Bislang konnten sich die EU-Staaten nicht auf eine gemeinsame Position zur verpflichtenden Chatkontrolle einigen. Damit wird die geplante Verordnung der EU-Kommission zum sexuellen Kindesmissbrauch (CSA-Verordnung) vor der Europawahl im Juni dieses Jahres voraussichtlich nicht mehr beschlossen.
Dessen ungeachtet will der Rat der Europäischen Union noch vor der Wahl eine gemeinsame Position zur Verordnung finden. Und auch die Verlängerung einer derzeit bis zum August 2024 befristeten Ausnahmeregelung zur freiwilligen Chatkontrolle wird derzeit diskutiert.
In einem offenen Brief an die Innen-, Justiz- und Wirtschaftsminister aller EU-Mitgliedstaaten warnen nun 29 kleine und mittlere Unternehmen sowie Organisationen aus Europa vor den Risiken des „verpflichtenden clientseitigen Scannens“ von Chat- und E-Mail-Nachrichten. Sie verlangen von den Minister:innen, sich in ihrer Positionierung möglichst nahe an der des Parlaments zu orientieren.
Aus Sicht der „Koalition von datenschutzfreundlichen Unternehmen aus Europa“ würde sich die CSA-Verordnung „negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben“. Die Europäische Union habe „jetzt die einmalige Chance, zum Hoffnungsträger für freie Meinungsäußerung und Demokratie zu werden.“ Kurz vor Beginn des Trilogs müssten sich die Mitgliedstaaten daher entscheiden, so der offene Brief, auf welcher Seite sie stehen: „Privatsphäre oder Überwachung“.
Zu den unterzeichnenden Unternehmen zählen unter anderem Element, Mail.de GmbH, Mailfence, die Matrix Foundation, Open-Xchange, Proton, Renvis, Surfshark, Threema, Tresorit und Tuta.
Inhalt: Offener Brief einer „Koalition aus datenschutzfreundlichen Unternehmen aus Europa“
Datum: 22.01.2024
Quelle: www.tuta.com
Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA-Verordnung
Sehr geehrte Innen-, Justiz- und Wirtschaftsminister der EU-Mitgliedstaaten,
wir schreiben Ihnen als kleine und mittlere Unternehmen und Organisationen aus Europa, die über den Vorschlag für eine Verordnung zum sexuellen Kindesmissbrauch (CSA) besorgt sind. Gemeinsam fordern wir Sie auf, dafür zu sorgen, dass die Position Ihres Landes in dieser Angelegenheit so nah wie möglich an die des Europäischen Parlaments (EP) herangeführt wird. Wir sind uns alle einig, dass die Gewährleistung der Sicherheit von Kindern im Internet eine der wichtigsten Pflichten von Technologieunternehmen ist, und aus diesem Grund finden wir die von der Europäischen Kommission vorgeschlagene Verordnung äußerst beunruhigend. Wenn sie in der vorgeschlagenen Form umgesetzt wird, würde sie sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben, ganz abgesehen davon, dass sie einen ineffektiven Verwaltungsaufwand verursachen würde. Das Europäische Parlament hat vor kurzem seinen Standpunkt zu dem Dossier angenommen und eingeräumt, dass Scantechnologien nicht mit dem Ziel einer vertraulichen und sicheren Kommunikation vereinbar sind. Die entscheidenden Änderungen, die es daher für den Vorschlag vorschlägt, spiegeln die Meinung des Europäischen Datenschutzbeauftragten (EDSB), der juristischen Dienste des Rates sowie zahlreicher Experten für Kryptographie und Cybersicherheit wider. Er spiegelt auch die Meinung von zwischen 63% und 69% der Unternehmen, Behörden, NROs und Bürger wider, die von der Europäischen Kommission in ihrer Folgenabschätzung konsultiert wurden. Als kleine und mittlere Technologieunternehmen und -organisationen teilen wir ihre Bedenken, da wir wissen, dass die Suche nach bestimmten Inhalten – wie Text, Fotos und Videos – in einer Ende-zu-Ende-verschlüsselten Kommunikation die Implementierung einer Hintertür oder einer ähnlichen Technologie, dem so genannten „Client-side scanning“, erfordern würde. Selbst wenn dieser Mechanismus zur Bekämpfung der Online-Kriminalität geschaffen wird, würde er schnell auch von Kriminellen selbst genutzt werden und Bürger und Unternehmen online einem größeren Risiko aussetzen, da er für alle Nutzer gleichermaßen Schwachstellen schafft.
