ChatkontrolleAbgeordnete warnen vor „Blaupause für autoritäre Staaten“

Der belgische Vorschlag zur Chatkontrolle, den wir im Volltext veröffentlichen, wird die Verschlüsselung schwächen. Das sehen auch 36 Abgeordnete aus dem Europaparlament und dem Bundestag so. Am Donnerstag soll über den Vorschlag abgestimmt werden – das verhandelnde Bundesinnenministerium verrät nicht, wie es sich dann verhalten wird.

Prompt: a padlock on a smartphone screen, in the background a huge surveillance eye, illustration
„Als Parlamentarier beobachten wir mit großer Sorge den Vorschlag des EU-Rates, der die Vertraulichkeit privater Kommunikation aushebeln würde“, heißt es im offenen Brief. (Symboldbild) – Public Domain generiert mit Midjourney

Am Donnerstag wird der Rat der EU über die Chatkontrolle abstimmen. Zwar ist es keine formale Abstimmung, aber die belgische Ratspräsidentschaft wird prüfen, ob ihr Vorschlag genügend Unterstützung findet. Nach monatelanger Uneinigkeit ist in den vergangenen Wochen Bewegung in die Verhandlungen gekommen, da Frankreich plötzlich eine mögliche Zustimmung signalisiert hat. Wenn Frankreich kippt, könnte die umstrittene anlasslose Massenüberwachung die nächste Hürde nehmen.

Wir haben beim federführende Bundesinnenministerium nachgefragt, wie es den neuen Entwurf der Belgier bewertet. Eine Sprecherin teilte netzpolitik.org mit, dass der Entwurf der CSA-Verordnung aus Sicht der Bundesregierung weiterhin an einigen Stellen „deutlich nachgeschärft“ werden müsse, um für die Regierung zustimmungsfähig zu sein: „Ein hohes Datenschutzniveau, ein hohes Maß an Cybersicherheit, einschließlich einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung in der elektronischen Kommunikation sind für die Bundesregierung unerlässlich.“ Wie Deutschland im Rat abstimmen wird, ließ das Ministerium offen.

Im Kern das gleiche Problem

Der Vorschlag der belgischen Ratspräsidentschaft (PDF), der zuvor von Politico veröffentlicht wurde, sieht verschiedene Änderungen vor, die aber laut IT-Sicherheitsexpert:innen nichts an der Tatsache ändern, dass Verschlüsselung durch den Entwurf massiv geschwächt wird.

So sieht der belgische Entwurf vor, dass Dienste das Risiko einschätzen müssen, dass auf ihren Plattformen Straftaten begangen werden. Das bedeutet, dass die Chatkontrolle vor allem Dienste treffen wird, die viel Anonymität und Verschlüsselung bieten. Die Dienste sollen zudem Bilder, Videos und URLs durchsuchen, nicht aber Audio und Text, wie es noch in früheren Konzepten zur Chatkontrolle vorgesehen war.

Zudem sollen Nutzer:innen einer Chatkontrolle zustimmen, sonst dürfen sie keine Bilder und Videos hochladen. Dieses Modell wird als „Upload Moderation“ bezeichnet. Dieses Modell suggeriert eine „Freiwilligkeit“, ist aber eine „erzwungene Zustimmung“, weil Nutzer:innen sonst nur um Kernfunktionen beschnittene Dienste bekommen.

Abgeordnete schreiben offenen Brief

In einem offenen Brief (PDF) haben sich unterdessen 36 Abgeordnete aus dem Bundestag und dem Europaparlament zu Wort gemeldet. Unter ihnen sind Konstantin von Notz, Konstantin Kuhle und Marie-Agnes Strack-Zimmermann sowie zahlreiche weitere Abgeordnete von Grünen, Liberalen und Piraten, allerdings kein einziger Vertreter der deutschen Sozialdemokratie.

Die Abgeordneten schreiben, dass der belgische Vorschlag die Vertraulichkeit privater Kommunikation aushöhlen würde. Tatsächlich handele es sich bei dem belgischen Vorschlag um die ersten Pläne der Kommission, die im Dezember 2021 bekannt wurden.

