BundesregierungInnenministerium setzt sich bei Chatkontrolle durch

Die Bundesregierung lehnt Maßnahmen zum Scannen privater Kommunikation auf EU-Ebene nicht ab, obwohl das im Koalitionsvertrag steht. Das geht aus der gemeinsamen Position der Regierung zur geplanten EU-Verordnung hervor, die wir veröffentlichen. Der CCC kritisiert den Bruch des Koalitionsvertrags.

Nancy Faeser tippt ins Handy im Bundestag.
Will E-Mails und Cloud-Speicher scannen: Innenministerin Faeser. – Alle Rechte vorbehalten IMAGO / Bernd Elmenthaler

Online-Kommunikation ist vertraulich. Das steht in der EU-Datenschutzrichtlinie für elektronische Kommunikation. Internet-Dienste dürfen die Kommunikation ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Im Kampf gegen sexuellen Missbrauch und Kinderpornografie sollen Internet-Dienste die Kommunikation ihrer Nutzer:innen anlasslos und verpflichtend scannen und überwachen. Manche Anbieter wie Google, Apple und Meta tun das bereits freiwillig, eine EU-Verordnung erlaubt das als „vorübergehende Ausnahme“. Die EU-Kommission will Anbieter zum Scannen verpflichten. Das steht in ihrem Vorschlag für eine EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern.

Gemeinsame Position der Regierung

Die Ampel-Regierung hat dieses Vorhaben in den Koalitionsverhandlungen diskutiert und ihre Position dagegen im Koalitionsvertrag festgeschrieben: „Allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht lehnen wir ab.“ Doch Innenministerin Nancy Faeser will sich nicht daran halten. Immer wieder fordert sie, private Inhalte und Kommunikation zu durchsuchen.

Fast ein Jahr hat die Bundesregierung über die deutsche Position zur Chatkontrolle gestritten. Die FDP-Ministerien haben rote Linien formuliert, ohne die Deutschland der Verordnung nicht zustimmen kann. Die Minister:innen hatten sich eigens deshalb zusammengesetzt, aber trotzdem nur wenig angenähert. Letzte Woche hat sich die Bundesregierung auf eine „gemeinsame Position“ geeingt und diese „an den Rat der EU übermittelt“. Das bestätigt uns eine Sprecherin des Innenministeriums.

Wir veröffentlichen die gemeinsame Stellungnahme der Bundesregierung in Volltext.

Private Kommunikation scannen

Die EU-Verordnung regelt formal das Funktionieren des Binnenmarkts. Innerhalb der Bundesregierung ist aber das Innenministerium dafür zuständig, dort das Referat Cyberfähigkeiten der Sicherheitsbehörden. Diese Beamten haben bereits vor zwei Monaten einen Entwurf des Papiers erstellt. Wir haben die alte und neue Version verglichen und die Änderungen farblich markiert.

Bei diesem Vergleich wird deutlich, dass sich Innenministerin Faeser in den Verhandlungen weitgehend durchgesetzt hat. Die Position der Bundesregierung ist zu drei Vierteln identisch mit dem Entwurf des Innenministeriums. In den monatelangen Verhandlungen haben die Ministerien nur zwei Dutzend Wörter gestrichen und ein paar neue Punkte aufgenommen. Signifikante inhaltliche Änderungen gab es nicht mehr.

Die Bundesregierung bezeichnet das Positionspapier als Einigung. Doch in den wichtigsten Fragen konnten sich die Ministerien nicht einigen und vertreten weiterhin gegensätzliche Positionen. Das Innenministerium will unverschlüsselte Kommunikation wie E-Mails und Speicherdienste wie Cloud-Backups durchsuchen, die FDP-Ministerien sind dagegen. Das Innenministerium will nach „bislang unbekannten Missbrauchsdarstellungen und Grooming“ suchen, die FDP-Ministerien sind dagegen.

Ausweisvorlage und Netzsperren

In weiteren Punkten hat sich das Innenministerium eindeutig durchgesetzt. Die FDP-Ministerien hatten gefordert, bei einer Altersverifikation „die Vorlage des Personalausweises auszuschließen“. Laut Einigung erlaubt die Bundesregierung jetzt die „Altersverifikation beispielsweise mittels freiwilliger Ausweisvorlage“. Altersverifizierung soll verpflichtend werden und per Ausweis erfolgen können, aber gleichzeitig pseudonym möglich sein.

Bei einem Thema ändert die Bundesregierung sogar eine jahrelange Position. Seit 2010 lehnt Deutschland Netzsperren ab, der Konsens aller Regierungen ist „Löschen statt Sperren“. In den Verhandlungen zur EU-Verordnung weicht die Bundesregierung von dieser Position ab und trägt Netzsperren mit. Im gemeinsamen Positionspapier erwähnt sie „Löschen statt Sperren“, erlaubt Netzsperren jedoch unter Umständen doch.

Bei weiteren Aspekten hatte sich Bundesregierung bereits geeinigt. Client-Side-Scanning und eine Umgehung von Ende-zu-Ende-Verschlüsselung lehnt Deutschland ab. Audiokommunikation wie Telefonie oder Sprachnachrichten soll auch weiterhin nicht durchsucht werden. Die EU soll „nur solche Inhalte und Verhaltensweisen erfassen, die EU-weit verboten sind“. Das Alter der sexuellen Mündigkeit unterscheidet sich in den Mitgliedstaaten, in Deutschland liegt es bei 14 Jahren.

