EU-KommissionGeleakter Prüfbericht geht mit Chatkontrolle hart ins Gericht

Ein interner Prüfbericht der EU-Kommission zeigt, dass die EU-Innenkommissarin Ylva Johansson hartnäckig nach Wegen sucht, europaweit eine neue Form von Massenüberwachung einzuführen. Mit der so genannten Chatkontrolle könnten Inhalte auf Smartphones aller Bürger:innen durchsucht werden. Wir veröffentlichen den kritischen Bericht aus der EU-Kommission.

Ylva Johansson mit kopfhörer
Kommt die Kritik an der Chatkontrolle bei EU-Innenkommissarin Ylva Johansson an? (Symbolbild) – Alle Rechte vorbehalten IMAGO / Frank Ossenbrink

Die EU-Innenkommissarin Ylva Johansson versucht offenbar weiterhin, im geplanten EU-Gesetzespaket gegen Kindesmissbrauch eine sogenannte „Chatkontrolle“ zu verankern. Dies würde die Durchsuchung von Inhalten auf Endgeräten unbescholtener Bürger:innen vorsehen, bevor diese zum Beispiel per WhatsApp verschlüsselt kommunizieren. Die Pläne stehen als neue Form von Massenüberwachung und wegen ihrer grundrechtsverletzenden Eingriff in der Kritik.

Dass die Pläne offenbar noch nicht vom Tisch sind, kann man aus einem internen Bericht des Ausschusses für Regierungskontrolle (RSB) der EU-Kommission interpretieren. Die Prüfberichte des RSB geben im Gesetzgebungsprozess Feedback und Verbesserungsvorschläge zu den Planungen. Insgesamt lautet das Urteil über den internen Kommissionsvorschlag „Positiv, aber mit Vorbehalt“. Ein früherer Vorschlag erhielt im Sommer des Vorjahres die Einstufung „Negativ“.

Diese Berichte veröffentlichte das französische Medium Contexte.com zuerst, wir stellen sie nun zum Download zur Verfügung. Auch wenn der Leak, der laut Contexte den Stand vom 15. Februar wiedergibt, nicht den Originaltext des Gesetzes enthält, legen die Aussagen und Bewertungen nahe, dass Maßnahmen wie die umstrittene Chatkontrolle zumindest zum damaligen Zeitpunkt Bestandteil des Gesetzesvorhabens waren – und immer noch sein können.

Chatkontrolle offenbar weiterhin drin

Im internen Bericht heißt es, dass nicht hinreichend klar sei, wie die beschriebenen Durchsuchungsmechanismen das in der EU geltende Verbot anlassloser Massenüberwachung respektieren würden. Im Dokument ist zudem die Rede davon, dass die „Effizienz und Verhältnismäßigkeit“ der geplanten Maßnahmen nicht ausreichend nachgewiesen seien. Auch fordern die Prüfer:innen, dass die EU-Kommission deutlich machen müsse, wie Rechtsunsicherheit für die verpflichteten Diensteanbieter und die Gefahr unbeabsichtigter Folgen für den Schutz der Privatsphäre und die Sicherheit vermieden werden sollen. Mehr Klarheit fordert der Bericht zudem im Hinblick auf Verschlüsselung.

Weil nur die Bewertung des RSB vorliegt, aber nicht das, was bewertet wurde, ist bei manchen Punkten nicht klar, auf was sich die Aussagen beziehen. Auf eine Presseanfrage von netzpolitik.org wollte die EU-Kommission weder angeben, auf welches Dokument sich der Bericht bezieht noch die Dokumente selbst herausgeben.

Öffentlich unbekannt ist außerdem, wie sich die Beratungen innerhalb der Kommission seitdem weiterentwickelt haben und in welchem Stadium sich das Gesetzespaket derzeit befindet. In ihrer Schlussfolgerung fordern die Prüfer:innen, dass die zuständige Generaldirektion Inneres die Kritikpunkte ausräumen muss, bevor Konsultationen mit weiteren Dienststellen eingeleitet werden.

Die Bürgerrechtsorganisation EDRi ist sich in ihrer Analyse des Leaks jedoch sicher, dass der aktuelle Gesetzesentwurf von Kommissarin Johansson Vorschriften enthält, welche die Anbieter von Online-Kommunikationsdiensten dazu zwingen würden, die private Kommunikation von Menschen generell zu überwachen – auch wenn diese verschlüsselt ist. Laut EDRi hatten Mitarbeiter der für Inneres zuständigen Kommissarin Ylva Johansson den Bürgerrechtlern zuletzt in Gesprächen gesagt, dass das neue Gesetz keine Anforderungen für eine allgemeine Durchsuchung enthalten und auch die Verschlüsselung nicht angetastet werden würde.

