MissbrauchsdarstellungenEU-Innenkommissarin Johansson will offenbar an Chatkontrolle festhalten

Die EU-Kommission plant weiterhin ein Gesetz, das Internetanbieter verpflichtet, Dateien ihrer Nutzer:innen zu durchsuchen. Damit könnte auch die sogenannte „Chatkontrolle“ einziehen. Das wäre ein tiefer Eingriff in die Privatsphäre und würde eine neue Überwachungsinfrastruktur schaffen.

Ylva Johansson vor Rednerpult
EU-Innenkommissarin Ylva Johansson (Archivbild von 2019) CC-BY 2.0 European Parliament

Die EU-Innenkommissarin Alva Johansson hat in der Welt am Sonntag bekräftigt, in den kommenden Monaten ein neues Gesetz gegen sexuellen Missbrauch von Kindern vorzuschlagen. Das hätte auch Folgen für Online-Dienste: Die Unternehmen sollen verpflichtet werden, Missbrauchsdarstellungen von Kindern zu erkennen, zu melden und zu entfernen. „Eine freiwillige Meldung wird dann nicht mehr ausreichen“, so Johansson weiter. Ursprünglich war die Vorstellung des brisanten Gesetzentwurfes für den 1. Dezember 2021 geplant gewesen, wurde aber von der EU-Kommission verschoben. Laut Johansson seien die im Jahr 2020 gemachten etwa 22 Millionen Meldungen nur ein Bruchteil der wirklichen Straftaten. 

Die Entdeckung und Entfernung von Missbrauchsdarstellungen müsse künftig ein „automatischer Reflex“ für die Internetanbieter werden, so die sozialdemokratische Innenpolitikerin gegenüber der Welt am Sonntag. Damit hält Johansson offenbar an der umstrittenen Chatkontrolle fest. Unter dem Begriff werden Verfahren subsumiert, bei dem Inhalte auf den Endgeräten der Nutzer:innen nach bestimmten Dateien durchsucht werden. Zwar seien laut Johansson Datenschutz und Verschlüsselung wichtig, aber der Fokus müsse „in erster Linie auf dem Schutz der Kinder liegen.“ Die Verpflichtungen sollen für große und kleine Unternehmen gelten.

Neue Überwachungsmöglichkeiten

Grundsätzlich könnte dabei auf bereits bestehende Ansätze zurückgegriffen werden, beispielsweise auf die von Microsoft entwickelte PhotoDNA-Software und die Datenbank der US-Organisation National Center for Missing and Exploited Children (NCMEC). Darin liegen digitale Fingerabdrücke, sogenannte Hashes, von Bildern oder Videos, die bereits einmal als illegal erkannt worden sind. Vor jedem Versenden einer Nachricht könnte der Hash eines Anhangs ermittelt und mit der Datenbank abgeglichen werden. Stellt sich die Datei als einschlägig bekannt heraus, ließe sich der Versand unterbinden und potenziell ein Hinweis an die Polizei auslösen.

Schon heute scannen viele soziale Netzwerke öffentlich zugängliche Bilder und Videos und gleichen sie mit diesen Datenbanken ab. Dieses Verfahren stößt auf nur verhältnismäßig geringe Kritik, weil es bislang freiwillig und zudem nicht auf den Endgeräten der Nutzer:innen, sondern im offenen Netz stattfindet. Vor rund einem Jahr hatte die EU eine Ausnahmeregelung beschlossen, die diese Durchleuchtung weiter möglich macht.

Die Überwachungstechnologie, die dem nun erneut in den Raum gestellten EU-Gesetz folgen könnte, wird Client-Side-Scanning (CSS) genannt. Dabei werden Inhalte direkt auf den Endgeräten von Nutzer:innen durchsucht, noch bevor sie womöglich verschlüsselt werden. Zuletzt haben weltweit bekannte IT-Sicherheitsforscher:innen und Erfinder von Verschlüsselungssystemen in einer gemeinsamen Studie alle Pläne für Inhalte-Scanner auf den Geräten von Endnutzer:innen heftig kritisiert. Die Expert:innen kommen zum Schluss: Client-Side-Scanning ist eine Gefahr für Privatsphäre, IT-Sicherheit, Meinungsfreiheit und die Demokratie als Ganzes.

Ausweitung befürchtet

Der Eingriff auf die Geräte durch eine Chatkontrolle wäre schon erheblich, auch wenn nur wie bislang angedacht nach Missbrauchsdarstellungen gesucht würde. IT-Expert:innen befürchten, dass selbst wenn das Client-Side-Scanning zunächst nur zur Suche nach solchen Inhalten eingesetzt würde, ein enormer politischer und gesellschaftlicher Druck entstünde, den Anwendungsbereich auszuweiten.