Bruch des Koalitionsvertrags

Die Bundesregierung hat also weiterhin unterschiedliche Positionen zu wesentlichen Inhalten der geplanten EU-Verordnung. Trotzdem hat sie jetzt eine gemeinsame Position beschlossen, in der wichtige Punkte entweder offen bleiben oder dem Koalitionsvertrag widersprechen. Der Grund dafür ist, dass im EU-Rat das Innenministerium für Deutschland verhandelt. Die Ampel will mit dieser Einigung gemeinsam gegen Client-Side-Scanning eintreten. Dafür lässt sie andere Punkte bewusst offen.

Das bestätigt Maximilian Funke-Kaiser. Vor wenigen Wochen sagte der FDP-Abgeordnete, dass die Forderungen des Innenministeriums „offensichtlich im Widerspruch zum Koalitionsvertrag stehen“. Jetzt kommentiert er: „Die FDP-Ministerien sind energisch gegen eine Überwachung jeglicher Kommunikation eingetreten, aber das Innenministerium war leider nur bedingt bereit davon abzurücken. Letztlich konnten wir uns über einige Punkte erfolgreich abstimmen, um so gegenüber Brüssel eine geeinte Position zu vertreten.“

Mit dieser Einigung wird sich Deutschland auf EU-Ebene gegen Client-Side-Scanning einsetzen, aber nicht gegen „allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht“ – obwohl die Bundesregierung diese Maßnahmen laut Koalitionsvertrag ablehnt.

Der Chaos Computer Club kritisiert diese Einigung scharf. Sprecherin Elina Eickstädt kommentiert: „Der Bundesregierung scheint das Thema allgemeine Überwachungspflichten auf EU-Ebenen vollkommen egal zu sein. FDP und Grüne tragen den von Nancy Faeser angestifteten Bruch des Koalitionsvertrag wohlweislich mit. Diese Pseudo-Einigung ist mehr eine Erklärung zum Bruch des Koalitionsvertrags als alles andere.“

Update (18.04.): Der grüne Bundestagsabgeordnete Tobias Bacherle kommentiert: „Nancy Faeser und das Innenministerium untergraben mit ihren Überwachungsforderungen den Koalitionsvertrag. Wir setzen uns deshalb weiter für eine Artikel-23-Stellungnahme des Parlaments ein, die den konsequenten Schutz privater Kommunikation fordert und damit die Position der Bundesregierung bindet.“


Hier die Stellungnahme der Bundesregierung in Volltext aus dem PDF befreit:


  • Datum: 05. April 2023

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (CSA-VO)

Stellungnahme der Deutschen Bundesregierung zum Entwurf einer CSA-VO

Für die Bundesregierung hat der Kampf gegen sexuellen Missbrauch von Kindern und Jugendlichen höchste Priorität. Daher begrüßt die Bundesregierung den Kommissionsentwurf als gemeinsames europäisches Vorgehen, das klare und dauerhafte Rechtsgrundlagen schafft. Ein einheitlicher europäischer Rechtsrahmen mit effektiven Meldewegen stellt einen wesentlichen Schritt im Kampf gegen sexuellen Missbrauch von Kindern dar. Dabei ist es wichtig, die Anbieter einschlägiger Dienste der Informationsgesellschaft stärker in die Verantwortung zu nehmen.

Gleichzeitig ist es unbedingt erforderlich, dass die geplanten Regelungen der CSA-VO im Einklang mit den grundrechtlichen Anforderungen insbesondere an den Schutz der Vertraulichkeit der Kommunikation und an den Schutz der Privatsphäre in der Kommunikation stehen. Ein hohes Datenschutzniveau, ein hohes Maß an Cybersicherheit, einschließlich einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung in der elektronischen Kommunikation sind für die Bundesregierung unerlässlich.

Aus Sicht der Bundesregierung sind wesentliche Änderungen im Verordnungsentwurf erforderlich, damit dieser aus deutscher Sicht zustimmungsfähig wird. Konkrete Forderungen werden nachfolgend festgehalten. Soweit die Prüfungen innerhalb der Bundesregierung noch nicht abgeschlossen sind, behalten wir uns weitere Forderungen zu einem späteren Zeitpunkt vor. Die Bundesregierung wird sich weiterhin aktiv und konstruktiv in die Verhandlungen der CSA-VO einbringen.

Nationales Strafrecht als verbindliche Obergrenze

Das Alter der sexuellen Mündigkeit variiert in den MS. In DEU gelten Jugendliche ab 14 Jahre als hinreichend mündig, ihr Einverständnis mit bestimmten Handlungen und Inhalten zu erklären.

Der Verordnungsentwurf sollte nur solche Inhalte und Verhaltensweisen erfassen, die EU-weit verboten sind. Insofern sind Anpassung der Begriffsbestimmung in Art. 2 (insbesondere lit. l, o, q) erforderlich, die den nationalen Umsetzungsspielraum der Mitgliedsstaaten der Richtlinie 2011/93/EU berücksichtigen. Inhalte oder Verhaltensweisen, die nach nationalem Recht nicht strafbar sind, sind vom Anwendungsbereich des Verordnungsentwurfs auszuschließen.

