Einigung im EU-Parlament steht bevorChatkontrolle nur bei Verdacht

Keine Ende-zu-Ende-verschlüsselte Kommunikation scannen, nur noch bei begründetem Verdacht und (fast) keine verpflichtende Alterskontrolle mehr – ein Kompromissvorschlag aus dem Ausschuss für bürgerliche Freiheiten im EU-Parlament würde dem Gesetz zur Chatkontrolle viele Giftzähne ziehen.

Ein Kind sitzt auf einer Treppe und schaut mit gesenktem Kopf in sein Smartphone
Ungewünscht Kontakt zu Minderjährigen aufnehmen soll nicht mehr so leicht sein. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Gaelle Marcel

Während der Rat der EU-Mitgliedstaaten noch um eine gemeinsame Position ringt, zeichnet sich im EU-Parlament eine Einigung über die Verordnung zur „Bekämpfung des sexuellen Missbrauchs von Kindern“ ab. Die Berichterstatter aus dem federführenden Ausschuss für Justiz und bürgerliche Freiheiten (LIBE) haben sich nun auf einen Text geeinigt, der mehrere umstrittene Teile des Kommissionsentwurfs deutlich entschärft. Euractiv hat zuerst darüber berichtet.

Kritiker:innen hatten dem Gesetzvorschlag den Namen Chatkontrolle gegeben, weil die Kommission plante, dass Anbieter von Kommunikations- und Hostingdiensten auf Anordnung die Inhalte ihrer Nutzenden nach Hinweisen auf Darstellungen sexualisierter Gewalt gegen Kinder und Anbahnungsversuche scannen müssen.

Diese weitreichenden Aufdeckungsanordnungen will der LIBE-Text einschränken. Sie sollen nur noch für einzelne oder eine spezifische Gruppe von Nutzenden – etwa bei Chatgruppen – möglich sein. Also nicht mehr für alle, die einen Dienst nutzen, für den ein Missbrauchsrisiko festgestellt wurde. Für derartige Anordnungen soll außerdem ein begründeter Verdacht vorliegen müssen, dass eine Verbindung zu Missbrauchsmaterial besteht.

Nur mit richterlicher Bestätigung

Dann müssten die Anordnungen zusätzlich, so der LIBE-Text, gerichtlich bestätigt werden. Es gibt also einen Richtervorbehalt. Auch hier besteht ein Unterschied zum Kommissionsentwurf. Der ließ offen, ob eine nationale Verwaltungsbehörde oder ein Gericht eine Anordnung bestätigt.

Eine der größten Sorgen von IT-Sicherheitsexpert:innen, Bürgerrechtsorganisationen und Datenschützer:innen bei der Chatkontrolle ist das Scannen verschlüsselter Kommunikation. Dem begegnet der Parlamentsausschuss, indem er Kommunikation ausnimmt, „bei der eine Ende-zu-Ende-Verschlüsselung eingesetzt oder angewendet wird oder wurde“. Das heißt: Wer zum Beispiel Ende-zu-Ende-verschlüsselt mit WhatsApp, Signal oder Threema kommuniziert, soll dem Ausschuss zufolge nicht per Chatkontrolle überwacht werden dürfen.

Das schiebt auch dem befürchteten Client-Side-Scanning einen Riegel vor. Dabei ließe sich Verschlüsselung umgehen, indem Inhalte auf den Geräten gescannt werden, bevor sie etwa beim Versenden einer Chatnachricht Ende-zu-Ende-verschlüsselt werden.

Eine weitere Einschränkung will der LIBE-Ausschuss bei der Art des Materials, nach dem Anbieter suchen sollen: Ursprünglich bezogen sich die vorgeschlagenen Maßnahmen auf bekannte und neue Darstellungen von Missbrauch sowie auf Grooming. Bei Letzterem bahnen Erwachsene Kontakt zu Minderjährigen an, um sie anschließend etwa nach Nacktaufnahmen zu fragen. Ginge es nach den LIBE-Berichterstattern, würde die Grooming-Erkennung aus dem Gesetzestext verschwinden.

