Der EU-Innenausschuss (LIBE) hat heute morgen mit überwältigender Mehrheit seinen jüngst vorgestellten Kompromiss zur Chatkontrolle beschlossen. Damit steht das EU-Parlament bereit für die sogenannten Trilog-Verhandlungen mit EU-Kommission und EU-Rat. Wann diese beginnen können, bleibt vorerst offen: Während die EU-Kommission an ihrem umstrittenen Verordnungstext festhält, hat sich die Vertretung der Länder im EU-Rat noch nicht auf eine Position geeinigt.
Bei der sogenannten Chatkontrolle geht es um eine Verordnung zur Bekämpfung von sexualisierter Gewalt gegen Kinder im Internet, die verschiedene Instrumente neben der eigentlichen Chatkontrolle bereithält. Die ursprünglichen Pläne der EU-Kommission würden mit der „Chatkontrolle“ eine neue Form anlassloser Massenüberwachung einführen – sogar von später verschlüsselter Kommunikation. Technisch ist das Suchen nach bestimmten Inhalten nur mit der Technologie des Client-Side-Scannings möglich, also einer Suchfunktion auf den Endgeräten der Menschen. Damit lassen sich Inhalte durchleuchten, bevor sie gegebenenfalls verschlüsselt werden. Gegen diesen massiven Eingriff in die Privatsphäre und die Vertraulichkeit der Kommunikation hatten sich weltweit Bürgerrechtsorganisationen und Expert:innen aus verschiedensten gesellschaftlichen und politischen Bereichen ausgesprochen.
Der Kompromisstext des Parlaments nimmt nun das verdachtslose, automatisierte Durchsuchen von Dateien aus dem Text heraus und schützt zudem verschlüsselte Kommunikation besonders. Sonstige Scans dürften nur nach einem richterlichen Beschluss bei verdächtigen Einzelpersonen oder Gruppen stattfinden. Aus dem Vorschlag der EU-Kommission gingen deutlich umfassendere Scans in der Breite hervor. Der Kompromisstext enthält allerdings noch Netzsperren und Alterskontrollen, allerdings sind diese an recht strenge Bedingungen geknüpft. Die Parlamentsposition kann in den Trilog-Verhandlungen noch verwässert werden, viel kommt darauf an, wie sich der EU-Rat positioniert.
Starke Lobby-Aktivität für Chatkontrolle
Der Vorschlag der Kommission war von scharfer Kritik begleitet, noch bevor sie ihn offiziell vorgestellt hatte. In den letzten Wochen und Monaten kam zudem durch eine internationale Recherche heraus, dass ein millionenschweres Lobbynetzwerk, das sowohl wirtschaftliche wie überwachungspolitische Pläne verfolgt, auf den Verordnungstext Einfluss genommen hat. Innenkommissarin Ylva Johansson stritt die Lobbyverflechtungen ab und stellte die Medien in die Nähe von Verschwörungstheorien.
Die EU-Kommission nutzte darüber hinaus auf X (vormals Twitter) das Instrument des politischen Targetings. Sie ließ in Ländern, die sich gegen die Chatkontrolle stellen, irreführende Werbung ausspielen und filterte die Ausspielung nach politischen und religiösen Kriterien. Diese Art der politischen Werbung ist in der EU mindestens umstritten, wenn nicht sogar in Teilen illegal. Johansson verteidigte zuerst die Werbemaßnahme, erklärte aber später vor dem EU-Innenausschuss, dass sie mit Details der Kampagne nicht vertraut gewesen sei und dass der Vorgang nun untersucht werde.
Zuletzt kam über eine bisher von der EU-Kommission geheim gehaltene Liste heraus, dass Geheimdienstvertreter:innen und Polizeien verschiedener Länder frühzeitig in die Chatkontrolle-Verordnung eingebunden waren. Eine große Rolle spielte im gesamten Prozess auch die Start-up-ähnliche Organisation Thorn. Nicht zuletzt zeigte ein Brief der EU-Innenkommissarin Ylva Johansson an Thorn, wie eng die Organisation mit der EU-Kommission zusammenarbeitet.
