Going DarkEU gründet Arbeitsgruppe gegen Verschlüsselung und Anonymität

Die schwedische Ratspräsidentschaft postuliert ein neues Prinzip „Security-by-Design“, mit dem sie Verschlüsselung und Anonymisierung im Netz angreifen will. Eine hochrangige Expertengruppe soll das Thema bearbeiten. Wir veröffentlichen einen eingestuften Drahtbericht dazu im Volltext.

Ein brennender Laptop
Die EU will Verschlüsselung schwächen. (Naja, ein Symbolbild) – Alle Rechte vorbehalten IMAGO / Panthermedia

Die schwedische EU-Ratspräsidentschaft macht Druck in Sachen Crypto Wars, also dem Kampf gegen sichere Verschlüsselung von Kommunikation und Daten. Schon im Januar hatte Schweden verlautbart, dass es hierbei einen Schwerpunkt in der Europäischen Union setzen wolle.

Unter dem Schlagwort „Going Dark“, frei übersetzt mit „blind und taub werden“, beklagen Sicherheitsbehörden schon seit Jahren, dass sie wegen fortschreitender Verschlüsselungs- und Anonymisierungstechnologien nicht mehr genug und effektiv ermitteln könnten. Eine hochrangige Expertengruppe (HLEG) soll sich nun dieses Themas in der Europäischen Union annehmen.

In einem öffentlichen Papier zur Errichtung dieser Gruppe aus dem März (PDF) heißt es:

Wenn nicht angemessen reagiert wird, besteht die reale Gefahr, dass dieser derzeitige Trend es Kriminellen ermöglicht, „unterzutauchen“, indem sichere Online-Häfen der Straffreiheit geschaffen werden, in denen die Anonymität der Kriminellen auf Kosten der Opfer und potenziellen Opfer von Straftaten gewährleistet ist.

Mantra des „Going Dark“

Dieses Mantra des „Going Dark“, dem allerdings polizeiliche Ermittlungserfolge, der Rückgang von Kriminalität, die Zunahme generell verfügbarer digitaler Daten für die Ermittlungen und die Wissenschaft widersprechen, nimmt die EU-Ratspräsidentschaft nun auf. Sie wird eine „Hochrangige Expertengruppe“ als beratendes Gremium einsetzen. Diese soll eine „strategische Zukunftsvision“ formulieren und Empfehlungen vorzuschlagen, um den „Zugang zu Daten für eine wirksame Strafverfolgung zu erweitern und zu verbessern“.

Konkret geht es um einen Angriff auf Verschlüsselungs- und Anonymisierungstechnologien, denn ein bisschen Verschlüsselung oder Anonymität ist technisch nicht möglich. Haben Sicherheitsbehörden Zugriff auf verschlüsselte Kommunikation, ist diese nicht mehr sicher. Das scheint auch den Beteiligten klar zu sein, wie es in einem eingestuften Drahtbericht der Deutschen EU-Vertretung in Brüssel heißt, den wie veröffentlichen. Die schwedische Präsidentschaft habe das Thema ausgesucht, „obwohl es möglicherweise als Problem unlösbar erscheine. Es solle aber dennoch versucht werden, Lösungen zu finden.“

Zivilgesellschaft außen vor

Laut einem Dokument vom 17. Mai (PDF) soll dieses Gremium am 19. Juni das erste Mal zusammentreffen. Die Gruppe wird von der Generaldirektion für Migration und Inneres der Europäischen Kommission und von Vertretern des Mitgliedstaates geleitet, der den Ratsvorsitz innehat – von Juli bis Dezember 2023 ist dies Spanien.

Die Gruppe wird sich aus hochrangigen Vertretern der EU-Länder, der Kommission und einschlägiger EU-Institutionen und -Agenturen wie Europol oder dem Koordinator wie Terrorismusbekämpfung zusammensetzen. Das EU-Parlament hat eine beobachtende Rolle. Vertreter:innen aus der Wissenschaft, der Zivilgesellschaft und der Wirtschaft werden nur punktuell und auf Ad-hoc-Basis beteiligt sein.

Die Expert:innengruppe soll bis Mitte 2024 technische, legislative und kommunikatorische Vorschläge erarbeiten. Als besonders dringend werden dabei im Dokument folgende Themen beschrieben:

  • Verschlüsselung (Zugang im Klartext zu gespeicherten Inhalten und digitalen Kommunikationsdaten);
  • Vorratsdatenspeicherung;
  • Lokalisierungsdaten und Roamingdaten;
  • Anonymisierung, einschließlich VPN und Darknets

Die Stoßrichtung sind also alle Tools, die Privatheit der Kommunikation sowie Anonymität gewährleisten wie verschlüsselte Messenger, aber auch VPNs oder Tor. Gleichzeitig soll der ewige Zombie Vorratsdatenspeicherung, obschon mehrfach höchstgerichtlich abgewatscht, neues Futter von der Expertengruppe erhalten.

„Security-by-design“

Das ganze Projekt soll – und hier lehnt man sich an das bekannte Datenschutzprinzip „Privacy-by-Design“ (Datenschutz durch Technikgestaltung) an – nunmehr das Prinzip „Security-by-design“ (Sicherheit durch Technikgestaltung) verfolgen. Zugleich wird auch der Grundsatz „Access by Design“, also Zugang durch die Ausgestaltung der Technik postuliert.