Andere Schutzmaßnahmen im Fokus

Dafür wollen sie Anbieter mehr Pflichten auferlegen, um Grooming auf anderen Wegen zu bekämpfen. Bestimmte Standardeinstellungen in ihren Diensten sollen dabei helfen. Nutzende sollen nicht mehr direkt ungewollte Nachrichten von Unbekannten empfangen müssen. Das Teilen von persönlichen Kontaktdaten soll eingeschränkt werden. Dienste sollen ihren Nutzer:innen leicht zugängliche Mechanismen bereitstellen, um andere zu blockieren, stummzuschalten oder mögliches Missbrauchsmaterial zu melden.

Bei Diensten, die sich direkt an Kinder unter 13 Jahren richten, sollen das verpflichtende Einstellungen sein. In anderen Fällen sollen Nutzer:innen die Standardeinstellungen eigenständig deaktivieren können.

Eine verpflichtende Altersverifikation will der LIBE-Ausschuss nicht, er verbietet sie aber den Anbietern auch nicht. Dabei sollen jedoch einige Regeln gelten: Die Anbieter dürften etwa keine Daten über den Verifizierungsprozess hinaus speichern, müssten anonyme Accounts zulassen und könnten keine biometrischen Daten für den Verifizierungsprozess verlangen.

Altersverifikation für Pornoseiten

Besondere Anforderungen gibt es aber für Pornoseiten und Kommunikationsmöglichkeiten in Computerspielen. Letztere müssen etwa laut dem LIBE-Text prominent Hilfe-Möglichkeiten anzeigen, an die sich Betroffene wenden können. Pornoseiten sollen automatisiert erkennen, wenn Nutzende nach Missbrauchsmaterial suchen. Außerdem soll für sie als Ausnahme eine Altersverifikation verpflichtend sein.

Einige der genannten Punkte haben sich schon im April abgezeichnet; der damalige Verhandlungsstand wurde von manchen Abgeordneten scharf kritisiert. Am 13. November soll der Ausschuss nun final über seine Position abstimmen. Die eigentlich für morgen geplante LIBE-Entscheidung war zuletzt verschoben worden. Währenddessen befragen die Abgeordneten am heutigen Mittwoch EU-Kommissarin Ylva Johansson, eine der vehementesten Befürworterinnen der Chatkontrolle, die zuletzt wegen enger Lobbykontakte in die Kritik geraten war.

Die von der EU-Kommission vorgeschlagene Verordnung befindet sich kurz vor der letzten Phase des Gesetzgebungsprozesses, dem sogenannten Trilog. Darin verhandelt die EU-Kommission den Gesetzestext zusammen mit dem Parlament und dem Ministerrat. Hierzu bringen alle Beteiligten den jeweiligen Text in die Verhandlungen ein, auf den sie sich geeinigt haben. Während die Kommission unter Ylva Johansson eine harte Linie bei der Chatkontrolle vertritt, gibt es auf Ebene der Länder noch keine Einigung, weil mehrere Länder die Chatkontrolle nicht im Text haben wollen. Die Abstimmung des Rates ist schon zweimal verschoben worden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

20 Ergänzungen

  1. „Dem begegnet der Parlamentsausschuss, indem er Kommunikation ausnimmt, „bei der eine Ende-zu-Ende-Verschlüsselung eingesetzt oder angewendet wird oder wurde“. Das heißt: Wer zum Beispiel Ende-zu-Ende-verschlüsselt mit WhatsApp, Signal oder Threema kommuniziert, soll dem Ausschuss zufolge nicht per Chatkontrolle überwacht werden dürfen.

    Das schiebt auch dem befürchteten Client-Side-Scanning einen Riegel vor. Dabei ließe sich Verschlüsselung umgehen, indem Inhalte auf den Geräten gescannt werden, bevor sie etwa beim Versenden einer Chatnachricht Ende-zu-Ende-verschlüsselt werden.“

    Non squitur.

    Zum einen ist eben ausserhalb der App gespeichert, was ausserhalb der App gespeichert wird, egal, wie es dahin gekommen ist. Dem sieht man auch nicht zwingend an, wie es dahin gekommen ist.

    Zum anderen ist damit Client-side-scanning auf alles ausserhalb der entsprechenden Apps weiterhin moeglich.

    Man sollte solche Vorschlaege nicht der eigenen Erwartungshaltung lesen, sondern mit der worst case Auslegung des Gegners. So werden sie naemlich formuliert.