Zocken gegen den Bullshit
Bürgerrechtsorganisation vorsichtig optimistisch
„Trotz der großspurigen Versuche von KI-Unternehmen, das Europäische Parlament von der Notwendigkeit ihrer Scanning-Tools zu überzeugen, hat das Parlament klargestellt, dass Massenscanning nicht in Ordnung ist. Technologie kann eine unterstützende Rolle im Kampf gegen CSAM spielen, aber sie ist nicht die Wunderwaffe, die die Industrie verspricht“, sagt Ella Jakubowska vom Dachverband europäischer Digitalorganisationen EDRi. CSAM ist die Abkürzung für „Child Sexual Abuse Material“, auf Deutsch: Kindesmissbrauchsmaterial.
Das Votum von heute sei ein entschiedenes „Nein“ gegen die Versuche, massenhaftes Scannen einzuführen, die Verschlüsselung zu untergraben und eine obligatorische Altersverifikation einzuführen, sagt Jakubowska. Die heutige Abstimmung sei ein weiterer Schritt, um dieses Unrecht zu korrigieren.
Update 9:41 Uhr:
Mitglieder des Ausschusses haben Statements zur Abstimmung versendet.
Patrick Breyer, Piraten:
Unter dem Eindruck massiver Proteste gegen die drohenden verdachtslosen Chatkontrollen haben wir es geschafft, eine breite Mehrheit für einen anderen, neuen Ansatz zum Schutz junger Menschen vor Missbrauch und Ausbeutung im Netz zu gewinnen. Als Pirat und digitaler Freiheitskämpfer bin ich stolz auf diesen Meilenstein. Gewinner dieser Einigung sind einerseits unsere Kinder, die viel wirksamer und gerichtsfest geschützt werden, und andererseits sämtliche Bürger, deren digitales Briefgeheimnis und Kommunikationssicherheit garantiert wird.
Auch wenn dieser Kompromiss, der vom progressiven bis zum konservativen Lager getragen wird, nicht in allen Punkten perfekt ist, ist es ein historischer Erfolg, dass der Stopp der Chatkontrolle und die Rettung sicherer Verschlüsselung nun gemeinsame Position des gesamten Parlaments ist. Damit verfolgen wir das genaue Gegenteil der meisten EU-Regierungen, die das digitale Briefgeheimnis und sichere Verschlüsselung zerstören wollen. Die Regierungen müssen endlich akzeptieren, dass dieser brandgefährliche Gesetzentwurf nur grundlegend umgestaltet oder überhaupt nicht beschlossen werden kann. Der Kampf gegen die autoritäre Chatkontrolle muss jetzt mit aller Entschlossenheit weiter geführt werden!
Moritz Körner, FDP:
Das Europäische Parlament hat einen eindeutigen Etappensieg gegen die Chatkontrolle erreicht und der anlasslosen Massenüberwachung damit eine klare Absage erteilt. Die Elemente zum verbesserten Schutz von Kindern konnten gewahrt bleiben. Gleichzeitig sind alle grundrechtsfeindlichen Vorschläge von Ursula von der Leyen entfernt worden.
Wenn es nach dem Parlament geht, soll überwacht werden, wer tatsächlich im Verdacht steht, in Kindesmissbrauch involviert zu sein. Jede Überwachungsmaßnahme soll von einem Richter genehmigt werden. Verschlüsselte Kommunikation soll nicht geknackt werden dürfen. Verpflichtende Netzsperren soll es nicht geben.
Für eine endgültige Entwarnung ist es noch zu früh. In den anstehenden Verhandlungen mit den EU-Mitgliedstaaten wird die Wahrung der Grundrechte weiter zu verteidigen sein. Die bürgerrechtskonforme Festlegung des Europäischen Parlaments bedeutet aber einen positiven Rückenwind für die Position Deutschlands im Rat.
Cornelia Ernst, Linke:
Der Ansatz der Kommission im Vorschlag war von Anfang an falsch und fehlerhaft und ein Blankoscheck für die Massenüberwachung.
Wir haben jetzt als Parlament den Vorschlag der Kommission komplett auf den Kopf gestellt und das ist gut so. Für uns war das Wichtigste, dass die Kommunikation von Menschen nur dann ‚gescannt‘ werden darf, wenn ein ausdrücklicher und klar begründeter Verdacht besteht, dass sie in Kindesmissbrauch verwickelt sind und dass Verschlüsselung nicht aufgebrochen werden kann.