Risikomanagement und abgestufte Verfahren

  • Erforderlich sind Konkretisierungen der Anforderungen und Maßstäbe an das Risikomanagement i.S.d. Art. 3 bis 6. Sowohl Anbieter als auch Nutzer müssen im Sinne von Rechtssicherheit und Vorhersehbarkeit wissen, welche Daten bzw. Parameter zugrunde gelegt werden (können) und in welchem Maße diese gewichtet werden.
  • Im Verordnungsentwurf ist festzustellen, dass die Pflichten des Risikomanagements ohne den Einsatz von Aufdeckungstechnologien i.S.d. Art. 10 VO-E im zeitlichen und örtlichen Anwendungsbereich der CSA-VO zu erfüllen sind.
  • Festlegung des Stufenverhältnisses zwischen Risikominimierungsmaßnahmen und Aufdeckungsanordnungen im Verordnungstext: Vor einer möglichen Aufdeckungsanordnungen sind zunächst alle milderen Mittel im Rahmen des Risikomanagements (verpflichtend) auszuschöpfen.

Konkretisierung der Vorgaben für Altersverifikationen

  • Im Verordnungsentwurf ist festzulegen, dass verpflichtende Altersverifikationen (gem. Art. 4 Abs. 3, Art. 6 Abs. 1 lit. c VO-E) eine anonyme oder jedenfalls pseudonyme Nutzung betroffener Dienste weiterhin ermöglichen müssen. Wir setzen uns für eine stärkere Erforschung verschiedener geeigneter Verfahren ein. Die Entwicklung eines EU-weit einheitlichen, wirksamen und datensparsamen Verfahrens zur Altersverifikation wird vorangetrieben. Die Bundesregierung bringt sich hierzu mit konkreten Vorschlägen auf EU-Ebene ein.
  • Es ist sicherzustellen, dass Nutzern neben pseudonymer Altersverifikation beispielsweise mittels freiwilliger Ausweisvorlage (selektive Offenlegung nur der Über-/Unterschreitung einer bestimmten Altersgrenze mittels eID-Verfahren ohne Übermittlung sonstiger Informationen über den Nutzer) durch die Diensteanbieter gleichrangig alternative Altersverifikationsverfahren angeboten werden, sofern diese den gleichen Grad an Gewissheit bieten (Sicherstellung eines Wahlrechts).
  • Auch Dienste, die wirkungsvolle Altersverifikationsverfahren implementiert haben, müssen zwingend geeigneten Beschwerde- und Abhilfeverfahren für betroffene Nutzerinnen und Nutzer schaffen.

Konkretisierung der Voraussetzungen für den Erlass von Aufdeckungsanordnungen und Gewährleistung einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung

Der Verordnungsentwurf sieht die Möglichkeit der Anordnungen zum Aufdecken von bereits bekannten sowie neuen Missbrauchsdarstellungen und „Grooming“ vor. Aus Sicht der Bundesregierung begegnet die Ausgestaltung des Verordnungsentwurfes in diesem Bereich erheblichen Bedenken. Dies betrifft insbesondere auch den durchgängigen Schutz Ende-zu-Ende verschlüsselter Kommunikation. Es bedarf deutlicher Konkretisierung, um einen größtmöglichen Schutz aller betroffenen Grundrechte sicherzustellen – sowohl die Grundrechte von sexuellem Missbrauch betroffener Kinder und Jugendlicher wie auch die Grundrechte von Nutzerinnen und Nutzern von Diensten der Informationsgesellschaft, die Adressat einer Aufdeckungsanordnung werden.

Die Bundesregierung wird sich in ihrem Handeln in Deutschland und auf EU-Ebene für einen stärkeren Fokus auf Erforschung und Entwicklung von grundrechtsschonenden Technologien zur Erkennung von strafrechtlich relevanten Inhalten im Sinne der CSA-VO einsetzen.

Innerhalb der Bundesregierung dauert die kritische Prüfung hinsichtlich folgender Punkte an:

  • Zulässigkeit sowie etwaiger Umfang serverseitiger Aufdeckungsmaßnahmen in unverschlüsselten Telekommunikations- sowie (Cloud-) Speicherdiensten. Die staatliche Pflicht zum Schutz der Rechte von Kindern ist in Art. 24 GRCharta verankert und umfasst insbesondere das Recht auf körperliche Unversehrtheit welches in Art. 3 GRCharta verankert ist. Gleichzeitig bedeuten Aufdeckungsmaßnahmen in privater Kommunikation und privaten Cloudspeichern einen erheblichen Eingriff in den in Art. 7 der EU-Grundrechte Charta (GRCharta) verankerten Schutz des Privatlebens und privater Kommunikation und in den in Artikel 8 GRCharta verankerten Schutz personenbezogener Daten.
  • Zulässigkeit von Aufdeckungsanordnungen von bislang unbekannten Missbrauchsdarstellungen und Grooming. Darstellungen bislang unbekannter Missbrauchsdarstellung und Grooming geben regelmäßig Hinweis auf andauernde Missbrauchstaten. Der Erstkontakt bei Anbahnungsversuchen in Missbrauchsabsicht (Grooming) findet regelmäßig in digitalen Diensten zur öffentlichen Verbreitung von Informationen statt. Die Erkennung von bislang unbekannten Missbrauchsdarstellungen und Grooming ist jedoch nicht fehlerfrei möglich. Durch die Einzelfallprüfung werden Ressourcen bei nationalen Behörden gebunden.