Der Piraten-Abgeordnete Patrick Breyer sieht „Security-by-design“ als Versuch an, Überwachung so als politischen und technischen Standard zu etablieren. Und auch hierzu wird im Dokument ein Arbeitsauftrag an die Expertengruppe aufgestellt, der genau in diese Richtung deutet:

Die hochrangige Expertengruppe wird insbesondere untersuchen, wie „Security by Design“ zu einer Standardanforderung bei der Entwicklung neuer Technologien werden könnte. Dies würde vor allem bedeuten, dass über eine stärkere Beteiligung von Vertretern der Strafverfolgungsbehörden in den einschlägigen internationalen Normungsgremien wie CEN/CENELEC, ETSI oder 3GPP nachgedacht werden müsste.

Zwar stellt das Papier voran, dass dies alles unter „voller Wahrung der Grundrechte“ geschehen solle, doch was heißt dies konkret, wenn Privatsphäre und Anonymität die Punkte sind, gegen die diese Expertengruppe agieren soll?

„Verschlüsselung nicht insgesamt verhindern“

Im eingestuften Drahtbericht wird angedeutet, wohin die EU-Kommission das Thema führen könnte. Sie stellte in einer Sitzung im Februar fest, dass es in der EU „bislang keine Vorgaben zur Verschlüsselung“ gebe. Es bedürfe guter, im Einklang mit den EU-Werten stehender Instrumente, „die eine Verschlüsselung nicht insgesamt verhindern“, zitiert die deutsche Vertretung die Kommission weiter. Das klingt nach Einschränkungen oder Hintertüren bei der Ende-zu-Ende-Verschlüsselung.

Der EU-Abgeordnete Patrick Breyer von den Piraten fordert die EU-Kommission deswegen auf, die „Anti-Verschlüsselungs- und Anti-Anonymitäts-Arbeitsgruppe“ sofort zu stoppen. „Dies ist ein Angriff auf alles, was uns online sicher macht“, so Breyer weiter. „Going dark“ sei eine Angststörung, unter der der Sicherheitskomplex leide. „In Wahrheit hatten die Strafverfolgungsbehörden noch nie einen so weitreichenden Zugang zu unserem Privatleben und unserer Persönlichkeit wie im digitalen Zeitalter“, sagt Breyer.


Hier das Dokument im Volltext:


  • Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
  • Datum: 17.02.2023
  • Von: Ständige Vertretung EU Brüssel
  • An: Auswärtiges Amt
  • Cc: BKAMT, BMF, BMI, EUROBMF, BMJ, BMWK
  • Betreff: Sitzung des CATS (Koordinierungsausschusses für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen) am 16.02.023 | TOPs 1,2,4-6
  • Hier: u.a. „Going Dark“, 9. Eval.-Runde
  • Zweck: Zur Unterrichtung

Sitzung des CATS am 16.02.023

I. Zusammenfassung und Wertung

Die Diskussion von „Going Dark“ beim CATS zeigte ein weitgehend homogenes Meinungsbild unter den MS, die sich sämtlich zu Wort meldeten. Eine weitere Befassung des CATS wurde von allen befürwortet. Die Liste der Unterthemen wurde allgemein als erschöpfend oder jedenfalls nahezu erschöpfend erachtet. Mehrere MS gingen auf die Rspr. des EuGH im Allgemeinen und das anhängige Encrochat-Verfahren im Besonderen ein (u.a. EST, NLD).

Der Abschlussbericht der 9. Runde gegenseitiger Evaluationen wurde durch SWE Präs. vorgestellt (TOP 4).

SWE Präs. gab einen Überblick über den Verhandlungsstand bei den nicht in COPEN behandelten Dossiers E-Privacy, European Media Freedom Act und KI. Auch über die anstehenden Gespräche hochrangiger EU und US-Beamter im JI-Bereich informierte SWE Präs (TOP 5).

Bei den sonstigen Punkten wies PRT auf eine Konferenz in Lissabon Ende März 2023 zum Thema „Going Dark“ hin. AUT äußerte sich zu Bestimmungen zur strafrechtlichen Zusammenarbeit im Gibraltar-Abkommen und erhielt dabei Unterstützung durch FIN, LUX und NLD, jedoch Widerspruch durch ESP (TOP 6).

Feedback: Bitte denken Sie daran, der AV Rückmeldung auf Bericht und Handlungsempfehlung zu geben.

II. Im Einzelnen

TOP 2 a und b („Going Dark“)

SWE Präs./Vors. COSI-Gruppe berichtete von der Diskussion des Themas „Going Dark“ beim Innenteil des informellen JI-Rats am 26./27. Januar 2023 in Stockholm. Beim Austausch der Innenministerinnen und –minister seien zwar einige hinsichtlich des Themas enthusiastischer gewesen als andere, insgesamt habe aber Einigkeit bestanden, dass dem „Going Dark“-Problem weiter nachgegangen werden solle. Dabei sei allseits bewusst gewesen, dass eine Lösung des Themas noch nicht in Sicht sei. Es habe aber ein klares Mandat der Ministerinnen und Minister gegeben, das Problem „in eine entsprechende Form zu gießen“, es weiter aufzubereiten.