Wir haben nun in der Stellungnahme des Parlaments die sogenannte ‚detection order‘ deutlich limitiert und uns auch darauf konzentriert, bekanntes CSAM-Material aus dem Internet zu entfernen. Alles in allem haben wir als Parlaments-Team gute Arbeit geleistet. Dennoch gibt es einige Teile des Kompromisses, die wir weiterhin kritisch sehen. Es liegt nun am Rat, dem Beispiel des Parlaments für eine gute, kohärente und rechtlich fundierte Position zu folgen.
Update 11:40 Uhr:
Konstantin Macher von der Bürgerrechtsorganisation Digitalcourage schickt uns folgendes Statement:
Jetzt ist die Bundesregierung gefragt. Sie muss im Rat der EU darauf bestehen, die Chatkontrolle zu stoppen, Verschlüsselung zu schützen und beim Schutz von Grundrechten nicht hinter der Position des Parlaments zurückzufallen.
Update 11:49 Uhr:
Tobias B. Bacherle, Obmann des Digitalausschusses des Deutschen Bundestages sagt:
Heute hat sich der Innenausschuss des Europäischen Parlaments (LIBE) eindeutig positioniert: Bessere Meldemöglichkeiten, statt anlassloser Massenüberwachung. Diese klare Haltung des Europäischen Parlaments ist ein wichtiger Schritt für den Schutz unserer digitalen Privatsphäre. Denn unsere Kommunikation muss privat bleiben, statt überwacht oder durchleuchtet zu werden. Das ist die Voraussetzung für eine freie und demokratische Gesellschaft.
Stattdessen müssen Dienste gezielt dazu verpflichtet werden, die Hürden für Meldemöglichkeiten zu senken, damit problematische Inhalte schnell und sicher gemeldet werden können.
Zu den beiden Kommentaren am Ende:
Solange wir es als Sieg verstehen, wenn der Status Quo fast erhalten bleibt, wird die Überwachung immer weiter ausgebaut werden. Ein echter Sieg wäre, wenn neue Gesetze mit einer Garantie kommen, dass sie nach einiger Zeit neu evaluiert und bei mangelndem Erfolg zurückgenommen werden müssen und wenn das auch für alle bestehenden Gesetze passiert.
Das wäre das Schrecken für jeden Politiker insb. mit der geplanten Haftbarkeit für Abgeordnete.
Man stelle sich nur vor ein Gesetz zum Schutz von Kindesmissbrauch erweist sich als Ursache für den Anstieg von Missbrauchstaten. Das will keiner zugeben müssen.
> „Das wäre das Schrecken für jeden Politiker insb. mit der geplanten Haftbarkeit für Abgeordnete.“
Man stelle sich mal vor, die Immunität und Indemnität wären genau in dem Moment futsch und sie müssten Missbrauchsopfern Schmerzensgeld dafür bezahlen, dass sie *für* so ein Gesetz gestimmt haben.
Ein richtiger Sieg wäre es wenn Politiker und Beamte in den Ministerien die solche Gesetze ausarbeiten und beschließen, endlich strafrechtlich verfolgt werden können. Die Immunität für Politiker gehört abgeschaft.
Nur wenn entsprechende verantwortliche Personen, falls die Nichtigkeit der Gesetzte festgestellt wird 30 bis 40 Jahre eingeknastet werden ist das ein Sieg.
Man braucht nicht auf China oder Rußland zeigen wenn die EUSSR aus Brüssel kommt.
Es ist ein Problem, dass wir größtenteils reagieren.
Stattdessen müssten garantien für Grundrechte ausgebaut werden. Nicht Gesetze zeitlich befristen, sondern bessere Gesetze machen. Das braucht allerdings organisierte Macht. Und die müssen wir dafür aufbauen.
Wie es der CCC sagte: bildet Banden. (für sinnvolles!)
Wir brauchen beides. Bessere Gesetze *und* zeitlich befristete Gesetze. Die ganzen „Anti“-„Terror“-Gesetze waren zum Beispiel nicht befristet, aber gehören nach über 20 Jahren endlich mal abgeschafft.