Datenschutz ist ein starker Wettbewerbsvorteil
Als in der Europäischen Union tätige Technologieunternehmen haben wir Produkte und Dienstleistungen im Einklang mit dem strengen Datenschutzrahmen der EU entwickelt, der nach wie vor weltweit als Vorbild und Inspiration dient. Die Datenschutz-Grundverordnung ermöglichte die Gründung ethischer, datenschutzfreundlicher Technologieunternehmen in Europa, die andernfalls nie in der Lage gewesen wären, mit Big Tech zu konkurrieren. Sie verschaffte europäischen Unternehmen einen starken internationalen Wettbewerbsvorteil in diesem Bereich und ermöglichte es den Verbrauchern, endlich Alternativen zu amerikanischen und chinesischen Diensten zu finden. Unsere Nutzer innerhalb und außerhalb der EU haben Vertrauen in unser Engagement für den Schutz ihrer Daten gewonnen, und dieses Vertrauen ist ein wichtiger Faktor für unsere Wettbewerbsfähigkeit. Die Lernkurve für die Anpassung an den notwendigen Verwaltungsaufwand, den die DSGVO mit sich bringt, war hoch, aber sie war es wert. Die CSA-Verordnung könnte jedoch dieses Alleinstellungsmerkmal europäischer IT-Unternehmen bedrohen und würde zudem einen neuen Verwaltungsaufwand mit sich bringen, von dem wir befürchten, dass er sowohl unsere Unternehmen als auch die Strafverfolgungsbehörden überfordern könnte. In Anbetracht des Volumens der Kommunikation und der Inhalte, die durch unsere Dienste fließen, würde selbst eine unbedeutende Fehlerquote der Technologien, die zur Überprüfung auf missbräuchliches Material eingesetzt werden, zu Millionen von Falschmeldungen führen, die jeden Tag manuell überprüft werden müssten.
Die CSA-Verordnung könnte das Vertrauen und die Sicherheit im Internet untergraben
In einer Welt, in der Datenschutzverletzungen und -skandale immer häufiger vorkommen, ist der Ruf der EU für strengen Datenschutz ein Alleinstellungsmerkmal für Unternehmen, die innerhalb ihrer Grenzen tätig sind. Er verschafft uns einen Wettbewerbsvorteil, denn er gibt unseren Kunden die Gewissheit, dass ihre Daten mit äußerster Sorgfalt und Integrität behandelt werden. Wenn dieses Vertrauen einmal untergraben ist, lässt es sich nur schwer wiederherstellen, und jede Maßnahme, die es gefährdet, wie z. B. das obligatorische Scannen oder die obligatorische Altersüberprüfung, kann großen und kleinen Unternehmen schaden. Darüber hinaus hat die EU vor kurzem die Verordnung 2023/2841 erlassen, die den EU-Organen und -Einrichtungen vorschreibt, bei ihren Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit die Verwendung von Ende-zu-Ende-Verschlüsselung zu berücksichtigen. Außerdem liegen derzeit mehrere „Cyber“-Vorschläge der EU auf dem Tisch, wie der Cyber Resilience Act und der Cybersecurity Act. Die Unterstützung eines gegenteiligen Ansatzes für die CSA-Verordnung würde den EU-Rahmen für Cybersicherheit nur untergraben und ein widersprüchliches, inkohärentes und ineffizientes neues Maßnahmenbündel schaffen, das Unternehmen nicht durchsetzen könnten, ohne Bürger und Unternehmen zu gefährden.
