklebt. Das Problem mit der EU ist, dass dann „sehr viel Zugriff“ da ist. International gibt es dann auch keine begründbare Zusammenarbeitsmöglichkeit über „Anbieter“ mehr. Jetzt noch Datenschutzgesetz dazu, und man kann en passent Anbieter als Beifang des Kinderterrorpornodataminings weiterer Verstöße überführen. Zuvor erwischt es noch die Trottel, die ihre Park- und Geschwindigkeitssünden in „privaten“ Chats u.ä. ausländischer Anbieter anpreisen.

    Wenn man also wegen der Übergriffigkeit des Multistaats auswandert, kann man gleich Kunden in der EU vergessen. Wie wird das mit der Schweiz aussehen?

  2. Sie bauen sich Schritt für Schrift ein Potenzial auf, das man wirklich nur von verbrecherischen Regimes kennt.

    Sie wollen also allen Ernstes die Möglichkeit, sichere Geräte zu verbieten. Ich bin nicht mal mehr sprachlos. Die Wölfe im Schafspelz haben gewonnen.

    1. Je mehr Kapabilität Einzelne haben, desto wichtiger kann es sein, Schnittstellen zu überwachen. So könnten abgeschottete Verwaltungsbezirke entstehen, in denen alles kleinstüberwacht ist. Dabei ist sichere Hard- und Software essentiell.

      Das hier ist eigentlich das Gegenteil. Man macht ohne real für Sicherheit zu sorgen einfach alles nur kaputt.

  3. Das Ende wird so aussehen,, dass sich keiner mehr im „(Un-)Freien Europa“ mehr traut etwas zu sagen, zu schreiben, zu widersprechen, Kritik zu üben, politische Alternativen aufzuzeigen, generell an etwas kommunikativ teilzunehmen – aus Angst, er/sie könne auf irgendwelchen „Listen“ landen, weil er/sie nicht weiss, was „Big Brother“ als verdächtig, gesellschaftskonform oder eben nichtkonform definiert. Opposition und damit Demokratie wird unmöglich.

    Schon jetzt gibt es eine (Noch-)Minderheit, die sich aus dem Netz und den digitalen Medien nach und nach aus genau diesen berechtigten Ängsten zurückzieht.

    Die Neue Welt wird die eines normierten Menschen; eine „Schöne neue Welt“ – nach Aldous Huxleys gleichnamigem Buchtitel.

    Nur: Würden die, die in der EU diesen Wahnsinn planen, das Buch lesen, nähmen sie – sofern bei Verstand – von ihren eigenen, oben beschriebenen Plänen mit ziemlicher Sicherheit Abstand.

    1. Das glaube ich nicht. Sie würden einfach darauf hoffen, dass sie im Machtapparat weiterhin an der Spitze stehen. Vergiss nie, dass Gesetze in Unrechtsstaaten immer nur für die große Masse gelten. So ist es in „Schöne neue Welt“ doch auch.

  4. Kleiner aber wichtiger Unterschied, in der Vorlage steht: „As stated in the EU Strategy to tackle Organised Crime, the Commission will suggest a way forward in 2022.” Im Text steht allerdings „bis 2022”.

  5. Traurig und ein Armutszeugnis für unsere Politiker.
    Sollte das tatsächlich durchkommen trennt ins nicht mehr allzuviel von China…
    Empfinde ich als sehr beängstigend.

  6. Vielleicht könntet ihr noch erwähnen, was uns dann noch von der Great Firewall of China unterscheidet. Ich sehen keinen Unterschied mehr.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.