Kein *anlassloses* Client-Side-Scanning, also mit Anlass schon. Und das würde doch bedeuten, dass Hersteller von Betriebssystemen bzw. Kommunikationssoftware (Signal & Co.) eine Schnittstelle für Client-Side-Scanning so oder so einbauen müssen. Oder übersehe ich da irgendetwas?
Ein Anlass findet sich schnell. Du bist noch Minderjährig? Es gibt einen Anlass wg. pot. sexting!
Du hast Kinder? Missbrauch findet oft im familäten Umfeld statt!
Richter sind überlastet und unterschreiben auch Unfug, wie bspw. „Du bist 1 Pimmel“.
Nein, verpflichtenden Regierungs-Code und Schnittstellen auf jedem Geraet ist der Plan und das ganze ein voller Gesamtsieg der Ueberwacher.
Die Gegner der Totalueberwachung luegen sich gerade nur ihre Niederlage schoen. Ich kann’s ja verstehen, es ist trostlos, aber so ist es nunmal.
Dane auch an Netzpolitik.org für die Berichterstattung zum Thema. 👍
Art10 GG anlassbezogene Maßnahmen zur Überwachung der Telekommunikation etc..
01.09.2023 Ende der Stillhaltefrist des EU-Notifizierungsverfahrens
20.09.2023 Veröffentlichung und Bekanntmachung der TR TKÜV 8.2 im Amtsblatt der Bundesnetzagentur (Vfg. Nr. 93/2023 im Amtsblatt 18/2023 vom 20.09.2023
TR TKÜV, Ausgabe 8.2 Seite 8
1 Regelungsbereich
Die Technische Richtlinie (TR TKÜV) beschreibt auf der Grundlage des § 170 Absatz 6 TKG [21] i.V.m. § 36 TKÜV [14] unter Berücksichtigung der §§ 9 und 12 TTDSG [41] sowie des § 171 Satz 1, des § 174 Absatz 7 und des § 177 Absatz 3 TKG technische Einzelheiten zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation, zur Mitwirkung bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten und zur Erteilung von Auskünften
3.1.8 Anforderungen an nummernunabhängige interpersonelle Telekommunikationsdienste außer für E-Mail-Dienste Teil A, Anlage I bezieht sich auf Messaging-Dienste und andere nummernunabhängige interpersonelle Telekommunikationsdienste, die über das Internet erbracht werden. Für E-Mail-Dienste gilt jedoch ausschließlich Teil A, Anlage F.
3.2 Dimensionierung und Monitoring
Nach § 5 Absatz 6 TKÜV gilt, dass die Dimensionierung des Administrierungssystems sowie der
Kapazitäten zur Ausleitung der Überwachungskopien zur berechtigten Stelle je nach Anzahl der
umzusetzenden Überwachungsmaßnahmen bedarfsgerecht erfolgen muss. Die Erfüllung dieser Anforderung setzt regelmäßig ein Monitoring der vorgehaltenen Überwachungs- und
Ausleitungskapazität (Interception Point bis Internetübergabepunkt) voraus, insbesondere bei
bandbreitenbasierten Angeboten. Bei einer hohen Abweichung des durchschnittlichen
Bandbreitenbedarfs eines überwachten Anschlusses zu dessen theoretischer maximal verfügbaren Bandbreite müssen Lastspitzen berücksichtig werden. Die diesbezüglichen technischen und organisatorischen Vorkehrungen müssen nach Maßgabe des § 19 Absatz 2 Nummer 5 TKÜV im Konzept beschrieben werden.
Wir haben das EU-Parlament überzeugt, Client-side-scanning von Ende-zu-Ende-verschlüsselten Kommunikationsdiensten insgesamt auszuschließen, egal ob mit Anlass oder nicht. Sichere Verschlüsselung soll garantiert werden.
> „Wir haben das EU-Parlament überzeugt“
Das glaube ich erst, wenn alle am Gesetz(esentwurf) beteiligten Personen lange Gefängnisstrafen antreten müssen und die dafür lobbierenden Organisationen zu kriminellen Vereinigungen erklärt werden – mit allen juristischen Konsequenzen, die das mit sich bringt.
