Russland verlangt von Online-Diensten wie Telegram, auch Ende-zu-Ende-verschlüsselte Kommunikation an Behörden auszuleiten. Dagegen hat sich ein Nutzer juristisch gewehrt und das Verfahren nun gewonnen. Das könnte auch die europäische Debatte rund um die sogenannte Chatkontrolle beeinflussen.

Hintertüren in Messengern und Speichern abgefangener Inhalte auf Vorrat: Beidem schiebt der Europäische Gerichtshof für Menschenrechte (EGMR) einen Riegel vor. In einem Urteil vom 13. Februar entschied der Gerichtshof, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation das Grundrecht auf Privatsphäre verletzt – insbesondere, wenn dabei anfallende Daten nicht ausreichend geschützt sind, etwa gegen Hacking-Angriffe.

Den Fall hatte der russische Telegram-Nutzer Anton Podchasov im Jahr 2018 ins Rollen gebracht, unter anderem mit Unterstützung der in London sitzenden Menschenrechtsorganisation Privacy International. Podchasov wehrte sich gegen ein umfassendes Überwachungsgesetz, das vom russischen Parlament zwei Jahre zuvor beschlossen wurde.

Vordergründig soll es dem Kampf gegen Terrorismus dienen und verpflichtet unter anderem Anbieter von Messengern wie Telegram oder Signal, russischen Behörden ungehinderten Zugang zu eigentlich verschlüsselten Inhalten zu gewähren, etwa über eine Hintertür. Zudem müssen die Kommunikationsinhalte mindestens sechs Monate lang gespeichert werden, Vorratsdaten wie IP-Adressen mindestens zwölf Monate. Bei Verstößen drohen den Anbietern Geldstrafen – oder holpernde Netzsperren, wenn sie die Auflagen weiter missachten.

Hintertüren gefährden die IT-Sicherheit aller

In seinem Urteil betont das Gericht, wie wichtig verschlüsselte Online-Kommunikation für die Privatsphäre und die Meinungsfreiheit ist. Zudem helfe Verschlüsselung gegen Daten- oder Identitätsdiebstahl. Eine wie von Russland geforderte Hintertür, etwa mittels eines hinterlegten Schlüssels, würde notwendigerweise die Privatsphäre aller Nutzer:innen des Dienstes verletzen.

Einmal eingeführt, würden es Hintertüren technisch möglich machen, private elektronische Kommunikation „routinemäßig, allgemein und wahllos zu überwachen“, wie das Urteil ausführt. Außerdem könnten Hintertüren auch von Kriminellen ausgenutzt werden und würden somit die Sicherheit der elektronischen Kommunikation aller Nutzer:innen ernsthaft gefährden.

Zugleich räumt das Gericht ein, dass Verschlüsselung auch von Kriminellen genutzt werden könnte, um sich gegen Strafverfolgung abzuschirmen. Doch anstatt durch Hintertüren die Sicherheit aller zu untergraben, sollten Ermittlungsbehörden zielgerichtet vorgehen, schlagen die Richter:innen vor. Dazu könnten etwa forensische Untersuchungen beschlagnahmter Geräte zählen oder der Einsatz von Staatstrojanern, um gezielt in die Geräte einzelner Verdächtiger einzubrechen. Dass solche Ermittlungen womöglich aufwändiger wären als wahllose Hintertüren, wertet das Gericht als positiv: Die damit verbundenen Kosten würden die Behörden zwingen, grundrechtsschonende Maßnahmen zu priorisieren.

Russland pfeift auf Menschenrechte

Ob Russland, das derzeit unter anderem einen illegalen Angriffskrieg gegen die Ukraine führt, die Entscheidung des Gerichts respektieren wird, gilt als unwahrscheinlich. Zwar hatte sich das Land ursprünglich im Jahr 1998 dazu verpflichtet, den Urteilen des EGMR zu folgen. Allerdings ist Russland vor zwei Jahren aus der Europäischen Menschenrechtskonvention sowie dem Europarat ausgestiegen und unterliegt somit nicht mehr der Gerichtsbarkeit des EGMR. „Der Europäische Gerichtshof für Menschenrechte ist zu einem Instrument des politischen Kampfes gegen unser Land in den Händen westlicher Politiker geworden“, wetterte damals der Vorsitzende des russischen Unterhauses, Wjatscheslaw Wolodin.