Zum jetzigen Zeitpunkt sind insbesondere folgende Forderungen festzuhalten, ohne deren Übernahme Deutschland dem Verordnungsentwurf nicht wird zustimmen können:

  • Ausschluss von Maßnahmen, die zu einem Scannen privater verschlüsselter Kommunikation führen, insbesondere durch Streichung der Anwendbarkeit des Art. 7 VO-E auf verschlüsselte interpersonelle Kommunikationsdienste i.S.d. Art. 2 b) VO-E.
  • Der Einsatz von Maßnahmen, die zu einem Bruch, einer Schwächung, Modifikation oder einer Umgehung von Ende-zu-Ende-Verschlüsselung führen, ist durch konkrete technische Anforderungen im Verordnungsentwurf auszuschließen.
  • Im Verordnungsentwurf auszuschließen sind Technologien, die als sog. Client-Side-Scanning auf dem Endgerät des/der Anwenders/in zum Aufdecken von sexuellem Kindesmissbrauch im Internet und Grooming eingesetzt werden.
  • Audiokommunikation ist vom Anwendungsbereich des Art. 7 VO-E auszunehmen.
  • Konkretisierung der unbestimmten Rechtsbegriffe im Verordnungstext insbes. „erhebliches Risiko“ i.S.d. Art. 7 Abs. 3 VO-E „in beträchtlichem Umfang“ i.S.v. Art. 7 Abs. 5,6,7.
  • Konkretisierung der Vorgaben für eine Abwägungsentscheidung i.S.d. Art. 7 Abs. 4 lit. b).
  • Konkretisierung der Vorgaben für begrenzte, möglichst zielgerichtete Anordnungen nur auf einen „identifizierbaren Teil oder Aspekt“ eines betroffenen Dienstes i.S.d Art. 7 Abs. 8 UAbs. 3 lit. a).
  • Konkretisierung und Sicherstellung, dass alle Nutzerinnen und Nutzer von Diensten, die Adressat einer Aufdeckungsanordnung werden, in geeigneter, abstrakter Weise i.S.d. Art. 10 Abs. 5 über die in dem betroffenen Dienst durchzuführenden Aufdeckungen sowie Meldungen potenziellen sexuellen Missbrauchs von Kindern informiert werden.
  • Es ist sicherzustellen, dass Daten, sobald sie für die Aufgabenerfüllung des EU-Zentrums, der Strafverfolgungsbehörden sowie weitere unter der CSA-VO zuständige Behörden nicht mehr erforderlich sind, gelöscht werden.

Weitere Anordnungen:

  • Bei der Entfernung von Darstellungen sexuellen Missbrauchs von Kindern, sollte vorrangig eine dauerhafte Entfernung der Inhalte angestrebt werden (Grundsatz „Löschen statt Sperren“).
  • Sperranordnungen, die sich an Internet-Zugangsanbieter richten, sollten als letztes Mittel nur zulässig sein, wenn Maßnahmen gegen den Verantwortlichen nicht durchführbar oder nicht Erfolg versprechend sind, die Sperrungen technisch möglich und zumutbar sind, keine Überwachungspflichten damit verbunden sind und etwaige HTTPS-Verschlüsselung gewahrt bleiben.

Beschleunigte Meldewege

  • Konkretisierung im Verordnungstext, dass CSAM-Meldungen nach Prüfung durch das EU-Zentrum ohne zeitlichen Verzug an die zuständigen Behörden der Mitgliedsstaaten weitergeleitet werden.

Mehr Gestaltungsspielraum bei der einzurichtenden Behördenstruktur in den Mitgliedstaaten sowie Förderung der Zivilgesellschaft und Betroffenenvernetzung

  • Flexibilisierung der Anforderungen an die Ausgestaltung der Koordinierungsbehörden; insbesondere bzgl. der geforderten Unabhängigkeit, zur effektiven Nutzbarmachung bestehender Strukturen.
  • Politisch-strukturelle Einbindung von Betroffenen sexuellen Missbrauchs bei der Arbeit der nationalen Koordinierungsbehörden. Stärkung von Betroffenenvernetzung auf nationaler Ebene durch die Koordinierungsbehörden.
  • Eine enge Zusammenarbeit der Meldestellen mit fachlich erfahrenen zivilgesellschaftlichen Akteuren wird etabliert.
  • Sicherstellung, dass die vorgesehene Unabhängigkeit der nationalen Koordinierungsbehörde nicht einer wirksamen Datenschutzaufsicht entgegensteht.