> MEPs excluded end-to-end encryption from the scope of the detection orders to guarantee that all users’ communications are secure and confidential — https://www.europarl.europa.eu/news/en/press-room/20231110IPR10118/child-sexual-abuse-online-effective-measures-no-mass-surveillance
Das bedeutet: kein Client-Side Scanning notwendig. Nie. Also auch keine Infrastruktur dafür.
>> scope of the detection orders to guarantee that all users’ communications are secure and confidential
Interoperability between Messaging Services Secure Implementation of Encryption
Study for the Federal Network Agency Version: FINAL VERSION 28.04.2023
https://www.bundesnetzagentur.de/DE/Fachthemen/Digitalisierung/Technologien/Onlinekomm/study_interopencryption.pdf?__blob=publicationFile&v=1
Zitat: Page 55
All IM apps encode the actual payload messages (including emojis, formatting infor-
mation, certain metadata etc.) in a predefined format. The Signal messenger uses Protocol
Buffers [35] for this. The resulting encoded plaintexts are then encrypted with the Double Ratchet Algorithm in Signal.
Der „Scope of the detection orders“ würde nun also intern bei der Funktion „Protocol Buffers“ ansetzen, um die unverschlüsselten Daten auszuleiten und die Mitwirkung der interpersonellen Telekommunikationsdienste bei technischen Ermittlungsmaßnahmen (Mobilfunkendgeräten) zu gewährleisten.
Again Don’t be evil Alphabet formerly known as Google
„Bedauerlicher Einzelfall“
„Bei der sogenannten Chatkontrolle geht es um eine Verordnung zur Bekämpfung von sexualisierter Gewalt gegen Kinder im Internet,“
Ich finde es immer sehr befremdlich, wenn diese Alibi-Ausrede einfach so übernommen wird. Es glaubt doch hoffentlich keiner wirklich, dass es hier um die Bekämpfung von Kindesmissbrauch geht, oder?!
Sorry, ich bin so langsam dieses Bessergewisse leid. Das Ding hat nun mal eben diese Aufschrift. Und wir schreiben seit 160 Artikeln über diese Verordnung und warnen vor ihr. In unserer Berichterstattung wird schon klar, auf welcher Seite wir stehen und dass wir diese Verordnung gefährlich finden.
Also so wie das formuliert ist, geht ihr tatsächlich davon aus, dass diese Verordnung tatsächlich sexualisierte Gewalt bekämpfen würde. Was doch sehr fraglich ist. Wenn könnte man das so formulieren:
„Bei der sogenannten Chatkontrolle geht es um eine Verordnung, die sexualisierte Gewalt gegen Kinder im Internet bekämpfen soll, und die verschiedene Instrumente neben der eigentlichen Chatkontrolle bereithält.“
So ist es wenigstens offen ob die Verordnung auch das Ziel erreicht. Ich weiß, das ist eine sprachliche Feinheit, und Journalisten sind auch nicht besonders gut darin.
Mal eine andere Frage: Was soll denn sexualisierte Gewalt sein? Würdest du Kindesmissbrauch oder Kinderpornografie schreiben wäre die Sache klar.
Zu der Frage: Betroffene von sexualisierter Gewalt haben sich in der Vergangenheit gegen den Begriff Kinderpornografie und auch Kindesmissbrauch gewandt. Deswegen versuchen wir andere Termini dafür zu benutzen.
„EU-Innenausschuss stimmt gegen anlasslose Chatkontrolle“ ist letztlich irreführend, korrekt wäre:
„EU-Innenausschuss stimmt für verpflichtenden Behördenzugriff auf jedes Gerät“, denn nichts anderes wird damit eingeführt. Die Nutzung der dann etablierten technischen Möglichkeiten kann Schritt für Schritt legalisiert werden, das ist nur noch Papierkram und hindert nicht an illegaler Nutzung.
Wer in EU-Innenausschuss und Medienecho jetzt inkompetent, naiv oder unehrlich ist, ist nur eine akademische Frage.