SWE Präs. habe das Thema ausgesucht, obwohl es möglicherweise als Problem unlösbar erscheine. Es solle aber dennoch versucht werden, Lösungen zu finden. Derzeit sei ein „Aufschrei“ der Strafverfolgungsbehörden deutlich zu vernehmen. Diese könnten ihren Aufgaben nicht mehr vollumfänglich nachkommen, da die Realität sich durch die Digitalisierung laufend verändere, ohne dass der regulatorische und technische Handlungsrahmen der Behörden hinreichend angepasst werde. Die hierdurch entstehenden Probleme würden durch den technischen Fortschritt stetig wachsen, neue Verschlüsselungssoftwareprodukte kämen nahezu wöchentlich auf den Markt. Zwar habe es jüngst einen erheblichen Erfolg damit gegeben, dass das E-Evidence-Dossier im AStV2 sowie im LIBE-Ausschuss des EP angenommen wurde. Der Gesetzgebungsprozess sei aber mit sieben Jahren deutlich zu lang gewesen.

Wichtig sei auch, dass die Opfer mehr in den Fokus der Betrachtungen rückten, führte SWE Präs. weiter aus. Die MS treffe eine Pflicht zur Kriminalprävention, die unter anderem aus der Schutzfunktion von Grundrechten folge. Schließlich sei auch darauf hinzuweisen, dass das Recht auf Privatsphäre und das Recht auf Sicherheit gleichwertig nebeneinanderstünden und nicht das erste das zweite Recht verdränge oder überwiege.

Das erste Mal, dass ganz konkrete Lösungen im Hinblick auf das „Going Dark“-Problem gefunden worden seien, sei bei der Entschlüsselung von „Encrochat“ gewesen. Diese Ermittlungserfolge hätten zu über tausend Verurteilungen in SWE geführt. Es hätten allein zehn Mordkomplotte rechtzeitig aufgedeckt und damit Morde verhindert werden können. Nahezu erstmals habe man in SWE auch konkrete Beweise gegen die höchste Ebene der organisierten Kriminalität in der Hand gehabt. Es stelle sich die Frage, ob nicht etwa auch im Hinblick darauf, dass Verschlüsselungstechnologien wie Encrochat bislang legal vertrieben werden könnten, gesetzliche Anpassungen erforderlich sein könnten. Es könne nicht sein, dass solche Technologien Behörden „im Dunkeln tappen ließen“ und Kriminellen sichere Häfen böten.

Es seien nun Diskussionen darüber angezeigt, was konkret angegangen werden könne und solle. Im COSI-Bereich sollen Foren geschaffen werden. Insbesondere wolle SWE Präs. die Gründung einer hochrangigen Arbeitsgruppe vorschlagen, inspiriert durch Erfolge bei der Interoperabilität. Darüber werde dann im Frühjahr in COSI berichtet werden. Die Hoffnung sei, dass dann in wenigen Jahren tatsächlich Lösungen oder Lösungsvorschläge vorhanden seien, die umgesetzt werden könnten. Das können technische oder auch rechtliche Lösungen sein.

Dabei solle ein interdisziplinärer Ansatz verfolgt werden, denn das Thema sein keine rein innenpolitische Frage. Einschätzungen von Innen- und Justizseite sowie auch jene von privaten Stakeholdern seien wichtig. Deswegen sei das Thema auch auf die Agenda von CATS worden. Es sei dabei aber keineswegs eine Doppelung zur in COSI u.a. in der kommenden Woche geplanten Diskussion bezweckt, vielmehr sei auch ein unterschiedliches Arbeitsdokument vorgelegt worden. Im vorgelegten Dokument (6013/23) sei der Schwerpunkt auf den Zugang zu Kommunikationsdaten gelegt worden, gemeint seien u.a. Daten aus dem Internet und aus der elektronischen Kommunikation. Spyware sei bewusst nicht extra genannt worden, da es sich hierbei um ein hochsensibles Thema handele. Bei einer Ende-zu-Ende-Verschlüsselung sei es unmöglich, Informationen abzufangen, weswegen es z.B. beim Media Freedom Act entsprechende Diskussionen gebe. Ein Aspekt bei der Problemanalyse sei auch der Zeitplan für die Diskussionen, bei E-Evidence hätten sie sieben Jahre gedauert. Auch E-Evidence erstrecke sich jedoch nicht auf die Echtzeit-Erlangung von Informationen. Hier sei noch ein weiter Weg zu beschreiten, bis es einen entsprechenden Rechtsrahmen gebe. Wichtig sei, dass der bestehende Rechtsrahmen ergänzt, dass bestehende Lücken also geschlossen werden.

KOM begrüßte, dass eine entsprechende Diskussion auch im CATS geführt werde. Es handele sich um ein gutes Thema, das es aus verschiedenen Perspektiven zu beleuchten gelte. Es stelle sich stets die Frage, wie den Strafverfolgungsbehörden gute Instrumente an die Hand gegeben werden können, die mit den gemeinsamen Werten in Einklang stünden. E-Evidence sei hier ein gelungenes Beispiel. Die Zustimmung des EP zum zweiten Zusatzprotokoll zur Budapest-Konvention erlaube den MS nun auch die Ratifizierung. Zudem könnten nun die Gespräche mit den USA zu E-Evidence wiederaufgenommen werden. Beim Thema Zugang zu Kommunikationsdaten könne sich die Diskussion nicht auf eine bloße Grundrechtsabwägung beschränken, vielmehr sei zu beachten, dass eine Verschlüsselung einen Zugriff manchmal faktisch ganz verhindere. In der EU gebe es bislang keine Vorgaben zur Verschlüsselung. Diese sei aber nicht nur negativ zu sehen, sondern erfülle auch eine wichtige Funktion zum Schutz der Privatsphäre. Es bedürfe daher guter, im Einklang mit den EU-Werten stehender Instrumente, die eine Verschlüsselung nicht insgesamt verhindern.