Aufgaben und Governance Struktur des EU-Zentrums für die Verhütung und Bekämpfung sexuellen Kindesmissbrauchs

  • Konkretisierung der Aufgaben des EU-Zentrums im Bereich der Prävention, Unterstützung, Forschung und Aufarbeitung unter stärkerer Berücksichtigung der Offline-Dimension sexuellen Missbrauchs von Kindern und Jugendlichen im Verordnungstext.
  • Strukturelle Beteiligung von Betroffenen sexuellen Missbrauchs bei der Tätigkeit des EU-Zentrums durch die Gründung eines Betroffenenbeirates – vgl. beiliegend übermittelten Formulierungsvorschlag. Vor der Veröffentlichung einer Liste mit Mitgliedern des Betroffenenbeirats auf seiner Webseite sind die Einwilligungen der Betroffenen einzuholen.
  • Konkretisierung der Aufgabenabgrenzung zwischen EU-Zentrum und Europol im Verordnungstext, um Synergien für eine effektive Strafverfolgung zu schaffen und Doppelarbeit zu vermeiden. Dies schließt eine Prüfung ein, inwieweit die bei Europol bereits etablierten Prozesse genutzt werden können.
  • Schaffung einer eindeutigen Rechtsgrundlage für den Austausch personenbezogener Daten unter Einhaltung des Grundsatzes der Datenminimierung zwischen beiden Einrichtungen, um die künftige Zusammenarbeit in der Praxis zu gewährleisten.
  • Konkretisierung, in welchem Umfang und unter welchen Rahmenbedingungen das EU-Zentrum auf Unterstützungsleistungen von Europol zurückgreifen soll, und Aufnahme klarer Regelungen in die Verordnung, um negative Auswirkungen auf die Kernaufgaben von Europol zu vermeiden.
  • Harmonisierung der Governance-Struktur des geplanten EU-Zentrums mit den bewährten und jüngst von den Ko-Gesetzgebern bestätigten Governance-Strukturen von Europol, um einen angemessenen Interessenausgleich zwischen mitgliedstaatlicher und EU-Ebene zu gewährleisten. Die Einrichtung eines Exekutivrates sowie die vorgeschlagenen Vetorechte der Kommission lehnt die Bundesregierung ausdrücklich ab.

Hier die Unterschiede der alten und neuen Version:


  • Datum: 17. Februar 05. April 2023
  • Von: Bundesministerium des Innern und für Heimat Bundesregierung

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (CSA-VO)

Stellungnahme der Deutschen Bundesregierung zum Entwurf einer CSA-VO

Für die Bundesregierung hat der Kampf gegen sexuellen Missbrauch von Kindern und Jugendlichen höchste Priorität. Daher begrüßt die Bundesregierung den Kommissionsentwurf als gemeinsames europäisches Vorgehen, das klare und dauerhafte Rechtsgrundlagen schafft. Ein einheitlicher europäischer Rechtsrahmen mit effektiven Meldewegen stellt einen wesentlichen Schritt im Kampf gegen sexuellen Missbrauch von Kindern dar. Dabei ist es wichtig, die Anbieter einschlägiger Dienste der Informationsgesellschaft stärker in die Verantwortung zu nehmen.

Gleichzeitig ist es unbedingt erforderlich, dass die geplanten Regelungen der CSA-VO im Einklang mit den grundrechtlichen Anforderungen insbesondere an den Schutz der Vertraulichkeit der Kommunikation und an den Schutz der Privatsphäre in der Kommunikation stehen. Ein hohes Datenschutzniveau, ein hohes Maß an Cybersicherheit, einschließlich einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung in der elektronischen Kommunikation sind für die Bundesregierung unerlässlich.

Aus Sicht der Bundesregierung sind wesentliche Änderungen im Verordnungsentwurf erforderlich, damit dieser aus deutscher Sicht zustimmungsfähig wird. Konkrete Forderungen werden nachfolgend festgehalten. Soweit die Prüfungen innerhalb der Bundesregierung noch nicht abgeschlossen sind, behalten wir uns weitere Forderungen zu einem späteren Zeitpunkt vor. Die Bundesregierung wird sich weiterhin aktiv und konstruktiv in die Verhandlungen der CSA-VO einbringen.

Nationales Strafrecht als verbindliche Obergrenze

Das Alter der sexuellen Mündigkeit variiert in den Mitgliedstaaten. In Deutschland gelten Jugendliche ab 14 Jahre als hinreichend mündig, ihr Einverständnis mit bestimmten Handlungen und Inhalten zu erklären.

Der Verordnungsentwurf sollte nur solche Inhalte und Verhaltensweisen erfassen, die EU-weit verboten sind. Insofern sind Anpassung der Begriffsbestimmung in Art. 2 (insbesondere lit. l, o, q) erforderlich, die den nationalen Umsetzungsspielraum der Mitgliedsstaaten der Richtlinie 2011/93/EU berücksichtigen. Inhalte oder Verhaltensweisen, die nach nationalem Recht nicht strafbar sind, sind vom Anwendungsbereich des Verordnungsentwurfs auszuschließen.

Risikomanagement und abgestufte Verfahren

  • Erforderlich sind Konkretisierungen der Anforderungen und Maßstäbe an das Risikomanagement i.S.d. Art. 3 bis 6. Sowohl Anbieter als auch Nutzer müssen im Sinne von Rechtssicherheit und Vorhersehbarkeit wissen, welche Daten bzw. Parameter zugrunde gelegt werden (können) und in welchem Maße diese gewichtet werden.
  • Im Verordnungsentwurf ist festzustellen, dass die Pflichten des Risikomanagements ohne den Einsatz von Aufdeckungstechnologien i.S.d. Art. 10 VO-E im zeitlichen und örtlichen Anwendungsbereich der CSA-VO zu erfüllen sind.
  • Festlegung des Stufenverhältnisses zwischen Risikominimierungsmaßnahmen und Aufdeckungsanordnungen im Verordnungstext: Vor einer möglichen Aufdeckungsanordnungen sind zunächst alle milderen Mittel im Rahmen des Risikomanagements (verpflichtend) auszuschöpfen.