Die Abgeordneten sehen in dem Vorschlag die Gefahr der Einführung von Client-Side-Scanning, das eine vertrauenswürdige Kommunikation ausschließen würde. Die Pläne seien zudem eine „Blaupause für autoritäre Staaten“ und würden die IT-Sicherheit schwächen.

„Klima des Generalverdachts“

Die verpflichtende verdachtsunabhängige Überprüfung privater Nachrichten berge die Gefahr, ein Klima des Generalverdachts zu schaffen. „Ein solches Vorgehen wird dem Image der Europäischen Union als Garant der Freiheit irreparablen Schaden zufügen“, heißt es im Brief:

Wir warnen ausdrücklich davor, dass die Verpflichtung zum systematischen Scannen verschlüsselter Kommunikation, ob nun als „Upload-Moderation“ oder „clientseitiges Scannen“ bezeichnet, nicht nur die sichere Ende-zu-Ende-Verschlüsselung brechen würde, sondern mit hoher Wahrscheinlichkeit auch der Rechtsprechung des Europäischen Gerichtshofs nicht standhalten wird. Vielmehr stünde ein solcher Angriff in völligem Gegensatz zum europäischen Engagement für sichere Kommunikation und digitale Privatsphäre sowie für die Menschenrechte im digitalen Raum.

„Mit dem offenen Brief fordern wir gemeinsam klar ein, dass ein flächendeckendes und anlassloses Scannen unverschlüsselter wie verschlüsselter Chats mit uns Parlamentarier*innen nicht zu machen ist“, sagt der grüne Bundestagsabgeordnete Tobias B. Bacherle gegenüber netzpolitik.org.

Belgischer Vorschlag schwächt Verschlüsselung massiv

Mit ihrer Kritik stehen die Abgeordneten nicht allein. Dass der vorliegende belgische Vorschlag die Verschlüsselung privater Kommunikation entscheidend schwäche, sagen außerdem der Threema-Messenger, der Industrieverband eco, die Chefin des Signal-Messengers Meredith Whittaker sowie der Chaos Computer Club. Auch die Bundesregierung hatte in einer EU-Ratssitzung ähnlich argumentiert.

Der belgische Entwurf läuft auf den Einsatz von Client-Side-Scanning hinaus, nennt dies aber „Upload Moderation“. Dabei werden Dateien vor der Verschlüsselung auf den Geräten der Nutzer:innen durchsucht. Aus Sicht der IT-Sicherheit ist es praktisch dasselbe, ob ich die Inhalte vor dem Verschlüsseln anschauen kann oder ob ich eine Hintertür habe, durch die ich mir verschlüsselte Daten anschauen kann. In beiden Fällen ist die Kommunikation nicht mehr sicher. Fachleute nennen deswegen den belgischen Vorschlag einen „Hütchenspielertrick“, es würde „alter Wein in neuen Schläuchen“ verkauft.

Ähnlich sieht das auch der Digitalpolitiker Maximilian Kaiser-Funke (FDP), der ebenfalls den offenen Brief unterzeichnet hat: „Ich lehne den neuen Kompromiss entschieden ab. Der belgische Kompromiss zwingt die Nutzer, der Chatkontrolle auf ihren Geräten zuzustimmen. Dadurch wird die wichtige Ende-zu-Ende-Verschlüsselung ad absurdum geführt und das Recht auf ein digitales Briefgeheimnis verletzt. Die Bundesregierung muss diesen Vorschlag ablehnen.“

10 Ergänzungen

  1. Kennt jemand die Hintergründe dafür, wie es zu diesem „belgischen Vorschlag“ gekommen ist?

    Wer sind die treibenden Kräfte, und wie sind sie vernetzt?

      1. Das Innehaben der temporären Ratspräsidentschaft begründet doch eher weniger das Vorantreiben einer politischen Idee, außer es liegt ein starkes Eigeninteresse vor.

        Welche Umstände lassen darauf schließen, dass es ein starkes belgisches Interesse ist?

        Und was spricht dafür, dass Belgien sich gut darstellen möchte im Sinne von Punkte sammeln damit das Narrativ einer „erfolgreichen belgischen Ratspräsidentschaft“ glaubhafter wird?