Der Rechtsdienst des Rates führte aus, dass es in den jüngeren Jahren eine Reihe an Vorschlägen zum digitalen Raum gegeben habe. Die Rechtsgrundlage sei dabei jeweils Art. 114 EUV gewesen (Einrichtung und Funktionieren des Binnenmarktes). Und trotz dessen würden sie direkte oder indirekte Auswirkungen auf Verfügbarkeit von Daten im Internet haben und damit auch für die Strafverfolgung Auswirkungen haben. Beispiele hierfür seien etwa E-Privacy, CSA, KI. Die Entscheidung für eine bestimmte Rechtsgrundlage habe konkrete Auswirkungen auf die Zielsetzung des Gesetzesvorhabens. Die Anwendung eines Rechtsaktes, der sich auf Art. 114 EUV stütze, sei in der Regel Privaten überlassen, nur manchmal auch den Verwaltungsbehörden. Der Bereich der Strafverfolgungsbehörden bleibe in der Regel außen vor. Wenn ein Instrument auf Art. 114 EUV gestützt werde, sei er in der Regel nicht auf Strafverfolgung zugeschnitten. Und wen es keine bzw. keine konkreten Regeln zur Strafverfolgung gebe, sei das nicht unbedingt gut. Denn dann würden Gerichte teilweise de facto Regeln unter Anwendung der Primärrechtsnormen aufstellen. Und dies könne unerwartete Folgen haben. Nachdem nun das E-Evidence-Dossier und das Budapest-Dossier geeinigt seien, sei es an der Zeit, die gesetzliche Landschaft in dem Bereich anzuschauen und nach Lücken zu suchen, die es zu füllen gelte. Die KOM erwiderte hierauf, dass die Rechtsgrundlage eben von dem Regelungsinhalt abhänge und nicht einfach so ausgewählt werden könne.

Alle MS sprachen sich weitestgehend homogen zu den mit dem Diskussionspapier (6013/23) vorgelegten Fragen aus. Die erste Frage nach einer weiteren Befassung des CATS mit der „Going Dark“-Thematik („Do you share the view that, as part of a necessary multidisciplinary approach, CATS should participate in identifying challenges and possible opportunities, in particular when it comes to access to communications data? Do you agree that CATS should keep a horizontal view focusing on aspects related to criminal justice?”) wurde von sämtlichen MS bejaht. Bei der zweiten Frage nach Ergänzungen der aufgeworfenen Themenbereiche („Do you see aspects of access to communications data which should already be identified as requiring attention from a criminal justice point of view, other than those already mentioned throughout the document (such as data retention, e-evidence, end-to-end encryption and lawful interception, derogation clauses, territoriality issues, etc) to be addressed in future discussions related to this „going dark” challenge ?”) sahen die MS das vorgelegte Papier als bereits erschöpfend oder jedenfalls nahezu erschöpfend an. Einige MS betonten dabei das auch vom Rechtsdienst des Rats aufgeworfene Subthema, dass die Rspr. des EuGH genau analysiert werden müsse (u.a. ESP, NLD)

Darüber hinaus wiesen die MS auf Folgendes hin:

DEU betonte u.a., dass sich die Fragen des Datenzugriffs und der Datenspeicherung nicht sinnvoll voneinander trennen ließen, denn Ermittlungsbehörden könnten nur tatsächlich vorgehaltene Daten erheben. Bei der Diskussion seien vor allem vier Arbeitsbereiche relevant: Aufbau von sachlichen und technischen Kapazitäten, Informationsaustausch zwischen den zuständigen nationalen und internationalen Behörden, Standardisierung sowie ein Dialog auch mit Anbieter von Diensten, die über keine eigene Infrastruktur verfügen, z.B. Telegram, Facebook.

FRA forderte, dass dem JI-Bereich auch bei einschlägigen Art. 114-Dossiers ein Mitspracherecht eingeräumt werden solle, etwa jenen, die in der Tele-Arbeitsgruppe diskutiert würden (so etwa auch FIN). Beim Media Freedom Act sei etwa gerade im Hinblick auf die vorgesehene Auflistung schwerer Straftaten ein defensives Vorgehen angezeigt, bei E-Privacy hingegen ein offensives. Vor kurzem habe der FRA JM den EuGH besucht. Der EuGH-Präsident Koen Lenaerts habe dabei darauf hingewiesen, dass der Gesetzgeber den rechtlichen Rahmen enger stecken müsse, wenn Unzufriedenheit mit der Rechtsprechung bestehe, dies gelte etwa im Hinblick auf E-Privacy. FRA begrüße zudem die Befassung mit der Encrochat-Thematik in der COPEN. Es sei gut, dass E-Evidence schließlich geeinigt werden konnte, jedoch hätten die Prozesse dahin zu lange gedauert.

