Vor einer Aushöhlung der EU-Grundrechtecharta warnt der Europäische Datenschutzausschuss (EDPB). Insbesondere die Grundrechte auf Privatsphäre und Datenschutz dürften beim Kampf gegen Kriminalität nicht unter die Räder geraten, fordert das Gremium europäischer Datenschutzbehörden in einer Stellungnahme.
Gerichtet ist das Schreiben an die EU-Kommission und die EU-Länder, die eine sogenannte High-Level-Group (HLG) ins Leben gerufen hatten. Die von Sicherheitsbehörden dominierte Arbeitsgruppe untersucht seit fast zwei Jahren, wie sich zunehmender Digitalisierung und insbesondere Verschlüsselung begegnen lässt. Im Sommer hatte die HLG gleich 42 Empfehlungen zur Debatte gestellt, ein mit weiteren EU-Institutionen abgestimmter Abschlussbericht soll Mitte November präsentiert werden.
Zu den besonders brisanten Vorschlägen der HLG zählt etwa ein neuer Anlauf in Richtung EU-weiter Vorratsdatenspeicherung. Gleichermaßen soll Ermittlungsbehörden der Zugang zu verschlüsselten Geräten und Inhalten ermöglicht werden, hieß es im vorläufigen Empfehlungspapier der Gruppe.
„Notwendige Balance“ müsse gewahrt bleiben
Auch wenn der technischen Entwicklung Rechnung getragen werden müsse, dürfe dabei die „notwendige Balance“ zwischen Kriminalitätsbekämpfung und Grundrechten nicht aus dem Blick geraten, schreibt der EDPB. Wie auch in den HLG-Empfehlungen festgehalten, müssten sämtliche neue Maßnahmen „in voller Übereinstimmung mit den Vorschriften zum Daten- und Privatsphärenschutz“ sowie zur Rechtssprechung des Europäischen Gerichtshofs (EuGH) stehen.
So seien EU-weit harmonisierte Vorschriften zur etwaigen Vorratsdatenspeicherung „positiv“ zu sehen, um Rechtssicherheit zu schaffen, so die Datenschützer:innen. Allerdings gingen die Vorschläge der HLG zu weit, etwa dass die diskutierten Vorhaltepflichten sämtliche „aktuelle und zukünftige“ Online-Dienste umfassen sollten – und nicht nur Telefonie- und Netzanbieter. Hier hatte der EuGH denkbaren Ansätzen zur Vorratsdatenspeicherung gewisse Grenzen gesetzt, die der HLG-Vorschlag jedoch weit hinter sich lässt.
Sollte eine im Einklang mit jüngsten EuGH-Urteilen stehende Speicherpflicht von IP-Adressen kommen, müsste diese die Verknüpfung mit anderen Datenbergen ausdrücklich ausschließen, fordert der EDPB. Zudem betont die Stellungnahme, dass „die Argumentation des Gerichtshofs, die die allgemeine und unterschiedslose Speicherung von IP-Adressen rechtfertigt, keinesfalls automatisch auf andere (sensiblere) Verkehrs- und Standortdaten ausgedehnt werden kann, die ohne weiteres die Erstellung eines detaillierteren Profils des Nutzers ermöglichen könnten“.
Ende-zu-Ende-Verschlüsselung sichert Privatsphäre
Noch strenger ins Gericht geht der EDPB mit Vorschlägen zum Zugriff auf verschlüsselte Daten. Verschlüsselung sei für die Gewährleistung der Sicherheit und Vertraulichkeit personenbezogener Daten und elektronischer Kommunikation „von entscheidender Bedeutung“, da sie einen starken technischen Schutz gegen den Zugriff auf diese Informationen durch Unbefugte – einschließlich des Anbieters – biete.
Erst recht gelte dies für Ende-zu-Ende-verschlüsselte Inhalte. Dass sich hierbei die für die Entschlüsselung notwendigen Schlüssel alleine im Besitz der jeweiligen Nutzer:innen befinden, sei ein „entscheidendes Instrument“ zur Gewährleistung der Vertraulichkeit elektronischer Kommunikation.
