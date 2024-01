In einem offenen Brief appellieren dutzende kleine und mittlere Unternehmen an die Minister:innen von EU-Ländern, sich gegen die von der EU-Kommission geplante Chatkontrolle zu stellen. Das Vorhaben würde sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken, warnen die Unterzeichner:innen.

Bislang konnten sich die EU-Staaten nicht auf eine gemeinsame Position zur verpflichtenden Chatkontrolle einigen. Damit wird die geplante Verordnung der EU-Kommission zum sexuellen Kindesmissbrauch (CSA-Verordnung) vor der Europawahl im Juni dieses Jahres voraussichtlich nicht mehr beschlossen.

Dessen ungeachtet will der Rat der Europäischen Union noch vor der Wahl eine gemeinsame Position zur Verordnung finden. Und auch die Verlängerung einer derzeit bis zum August 2024 befristeten Ausnahmeregelung zur freiwilligen Chatkontrolle wird derzeit diskutiert.

In einem offenen Brief an die Innen-, Justiz- und Wirtschaftsminister aller EU-Mitgliedstaaten warnen nun 29 kleine und mittlere Unternehmen sowie Organisationen aus Europa vor den Risiken des „verpflichtenden clientseitigen Scannens“ von Chat- und E-Mail-Nachrichten. Sie verlangen von den Minister:innen, sich in ihrer Positionierung möglichst nahe an der des Parlaments zu orientieren.

Aus Sicht der „Koalition von datenschutzfreundlichen Unternehmen aus Europa“ würde sich die CSA-Verordnung „negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben“. Die Europäische Union habe „jetzt die einmalige Chance, zum Hoffnungsträger für freie Meinungsäußerung und Demokratie zu werden.“ Kurz vor Beginn des Trilogs müssten sich die Mitgliedstaaten daher entscheiden, so der offene Brief, auf welcher Seite sie stehen: „Privatsphäre oder Überwachung“.

Zu den unterzeichnenden Unternehmen zählen unter anderem Element, Mail.de GmbH, Mailfence, die Matrix Foundation, Open-Xchange, Proton, Renvis, Surfshark, Threema, Tresorit und Tuta.

Inhalt: Offener Brief einer „Koalition aus datenschutzfreundlichen Unternehmen aus Europa“

Datum: 22.01.2024

Quelle: www.tuta.com

Offener Brief an die EU-Mitgliedstaaten zur vorgeschlagenen CSA-Verordnung

Sehr geehrte Innen-, Justiz- und Wirtschaftsminister der EU-Mitgliedstaaten,

wir schreiben Ihnen als kleine und mittlere Unternehmen und Organisationen aus Europa, die über den Vorschlag für eine Verordnung zum sexuellen Kindesmissbrauch (CSA) besorgt sind. Gemeinsam fordern wir Sie auf, dafür zu sorgen, dass die Position Ihres Landes in dieser Angelegenheit so nah wie möglich an die des Europäischen Parlaments (EP) herangeführt wird. Wir sind uns alle einig, dass die Gewährleistung der Sicherheit von Kindern im Internet eine der wichtigsten Pflichten von Technologieunternehmen ist, und aus diesem Grund finden wir die von der Europäischen Kommission vorgeschlagene Verordnung äußerst beunruhigend. Wenn sie in der vorgeschlagenen Form umgesetzt wird, würde sie sich negativ auf die Privatsphäre und die Sicherheit von Kindern im Internet auswirken und gleichzeitig dramatische, unvorhersehbare Folgen für die Cybersicherheitslandschaft in der EU haben, ganz abgesehen davon, dass sie einen ineffektiven Verwaltungsaufwand verursachen würde. Das Europäische Parlament hat vor kurzem seinen Standpunkt zu dem Dossier angenommen und eingeräumt, dass Scantechnologien nicht mit dem Ziel einer vertraulichen und sicheren Kommunikation vereinbar sind. Die entscheidenden Änderungen, die es daher für den Vorschlag vorschlägt, spiegeln die Meinung des Europäischen Datenschutzbeauftragten (EDSB), der juristischen Dienste des Rates sowie zahlreicher Experten für Kryptographie und Cybersicherheit wider. Er spiegelt auch die Meinung von zwischen 63% und 69% der Unternehmen, Behörden, NROs und Bürger wider, die von der Europäischen Kommission in ihrer Folgenabschätzung konsultiert wurden. Als kleine und mittlere Technologieunternehmen und -organisationen teilen wir ihre Bedenken, da wir wissen, dass die Suche nach bestimmten Inhalten – wie Text, Fotos und Videos – in einer Ende-zu-Ende-verschlüsselten Kommunikation die Implementierung einer Hintertür oder einer ähnlichen Technologie, dem so genannten „Client-side scanning“, erfordern würde. Selbst wenn dieser Mechanismus zur Bekämpfung der Online-Kriminalität geschaffen wird, würde er schnell auch von Kriminellen selbst genutzt werden und Bürger und Unternehmen online einem größeren Risiko aussetzen, da er für alle Nutzer gleichermaßen Schwachstellen schafft.