Konkretisierung der Vorgaben für Altersverifikationen

  • Im Verordnungsentwurf ist festzulegen, dass verpflichtende Altersverifikationen (gem. Art. 4 Abs. 3, Art. 6 Abs. 1 lit. c VO-E) müssen eine anonyme oder jedenfalls pseudonyme Nutzung betroffener Dienste weiterhin ermöglichen müssen. Wir setzen uns für einen stärkeren Fokus auf der Forschung verschiedener geeigneter Verfahren ein. Daneben sollte Die Entwicklung eines EU-weit einheitlicher Standardsn, wirksamen und datensparsamen Verfahrens zur Altersverifikation wird vorangetrieben werden. Die Bundesregierung bringt sich hierzu mit konkreten Vorschlägen auf EU-Ebene ein.
  • Es ist sicherzustellen, dass Nutzern neben pseudonymer Altersverifikation beispielsweise mittels freiwilliger Ausweisvorlage (selektive Offenlegung nur der Über-/Unterschreitung einer bestimmten Altersgrenze mittels eID-Verfahren ohne Übermittlung sonstiger Informationen über den Nutzer) durch die Diensteanbieter gleichrangig alternative Altersverifikationsverfahren angeboten werden, sofern diese den gleichen Grad an Gewissheit bieten (Sicherstellung eines Wahlrechts).
  • Auch Dienste, die wirkungsvolle Altersverifikationsverfahren sind implementiert haben, müssen zwingend mit geeigneten Beschwerde- und Abhilfeverfahren der für betroffenen Nutzerinnen und Nutzer zu flankieren schaffen.

Konkretisierung der Voraussetzungen für den Erlass von Aufdeckungsanordnungen und Gewährleistung einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung

Der Verordnungsentwurf sieht die Möglichkeit der Anordnungen zum Aufdecken von bereits bekannten sowie neuen Missbrauchsdarstellungen und „Grooming“ vor. Aus Sicht der Bundesregierung begegnet die Ausgestaltung des Verordnungsentwurfes in diesem Bereich erheblichen Bedenken. Dies betrifft insbesondere auch den durchgängigen Schutz Ende-zu-Ende verschlüsselter Kommunikation. Es bedarf deutlicher Konkretisierung, um einen größtmöglichen Schutz aller betroffenen Grundrechte sicherzustellen. Neben – sowohl die Grundrechte von sexuellem Missbrauch betroffener Kinder und Jugendlicher wie auch die Grundrechte von Nutzerinnen und Nutzern von Diensten der Informationsgesellschaft, die Adressat einer Aufdeckungsanordnung werden, treten die Grundrechte von sexuellem Missbrauch betroffener Kinder und Jugendlicher.

Die Bundesregierung wird sich in ihrem Handeln in Deutschland und auf EU-Ebene für einen stärkeren Fokus auf Erforschung Entwicklung von grundrechtsschonenden Technologien zur Erkennung von strafrechtlich relevanten Inhalten im Sinne der CSA-VO einsetzen.

Innerhalb der Bundesregierung dauert die kritische Prüfung hinsichtlich folgender Punkte an:

  • Zulässigkeit sowie etwaiger Umfang serverseitiger Aufdeckungsmaßnahmen in unverschlüsselten Telekommunikations- sowie (Cloud-) Speicherdiensten. Die staatliche Pflicht zum Schutz der Rechte von Kindern ist in Art. 24 GRCharta verankert und umfasst insbesondere das Recht auf körperliche Unversehrtheit welches in Art. 3 GRCharta verankert ist. Gleichzeitig bedeuten Aufdeckungsmaßnahmen in privater Kommunikation und privaten Cloudspeichern einen erheblichen Eingriff in den in Art. 7 der EU-Grundrechte Charta (GRCharta) verankerten Schutz des Privatlebens und privater Kommunikation und in den in Artikel 8 GRCharta verankerten Schutz personenbezogener Daten.
  • Zulässigkeit von Aufdeckungsanordnungen von bislang unbekannten Missbrauchsdarstellungen und Grooming in zugänglichen Telemediendiensten (insbesondere Sozialen Netzwerken). Darstellungen bislang unbekannter Missbrauchsdarstellung und Grooming geben regelmäßig Hinweis auf andauernde Missbrauchstaten. Der Erstkontakt bei Anbahnungsversuchen in Missbrauchsabsicht (Grooming) findet regelmäßig in digitalen Diensten zur öffentlichen Verbreitung von Informationen statt. Die Erkennung von bislang unbekannten Missbrauchsdarstellungen und Grooming ist jedoch nicht fehlerfrei möglich. Durch die Einzelfallprüfung werden Ressourcen bei nationalen Behörden gebunden.