Hintertüren jeglicher Art würden dies empfindlich ins Wanken bringen, schreibt der EDPB: „Die Verwendung von Verschlüsselung zu verhindern oder die Wirksamkeit des von ihr gebotenen Schutzes zu schwächen, hätte schwerwiegende Auswirkungen auf die Achtung der Privatsphäre und Vertraulichkeit der Nutzer, auf ihre Meinungsfreiheit sowie auf Innovation und das Wachstum der digitalen Wirtschaft, die auf dem hohen Maß an Vertrauen beruht, das solche Technologien vermitteln.“
Absage an Client-Side-Scanning und Chatkontrolle
Dies sei auch bei Techniken wie sogenanntem Client-Side-Scanning der Fall, bei dem Inhalte vor, respektive nach der Entschlüsselung auf dem Endgerät geprüft werden. Selbst wenn dabei der „Verschlüsselungsalgorithmus im technischen Sinne“ nicht geschwächt werde, würde dies „wahrscheinlich zu einem umfangreichen, ungezielten Zugriff und einer Verarbeitung unverschlüsselter Inhalte auf den Geräten der Endbenutzer führen und die Sicherheit und Vertraulichkeit ihrer Kommunikation beeinträchtigen“, warnt der EDPB.
Unabhängig von den HLG-Vorschlägen geistert die CSS-Technik auch im Kontext der sogenannten Chatkontrolle herum. Angesichts der tiefen Eingriffe in Grundrechte kommt das Vorhaben der EU-Kommission seit Monaten nicht vom Fleck. Während sich das EU-Parlament gegen diese Form von Massenüberwachung ausgesprochen hatte, ringt der EU-Rat anhaltend und bislang erfolglos um eine gemeinsame Position.
Neben einschlägigen Urteilen des EuGH müsse die HLG auch die Rechtssprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) berücksichtigen, betont die Stellungnahme der Datenschützer:innen. Dieser hatte im Frühjahr in einem Verfahren gegen Russland festgehalten, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation samt Schwächung von Verschlüsselung das Grundrecht auf Privatsphäre verletzt. Selbst wenn sich die Überwachung nur gegen einzelne Nutzer:innen richte, würde damit der Verschlüsselungsmechanismus für alle Nutzer:innen geschwächt und sei damit nicht verhältnismäßig, so das Gericht.
Keine gemischten Signale senden
In ihrem Abschlussbericht müsse die HLG eine klare Sprache sprechen, fordert der EDPB. Derzeit würden die vorläufigen Empfehlungen gemischte Signale senden: Übers Ziel hinausschießende Vorschläge würden gleichzeitig abgeschwächt durch widersprüchliche Verweise darauf, dass damit Verschlüsselung oder IT-Sicherheit nicht geschwächt werden dürfe.
Dabei dürfe es nicht bleiben, mahnen die Datenschützer:innen. Sonst würde dies „zu großer Unsicherheit bei den Anbietern und einer möglicherweise inkohärenten Durchsetzung führen und würde folglich dem Ziel zuwiderlaufen, ein ausgewogenes Verhältnis zum Schutz der Grundrechte der Nutzer zu finden.“
Ist alles egal, wird trotzdem kommen. Denn in einem EU-Papier wurde mal erwähnt die Mitgliedstaaten sollen doch bitte in den Medien berichten, wie sie mit Chatkontrolle etc. die Täter hätten schnappen können.
Dann noch ein Paar Schwarzweißbilder von Kindern die traurig ein Teddybären in den Armen halten und fertig ist das Propagandapaket.
Noch eine demagogische US-Extension. Scheiden wir die jetzt ab?
Wird noch gelernt?
Der Prozess ist falsch. Das sind ja keine Analysen mehr. Das dürften höchstens Tabellen mit Maßnahmen und Pro/Kontra sein, und dann streicht man erst mal weg, was nicht kann/soll. Mir geht die „Verhandlungsfreiheit“ an dieser Stelle gehörig auf den Keks.