Als in der Europäischen Union tätige Technologieunternehmen haben wir Produkte und Dienstleistungen im Einklang mit dem strengen Datenschutzrahmen der EU entwickelt, der nach wie vor weltweit als Vorbild und Inspiration dient. Die Datenschutz-Grundverordnung ermöglichte die Gründung ethischer, datenschutzfreundlicher Technologieunternehmen in Europa, die andernfalls nie in der Lage gewesen wären, mit Big Tech zu konkurrieren. Sie verschaffte europäischen Unternehmen einen starken internationalen Wettbewerbsvorteil in diesem Bereich und ermöglichte es den Verbrauchern, endlich Alternativen zu amerikanischen und chinesischen Diensten zu finden. Unsere Nutzer innerhalb und außerhalb der EU haben Vertrauen in unser Engagement für den Schutz ihrer Daten gewonnen, und dieses Vertrauen ist ein wichtiger Faktor für unsere Wettbewerbsfähigkeit. Die Lernkurve für die Anpassung an den notwendigen Verwaltungsaufwand, den die DSGVO mit sich bringt, war hoch, aber sie war es wert. Die CSA-Verordnung könnte jedoch dieses Alleinstellungsmerkmal europäischer IT-Unternehmen bedrohen und würde zudem einen neuen Verwaltungsaufwand mit sich bringen, von dem wir befürchten, dass er sowohl unsere Unternehmen als auch die Strafverfolgungsbehörden überfordern könnte. In Anbetracht des Volumens der Kommunikation und der Inhalte, die durch unsere Dienste fließen, würde selbst eine unbedeutende Fehlerquote der Technologien, die zur Überprüfung auf missbräuchliches Material eingesetzt werden, zu Millionen von Falschmeldungen führen, die jeden Tag manuell überprüft werden müssten.

Die CSA-Verordnung könnte das Vertrauen und die Sicherheit im Internet untergraben

In einer Welt, in der Datenschutzverletzungen und -skandale immer häufiger vorkommen, ist der Ruf der EU für strengen Datenschutz ein Alleinstellungsmerkmal für Unternehmen, die innerhalb ihrer Grenzen tätig sind. Er verschafft uns einen Wettbewerbsvorteil, denn er gibt unseren Kunden die Gewissheit, dass ihre Daten mit äußerster Sorgfalt und Integrität behandelt werden. Wenn dieses Vertrauen einmal untergraben ist, lässt es sich nur schwer wiederherstellen, und jede Maßnahme, die es gefährdet, wie z. B. das obligatorische Scannen oder die obligatorische Altersüberprüfung, kann großen und kleinen Unternehmen schaden. Darüber hinaus hat die EU vor kurzem die Verordnung 2023/2841 erlassen, die den EU-Organen und -Einrichtungen vorschreibt, bei ihren Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit die Verwendung von Ende-zu-Ende-Verschlüsselung zu berücksichtigen. Außerdem liegen derzeit mehrere „Cyber“-Vorschläge der EU auf dem Tisch, wie der Cyber Resilience Act und der Cybersecurity Act. Die Unterstützung eines gegenteiligen Ansatzes für die CSA-Verordnung würde den EU-Rahmen für Cybersicherheit nur untergraben und ein widersprüchliches, inkohärentes und ineffizientes neues Maßnahmenbündel schaffen, das Unternehmen nicht durchsetzen könnten, ohne Bürger und Unternehmen zu gefährden.

