"Ernste Bedenken"EU-Datenschutzbehörden nehmen Chatkontrolle komplett auseinander

Die EU-Datenschutzbehörden kritisieren den Kommissionsvorschlag zur Bekämpfung sexualisierter Gewalt gegen Kinder umfassend. Sie zweifeln an der Verhältnismäßigkeit der Chatkontrolle und daran, ob sie überhaupt helfen würde. Und sie warnen vor anlassloser Massenüberwachung.

Der EU-Entwurf weckt ernste Bedenken bei EU-Datenschützer:innen
Die 36 Seiten der EU-Datenschützer:innen haben es in sich (Symbolbild) – Alle Rechte vorbehalten Hintergrund: Imago/Lobeca; Montage: netzpolitik.org

Die Kritik ist grundlegend, teils vernichtend. Sexualisierte Gewalt gegen Kinder ist „ein besonders schweres und abscheuliches Verbrechen“, schreiben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) in einer Stellungnahme. Etwas dagegen zu unternehmen, um die Opfer zu schützen, sei ein gemeinsames Ziel der EU. An diesem Punkt hört die Einigkeit der Datenschützer mit der EU-Kommission aber offenbar auf. In ihrem 36-seitigen Papier kritisieren sie aufs Schärfste den Gesetzentwurf der Kommission zur Bekämpfung sexualisierter Gewalt gegen Kinder im Netz.

Der Entwurf der Kommission sieht unter anderem vor, dass Kommunikations- und Hostinganbieter per Anordnung dazu verpflichtet werden können, auch private Inhalte zu scannen. Dadurch sollen sie Hinweise auf bekannte und bisher unbekannte Darstellungen von sexualisierter Gewalt gegen Minderjährige aufspüren, ebenso wie Anhaltspunkte für Grooming. So bezeichnet man es, wenn etwa Erwachsene Minderjährige anschreiben, um einen sexualisierten Kontakt anzubahnen.

Kern des Grundrechts auf Privatsphäre getroffen

Die EU-Datenschützer:innen haben „ernste Bedenken“, ob die vorgeschlagenen Regeln verhältnismäßig seien, denn sie greifen tief in Grundrechte ein, etwa in das Recht auf Privatsphäre und den Schutz persönlicher Daten. Es gebe Bereiche, in denen der Vorschlag darin „scheitere“, Grundrechte wie Privatsphäre zu schützen. Die Datenschützer:innen warnen vor einer „de facto allgemeinen und wahllosen automatisierten Erfassung“ von Textnachrichten. Eingriffe in die Vertraulichkeit der Kommunikation würden „eher die Regel als die Ausnahme“. Das entspreche nicht den „Anforderungen der Notwendigkeit und Verhältnismäßigkeit“. Der Einsatz der Technologie sei „übertrieben“ und könne gar den „Kern“ des Grundrechts auf Privatsphäre treffen.

Die von der Kommission angedachten Bedingungen, wann Anbieter zur sogenannten Chatkontrolle verpflichtet werden können, sind dem Datenschutzausschuss nicht klar genug. Der Vorschlag lasse „zu viel Raum für potenziellen Missbrauch“. Unklar sei etwa die Festlegung, wann für einen Internet-Dienst ein „signifikantes Risiko“ besteht, für sexualisierte Gewalt genutzt zu werden. Die Kriterien seien eher subjektiv als objektiv. Das würde zu Rechtsunsicherheit führen, zu erheblichen Unterschieden bei der konkreten Umsetzung und sei „nicht akzeptabel“.

Am Ende könnte der Gesetzesvorschlag zur Grundlage für „allgemeines und unterschiedsloses Scannen des Inhalts praktisch aller Arten von elektronischer Kommunikation aller Nutzer“ in Europa werden – und damit die Meinungsfreiheit erheblich einschränken. Denn Nutzer:innen müssten fürchten, dass ihre Kommunikation erfasst wird, selbst wenn sie völlig legale Inhalte teilen. Die Datenschützer:innen warnen ausdrücklich vor „chilling effects“. So nennt man vorauseilenden Gehorsam und Selbstzensur.

Zu hohe Fehlerquoten: Suche nach unbekanntem Material streichen

„Besonders besorgt“ zeigen sie sich über die Kommissionsvorschläge zu bisher unbekannten Darstellungen sexualisierter Gewalt und zu Grooming. Sie verweisen etwa auf die Eingriffstiefe von Technologie, um solche Inhalte zu erkennen – und die damit verbundenen Fehlerquoten. Bei bisher nicht bekanntem Material von möglicherweise sexualisierter Gewalt bleibt etwa die Frage offen, wie eine automatische Erkennung zwischen harmlosen Strandfotos in Familienchats, einvernehmlichem Sexting zwischen Jugendlichen und strafbaren Handlungen unterscheiden soll. Ein Fehler hätte „schwerwiegende Konsequenzen“ für die Betroffenen, die automatisch verdächtigt würden, ein sehr schweres Verbrechen begangen zu haben.