Der Vorschlag des EU-Parlaments geht in die richtige Richtung
Wir begrüßen daher das Europäische Parlament für seine entschlossene Haltung bei der Verteidigung des Rechts der europäischen Bürger auf Privatsphäre und sichere Kommunikation. Das Bekenntnis des Europäischen Parlaments zu diesen Grundsätzen ist nicht nur ein Beweis für sein Engagement für die Menschenrechte, sondern auch ein Hoffnungsschimmer für Unternehmen wie das unsere, denen Datenschutz und Sicherheit am Herzen liegen. Die Position des Parlaments beinhaltet Alternativen zum Scannen, die minimale Auswirkungen auf die Cybersicherheit und den Datenschutz haben und die nach Ansicht von Experten sowohl effektiver als auch effizienter wären als das obligatorische Scannen. Ein solcher Paradigmenwechsel würde bedeuten, die falsche Dichotomie zwischen Privatsphäre und Sicherheit zu überwinden und gleichzeitig dafür zu sorgen, dass der Vorschlag den Grundsatz der Verhältnismäßigkeit beachtet, wie vom Ausschuss für Regulierungskontrolle gefordert. Auch wenn die Änderungen, die das Europäische Parlament in seinem Standpunkt vorgenommen hat, in unseren Augen nicht perfekt sind, so stellen sie doch einen guten Kompromiss dar, um die digitale Sicherheit und Vertraulichkeit zu wahren und Kinder im Internet besser zu schützen. Wir glauben, dass diese Änderungen das richtige Gleichgewicht zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre und der Cybersicherheit herstellen.
Als Vertreter der dynamischen europäischen Kleinunternehmen ermutigen wir die EU-Mitgliedstaaten, sich weiterhin für die Werte der Privatsphäre, der Cybersicherheit und des Datenschutzes einzusetzen. Diese Grundsätze stehen nicht nur im Einklang mit dem Engagement der EU für die Menschenrechte, sondern dienen auch als Grundlage für ein florierendes und wettbewerbsfähiges Geschäftsumfeld. Lassen Sie uns diese Grundsätze verteidigen und stärken und dafür sorgen, dass die EU auf dem globalen Markt ein Verfechter des Datenschutzes bleibt.
Aus diesen Gründen appellieren wir an Sie:
- Sorgen Sie dafür, dass der Standpunkt des Rates so weit wie möglich an den des Europäischen Parlaments angeglichen wird. Dies wird eine schnellere Verabschiedung der Verordnung ermöglichen und gleichzeitig auf der wichtigen Arbeit des Europäischen Parlaments aufbauen.
- Beibehaltung des hohen Niveaus der Grundrechte – und insbesondere des Datenschutzes -, das die Bürger in der Europäischen Union genießen.
- Unternehmen wie uns nicht zu zwingen, im Auftrag von Strafverfolgungsbehörden eine Massenüberwachung privater Korrespondenz durchzuführen.
- Gewährleistung eines hohen Niveaus an Cybersicherheit in der EU durch den Schutz der Ende-zu-Ende-Verschlüsselung und die Aufnahme der notwendigen Schutzmaßnahmen in den Text. Insbesondere Client-seitiges Scannen und Hintertüren sollten nicht vorgeschrieben werden.
- Wahrung des Briefgeheimnisses.
- Minimierung des Verwaltungsaufwands des Vorschlags durch effektivere und effizientere Alternativen zum Massenscanning.
Unterzeichnet
- Blacknight Solutions
- Cyberstorm
- Element
- Tor 15
- Mailfence
- Mail.de GmbH
- Olvid
- Eine Privatsphäre
- Parsec
- Proton
- Seezam
- Surfshark
- TelemetryDeck
- Threema
- Tresorit
- Tuta
Fachverbände und Unterstützer
- ACT | The App Association
- Demokratie verteidigen
- Verschlüsselung Europa
- ISOC-CAT
- Privacy & Access Council von Kanada
- STUDIO LEGALE FABIANO
Die menschen haben gegeb rechts demonstriert. das schließt die Ampel mit ihrem Rückführungsgesetz und die CDU mit ihrer Werteunion ein. Ich hoffe die menschen merken, daß nicht ausschließlich von der AfD Gefahr droht, sondern auch von den etablierten Parteien im Bundestag und der EU. Insbesondere von Zenzursula.