PRT betonte das Erfordernis eines multidisziplinären Ansatzes und regte eine gemeinsame Sitzung der Ministerinnen und Minister der Innenressorts mit denen der Justizressorts an.

ROU und SVK hoben hervor, dass die heute noch bestehende Fragmentierung überwunden werden müsse. Zunächst sei eine Fokussierung auf die Themen Datenspeicherung, E-Evidence und Verschlüsselung sinnvoll, wie ROU weiter ausführte. SVK betonte daneben, dass, wenn es kein effektives Handeln der Strafverfolgungsbehörden gebe, weder Grundrechte der Opfer noch der Täter Geltung entfalten würden. Den Tätern dürfe es nicht zu leicht gemacht werden. Expertinnen und Experten von EJCN und anderen Gruppen sollten gehört werden, bei Arbeitsgruppen solle ein horizontaler Ansatz gewählt werden. Wichtig sei auch der Terminologie-Aspekt, in den verschiedenen Instrumenten aus unterschiedlichen Fachbereichen müsse dennoch eine einheitliche Terminologie gewählt werden.

ESP griff auf, dass bestimmte Bereiche in JI-Formationen nicht behandelt würden, aber trotzdem für die Strafverfolgung notwendig seien. Wichtig sei auch der Hinweis des Rechtsdienstes gewesen: Die Rspr. des EuGH müsse genau analysiert und mögliche legislatorische Lücken müssten geschlossen werden.

SVN betonte, dass auch hohe Menschenrechtsstandards aufrechterhalten werden müssten und die Behörden sich im technischen Bereich nicht zu sehr auf den Privatsektor verlassen dürften. Eine Einbindung des CATS sei für ein angemessenes Gleichgewicht zwingend. Schockierend sei indes die Entscheidung des EuGH zur Beneficial Ownership gewesen. Es sei doch erstaunlich, wie sehr der EuGH die Privatsphäre gegenüber anderen Rechtsgütern und –grundsätzen priorisiere. Entsprechend äußerten sich auch IRL und LVA zu der EuGH-Entscheidung.

EST warnte davor, dass sich Urteile des EuGH – insbesondere das zu Encrochat – auch empfindlich auf die Möglichkeiten der Beweiserhebung in den MS auswirken könne. Es seien gegenseitiges Vertrauen und Zusammenarbeit erforderlich. Es bestehe zudem der Eindruck, dass es im Datenschutzbereich an Kohärenz zwischen den verschiedenen Sektoren fehle. Momentan werde noch zu sehr „in Silos“ gearbeitet.

Auch NLD ging – wie EST – auf das Encrochat-Verfahren beim EuGH ein. Die möglichen Auswirkungen dürften nicht unterschätzt werden. Alle MS hätten noch die Möglichkeit, sich bei der mündlichen Anhörung zu äußern.

LUX nannte als weiteren in die Diskussion miteinzubeziehenden Aspekt den der Cybersicherheit.

DEN begrüßte, dass ein globaler Betrachtungsansatz bei der Thematik des Zugangs zu Daten gewählt werden solle.

AUT lobte das von SWE Präs. vorgelegte Papier und betonte, dass es bei dem Thema auch um Vertrauen in den Rechtsstaat gehe. Wenn die Polizei einem Opfer eingestehen müsse, mit den vorhandenen Ermittlungsmöglichkeiten nicht weiterzukommen, dann aber eine privat eingeschaltete Hackergruppe herausfinde, dass der Täter in unmittelbarer Nähe sitze, dann stehe der Staat nicht gut da. Die Einbeziehung von CATS sei auch deswegen wichtig, da die Aufgabenverteilung zwischen COSI und CATS nicht bei allen MS gleich sei. Möglicherweise sei der Gedanke des Rechtsdienstes weiterzuverfolgen und es könne in Betracht gezogen werden, manche Binnenmarkt-Dossiers um strafprozessuale Vorschriften zu ergänzen. Wichtig sei nicht zuletzt auch, nicht nur legislatorische Maßnahmen zu ergreifen, sondern auch solche der „Public Relations“, etwa um auch im EP ein entsprechendes Bewusstsein zu wecken.

BGR sprach sich für neuen gesetzgeberischen Rahmen auf EU-Ebene zu Daten aus. Die Anti-Terrorismus-Koordinatorin regte an, die Gesprächsforen noch weiter auszudehnen, etwa auf den LIBE-Ausschuss oder den EU-Datenschutzbeauftragten. Ein ähnliches Vorgehen sei in der Vergangenheit im Migrationsbereich sehr erfolgreich gewesen. Ähnlich wie auch schon einige MS wies sie darauf hin, dass das Encrochat-Urteil des EuGH „riesige Auswirkungen“ haben werde. SWE Präs. wies abschließend auf eine „Outreach-Veranstaltung“ zu „Going Dark“ am 18.4. in Brüssel hin.

TOP 4 (Neunte Runde gegenseitiger Evaluierungen)

SWE. Präs. stellte den Abschlussbericht zur Neunten Runde gegenseitiger Evaluierungen vor. Insgesamt sei ein positives Fazit zu ziehen, jedoch würden manche Instrumente leider nur sehr selten genutzt. SWE Präs. wolle daher sehen, wie ein Follow up hierzu aussehen könne.