Bei Erkennungssoftware könne es „nachweislich zu Bias und Diskriminierung kommen, weil bestimmte Bevölkerungsgruppen in den Trainingsdaten nicht repräsentiert“ seien. Aus einem geleakten Bericht ging hervor, dass die EU-Kommission um Fehlerquoten bei aktueller Grooming-Erkennung weiß, aber bestimmte Qualitätsanforderungen nicht zur Bedingung machen will. Das hätte vermutlich eine hohe Zahl an falsch verdächtigten Nachrichten zur Folge, die dann auf den Tischen von Ermittler:innen landen würden. Die Datenschützer:innen halten weitere Untersuchungen bei realen Anwendungsfällen für erforderlich, „um die Zuverlässigkeit der vorhandenen Instrumente zu bewerten“.

In ihrer Stellungnahme ziehen EDPB und EDPS daraus einen klaren Schluss. Mit Blick auf Grooming und unbekannten Darstellungen sexualisierter Gewalt schreiben sie: „Diese Maßnahmen sollten aus dem Vorschlag gestrichen werden“.

Gefahr für Verschlüsselung und drohende Alterskontrollen

Ein weiteres Problem ist der Umgang mit Ende-zu-Ende-Verschlüsselung. Dass die Anbieter Nachrichten scannen, die eigentlich nur von den Sender:innen und Empfänger:innen entschlüsselt werden können, ist ein Widerspruch. Es wäre unverhältnismäßig, die Anbieter zu verpflichten, Nachrichten zu entschlüsseln, um Darstellungen sexualisierter Gewalt blockieren zu können, so die Stellungnahme.

Die Datenschützer:innen fordern außerdem ein klares Bekenntnis, „dass nichts in der vorgeschlagenen Verordnung als Verbot oder Schwächung der Verschlüsselung ausgelegt werden sollte“. Sie warnen ausdrücklich davor, dass die Regelungen manche Anbieter dazu bringen könnten, ganz auf Ende-zu-Ende-Verschlüsselung zu verzichten. Statt direkt das Durchleuchten privater Kommunikation anzuordnen, sollten Behörden zunächst auch weniger invasive Maßnahmen verlangen können.

Scharfe Kritik übt die Stellungnahme auch an den Kommissions-Plänen für Alterskontrolle. In Deutschland lässt sich die Volljährigkeit von Nutzer:innen zwar mit der Online-Ausweisfunktion bestätigen, ohne weitere Daten preiszugeben. Solche Technologien gebe es aber nicht für alle EU-Bürger:innen. Die Alternative wären „sehr invasive“ Alterskontrollen, die Nutzer:innen gar davon abhalten könnten, Online-Dienste überhaupt zu nutzen. Andere Formen der Alterskontrolle könnten jung aussehende Erwachsene ausschließen. Offenbar spielen die Datenschützer:innen hier auf Bilderkennungs-Software an, die anhand eines Fotos das Alter einer Person einschätzt.

Warnung vor Überwachung von Sprachnachrichten

In ihrem Papier sprechen die Datenschützer:innen einen bisher kaum beachteten Aspekt der Chatkontrolle an. Der Entwurf der EU-Kommission schließe nicht aus, dass Anbieter auch Audio-Dateien wie etwa Sprachnachrichten und Telefonate durchleuchten müssen. Genau das wäre ihrer Ansicht nach aber „besonders invasiv“ und müsse ausgeschlossen werden.

Klärungsbedarf gebe es außerdem bei der Rolle von Datenschutzbehörden. Laut Kommissionsentwurf sollen sie einbezogen werden, bevor ein Anbieter zur Chatkontrolle verpflichtet wird. Bloß wie? Könnten Datenschutzbehörden per Stellungnahme etwa ein Veto einlegen? Offenbar steht das nicht fest. „Es sollte geklärt werden, welchem Zweck die Stellungnahme in dem Verfahren dient und wie die EU-Zentrale nach Erhalt einer Stellungnahme handeln würde“. Es brauche ein System, um Meinungsverschiedenheiten zu klären.