Zum jetzigen Zeitpunkt sind insbesondere folgende Forderungen festzuhalten, ohne deren Übernahme Deutschland dem Verordnungsentwurf nicht wird zustimmen können:

  • Ausschluss von Maßnahmen, die zu einem Scannen privater verschlüsselter Kommunikation führen, insbesondere durch Streichung der Anwendbarkeit des Art. 7 VO-E auf verschlüsselte interpersonelle Kommunikationsdienste i.S.d. Art. 2 b) VO-E.
  • Der Einsatz von Maßnahmen, die zu einem Bruch, einer Schwächung, Modifikation oder einer Umgehung von Ende-zu-Ende-Verschlüsselung führen, ist durch konkrete technische Anforderungen im Verordnungsentwurf auszuschließen.
  • Im Verordnungsentwurf auszuschließen sind Technologien, die als sog. Client-Side-Scanning auf dem Endgerät des/der Anwenders/in zum Aufdecken von CSAM sexuellem Kindesmissbrauch im Internet und Grooming eingesetzt werden.
  • Audiokommunikation ist vom Anwendungsbereich des Art. 7 VO-E auszunehmen.
  • Konkretisierung der unbestimmten Rechtsbegriffe im Verordnungstext insbes. „erhebliches Risiko“ i.S.d. Art. 7 Abs. 3 VO-E „in beträchtlichem Umfang“ i.S.v. Art. 7 Abs. 5,6,7.
  • Konkretisierung der Vorgaben für eine Abwägungsentscheidung i.S.d. Art. 7 Abs. 4 lit. b).
  • Konkretisierung der Vorgaben für begrenzte, möglichst zielgerichtete Anordnungen nur auf einen „identifizierbaren Teil oder Aspekt“ eines betroffenen Dienstes i.S.d. Art. 7 Abs. 8 UAbs. 3 lit. a).
  • Konkretisierung und Sicherstellung, dass alle Nutzerinnen und Nutzer von Diensten, die Adressat einer Aufdeckungsanordnung werden, in geeigneter, abstrakter Weise i.S.d. Art. 10 Abs. 5 über die in dem betroffenen Dienst durchzuführenden Aufdeckungen sowie Meldungen potenziellen sexuellen Missbrauchs von Kindern informiert werden.
  • Es ist sicherzustellen, dass Daten, sobald sie für die Aufgabenerfüllung des EU-Zentrums, der Strafverfolgungsbehörden sowie weitere unter der CSA-VO zuständige Behörden nicht mehr erforderlich sind, gelöscht werden.

Weitere Anordnungen:

  • Bei der Entfernung von Darstellungen sexuellen Missbrauchs von Kindern, sollte vorrangig eine dauerhafte Entfernung der Inhalte angestrebt werden (Grundsatz „Löschen statt Sperren“).
  • Sperranordnungen, die sich an Internet-Zugangsanbieter richten, sollten als letztes Mittel nur zulässig sein, wenn Maßnahmen gegen den Verantwortlichen nicht durchführbar oder nicht Erfolg versprechend sind, die Sperrungen technisch möglich und zumutbar sind, keine Überwachungspflichten damit verbunden sind und etwaige HTTPS-Verschlüsselung gewahrt bleiben.

Beschleunigte Meldewege

  • Konkretisierung im Verordnungstext, dass CSAM-Meldungen von Missbrauchsdarstellungen bzw. Grooming nach Prüfung durch das EU-Zentrum ohne zeitlichen Verzug an die zuständigen Behörden der Mitgliedsstaaten weitergeleitet werden.

Mehr Gestaltungsspielraum bei der einzurichtenden Behördenstruktur in den Mitgliedstaaten sowie Förderung der Zivilgesellschaft und Betroffenenvernetzung

  • Flexibilisierung der Anforderungen an die Ausgestaltung der Koordinierungsbehörden; insbesondere bzgl. der geforderten Unabhängigkeit, zur effektiven Nutzbarmachung bestehender Strukturen.
  • Politisch-strukturelle Einbindung von Betroffenen sexuellen Missbrauchs bei der Arbeit der nationalen Koordinierungsbehörden. Stärkung von Betroffenenvernetzung auf nationaler Ebene durch die Koordinierungsbehörden.
  • Eine enge Zusammenarbeit der Meldestellen mit fachlich erfahrenen zivilgesellschaftlichen Akteuren wird etabliert.
  • Sicherstellung, dass die vorgesehene Unabhängigkeit der nationalen Koordinierungsbehörde nicht einer wirksamen Datenschutzaufsicht entgegensteht.

Aufgaben und Governance Struktur des EU-Zentrums für die Verhütung und Bekämpfung sexuellen Kindesmissbrauchs