„Sonstige Scans dürften nur nach einem richterlichen Beschluss bei verdächtigen Einzelpersonen oder Gruppen stattfinden. […] Der Kompromisstext enthält allerdings noch Netzsperren und Alterskontrollen, […]“
Also die volle technische Infrastruktur inklusive notwendiger Geraeteeigenschaften zur Umsetzung des urspruenglichen Vorhabens, nur darf man das erstmal nicht so nutzen. Erstmal.
Ich kann nicht nachvollziehen, warum das zB von Patrick Breyer als „Sieg“ gefeiert wird. Der sollte wissen, dass der schwere Teil des Vorhabens Zwang und Implementierung der technischen Infrastruktur inklusive der Schnittstellen und Libraries auf den Geraeten ist. Wenn man das hat, ist alles andere nur eine Frage der Legalitaet, das geht uU sehr schnell oder nebenbei Schritt fuer Schritt, und natuerlich immer einfach illegal. Illegal sind dann uebrigens auch sehr einfach Geraete und SW, die nicht compliant ist.
Kinder und Jugendschutz wurden schon immer benutzt um totalitären Unsinn durchdrücken zu wollen.
Siehe die sinnlose „Killerspiel“-Diskussion
Eine anlasslose Chatkontrolle schmeckt nach „1984“ und würde auch alles demokratisch Freiheitliche mit Füßen, ähm mit Kampfstiefeln treten.
Denn was kommt danach?
Mit „Schutz“ hat das nichts zu tun, da man ganz genau weiß, dass in einem Chat im www die tatsächlichen Täter nie zu finden sind. Die tummeln sich dort, wo diese Faschistenliebhaber keine Ahnung von haben.
Ich kann mich dem Kommentar vom 14. November 2023 um 23:09 Uhr nur anschließen.
Und abgesehen davon: Wie sollen zukünftig AppStores geregelt werden?
Auf heise heißt es (Zitat):“Bei besonders großen Plattformen und App-Store-Betreibern soll für den Zugriff durch Minderjährige gegebenenfalls die Einwilligung der Eltern erforderlich sein.“
Auf welcher Ebene soll diese Altersprüfung denn stattfinden? Bei Installation der App? Beim Einloggen in den AppStore?
Wie soll das funktionieren – auch mit Einwilligung von Eltern – ohne sich dem AppStore-Betreiber gegenüber identifizieren zu müssen?
Gerade Corona sollte durch die CovPass-App oder die Corona-Warn-App (wo jeweils eine Menge personenbezogene Daten stehen) ein eindeutiges Beispiel dafür sein, wie unsinnig und gefährlich diese App-Store-Zensur ist.
Zudem – wenn das Alter bzw die Einwilligung der Eltern beim Einloggen in den AppStore überprüft werden soll, könnte man, ohne sich auszuweisen, nicht mal mehr eine Authenticator-App installieren, um Online-Konten zu schützen.
Wo hier der „Sieg“ sein soll, ist mir völlig schleierhaft. Das einzige was aktuell (nach meinem Verständnis) im Parlament erreicht wurde, ist – zumindest momentan – die Sicherheit von Ende-zu-Ende-verschlüsselten Diensten.
Was mit unverschlüsselten Diensten ist, kann ich auch nicht wirklich rauslesen, ebenso wenig wie Cloudspeicher… Da sehe ich keine Änderung zum Kommissionsentwurf
Wenn das Datenschutzkonform umgesetzt werden soll, müssen die Eltern die Verantwortung haben, die Konten ihrer Kinder als Familienkonten anzulegen.
Das ist die Norm auf Android und iOS.
Schwieriger wird das in typischen Linux-Distros.
„Schwieriger wird das in typischen Linux-Distros.“
Bei der geringen Linux-Userzahl der Eltern und erst recht deren Kindern (IT-Nerd-Kiddies vielleicht ausgenommen) wird sich die Frage bezüglich irgendwelcher Linux-Distros nicht stellen.
95 % der Eltern können doch gerade mal einen PC samt Office, Windows/Mac und Amazon bedienen, sind googlisiert, geandroided, veräppelt und von Zuckerberg geschwängert. Das war´s dann aber mit IT-Kenntnis und Datenschutzbewusstsein.
Altersprüfung UND Einwilligung der Eltern…
Fast so elegant wie Jugendschutzsoftware. Aber: Leder um die Füße oder Leder auf den Gehwegen?