EDPB und EDPS warnen außerdem, dass zu viele Daten unschuldiger Personen an die Strafverfolgungsbehörden übermittelt werden könnten. Die Schwelle, wann etwa Europol Verdachtsmeldungen erhalten kann, sei zu gering. Die Datenschützer:innen fordern, dass die zuerst zuständige EU-Zentrale „nur personenbezogene Daten an Europol übermittelt, die angemessen und sachdienlich sind und sich auf das unbedingt erforderliche Maß beschränken.“

Massenüberwachung wäre nicht hilfreich

Schließlich zweifeln die Datenschützeri:nnen daran, ob mehr Daten den Ermittler:innen im Kampf gegen sexualisierte Gewalt überhaupt helfen würden. Wer wolle, könne Inhalte auch unabhängig von einem Kommunikationsanbieter selbst verschlüsseln, bevor sie verschickt werden. Wer also Strafbares im Sinn hat, könnte die Chatkontrolle gezielt umgehen. Der Vorschlag könnte so eine „geringere Auswirkung auf die Verbreitung von Missbrauchsmaterial haben als man sich erhoffen würde“. Außerdem sei es nötig, zu untersuchen, ob mehr Hinweise angesichts der „begrenzten Ressourcen von Strafverfügungsbehörden“ überhaupt hilfreich wären.

Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber äußert sich in einer Pressemitteilung zu der Stellungnahme: „Die sogenannte Chatkontrolle bietet kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation.“ Er fordert stattdessen „effektive und zielgerichtete Maßnahmen“. Der Entwurf der EU-Kommission geht für den Kelber eindeutig daran vorbei: „Eine anlasslose Massenüberwachung gehört nicht dazu. So etwas kennen wir ansonsten nur aus autoritären Staaten.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

13 Ergänzungen

  1. „die Frage offen, wie eine automatische Erkennung zwischen harmlosen Strandfotos in Familienchats, einvernehmlichem Sexting zwischen Jugendlichen und strafbaren Handlungen unterscheiden soll.“

    Die Werbung lautet ja ungefähr so: der Kontext im Chat gibt das her. Stetige Verbesserung führt zu akzeptablen Erkennungsraten. [Das Wort akzeptabel wird dabei durch besonders kundige Berater, politikseitig versteht sich, zu besetzen gesucht.]
    Die Realität ist halt so: Die Kriminellen nutzen was anderes, oder passen sich so an, das alles durchkommt, wonach dann nichts anderes übrig bleibt, als zu kapitulieren, oder noch schärfere Maßnahmen zu verhängen, was einer Kapitulation bzw. einer Kriegserklärung auf einer anderen Ebene entspricht.

    Mit Hirn muss man da eigentlich gar nicht erst herumwedeln.

  2. Danke für den Artikel!

    Dann hoffen wir, dass diese offensichtlich sehr gut und durchdacht ausgearbeiteten 36 Seiten nicht in irgendeiner Schublade verschwinden, sondern vom Europäischen Gerichtshof und anderen Institutionen der Grundrechtewahrung ausführlich und mit intellektuellem Sachverstand gelesen und verstanden werden!

    Und dass dieses Verstehen zu Entscheidungen führt, die diesen Wahnsinn stoppen, bevor er beschlossen wird.

    Von der EU-Kommission selbst ist das ja nicht zu erwarten, hat sie sich doch meines Wissens auf die kritischen Fragen der Bundesregierung nicht oder nur unzureichend geäußert.

    1. Leider haben einschlägige Expertenurteile noch keinen europäischen Politiker an etwas Grundrechtsverletzendem gehindert.

      Warum auch, riskiert ja nichts, weder Strafe noch Abwahl.

      Prinzipiell halte ich Strafrecht an dieser Stelle eher für ungeeignet. Aber es scheint langsam der kleinere Schaden für die Demokratie zu sein.

  3. Danke an die EU. Gut das es solche Menschen mit gesunden Menschenverstand auf dieser Ebene gibt

  4. Die EU-Richtlinie zur Vorratsdatenspeicherung wurde damals 2006 auch heftig kritisiert – und trotzdem verabschiedet. Und das beschäftigt uns bis heute! Mehrere Runden Klagen und Verfassungsbeschwerden folgten. Durch Herumgedoktore am Gesetzestext sollten die Grundrechtsamputation immer wieder neu gerechtfertigt werden. Und obwohl die ursprüngliche Richtlinie seit 2014 aufgehoben ist bleiben die Umsetzungs-Gesetze in den EU-Mitgliedsstaaten weiter in Kraft. Als wären Grundrechte in der EU optional.

    Man sollte also nie die Dummheit der EU-Entscheider unterschätzen. Sonst wird aus der Chat-Kontrolle auch ein immer wiederkehrendes Schreckgesepenst.

      1. Offensichtlich haben die andere Ziele. Wenn es nicht so lächerlich klänge könnte man meinen die Entscheider hätten schlichtweg Angst. Angst vor der Bevölkerung ansich, dem was Kriminellen dann noch einfiele, dem was Volkes Zorn in dem Fall über sie richtet… und das einzige gegenmittel das ihnen in den Sinn kommt ist TOTALE ÜBERWACHUNG.