  2. „Chatkontrolle nur bei Verdacht“ waere der absolute Phyrussieg: die Infrastruktur und Moeglichkeiten wuerden vollstaendig implementiert und die Verdachtsentscheidung ist seitens des Staates beliebig machbar.

  3. Hach ja, die berühmten „Kompromisse“. Für die Kritiker*innen eine Beruhigungspille namens „Seht her, es kommt doch nicht ganz so schlimm!“. Für die autoritäre Alleskontrollier- und Totalüberwachungsfraktion hingegen trotzdem der von ihr gewollte Fuß in der Tür, die dann eben nach und nach aufgehebelt statt im Sturm aufgerammt wird. Hauptsache schon einmal Gewöhneffekte für das Ausweisen im Netz (und wie sinnvoll das selbst bei Pornoseiten ist, kann auch diskutiert werden) und etwas später können sie dann ja sagen, dass wir das mit dem Ausweisen und Filtern schon in den Fällen A und B so toll machen, also können wir das doch auch auf C und D ganz easy übertragen.

    Deshalb ist weiterhin nur eine entschlossene Fundamentalopposition zu diesem und ähnlichen Vorhaben glaubwürdig, sonst bricht der Damm eben in Krümeln aber er bricht trotzdem!

  4. Das ist kein Kompromiss, das ist ein de facto Sieg der Chatkontroll-Befürworter.

    Das ganze wird, inklusive Client-side-scanning, auf Betriebssystem-Ebene eingeführt, halt nicht in den Apps selber. Verdacht und Richtervorbehalt sind jederzeit problemlos zu etablieren oder abzuschaffen.

    Glückwunsch, verloren.

  5. Ab wann steht man unter Verdacht? Und gibt es hier nicht autoritäre Möglichkeiten eine Dauerüberwachung zu etablieren?

    Das ist nämlich in Staaten möglich, wo der Besitz von fiktivem „Missbrauchs“material nicht strafbewehrt ist. Da kann man dann ganz legal 24/7 lesen ohne einschreiten zu können. Top! Es steht auch nirgends geschrieben, was „Missbrauchsmaterial“ genau sein soll außer in Art. 2 lit. c RL 2011/93/EU wo nur reale oder simulierte (Deepfake bspw.) Darstellungen als Kinderpornographie erfasst werden.

    Dürfen dann andere Staaten andere EU-Bürger überwachen lassen, weil sie ihre Definition heranziehen? Das ist alles viel zu durcheinander in einer digitalen Welt.

    1. Rein theorethisch kann man so Minderjährige ebenfalls dauerhaft überwachen, da heutzutage jeder ein Smartphone hat. Sie können also Missbrauchsmaterial produzieren, oder von Gleichaltrigen erhalten. „Verdacht“ ist also da.

      Gibt unzählige Fallkonstellationen, wo man so denken kann.

  6. grundsätzlich sollte bei solchen oder ähnlichen vorgängen gesetztlich vorgeschrieben werden unschuldig verfolgte verpflichtent über sämtliche maßnahmen und zu unrecht gesammelte daten in kenntnis zu setzen, damit diese sich vollumfänglich dagegen wehren können um auch die verantwortlichen juristisch wie auch finanziell belangen zu können. die chatkontrolle aber darf in welcher form auch immer niemals eingeführt werden. wehret den anfängen mit allen mitteln.

  7. „Bei Verdacht“ ist eine Nullaussage. Zum Abhörzeitpunkt weiß man ja noch nicht, ob jemand eine Straftat begangen hat, das will man ja gerade rausfinden; sonst würde man denjenigen einfach einsperren. Demnach müssen die Behörden bloß „den Verdacht“ äußern, man sei ein Mörder oder in Kindesmissbrauch involviert, und schon dürfen sie alles; selbst wenn sich hinterher rausstellt, dass man bloß Klimaaktivist ist. Solange ein Missbrauch derartiger Befugnisse für die Anwender keine adäquaten Konsequenzen hat (und zwar von den Cops bis hin zu den verantwortlichen Politikerinnen), werden sie sich auch nicht davor scheuen.