„Fassungslos“

„EDRi ist fassungslos, dass Kommissarin Johansson diese Gesetzgebung vorantreibt, obwohl ihre eigenen Kollegen so große Bedenken äußern“, so Diego Naranjo von EDRi gegenüber netzpolitik.org. „Der Vorschlag birgt die Gefahr, dass Unternehmen gezwungen werden, eine Massenüberwachung der gesamten privaten Online-Kommunikation durchzuführen. Das bekannt gewordene Dokument zeigt auch wichtige strukturelle Probleme bei der Sorgfaltspflicht, der Beweiserhebung und der Einhaltung des Gesetzes.“

Der EU-Abgeordnete Patrick Breyer von den Piraten sagt gegenüber netzpolitik.org: „Der Ausschuss für Regulierungskontrolle deckt schonungslos die Abgründe der Chatkontrolle auf, nämlich dass die flächendeckende Massenüberwachung intimster Kommunikation und Bilder laut Europäischem Gerichtshof gegen unsere Grundrechte verstößt.“ Nun könne nur noch ein öffentlicher Aufschrei gegen die Chatkontrolle das Projekt noch stoppen.

„Nur öffentlicher Aufschrei kann Chatkontrolle stoppen“

Bislang hat sich der Protest gegen die Chatkontrolle noch nicht in größeren Aktionen oder auf der Straße manifestiert. Das Thema ist auch noch nicht in der Breite medial angekommen, obwohl Bürgerrechtler:innen seit Monaten mit guten Argumenten vor dem Projekt warnen.

Dutzende digitale Bürgerrechtsorganisationen aus ganz Europa hatten sich zuletzt in einem offenen Brief gegen die Pläne der EU-Kommission zu einer so genannten Chatkontrolle gestellt. Die Bürgerrechtsorganisationen fürchten, dass damit ein „gefährlicher Präzedenzfall für die massenhafte Ausspähung privater Kommunikation“ geschaffen werden könnte. Schon Anfang Februar hatten EDRi und mehr als 40 Bürgerrechtsorganisationen ein Papier vorgestellt, in dem sie zehn Prinzipien für den Kampf gegen Kindesmissbrauch erarbeitet hatten, damit die Grund- und Freiheitsrechte nicht beeinträchtigt werden.

Die so genannte Chatkontrolle steht schon länger in der Kritik. Weltweit bekannte IT-Sicherheitsforscher:innen und Erfinder von Verschlüsselungssystemen hatten in einer gemeinsamen Studie mit dem Titel „Wanzen in unserer Hosentasche“ schon im Oktober 2021 alle Pläne für Inhalte-Scanner auf den Geräten von Endnutzer:innen kritisiert. Dieses so genannte Client-Side-Scanning (CSS) sei eine Gefahr für Privatsphäre, IT-Sicherheit, Meinungsfreiheit und die Demokratie als Ganzes. Schon 2019 hatte die US-amerikanische Bürgerrechtsorganisation EFF dargelegt, warum Client-Side-Scanning ein Angriff auf die Ende-zu-Ende-Verschlüsselung ist.

Die Veröffentlichung des Gesetzespaketes ist schon mehrfach verschoben worden. Im aktuellen Terminkalender der Kommission ist es für den 27. April angesetzt, es wird aber von unterschiedlicher Seite erwartet, dass das Projekt erst im Mai oder sogar noch später vorgestellt wird.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Man kann gespannt sein wie lange es dann noch dauert bis die ersten Forderungen zur Ausweitung dieser Massnahme erhoben werden. Zumindest die Content-Industrie sollte schon in den Startlöchern stehen. Es ist ja nichts neues, dass Wirtschaftsvertreter*innen von der Politik meist früher und besser informiert werden als Journalist*innen.
    Und dann gibt es ja auch diejenigen, die zwar von der Materie nicht wirklich viel verstehen, denen aber eine Liste mit Hashwerten nicht reicht, und die „irgendwas mit KI“ fordern werden. Am besten sollte der Polizei-Algorithmus einfach gleich alles im Klartext mitlesen können, vieleicht per „Chat-Monopol“ durch die Deutsche Post?

    1. Die geplant vorgeschriebene Interoperabilität von Messengern wird eine einheitliche Abhörschnittstellle und das Ende von end-to-end Verschlüsselung anstreben.

      Und die Wirtschaftsvertreter werden von der Politik idR nicht früher informiert, die Wirtschaftsvertreter werden idR vor Entscheidungen von der Politik konsultiert. Oder sie initiierten die Entscheidungen direkt, von Lobbyist mit Geld zu Lobbyist mit Amt.

      1. Natürlich lässt sich das so designen, dass bei Messengern E2E möglich ist.

        Es muss kein „frei gewählter“ Broker sein, der mitliest, Werbung einblendet, und die Daten für sich und seine Zwecke mitschreibt.

        Ich verstehe die Angst, dass die Gesetzgebenden Organe es schaffen, mit jedem Anfassen eine Apokalypse herbeizuführen, oder wenigstens mit vorzubereiten. Trotz seltender Lichtblicke, bleibt das leider real.