        Das die Politischen Entscheider Angst haben vor der Bevölkerung wäre ansich Sinnvoll. Sinnvoller als der Gegenentwurf das die Bevölkerung Angst haben muß vor ihren Politikern. Mit den Geplanten Maßnahmen läuft es aber auf den Zweiten Entwurf hinaus.

        Warum findet da eigentlich keiner ein Gleichgewicht zwischen diesen Beiden Extremen? Ich würde ja gerne wieder Vertrauen in die Politik hätte haben wollen. Aber das muß man sich durch Evidenzbasiertes Diskutieren und Maßvolles Nachvollziehbares Entscheiden erst mal verdienen.
        Das kann dauern…!

      2. Das trifft vielleicht auf die Minderheit die solche Gesetze aktiv vorantreibt zu, aber ich glaube trotzdem, dass ein Großteil der mit „Ja“ stimmenden Abgeordneten bei sowas sich tatsächlich einfach (fahrlässig) für dumm verkaufen lässt. Negative Folgen werden bewusst komplett ausgeblendet, und das angeblich verfolgte Ziel der „Weltrettung vor Gefahr X“ ist ohnehin jeden Preis wert. Dass dann in der Regel ein paar Jahre später schon das nächste Gesetz folgt, dass diesmal _wirklich_ die Welt retten soll, und die Grundrechte dann _noch_weiter_ einschränkt, ist bereits vorher klar gewesen.

    1. Man muss davon ausgehen das Grundrechte immer weiter ausgehölt werden !

      Selbst wenn es EU weit von Gerichten gekippt wird bleiben dann viele nationale Umsetzungen bestehen welche es für Konzerne unmöglich machen nicht zu kooperieren und nicht doch am Ende alles zu überwachen. Denn für das was nicht grundrechtskonform umsetzbar ist werden die Regierungen Umwege suchen um es doch irgendwie durchgesetzt zu bekommen.

      1. Würden Konzerne das tun, könnten die meißten ja noch arbeiten.

        Leider gibt es die Quatschgesetze nicht nur für Konzerne, und hier ist der springende Punkt: die Konzerne brauchen diese Gesetze nicht um besser oder schlechter verkaufen zu können, denn i.A. sind deren Produkte auf den Schnorchellisten ganz weit oben, sondern sie brauchen diese Gesetze um das Kleinvieh schlechter dastehen zu lassen. Extra Hindernisse und letzlich die Unmöglichkeit, Garantien für die Nutzer bzgl. Privatsphäre aussprechen zu können. Geschäftsmodell als Gegensatz zum Konzern- (und Überwachungs-) Brei abgesagt, von ganz oben. Jetzt kann der kleine Anfänger natürlich noch besondere Dienstleistungen bieten, die Kozerne nicht leisten können. Z.B. Chat händisch durchgucken, oder persönlicher Rückruf! Oder doch gleich Anschaffen gehen? Communitybasierte Konzepte ohne Kompromittierung noch möglich? Morgen noch?

        Perspektive: nahe Null, für subversive/schräge/Rand- Kunst bzw. nicht mal: alles, wo Menschen sich exponieren können, oder radikaler: wo sogenannte Daten übrigbleiben. Keine Onlineserver, keine Trainingsdaten für KI, kein Scheiß. Natürlich können jetzt alle Erwachsen werden, und nur noch rein technisch notwendige unkontroverse Anwendungen anbieten, bei denen nichts von Interesse zu holen ist. Back to the 90ies? Diskettentausch, voll in der Garage zuendeentwickelt und so? Ach so, und bei Erfolg natürlich sofort das Projekt einstellen, sonst muss noch ein Einlauf implementiert werden.

        Ohne Garantien für Schutz und Abläufe, auch bzgl. der EU-Nachbarlandsbehörden, ist das hier in „Richtung witzlos“ unterwegs. Ich bin vieleicht eher bei Sci-Fi unterwegs, aber spätestens seit der Urheberrechtsreform war doch klar, wie der Umgang werden würde. Da gibt es jetzt immer noch keinen Anhaltspunkt für Verbesserung, im Gegenteil. Warten auf Aussterben ist zwar „hip“, aber bzgl. dieses Themas scheint die Zeit nicht mehr zu reichen, um noch Zeuge wesentlicher Verbesserung zu werden. Andererseits gibt es immer wieder recht massive Kritik von allerlei Verbänden, so dass nicht völlig ausgeschlossen ist, dass sich schon mittelfristig etwas regt. Ich fürchte aber, dass die Mühlen zu langsam drehen und eben der Kompromiss stehen bleiben wird: „Demokratie? Nice to have!“

          1. Gute Idee! Wer hat Lust auf die weichgespülte Variante?

            Hamburger Michel, hooded figure (Zwangstourist): „Du bist so 1Hamburger…“
            Innenminister, hooded figure (from the content industry): „Du bist so 1Datenschutz…“
            (…)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.