  • Konkretisierung der Aufgaben des EU-Zentrums im Bereich der Prävention, Unterstützung, Forschung und Aufarbeitung unter stärkerer Berücksichtigung der Offline-Dimension sexuellen Missbrauchs von Kindern und Jugendlichen im Verordnungstext.
  • Strukturelle Beteiligung von Betroffenen sexuellen Missbrauchs bei der Tätigkeit des EU-Zentrums durch die Gründung eines Betroffenenbeirates – vgl. beiliegend übermittelten Formulierungsvorschlag. Vor der Veröffentlichung einer Liste mit Mitgliedern des Betroffenenbeirats auf seiner Webseite sind die Einwilligungen der Betroffenen einzuholen.
  • Konkretisierung der Aufgabenabgrenzung zwischen EU-Zentrum und Europol im Verordnungstext, um Synergien für eine effektive Strafverfolgung zu schaffen und Doppelarbeit zu vermeiden. Dies schließt eine Prüfung ein, inwieweit die bei Europol bereits etablierten Prozesse genutzt werden können.
  • Schaffung einer eindeutigen Rechtsgrundlage für den Austausch personenbezogener Daten unter Einhaltung des Grundsatzes der Datenminimierung zwischen beiden Einrichtungen, um die künftige Zusammenarbeit in der Praxis zu gewährleisten.
  • Konkretisierung, in welchem Umfang und unter welchen Rahmenbedingungen das EU-Zentrum auf Unterstützungsleistungen von Europol zurückgreifen soll, und Aufnahme klarer Regelungen in die Verordnung, um negative Auswirkungen auf die Kernaufgaben von Europol zu vermeiden.
  • Harmonisierung der Governance-Struktur des geplanten EU-Zentrums mit den bewährten und jüngst von den Ko-Gesetzgebern bestätigten Governance-Strukturen von Europol, um einen angemessenen Interessenausgleich zwischen mitgliedstaatlicher und EU-Ebene zu gewährleisten. Die Einrichtung eines Exekutivrates sowie die vorgeschlagenen Vetorechte der Kommission lehnt die Bundesregierung ausdrücklich ab.

6 Ergänzungen

  1. Also hauen die FDP und die Grünen gerade alle ihre Versprechen bezüglich Netzpolitik und Bürgerrechten in den Müll :(

    Na prima, dann bleibt nur noch die Piratenpartei als netzpolitische Kraft übrig aber die ist derzeit (noch) zu klein um wirklich etwas bewirken zu können. Alles in allem doch sehr frustrierend was die etablierte Politik sich hier im Moment leistet.

    1. Die FDP ist schon seit langer Zeit nicht mehr für Bürgerrechte seitdem es um die Mitglieder des Freiburger Kreises ruhig geworden ist. Und irgendwie habe ich noch nie verstanden, was Gerhart Baum und Sabine Leutheusser-Schnarrenberger noch immer in der FDP hält.

  2. Das Problem an der Sache wird die EU selbst sein. Recherchen der BBFC (British Board of Film Classifications) enthalten 65% der 100 meistbesuchten Pornoplattformen sog. „Missbrauchsdarstellungen“ als Cartoon. Diese Erkenntniss war nebensächlich, denn die BBFC hat betont das sie explizit nicht danach gesucht habe, aber oft darüber stoß. Hinzu kommt folgende Nachricht aus den USA, wo Google nicht nur freiwillig nach Missbrauch scanned, sondern längst schon nach Cartoons:

    https://www.forbes.com/sites/thomasbrewster/2021/12/20/google-scans-gmail-and-drive-for-cartoons-of-child-sexual-abuse/

    Wie genau soll das in der EU dann umgesetzt werden? In den meisten EU-Staaten hat es keine Relevanz und in einigen schon. Entsprechende Konzerne werden o. g. Technologie natürlich einsetzen, auch wenn die Verhältnismäßigkeit in diesem Kontext sehr fragwürdig ist.

    Ich zitiere hier Marco Buschmann: man solle sich um die Fälle kümmern, „um die es uns alle wirklich geht“. Sowas gehört m. E. nicht dazu. Es ist nicht unrealistisch das sich Behörden in Zukunft mehr mit fiktion beschäftigen werden, als mit echtem Material. So wie es aktuell mit den sog. „Schulhof-Fällen“ ist.

    1. Kleine Ergänzung:
      Die Fehlerquote in diesem Bereich habe ich noch nicht einmal erwähnt. Das wird Ressourcen verspeisen, wie bei einem All-You-Can-Eat Buffet.

  3. Ich habe nicht ganz verstanden, welche Teile der „Stellungnahme der Deutschen Bundesregierung zum Entwurf einer CSA-VO“ jetzt den Koalitionsvertrag brechen. Nur die Altersverifikation konnte ich finden, die ich natürlich auch ablehne. Eventuell werden dann in Zukunft häufiger VPNs gebraucht, um die zu umgehen.
    Unter der Chatkontrolle habe ich aber Client-Side-Scanning oder Aufbrechen der Ende-zu-Ende Verschlüsselung verstanden, die in der Stellungnahme richtigerweise abgelehnt wird.
    Habe ich den Artikel richtig verstanden, dass der Autor Andre auch die Überwachung unverschlüsselter Kommunikation ablehnt? Im Allgemeinen kann man doch ohne Verschlüsselung nicht erwarten, dass es vertraulich bleibt?
    Wenn man GMail benutzt, sollte man schon davon ausgehen, dass die NSA mitlesen kann. Und die geben es unter Umständen sowieso an den BND und andere Behörden weiter.

    Ein Beispiel hätte beim Verständnis geholfen. Trotzdem vielen Dank für den Artikel!

    1. Chatkontrolle ist die Kontrolle privater Kommunikation, egal ob verschlüsselt oder nicht. Bisher mag das freiwillig oder von Geheimdiensten überwacht werden, mit der EU-Verordnung soll das verpflichtend durch die Anbieter passieren.

Ergänzung an chatkontrolle Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.