    Hinzu kommt, dass die Überwachung nur funktioniert, wenn das Opfer nicht weiß, dass es überwacht wird, was es für dieses noch schwerer macht, sich dagegen überhaupt rechtlich zur Wehr zu setzen (und selbst im Falle eines Erfolgs bekäme es das Wissen, was diese Leute nun in ihren Köpfen haben, nicht mehr mit legalen Methoden ausgelöscht). Und wie wirkungsvoll der Richtervorbehalt in der Praxis die Grundrechte schützt, ist ebenfalls hinlänglich bekannt.

    Selbst der Teil „Wer zum Beispiel Ende-zu-Ende-verschlüsselt mit WhatsApp, Signal oder Threema kommuniziert, soll dem Ausschuss zufolge nicht per Chatkontrolle überwacht werden dürfen.“ bedeutet, dass alles außerhalb des „geschützten Bereichs“ besagter Apps (wie ist der eigentlich definiert?) weiterhin client-seitig gescannt werden darf und wird, was natürlich vor allem alle Mediendateien betrifft, die man verschickt bzw. geschickt bekommt und lokal speichert. Das Client-Side-Scanning wird einfach auf die Betriebssystemebene verlagert (in dem Zusammenhang sollte man sich unbedingt mal die neueste Fassung des Microsoft-Servicevertrags zu Gemüte führen).

    Es gibt bei diesem Vorhaben keine „Kompromisse“, die in irgendeiner Weise akzeptabel oder auch nur verfassungskonform wären. Eine einzige Hintertür reicht für den Totalschaden.

    1. „Es gibt bei diesem Vorhaben keine „Kompromisse“, die in irgendeiner Weise akzeptabel oder auch nur verfassungskonform wären. “

      dem wird sich auch jeder der sich mit der materie befasst und fundierte juristische kenmtnisse hat vollumfänglich anschließen.

      +1

  8. Habe schon lange mit dem Gedanken gespielt, die EU zu verlassen. Neue Kulturen kennenlernen und sich persönlich und beruflich weiterentwickeln.

    Mit solchen Gesetzen blutet die EU mehr und mehr liberale und pro-demokratische Menschen aus.

  9. Man sieht in den bisherigen Ergänzungen sehr schön, dass zwei Jahre Chatkontrolle-Diskussion die meisten Leute in unserer Community extrem misstrauisch gemacht haben. Und das zu Recht. Wer sich die Sitzung des EP-Innenausschusses mit Kommissarin Johansson am 25.10. angesehen hat, wird bestätigt sein, dass das ganze Ding faul ist.

    ABER: Das Europäische Parlament hat wirklich den Text komplett umgeschrieben und anlassloses Scanning der Kommunikation von Unverdächtigen, sowie das Umgehen von E2EE komplett ausgeschlossen. Das kann man ja auch mal feiern. Ich war daran beteiligt als Fraktionsreferent, Patrick Breyer hatte für uns die Federführung als Abgeordneter, und ein wenig Vertrauen, dass wir als bekannte Datenschützer hier keinen Scheiss bauen, wäre auch nett. Ja, ein Danke auch, gern geschehen.

    Die finalen Texte (nach Korrekturlesen etc.) aus dem EP sollten spätestens nächste Woche verfügbar sein. Dann schaut halt selber rein.

    1. Ralf: Der Kernpunkt ist nicht der, dass wir Eure und Patricks Arbeit nicht schätzen – ganz im Gegenteil.
      Der Tenor bei sehr vielen Menschen heisst einfach: Angst. Angst davor, dass das, was seit 1949 in Sachen Demokratie aufgebaut wurde, durch ein System zerstört wird, das alles ist, nur nicht mehr freiheitlich und vertrauensvoll. Angst davor, dass alles, was man sagt, tut oder auch lässt, von unbekannten und unkontrollierbaren Instanzen überwacht wird, wie die ältere Generation (sie) in ihrer schärfsten und hässlichsten Form während der Nazizeit und noch lange darüber hinaus in der DDR bis 1989 erfahren durfte.

      Dass so etwas wie die Chatkontrolle überhaupt in einem Parlament wie der EU diskutiert wird, beweist, dass ein beträchtlicher Teil der dort tätigen Abgeordneten weder auf juristischer, noch und vor allem auf gesellschaftlicher Ebene verstanden hat, welche gesellschaftlichen Grundvoraussetzungen Demokratie erfordert. Es ist bitter und zeigt, wie sehr sich Politik gesellschaftlichen Aspekten immer weiter verschliesst – zugunsten vermeintlich sicherheitstiftender Technologien, lobbyistischer Seilschaften und höchstwahrscheinlich auch persönlicher Animositäten.