Doch das Urteil lässt sich auch als Wink mit dem Zaunpfahl in Richtung EU verstehen. So schreiben die Richter:innen, in demokratischen Gesellschaften – damit dürften sie wohl kaum das autoritär regierte Russland meinen – seien derart überbordende Auflagen nicht notwendig. Konkret sprechen sie von der Vorratsdatenspeicherung aller Kommunikationsinhalte sämtlicher Nutzer:innen, vom direkten Zugriff von Behörden auf die Daten ohne angemessene Schutzmaßnahmen gegen Missbrauch sowie von der Verpflichtung zur Entschlüsselung gesicherter Inhalte.

Chatkontrolle soll Hürden umschiffen

Derzeit verhandelt die EU eine als „Chatkontrolle“ bekannte Maßnahme, mit der im Kampf gegen Kindesmissbrauch auch Ende-zu-Ende-verschlüsselte Inhalte gescannt werden sollen. Der hoch umstrittene Vorschlag der EU-Kommission versucht hierbei, schon im Vorfeld offensichtliche Hürden zu umgehen: Zum einen soll die massenhafte Überwachung aller Nutzer:innen eines bestimmten Online-Dienstes erst nach einer behördlichen Anordnung erlaubt sein. Zum anderen stellt die Kommission Techniken wie „Client-Side-Scanning“ in den Vordergrund. Dabei bliebe die Verschlüsselung auf dem Papier unangetastet, die Inhalte würden dann vor ihrer Verschlüsselung automatisiert auf einschlägige Inhalte durchleuchtet.

Mit diesem Trick versucht die EU-Kommission, ihren Vorschlag als zielgerichtet und nicht als anlasslos darzustellen. Zudem würde in der Leseart der Kommission Verschlüsselung an sich nicht gebrochen. Viel Zustimmung hat sie zu dieser Sicht jedoch nicht bekommen.

Praktisch einhellig warnen die Wissenschaftlichen Dienste von Bundestag sowie EU-Parlament, der Juristische Dienst des EU-Rats, deutsche wie europäische Datenschutzbeauftragte und unabhängige IT-Fachleute vor dem Gesetzentwurf, weil er nicht mit der Grundrechtecharta vereinbar sei. Das Vorhaben stockt derzeit, im EU-Rat konnten sich die EU-Länder bislang nicht auf eine gemeinsame Position einigen, während das EU-Parlament dem Gesetz zumindest die giftigsten Zähne ziehen will.

Entsprechend interpretiert etwa der EU-Abgeordnete Patrick Breyer das aktuelle EGMR-Urteil. So würde das „grandiose Grundsatzurteil“ die von der EU-Kommission zur Chatkontrolle geforderte Überwachung auf allen Smartphones für „eindeutig illegal“ erklären, so Breyer. „Sie würde den Schutz aller zerstören, statt gezielt gegen Tatverdächtige zu ermitteln“, sagt der Piratenabgeordnete.

Techniken wie verpflichtendes Client-Side-Scanning würden entweder Online-Kommunikation grundlegend unsicher machen oder dazu führen, dass sich Anbieter wie WhatsApp oder Signal aus dem EU-Markt zurückziehen würden. „Die EU-Regierungen müssen die Zerstörung sicherer Verschlüsselung jetzt endlich aus den Chatkontrolle-2.0-Plänen streichen – genauso wie die flächendeckende Überwachung Unverdächtiger!“, fordert der Pirat, der bei der anstehenden EU-Parlamentswahl nicht erneut antreten wird.