        Und da wäre noch die Vermutung, andere „starke Akteure“ haben Belgien erfolgreich dazu motiviert, diesen Vorschlag zu unterbreiten. Macht mal das und dann bekommt ihr dies?

    1. Wenn ich die Diskussion um die belgische Vorratsdatenspeicherung richtig in Erinnerung habe, dann waren verschlüsselte chats damals schon ein Thema. Den Punkt hatte man dann aus dem Gestetzentwurf rausgenommen weil man sich nich einig wurde und weil es ja Diskussionen auf europäischer Ebene gibt. So erkläre ich mir den Enthusiasmus mit dem Frau Verlinden das Thema vorantreibt.

  2. Danke fürs Dranbleiben. Die Chatkontrolle bedeutet einen massiven Eingriff in unsere Grundrechte und ist mit meinem Verständnis dieser nicht vereinbar.

    Seitdem über den Trojaner Pegasus berichtet wurde, bin ich beim Versenden sensibler Daten wie Passwörter oder anderer Zugangsdaten eh „auf Nummer sicher“ gegangen, soweit es mir mein laienhaftes Verständnis meiner Möglichkeiten erlaubt. Zwar verschlüsselt Signal meine Nachrichten, aber wenn man mitlesen bzw loggen kann, was ich tippe, sind weitere Sicherheitsmaßnahmen notwendig geworden. So codiere ich mittlerweile seit Jahren bestimmte Begriffe, um nicht in einem Raster zu landen und oftmals speichere ich den Text als Bilddatei in einem nur für mich und meine Freunde entwickeltem proprietären Format, lade diese Datei für einen kurzen Zeitraum auf einen sicheren FTP in einem afrikanischen Land und versende den Link zum File über privnote.com von einem Smartphone, welches sich noch nie per SIM mit einer Funkantenne verbunden hat

    Wer mein Briefgeheimnis verletzen will, der müsste dafür einen massiven Aufwand betreiben und da ich kein Krimineller bin und es keinen Anlass zur Überwachung gibt, fühle ich mich so relativ sicher. Trotzdem empfinde ich es als anstrengend, dass es im Grunde keinen echten Schutz meiner Grundrechte gibt, sondern ich mich darum selber kümmern muss. Wozu haben wir unseren Staat?? Man stelle sich vor, ich müsste einen Brief in einer Bleikassette verschließen, die ich in eine Schuhsohle einarbeite und diese Schuhe als Warensendung deklariert um die halbe Welt schicke, welcher dort dann von einem Mittelsmann als Reklame zum Empfänger geschickt wird, damit ich halbwegs sicher sein kann, dass niemand meinen Brief liest. Absurd. Aber so fühlt es sich für mich an, meinen Freunden Zugangsdaten zu schicken, die niemand sonst kennen soll.

  3. Ergänzender Hinweis: Die Initiierenden hatten Die Linke im Bundestag und The Left im europ. Parlament nicht über den Brief in Kenntnis gesetzt bzw. nicht nach Unterstützung gefragt. Das ist der Grund warum keine linke Person dort als Unterstützende draufsteht.

  4. Sehe ich es richtig, das einfach nen VPN Dienst installiert werden könnte um dann einen Server aus nicht EU-Ländern zu nutzen um die Chatkontrolle zu umgehen?

  5. Es wird nicht auf die IP des Nutzers ankommen, sondern auf den Ursprung der installierten Apps. Die offiziell in der EU über die Appstores angebotenen Apps werden mit Hintertüren versehen sein, unabhängig davon ob du diese mit deiner deutschen IP oder der IP eines VPN-Servers der auf den Seychellen steht nutzt. Vermutlich würde es aber helfen, das Handy neu aufzusetzen und als Land zum Beispiel ein englischsprachiges Land einzustellen, was außerhalb der EU liegt. Oder das VPN nutzen um die App als APK-Datei (bei Androidnutzung) von der Website des Herstellers herunterzuladen, für den Fall dass sie versuchen sollten, den Zugriff auf diese Website zu sperren.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.