„Neben einschlägigen Urteilen des EuGH müsse die HLG auch die Rechtssprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) berücksichtigen, betont die Stellungnahme der Datenschützer:innen“.
Korrekt. Und diese Forderung widerspricht so ziemlich allem, was diese Gruppe tut.
Und dass sie permanent hinter verschlossenen Türen agiert, auf Anfragen hin nur geschwärzte Listen schickt (siehe diesen Beitrag von Patrick Breyer damals
https://www.patrick-breyer.de/beitraege/draft-going-dark-uberwachungsschmiede/)
und quasi nur Strafverfolger angehört werden, zeigt doch ganz klar, dass diese Gruppe nicht nur kein Interesse daran hat, irgendwelche Grund- bzw Menschenrechte zu wahren, sondern diese vollkommen im Weg stehen und beseitigt werden sollen.
Aber: die Quadratur des Kreises wird nie gelingen.
Im Grunde gibt es meiner Meinung nach nur 2 Möglichkeiten, wie die Arbeit dieser Gruppe ausgehen kann:
Option 1: Sie haben Erfolg und das Wort „digital“ kann man dann zum allergrößten Teil mit „unsicher“ gleichsetzen, weil Nutzer von öffentlich genutzten Systemen keine Kontrolle mehr darüber haben, welche Daten wann wohin abfließen und welche Auswirkungen dies hat. Ebenso wenig Kontrolle über die Sicherheit der Systeme, falls wieder Schwachstellen für Strafverfolger offen gehalten werden sollen.
Die einzigen Systeme, denen man dann noch vertrauen kann, sind die, die man (mit anderen zusammen) selbst entwickelt hat und möglichst dafür sorgt, dass nur ausgewählte Personen davon erfahren (man also quasi möglichst genauso im dunklen agiert wie diese Gruppe).
Option 2: Die Gerichte stoppen diesen Irrsinn oder fordern menschenrechtskonforme Ansätze oder kippen es ganz
In einem Papier wurde…
Gibt es auch einen Link zu dem Papier? Oder einen anderen Beweis für die Behauptung?
Ich bin auch sehr skeptisch den derzeitigen Verantwortlichen gegenüber, aber so fällt das unter „Troll, Sockenpuppe, Agitator…“ stellt Behauptung auf.
Ich bin mir nicht ganz sicher, welches Papier gemeint ist, aber ich vermute, eines dieser beiden (selbstverständlich im Artikel verlinkt):
HLG-Empfehlungen: https://home-affairs.ec.europa.eu/document/download/1105a0ef-535c-44a7-a6d4-a8478fce1d29_en?filename=Recommendations%20of%20the%20HLG%20on%20Access%20to%20Data%20for%20Effective%20Law%20Enforcement_en.pdf
EDPB-Stellungnahme: https://www.edpb.europa.eu/system/files/2024-11/edpb_statement_20241104_ontherecommendationsofthehlg_en.pdf
Oh Tut mir Leid. Fehler meinerseits.
Ich wollte auf den Kommentar „Anonymous sagt: 6. November 2024 um 10:30 Uhr“
antworten und nicht allgemein auf den Artikel.
ich denke Kriminelle werden über solche vorhaben nur lachen, sie haben sich schon anders organisiert, gute nacht….
Beispiel: wenn alles in einer nichteuropäischen cloud gespeichert ist, möchte ich sehen wie das mit dem zugriff geht…ich bin allerdings laie !
Kriminelle feiern Weihnachten! An die Schnittstellen wollen doch alle dann ran…
FYI
The FBI is warning that hackers are obtaining private user information — including emails and phone numbers — from U.S.-based tech companies by compromising government and police email addresses to submit “emergency” data requests.
Easy Access to Information for Conducting Fraudulent Emergency Data Requests Impacts US-Based Companies and Law Enforcement Agencies
https://s3.documentcloud.org/documents/25281365/fbi-ic3-notice-241104.pdf
So schnell kann’s gehen. Da war man gerade noch bei „perfect forward secrecy“ oder Watt nicht alles, und zack sind wir bei „perfect phishing“!