KOM gab an, etwa zur Frage der Urteile in Absentia den Dialog mit den MS suchen zu wollen. Im Handbuch zum Europäischen Haftbefehl würden künftig deutlich ausführlichere Passagen aufgenommen werden. Bei manchen Rahmenbeschlüssen stelle sich die Frage, ob diese noch zeitgemäß bzw. ausreichend seien oder einer Ausweitung bedürfen. Zum Thema Untersuchungshaft habe KOM vor kurzem ihre Empfehlungen vorgelegt und hoffe, dass diese Beachtung finden.

AUT wies auf das Spannungsverhältnis zwischen dem Rahmenbeschluss zur Vollstreckung von Freiheitsstrafen und dem Europäischen Haftbefehl hin. Hierzu seien auch die Empfehlungen im Praxisbericht des EJTN interessant. Die gesetzliche Bestimmungen seien hier relativ beschränkt und der EuGH „stoße hier ins Vakuum hinein“. Daher seien möglicherweise weitergehende gesetzliche Regelungen in Betracht zu ziehen.

TOP 5

a) Gespräche hochrangiger Beamter von EU und USA

SWE Präs. berichtete, dass die Vorbereitungen für das EU – US Senior Officials Meeting zu JI-Themen am 16. und 17. März 2023 in Stockholm laufen würden. Von US-Seite würden Vertreter des Department of Homeland Security, sowie des Department of Justice und des Department of State teilnehmen. Inhaltlich würde an die unter CZE Präs. geführten Gespräche angeknüpft werden. Besprochen werden sollen eine gemeinsame Reaktion auf den Angriffskrieg in der UKR sowie die Sicherheitsbedrohungen, die sich daraus ergeben. Damit zusammenhängen würden Themen wie Sanktionen, Konfiszierungen und kriegsbedingte Umweltzerstörung. Themen bei den Gesprächen sollen zudem die bessere Bekämpfung von Terrorismus und gewaltbereiten Extremismus sein. Ein besserer Austausch werde hier angestrebt. Auch solle es um „Going Dark“, um Waffen- und Drogenschmuggel, Organisierte Kriminalität sowie Gewalt durch Gangs gehen. Über die Gespräche der Expertengruppe solle es zudem erste Informationen geben.

KOM wies auf das Thema der Umweltverbrechen hin. Hier solle in Fortführung der Arbeiten von der Ministertagung im Juni 2022 die Ermittlung von Umweltstraftaten in UKR diskutiert werden. Daneben führte KOM aus, dass nun die Diskussionen mit den USA zu E-Evidence fortgeführt würden. Zwischenzeitlich hätten die USA ein Abkommen mit dem VK und Australien abgeschlossen. Anhand dieser Texte lasse sich erahnen, wie die Vorstellungen der USA in diesem Bereich seien. Die EU wolle erläutern, wie die internen Verhandlungen zu E-Evidence gelaufen seien. KOM wolle den MS zwar zusagen, dass sie diese immer konsultieren werde. Manche Verhandlungselemente mit den USA würden aber auch in der Erwartung gegenseitiger Vertraulichkeit erfolgen. Nachdem ursprünglich für 2023 vier Sitzungen geplant worden seien, bestünde nun Einigkeit, dass es nur zwei würden, eine erste Runde im März und eine vor oder nach der Sommerpause.

b) Fortschrittsberichte zu ausgewählten nicht in COPEN verhandelten Dossiers

SWE Präs. betonte eingangs, dass sich bei den drei Dossiers E-Privacy, Media Freedom Act und KI nicht viel getan habe. Beim European Media Freedom Act werde eine Liste von Straftaten diskutiert, darunter einige, auf die sich der Europäische Haftbefehl beziehe. Auch gehe es um ein Verbot der Anwendung von Spyware auf Endgeräten von Journalisten oder deren Angehörigen. Beide Themen seien sehr umstritten. Beim KI-Rechtsakt habe es im September 2022 eine Allgemeine Ausrichtung gegeben. Nun werde der Bericht des EP erwartet, der für das erste Quartal 2023 angekündigt sei.

SVK – unterstützt durch ITA – bat darum, dass es zu dem TOP künftig schriftliche Vorbereitungsunterlagen und umfangreichere Informationen gebe, sodass eine echte Diskussion stattfinden könne. SVK wies zudem darauf hin, dass der European Media Freedom Act Auswirkungen auf das Strafrecht haben könne, dann passe allerdings die Rechtsgrundlage eigentlich nicht.

TOP 6: Sonstiges

PRT wies auf eine Konferenz in Lissabon am 29. und 30. März 2023 hin, bei der es ebenfalls um Themen gehen solle, die hier mit „Going Dark“ umschrieben worden seien. Die Initiative für die Konferenz sei auf einer Sitzung PRT Polizeichefs entstanden.