Na, das ist aber schon eine sehr „spezielle“ Sichtweise – die Demonstranten gegen Rechts sind ziemlich sicher zum weit überwiegenden Teil Wähler von Ampelparteien oder Union. (Und auch das Rückführungsgesetz ist kein Tyrannenstück aus der rechten Ecke.)
„Die menschen haben gegeb rechts demonstriert. das schließt die Ampel mit ihrem Rückführungsgesetz […] ein“.
Noe. Bei der Masse an Leuten waren bestimmt auch ein paar dabei, die das so sehen, aber als allgemeine Aussage luegen Sie sich da die Welt schoen. Waere ich vorsichtig mit, denn das deligitimiert die Demos in ihrer klaren gemeinsamen Aussage gegen „rechtsextrem“.
„Datenschutz ist ein starker Wettbewerbsvorteil“
Schon ziemlich kaputt. Das ist aber nicht mein Punkt. Ich meine in der IT sind unsere Standortvorteile:
– 99,999% Datenschutz (+ kein beliebiger Spionagezugriff).
– Nix
– Nix
– Nicht mehr.
– Auch nicht mehr.
– Schon lange nicht mehr.
– Nicht die USA sein.
– Nicht Russland sein.
– Nicht China sein.
– Nicht Saudi-Arabien sein.
– Naja, jetzt dürfte die Richtung wohl klar sein…
(meine Meinung):
Es hätte bei der Chatkontrolle der EU schon längst seitens der Unternehmen (allen voran von Messanger & Co) ähnliche Töne / Drohungen geben müssen, wie beim Cyber-Resilience-Act in der EU oder bei „Online Safety Bill“ im UK.
Frei nach dem Motto: „Sorgt dafür, dass Grundrechte und Privatsphäre gewährt bleiben, oder wir bieten unseren Service nicht mehr bei euch an und ihr könnt selbst zusehen, wo ihr eure digitale Infrastruktur herbekommt“.
Bis jetzt hat es nach solchen Drohungen immer funktioniert:
In GB hatten sie das Scannen der Online Safety-Bill gestoppt, sonst wären die Messanger inklusive Apple weg.
Beim Cyber Resiliance Act hat die EU zurückgerudert, nachdem gedroht wurde, Python, Java u.a. nicht mehr in der EU anbieten zu können und sich die EU aufgrund dessen dann digital endgültig beerdigt hätte.
Es ist traurig, aber das scheint die einzige Sprache zu sein, die bei diesen Leuten (den Befürwortern der Chatkontrolle) evtl was bewirken könnte…
Ich wäre zwar froh wenn Messenger wie Whatsapp verschwinden würden, ich glaube aber nicht, dass der Schaden dadurch besonders groß wäre. Ich fürchte eher, dass die Lücke recht schnell durch „Politik-hörige“ Messengerdienste geschlossen werden würde. Messenger sind ja kein Hexenwerk, sondern ein Kommunikationswerkzeug das es seit Jahrzehnten gibt und wo sich relativ leicht Messenger A durch Messenger B ersetzen lässt – der Erfolg hängt immer nur von der Verbreitung ab.
Vielleicht gibt es hier eine Zweispaltung:
1. Potentielle Profiteure im Datendjungel. (PR-Abteilung sagt: Besser keine Position beziehen, also Füße stillhalten.)
2. Die Technikabteilung hält die Akteure für Knalltüten, und die juristische Abteilung sagt, dass das krachend scheitern wird. (PR-Abteilung sagt: Besser nicht in einem Artikel mit denen zusammen genannt werden, also Füße stillhalten.)
Wer hätte denn die Macht, das Anbieten von Python oder Java in der EU zu unterbinden? Selbst die USA konnte 1995 den Export von PGP nicht verhindern. Ich glaube deine Aussage – schon gar nicht in der Praxis – nicht.
Wichtiger scheint mir, dass die EU-Kommission/Rat mit der „befristeten Ausnahmeregelung zur freiwilligen Chatkontrolle“ eine demokratische Entscheidung umgeht. Diese Ausnahmeregelung spielt einer Indstrie in die Hände, die von genau diesen zu scannenden Daten lebt. Mit der Chatkontrolle wird das illegale Verhalten der Industrie nachträglich legitimiert ohne dass Kindern das irgendwie nutzen kann.