Ihr Argument ist dabei, dass eine einmal eingeführte Überwachungsinfrastruktur Begehrlichkeiten weckt und es nach der Einführung kaum noch eine Möglichkeit gäbe, sich gegen die Ausweitung zu wehren oder den Missbrauch des Systems zu kontrollieren. Technisch wäre eine solche Ausweitung sehr einfach umzusetzen. Deswegen kommen die IT-Expert:innen zum Schluss, dass CSS einen Eingriff in die Privatsphäre darstellt, der sogar schlimmer ist als frühere Vorschläge zur Schwächung von Verschlüsselung. 

Während die EU-Innenminister sich für die Einführung der Chatkontrolle aussprechen, kam durch eine Recherche heraus, dass deutsche Ermittlungsbehörden nicht alle Möglichkeiten ausschöpfen, Darstellungen von Kindesmissbrauch aus dem Netz zu entfernen. Das weist darauf hin, dass es noch erhebliche Verbesserungsmöglichkeiten innerhalb bestehender Gesetze gibt, ohne dass man mit der Chatkontrolle anlasslos die Endgeräte aller Menschen durchsucht.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

11 Ergänzungen

  1. „ein Gesetz, das Internetanbieter verpflichtet, Dateien ihrer Nutzer:innen zu durchsuchen“

    Bitte nochmal überprüfen, denn: Internetanbieter sind idR gar nicht dazu fähig auf die Inhalte zuzugreifen (wegen Verschlüsselung). Sind stattdessen vielleicht die Anbieter der Messenger-Diensten gemeint?

  2. Nur mal eine kurze technische Überlegung: sollte CSS wirklich kommen, dann könnte dies gleichzeitig das Ende offener Schnittstellen für Messenger bedeuten. Denn das CSS muss in der Client-App implementiert werden, und free+open-source Clients könnten die entsprechende Implementierung einfach verweigern. Wie stellt also der Server fest, ob das CSS auf dem Client tatsächlich stattgefunden hat, wenn es Dank offener Schnittstellen und FOSS-Client auch weggelassen worden sein könnte? Das wäre nur möglich, wenn die gesamte Client-App closed-source wäre, oder zumindest der Teil, der das Messenger-Protokoll implementiert und die Daten verschlüsselt und versendet (es ist klar, dass man die Verschlüsselung und das Versenden der Daten nicht mehr getrennt voneinander durchführen könnte, weil man zum Scannen schließlich Zugriff auf die unverschlüsselten Daten braucht, gleichzeitig aber auch sicherstellen muss, dass tatsächlich die Daten versendet werden die gescannt wurden).
    Offene Schnittstellen wären so nicht mehr möglich.
    Und es stellt sich natürlich die Frage, wie mit Messengern umgegangen werden soll, die CSS verweigern und außerhalb der EU sitzen (Sperre/Zensur??). Was ist mit Messengern die von keinem Unternehmen betrieben werden, sondern als P2P-Network oder durch einen Verein/einer Stiftung (Abschalten/Verbieten??)?
    Außerdem frage ich mich was passiert wenn der Zugriff auf die externe Hash-Datenbank nicht möglich ist z.B. wegen einer DDoS-Attacke oder einfach weil man sie per Firewall blockiert hat; kann die Nachricht dann nicht abgeschickt werden?

    Ich habe nicht das Gefühl, dass sich die Kommissarin mit solchen Fragen auch nur im geringsten auseinander gesetzt hat. Das Endergebnis solcher Chat-Kontrollen könnte ganz schnell auf eine „Zertifizierungspflicht“ für Messenger hinaus laufen, mit massenhaften Verboten nicht zugelassener Clients/Server als direkter Folge.