AUT ging auf das Gibraltar-Abkommen ein, dass ein Folgeproblem des Brexit sei. Im Rat werde es in der Arbeitsgruppe VK behandelt. In der AG würden größtenteils Personen aus den Außenministerien sitzen, es gehe jedoch teilweise um Bestimmungen, die mit dem Strafrecht zu tun hätten. Der Vorschlag der KOM führe dazu, dass MS dazu gebracht würden, Bestimmungen aus Europarats-Konventionen anzuwenden, die sie gar nicht ratifiziert hätten. Daneben dürfte sich die Arbeit der Praktiker erheblich verkomplizieren. Es werde dazu am 17. Februar 2023 auch eine Videokonferenz zwischen interessierten MS und der KOM geben, möglicherweise sei dies aber auch ein Thema für die COPEN. CZE, FIN, LUX und NLD unterstützten AUT. ESP entgegnete indes, dass nicht die Europarats-Abkommen selbst zur Anwendung kommen würden, sondern lediglich einige Grundsätze, die sich auch in diesen wiederfänden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Wir muessen weg von propriaeteren Kommmunikationsdiensten wie WhatsApp zurueck zu Protokollen die z.B. bei der IETF standardisiert sind. Der Benutzer kann dann auf seinem Computer eine Software seiner Wahl – auch Open Source – verwenden die das entsprechende Protokoll unterstuetzt. Auf dem Rechner des Benutzers kann dann die Verschluesselung erfolgen, da hat der Staat ja keinen Einfluss was auf meinem Rechner laeuft. Den Server kann man dann selber Betreiben oder bei einem Anbieter ein Postfach mieten. Auf dem Server werden Nachrichten aber nur weitergeleitet, mit Verschluesselung hat der Server nichts zu tun.

    Wie z.B. bei Email/SMTP, Matrix, IRC, etc.

    1. >> Wir muessen weg von propriaeteren Kommmunikationsdiensten wie WhatsApp zurueck zu Protokollen die z.B. bei der IETF standardisiert sind.

      Absolut richtig!
      Bei den Protokollen wäre noch XMPP zu nennen, und auch das Tox Protokoll. IRC würde ich nicht mehr empfehlen.

  2. Wie soll es Technisch möglich werden das TOR und VPN nicht mehr schützen werden können Menschen in der EU? Wenn das in der Zukunft so sein sollte, dass jeder Mensch in der EU identifiziert werden kann im Internet und TOR, VPN nutzlos werden dann geh ich aus den Internet raus für immer und ewig!

    1. An Uwe:

      Rein technisch wäre es sicher irgendwie möglich. Einfallen würden mir:

      – Staatlich kontrollierte Zertifikate müssen genutzt werden. ISPs werden verpflichtet, nicht entschlüsselbare Pakete zu verwerfen
      – VPNs nur nach Anmeldung an eine staatliche Behörde und privater Schlüssel muss hochgeladen werden

      Alternativ: Verschlüsselungs-Implementierungen müssen eine Backdoor enthalten; tun sie dies nicht, drohen Strafen oder Traffic wird geblockt. Von Open Source haben die Entscheider sowieso noch nie gehört. Dementsprechend träfe dies nur 99,99% der Menschen: Reicht. Wer selbst kompilliert, wird sicher auch Mittel und Wege finden, die Überwachung zu umgehen.

      1. Christian:
        Ein Verbot jeglicher Verschlüsselung ist nicht realisierbar. Selbst wenn die klassische Ende-zu-Ende-Verschlüsselung verboten würde, gäbe es genug kryptographische Wege, einen x-beliebigen Satz oder Text in einen Code umzuwandeln, der von denen entwickelt wird, die die Verschlüsselung praktizieren und der daher nur ihnen bekannt ist.

        Neue, individuelle und dementsprechend vielfältige Verschlüsselungsschemata würden entwickelt, die es den Anwendern ermöglichen, sich einer entsprechenden Überwachung sogar besser zu entziehen als mit den derzeit bekannten Methoden. Dadurch könnte es sogar zu einer Zersplitterung in viele „Verschlüsseler-Gruppen“ kommen, von denen jede die für ihre Zwecke und Mitglieder gedachten und speziellen Codes benutzt.

        Diejenigen, die Verschlüsselung möchten, werden also dementsprechend kreativen Einsatz zeigen.

        Dass bestimmte (EU-)Politiker dies nicht wahrhaben möchten, zeugt einmal mehr von deren horrender Inkompetenz und Naivität.

        1. > Ein Verbot jeglicher Verschlüsselung ist nicht realisierbar.

          Ein juristisches Verbot wäre realisierbar. In totalitären Staaten ist das Realität.

          1. Handlungsfreiheit: „Ein juristisches Verbot wäre realisierbar.“

            Ein juristisches Verbot ja, ein technisches kaum, aber ein methodisch-individuelles nicht.

          2. Da ich nicht weiss, ob der Kommentar aus technischen Gründen nicht angekommen ist, hier nochmal in Kürze:

            Juristisch durchaus, technisch kaum, aber individuell-methodisch nicht. Codierte Informationen müssen nicht online erdacht und übermittelt werden, was der letzte Punkt beinhaltet.

  3. Haha, zuerst wollte ich einfach nur unkend-fragend verlinken: https://netzpolitik.org/2023/werbetracking-das-system-kann-weg/

    „Security-by-Design“ da muss man doch schon fast kotzen, so wie es läuft. Ist auch lustig, dass die Schweden ausgerechnet diese Positionen pushen, wo sie gerade geopolitisch zum nächstbesseren Freund der US-Interessen aufgestiegen sind. Europa schmeißt wörtlich seine Alleinstellungsmerkmale ins Klo. Das wird ne FIFA-Nummer mit „wir sind alle Kultur“, nur halt ohne resultierende Kultur.