Die Verbindungen der Kommission zu dieser Industrie sind lange nachgewiesen. Wenn da keine Korruption dahinter steckt, dann aber wenigstens ein gewaltiger Interessenskonflikt (der Mitglieder der nicht gewählten Kommission und des Rates).
Was ich davon halte, dass muss ich anstandshalber hier streichen.
„Wer hätte denn die Macht, das Anbieten von Python oder Java in der EU zu unterbinden? Selbst die USA konnte 1995 den Export von PGP nicht verhindern. Ich glaube deine Aussage – schon gar nicht in der Praxis – nicht.“
Zur Klarstellung:
Ich schrieb nicht, das jemand die Macht hätte, es zu verhindern. Ich schrieb, dass Firmen damit gedroht haben, ihr Produkt aus der EU zurückzuiehen.
Zu Python hier die Quellen:
(z. B. https://www.heise.de/select/ct/2023/11/2311108272517982235 und https://www.heise.de/news/EU-Gesetzentwurf-gefaehrdet-Open-Source-8983416.html)
Java / Eclipse finde ich momentan keine Quellen mehr, aber ich meine mich zu erinnern, dass – in der Anfangsphase der Gesetzgebung – bzgl Java und Eclipse Foundation ähnliche Töne kamen.
Falls ich das von Java und Eclipse falsch in Erinnerung habe – Entschuldigung.
Klarstellung:
Ok, Java hatte ich falsch im Kopf, entschuldigung.
Aber Python, siehe angegebene Quellen
Die deutsche GroKo hat sich leider schon lange gegen die Bürger entschieden…
Chatkontrolle hin oder her, ist das eigentliche Problem nicht die eIDAS Verordnung?
Ist doch Wahnsinn wo soll das alles hinführen, wieso schläft die Masse so tief?!
Aus dem gleichen Grunde, warum die Masse ungebremst in die Klimakatastrophe rennt: weil es vermeintlich bequem ist und die Fuehrung zum Grossteil von denen bezahlt wird, die davon profitieren.
Ich glaube nicht, dass Bequemlichkeit hier das schlagende Argument ist.
Eher noch wird nicht verstanden, auch nicht konzeptionell, und daher reicht das bischen an Traktion, das mit Erklärung erreicht wird, nicht hin, um jemanden zu bewegen. D.h. allenfalls ist das bischen an Bequemlichkeit viel stärker, als die homöopathische Dosis Sachhkenntnis, die es in den Kopf hineinschafft.
Hinzu kommt, dass die EU oder auch die Bundespolitik viele mal können, vgl. USA. Daran haben Medien und Parteienpropaganda sicherlich einen großen Anteil. Sich stundenlang mit den Verrücktheiten auseinanderzusetzen artet zu oft auch noch in Zeitverschwendung aus, womit ich das nicht mehr als Bequemlichkeit bezeichnen würde. „Bequemlichkeit“ wird zum Argument für eine autokratische Fortschreitung! Viel härter sollte man mit den „Unbequemen“ sein, die die Kenntnis und Intelligenz haben, an den Schaltstellen sitzen, und es dennoch geschehen lassen, Verantwortung erodieren lassen. Auch das ist vermutlich nicht Bequemlichkeit.
Bildungslücke, Transparenzlücke… was reicht hin, um so ein System so an die Wand zu fahren? Finde alle Minima!
Ich frage mich, ob die Masse aufwacht, wenn die EU ernsthaft alle ihre Pläne so umsetzen sollte oder wirklich die Klimakatastrophe da ist.
Oder ob einfach alles so wieder hingenommen und kurz darauf weitergeschlafen wird…
Neues dazu ist heute auf der Webseite von Patrick Breyer bekannt geworden
https://www.patrick-breyer.de/neuer-chatkontrolle-leak-ueberwachungsbehoerdlich-industrielles-netzwerk-will-sichere-verschluesselung-auch-fuer-ganz-andere-zwecke-aushebeln/
Wie erwartet, soll es auch für alles andere Mögliche genutzt werden – völlig egal, ob machbar oder nicht
Ist die Chatkontrolle denn wirklich auf elektronische Kommunikation beschränkt? Wenn nicht, dann müßte die Post dann auch jeden Brief und anders, was zugestellt wird, vorher lesen. Auch FAXE müßten kontrolliert werden.