      2. „Die geplant vorgeschriebene Interoperabilität von Messengern wird eine einheitliche Abhörschnittstellle und das Ende von end-to-end Verschlüsselung anstreben.“

        Man hat ja bereits vorher sehen können wie E2E verschlüsselung teils so umgedeutelt wird dass man in der mitte eine zwischenstation einfügt die „nur kurzzeitig“ entschlüsseln kann bzw. muss, aus „gründen!“ (z.b. „umschlüsselung“) – als ob die dauer der entschlüsselung relevant wäre und wenn es nur ganz ganz kurz ist E2E noch intakt bleiben würde! Das konnte man schon vor 10 jahren beim epost-brief beobachten, und kürzlich auch beim „anwaltspostfach“ beA. weitverbreitetes E2E ist einfach unerwünscht egal wieoft die altkanzlerin Merkel uns zum „verschlüsselungsstandort nummer 1“ ausgerufen hat (was für ein treppenwitz!).

    2. Auch nicht zu vergessen: für manche Politiker ist dieser Überwachungsalbtraum bereits der „liberale Kompromiss“!

    3. Liebe Leute, ihr steigert euch jetzt schon in IMHO recht bizzare Überwachungsfantasien rein, dabei hat die EU-Kommission ihren Vorschlag noch nicht einmal vorgelegt. Niemand weiß, was da genau drin stehen wird.

      Einigermaßen klar ist, dass DG Home intern Vorschläge zur dieser „Chatkontrolle“ macht. Mindestens genau so klar ist aber, dass es innerhalb der Kommission massiven Widerstand dagegen zu geben scheint – siehe zum Beispiel die beiden von uns bzw. Contexte veröffentlichen Prüfberichte! Auch die Tatsache, dass die Präsentation des Vorschlags schon mehrfach verschoben werden musste, lässt den Schluss zu, dass das niemand einfach so durchwinkt (oder eine Ausweitung auf andere Bereiche schon praktisch beschlossene Sache ist).

      Klar ist aber auch, dass wir an der Sache dranbleiben, Öffentlichkeit schaffen und unser Bestes tun, um zu verhindern, dass verpflichtende Inhaltekontrolle – ergo anlasslose Massenüberwachung – jemals das Licht der Welt erblickt.

  2. Dass die großen Aufschreie aus der Gesellschaft, von Bürgerrechtsorganisationen abgesehen, bisher ausgeblieben sind, ist im Wesentlichen auf zwei Faktoren zurückzuführen: Zum einen ist es mangelnde Information; außerhalb auf Datenschutz und Digitalpolitik spezialisierter Medien wie eben netzpolitik.org wird über dieses Thema (wie auch über Staatstrojaner) kaum berichtet. Zum anderen beobachte ich aber auch eine schockierende Gleichgültigkeit bei vielen, gepaart mit Bequemlichkeit. Ich suche selbst seit einiger Zeit nach freien und Open-Source-Alternativen zu Discord, worüber die meisten meiner Kontakte laufen, die dessen Funktionsumfang möglichst breit abdecken können. Mein Gedankengang neben der Aussicht auf E2E-Verschlüsselung ist, dass es bei freier und Open-Source-Software per Definition unmöglich wäre, Hintertüren und Abhörfunktionen zu erzwingen. Selbst wenn man den Herausgeber dazu verpflichten könnte, fänden sich sofort Leute, die es wieder entfernen und die völlig legale Modifikation (da freie Software) weitergeben.

    Leider erlebe ich, dass man mit solchen Mühen, sofern das Umfeld nicht ebenfalls aus Datenschutzaktivisten und Nerds besteht, tendenziell ziemlich allein dasteht. Eher gilt man noch als Störenfried, der „Stress macht“, um die Leute zur Benutzung eines Messengers zu überreden, den außer ihm „doch eh niemand“ nutze. Auch wenn den meisten Leuten die Aussicht auf Überwachung nicht gefällt, wenn man es ihnen so erklärt, scheint es für viele immer noch das kleinere Übel zu sein im Vergleich zu der Idee, den Messenger zu wechseln und damit liebgewonnene Gewohnheiten ändern zu müssen. Da hilft auch nicht, dass es z.B. bei Matrix eine von der Community entwickelte Bridge zu Discord gibt, die ihnen weiterhin Kommunikation mit ihren anderen Kontakten von dort über den neuen Messenger ermöglichen würde. Und mir nützt diese Bridge auch nichts, weil der bessere Datenschutz mittels E2E-Verschlüsselung und eigenem Server nicht greift, wenn nur einer z.B. Element nutzt und der andere nach wie vor Discord. Gleichzeitig fungiert diese Situation als Feuerprobe, wie hoch man bei seinen Kontakten und Freunden wirklich im Kurs steht, denn je nachdem, wie eng oder locker das Verhältnis ist, werden es so manche als kleineres Übel erachten, einen einfach aus ihrer Kommunikation zu entfernen, statt sich einen neuen Messenger zu installieren. Nicht umsonst ist man bei vielen Gruppen ganz schnell außen vor, wenn man sich weigert, WhatsApp zu benutzen, über das hauptsächlich kommuniziert wird.

    1. Ich kann dieser Ausführung nur voll und ganz zustimmen.

      Es sei auch anzumerken, dass momentan alles zusätzlich im Schatten des russischen Angriffs auf die Ukraine steht. Da ist die Aufmerksamkeit der Medien für solche Spezial- bzw. „Rand“-Themen noch geringer als üblich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.