      Gerade die konservativen Parteien, die sich gerne ein „Wertebewusstsein“ auf die Fahnen schreiben, ignorieren und demontieren genau die eben erwähnten allerwichtigsten Werte, im vermeintlichen Glauben, uns allen etwas Gutes zu tun. Dass Ylva Johansson oder auch Nancy Faeser als Sozlaldemokratinnen ins gleiche Horn blasen, ist umso schlimmer.

      Fest steht: Einen „Kompromiss“ kann es bei diesem Vorhaben nach den derzeit bekannten Aspekten kaum geben. Umso gespannter darf man auf Deinen erwähnten Text sein.

      1. Momentan liest es sich halt als Kompromiss zwischen „wir bauen eine totale Abhoerinfrastruktur und nutzen sie bei allen“ und „wir bauen sie nicht“ mit dem Ergebnis „wir bauen eine totale Abhoerinfrastruktur aber nutzen sie nur bei Verdacht“.

        Das ist ein „bisschen schwanger“.

      2. Ich würde zu dem Punkt „Angst“ noch Frustration ergänzen. In dem Fall Frustration darüber, dass ein derartig koordinierter, entschlossener, von den höchsten Organen der EU ausgehender Angriff auf den freiheitlich-demokratischen Rechtsstaat überhaupt möglich ist und dass das für die Verantwortlichen juristisch überhaupt keine Konsequenzen hat, weil Schutzmaßnahmen gegen derartige Attacken (im Gegensatz etwa zum Putschversuch) anscheinend einfach nicht vorgesehen sind.

        Die höchsten Gerichte (EuGH und EGMR, bei uns noch das BVerfG) können derartige Richtlinien und Gesetze wieder kippen, aber das dauert meist Jahre, in denen die verfassungswidrigen Maßnahmen weiterhin in Kraft sind und oft unumkehrbare Schäden anrichten, und diejenigen, die sie zu verantworten und wider allen besseren Wissens vorangetrieben haben, werden dafür nie zur Rechenschaft gezogen. Stephan Harbarth hat sich als Abgeordneter mit Nachdruck für die Vorratsdatenspeicherung eingesetzt, die vom BVerfG gekippt wurde, und jetzt ist er Präsident ebenjenes Gerichts. Welche Beförderung steht wohl Ylva Johansson noch bevor?

        Darüber hinaus herrscht allgemeine Frustration darüber, wie viele Politikerinnen und Politiker ihre Ämter nur noch als weitere Stufe auf der eigenen Karriereleiter wahrnehmen, und nicht als (gesamt-)gesellschaftlichen Auftrag. Der Effekt verstärkt sich naturgemäß bei Ämtern, in die man nicht vom Volk gewählt wird, wie man gerade an der EU-Kommission sehen kann, ist aber nicht auf diese beschränkt. Das spiegelt sich nicht zuletzt darin wider, wie viele aus der Politik nach Ablauf ihrer Amtszeit oder einer verlorenen (Wieder-)Wahl z. T. hochdotierte Posten in der freien Wirtschaft besetzen, die praktischerweise immer genau zum richtigen Zeitpunkt frei geworden sind.

    2. Toll! Andererseits ist mir nach „die Niederlage hätte noch vernichtender sein können“ nicht nach feiern zumute. Hier wird immer noch die weltweit größte und invasivste Überwachungsstruktur geschaffen an der sich Geheimdienste auslassen können. Und „nur nach Vedachtsmomenten“ ist, wie wir aus anderen Fällen wissen, nutzlos.

      Also: Danke für eure Arbeit, aber es ist trotzdem eine weitere Schwächung der Bürgerrechte und Gesellschaft.

  10. Messenger, dia nicht ausschließlich e2e anbieten sind sann kaputt. Die eine oder andere Gruppenchatimplementierung auch.
    Und Videochat in der Praxis?

    Das ist und bleibt ein Angriff. Feindeinstufung für Mit machende beantragt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.