Ist den „Dafür Sprechern“ damit auch klar, dass das auch IHRE eigenen Kinder betrifft? Sollten die Kinder nicht ein besonderes Schutzrecht haben? Das würde damit ja auch ausgehebelt.
Was ist mit Online Spielen? Ist das Zusammenspielen schon kommunikation?
Wollen wir der Generation, die inzwischen abhängig von der Informationsbeschaffung im Internet ist, den Umgang damit verbieten, damit sie dann mit 18 davon überfahren werden wird?
Für Deutschland: Seit 9-11 sind wir keine 85Mio Verbündete mehr, sondern 85 Mio Terrorroristen. Das soll jetzt auch alle unsere Kinder treffen und alle auch noch unter generalverdacht der Kinderpornographie oder Grooming stellen? Was kommt als nächstes? Alle grundsätzlich Mörder?
Die Chatkontrolle wird ihre Ziel verfehlen. Das Ziel ist gut und richtig, doch wird es so nicht funktionieren.
>> Was kommt als nächstes? Alle grundsätzlich Mörder?
Nein, nicht Mörder. Die aktuelle Lage geht davon aus, dass ein realer Krieg auf NATO-Gebiet ab 2030-35 möglich ist. Das geht sicherlich mit gesellschaftlichen Umbrüchen einher, die vorher stattfinden, auch wenn ein Krieg ausbleibt. Im Kreml ist man stets darauf vorbereitet, Menschen russischer Abstammung außerhalb ihres Staatsgebiets schützen wollen zu können. Ganz ähnlich übrigens wie das NATO-Mitglied Türkei, dass es zunächst mit extraterritorialen Parteigründungen versucht. Das gilt es abzuwehren.
Ohne Zweifel würde unter solchen Bedingungen bisheriges freiheitlich demokratisches Recht im Kommunikationsbereich unter Anpassungsdruck geraten.
Der Europäische Menschenrechtsgerichtshof hat offenbar gerade die Chatkontrolle zersägt.
https://www.patrick-breyer.de/europaeischer-menschenrechtsgerichtshof-verbietet-schwaechung-sicherer-ende-zu-ende-verschluesselung-das-aus-fuer-die-chatkontrolle/
Hier findet ihr das Urteil (auf Englisch) https://hudoc.echr.coe.int/eng/#{%22itemid%22:[%22001-230854%22]}. An dieser Stelle einen herzlichen Dank übrigens an Vladimir Putin, denn das war ein Verfahren gegen Russland, versteht sich. Gegen unsere Zensur und Menschenrechtsverstöße wäre so ein Urteil wahrscheinlich nicht ergangen. Das Gericht hätte das gar nicht erst angenommen, denn wir sind ja hier demokratisch, gerecht und gut, und unser Staat kann daher per Definition gar nicht böse Dinge tun.
In dem Urteil geht der „gute Teil“ bei 78 los:
78. The Court accepts that encryption can also be used by criminals, which may complicate criminal investigations (see Yüksel Yalçınkaya v. Türkiye [GC], no. 15669/20, § 312, 26 September 2023). However, it takes note in this connection of the calls for alternative “solutions to decryption without weakening the protective mechanisms, both in legislation and through continuous technical evolution” (see, on the possibilities of alternative methods of investigation, the Joint Statement by Europol and the European Union Agency for Cybersecurity, cited in paragraph 33 above, and paragraph 24 of the Report on the right to privacy in the digital age by the Office of the United Nations High Commissioner for Human Rights, cited in paragraph 28 above; see also the explanation by third-party interveners in paragraph 47 above).
79. The Court concludes that in the present case the ICO’s statutory obligation to decrypt end-to-end encrypted communications risks amounting to a requirement that providers of such services weaken the encryption mechanism for all users; it is accordingly not proportionate to the legitimate aims pursued.