    1. Was du hier zur Chatkontrolle schreibst, gilt für jede Maßnahme und jede Funktion, deren Implementierung in Software die Regierenden gesetzlich zu erzwingen beabsichtigen; ob Backdoors für Verschlüsselungen, Jugend„schutz“filter oder Uploadfilter und DRM für die Copyright-Mafia. Gesetzliche Zwangsimplementierung und Freie Software (wichtig: Open-Source allein macht Software noch nicht frei) schließen prinzipbedingt einander aus. Insofern ist jede gesetzliche Verpflichtung, ein Feature in eine Software zu implementieren, sofern sie konsequent umgesetzt werden soll, per Definition ein Verbot Freier Software, weil es die Freiheiten, das Programm nach Belieben auszuführen und eigenen Bedürfnissen (zu welchen auch bestmöglicher Datenschutz zählen kann) anzupassen, aushebelt.
      Der Fehler ist, zu glauben, dass die Entscheider, die nichts anderes als Windows, Microsoft Office und Active Directory kennen, ein Problem damit hätten. Dabei so ein weitreichendes Verbot nicht nur völlig unverhältnismäßig und hätte vor keinem (Verfassungs-)Gericht, das etwas auf sich hält, Bestand; die nächste Schwierigkeit bestünde darin, dass längst nicht alle Mitglieder der Communitys, welche Freie Software jeglicher Art (vom Mediaplayer über Messenger bis hin zur Linux-Distribution) entwickeln, derselben Jurisdiktion unterliegen – das Internet schert sich bekanntlich wenig um Ländergrenzen. Der nächste logische Schritt zur Umsetzung solcher Vorhaben wäre also die große Firewall und die Abschottung des Netzes. Wie es Überwachungswahn so an sich hat, reißt der Rattenschwanz nie wieder ab.

      1. „Der nächste logische Schritt zur Umsetzung solcher Vorhaben wäre also die große Firewall und die Abschottung des Netzes. “

        Meinst du etwa sowas?

        „5.1. European Cloud / European Internet
        [..]
        Technologically, it would require a top-level infrastructure, high-speed 5G or a 6G data network and a firewall. Setting up such a network would promote many European companies and therefore boost business and drive innovation.
        Like the Chinese firewall, this European internet would block off services that condone or support unlawful conduct from third party countries. “

        Source: https://www.europarl.europa.eu/RegData/etudes/STUD/2020/648784/IPOL_STU(2020)648784_EN.pdf

      2. Verdachtsunabhängig private Kommunikation zu scannen geht gar nicht, und wenn das wirklich käme, müsste ich mir überlegen, ob ich überhaupt noch irgendeinen Messenger nutzen möchte.

        Dieses Gesetz wäre falsch – und trotzdem verstehe ich, wenn der Staat in der Lage sein möchte, Dienste zur Rechenschaft zu ziehen, die sich nicht an die Gesetze halten. Das nur zum Thema große Firewall. Wir hatten die Diskussion kürzlich: Es kann einfach nicht sein, dass Telegram nicht auf die deutsche Justiz reagiert, und dass die Porno-Seiten den Jugendschutz nicht ordentlich umsetzen.

        1. Die Pornoseiten setzen den Jugendschutz um, der in der Jurisdiktion in denen sie ansässig sind erforerlich ist. Das Problem ist imho nicht dass sich die Anbieter digitaler Dienste nicht an alle weltweiten Gesetze halten, sondern dass die Internetgesetze noch immer national gemacht werden.

    2. „Das Endergebnis solcher Chat-Kontrollen könnte ganz schnell auf eine „Zertifizierungspflicht“ für Messenger hinaus laufen, mit massenhaften Verboten nicht zugelassener Clients/Server als direkter Folge.“

      Später weiter mit EU-Firewall, zertifizierten VPN-Anbietern usw. usf.

      Natürlich bald geklagt werden, Nichtmassenmessenger auszunehmen, sowie die Gültigkeit von der Problemgröße abhängig zu machen. Damit wäre es dann noch verrückter, wenn es mit Ausnahmen kommt (technisch verrückt, sinnvoller für mit Gehirn). Dann gibt es plötzlich Registrierungssperren, um nicht die goldene Zahl zu überschreiten, dann folgen die „Privacywellen“, also massenhaftes Hin-und-herwechseln, wo noch Platz ist, wenn auch weniger Masse als bei den Saurierplattformen, dann kommt die Interaktionspflicht für Messenger, und dann werden doch noch alle über einen Kamm geschoren.

      Es ist eigentlich egal, was die beschließen. Es sind die falschen Leute am Drücker, mit welchem Tempo auch immer. Einzig interessant ist, ob das System diese immer wieder so erzeugen wird, oder ob ein einfacher Reset hier ausreicht.

  3. ….Tief durschatmen. Totale Kommunikationskontrolle, diesmal zum -angeblichen- Schutz der Kinder. *WAS?*
    Gibt es dazu valide Untersuchungen, wie die von EU-Innenkommissarin Ylva Johansson, als Frontfrau, gewünschte komplette Filterung des Internets Kindern helfen soll?
    Abgesehen davon, wann interessiert man sich wirklich für die Interessen von Kindern? Im medialen Alltag kaum, bis zum Schreckmoment Friday-For-Future -es gibt noch eine Zukunft, in der unsere Kinder Leben wollen?…konnte ja keiner wissen.

Ergänzung an htm Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.