    Meiner Meinung nach gehört der Hund jetzt an die Kette. Da soll eine Fachkommission erst mal „nicht komplett schwachsinnig“ draufstempeln, bevor Vorhaben in diesen Bereichenb vorgeschlagen werden dürfen.

  4. Technisch gesehen sind wir an einem Punkt angelangt, an dem wir uns entscheiden müssen. Gehen wir den freiheitlichen Weg oder einen anderen Weg, in dem es Denk- und Sprechverbote geben wird. Diese Verbote können durchgesetzt werden, mit sanfter Gewalt. Mit AI und Zensur oder „social credit score“-Systemen.

  5. „Eine hochrangige Expertengruppe soll das Thema bearbeiten. “
    *augenroll*
    Wenn ich solche Berichte lese, muss ich spontan an Kühe auf der Weide denken: Kreaturen mit minimaler Intelligenz, die gute Argumente langsam, gemächlich und sinnfrei zermampfen. – Ernsthaft: Hochrangige Expertengruppen haben diese Themen schon längst und mehrfach bearbeitet und die Forderungen immer wieder komplett zerlegt. Gerade neulich erst bei dieser Bundestagsanhörung. Oder die Entscheidungen der höchsten Gerichte. (Glauben diese Wiederkäuer etwa, die Verfassungsrichter lassen sich von Idioten beraten?)
    Muh.

    (Ja, dieser Beitrag enthält Sarkasmus)

    1. > … Verfassungsrichter lassen sich von Idioten beraten

      Verfassungsrichter lassen sich nicht von Außenstehenden beraten.
      Sie lesen Gutachten und beraten sich untereinander im Senat.

  6. Der Autoritarismus in der EU nimmt immer schizophrenere Züge an. Schon der Begriff „Security by Design“ ist eine einzige Lüge – alles, worauf irgendein Dritter, auch eine staatliche Behörde, zugreifen kann, ist per Definition, eben per Design, unsicher. Und wie soll die Umsetzung aussehen? Offene Standards verbieten, Betriebssysteme ohne Hintertüren (Linux) verbannen, jeden einsperren, der auch nur Snowflake im Browser laufen hat? Mit Firewall verhindern, dass man sich den Kram aus Drittländern laden kann? Sanktionierung mithilfe von Polizeigesetzen, bei denen China grün vor Neid wird (Bayern lässt grüßen)? Dass Schweden bei all dem federführend ist, sollte niemanden überraschen – die haben schließlich schon mit Julian Assange unter Beweis gestellt, welchen Stellenwert Rechtsstaatlichkeit und demokratische Werte bei ihnen haben.

    Man kann die Arbeit von Patrick Breyer, Netzpolitik.org und anderen gar nicht hoch genug loben, die beständig daran erinnern, dass in einer Demokratie der Staat dem Volk Rechenschaft schuldig ist – nicht umgekehrt. Was die EU-Kommission hier vorhat, sollte zunächst fünf Jahre als Feldversuch an ihr getestet werden, mit Live-Übertragung ins Internet. Dann könnten Zensursula auch keine Chatnachrichten mehr abhanden kommen.

    Sämtliche Gesetze müssen verfassungskonform entsprechend der Definitionen des Grundgesetzes und der EMRK sein. Logische Konsequenz: Wenn der Staat aufhört, sich um Grundgesetz und EMRK zu scheren, höre ich auf, mich um das Gesetz zu scheren.

    1. Naja man hat schon Sicherheit, z.B. in der Anbindung zum Dienstanbieter, der dann für den Staat mitzuschnorcheln und auch mal bei der Verkehrsirrigation mitzuhelfen hat. App-Anbieter müssen dann auf magische Weise diese Sicherheit umsetzen.

      Dahingekackte Sicherheit eben. Sicherheitsziele sind dann vermutlich nicht mehr in der Werbung zu finden, daher: nicht nur technisch denken!

  7. Äh, zahlen wir dafür mit Steuergeld?

    Ich meine nicht die Analysten. ICH >persönlich< erwarte, dass all diese Positionen abgewogen werden, aber im Diskurs, als Sandpapier für die Demokratie selbst?????

  8. Genau diese „Lichtgestalten“ sind wegen derer wir in Spam ersaufen und nicht online mit Banken und Behörden kommunizieren können.
    Ganz abgesehen von den unzähligen Betrugsmails.
    All das wäre mir Verschlüsselung bzw. Signatur schlagartig Geschichte.

    Und bei der Gelegenheit möchte ich auch Grüße an meine Oma loswerden: Oma, das Pferd frisst keinen Gurkensalat!!!

  9. „security by design“ heiß auf deutsch „Sicherheit durch Disein“. „Disein“ ist ein deutsches Wort, auch wenn es die meisten komisch schreiben. Gemeint ist natürlich „Staatssicherheit durch Disein“.

    Und „Going Dark“ heißt sich in dunkle Ecken zurückzuziehen um illegales zu tun. Aber da sind wir seid dem Bekanntwerden der NSA-Schwerstverbrechen ja auch einiges gewöhnt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.