Der Vorschlag des EU-Parlaments geht in die richtige Richtung

Wir begrüßen daher das Europäische Parlament für seine entschlossene Haltung bei der Verteidigung des Rechts der europäischen Bürger auf Privatsphäre und sichere Kommunikation. Das Bekenntnis des Europäischen Parlaments zu diesen Grundsätzen ist nicht nur ein Beweis für sein Engagement für die Menschenrechte, sondern auch ein Hoffnungsschimmer für Unternehmen wie das unsere, denen Datenschutz und Sicherheit am Herzen liegen. Die Position des Parlaments beinhaltet Alternativen zum Scannen, die minimale Auswirkungen auf die Cybersicherheit und den Datenschutz haben und die nach Ansicht von Experten sowohl effektiver als auch effizienter wären als das obligatorische Scannen. Ein solcher Paradigmenwechsel würde bedeuten, die falsche Dichotomie zwischen Privatsphäre und Sicherheit zu überwinden und gleichzeitig dafür zu sorgen, dass der Vorschlag den Grundsatz der Verhältnismäßigkeit beachtet, wie vom Ausschuss für Regulierungskontrolle gefordert. Auch wenn die Änderungen, die das Europäische Parlament in seinem Standpunkt vorgenommen hat, in unseren Augen nicht perfekt sind, so stellen sie doch einen guten Kompromiss dar, um die digitale Sicherheit und Vertraulichkeit zu wahren und Kinder im Internet besser zu schützen. Wir glauben, dass diese Änderungen das richtige Gleichgewicht zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre und der Cybersicherheit herstellen.

Als Vertreter der dynamischen europäischen Kleinunternehmen ermutigen wir die EU-Mitgliedstaaten, sich weiterhin für die Werte der Privatsphäre, der Cybersicherheit und des Datenschutzes einzusetzen. Diese Grundsätze stehen nicht nur im Einklang mit dem Engagement der EU für die Menschenrechte, sondern dienen auch als Grundlage für ein florierendes und wettbewerbsfähiges Geschäftsumfeld. Lassen Sie uns diese Grundsätze verteidigen und stärken und dafür sorgen, dass die EU auf dem globalen Markt ein Verfechter des Datenschutzes bleibt.

Aus diesen Gründen appellieren wir an Sie:

Sorgen Sie dafür, dass der Standpunkt des Rates so weit wie möglich an den des Europäischen Parlaments angeglichen wird. Dies wird eine schnellere Verabschiedung der Verordnung ermöglichen und gleichzeitig auf der wichtigen Arbeit des Europäischen Parlaments aufbauen.

Beibehaltung des hohen Niveaus der Grundrechte – und insbesondere des Datenschutzes -, das die Bürger in der Europäischen Union genießen.

Unternehmen wie uns nicht zu zwingen, im Auftrag von Strafverfolgungsbehörden eine Massenüberwachung privater Korrespondenz durchzuführen.

Gewährleistung eines hohen Niveaus an Cybersicherheit in der EU durch den Schutz der Ende-zu-Ende-Verschlüsselung und die Aufnahme der notwendigen Schutzmaßnahmen in den Text. Insbesondere Client-seitiges Scannen und Hintertüren sollten nicht vorgeschrieben werden.

Wahrung des Briefgeheimnisses.

Minimierung des Verwaltungsaufwands des Vorschlags durch effektivere und effizientere Alternativen zum Massenscanning.

Unterzeichnet

Blacknight Solutions

Cyberstorm

Element

Tor 15

Mailfence

Mail.de GmbH

Olvid

Eine Privatsphäre

Parsec

Proton

Seezam

Surfshark

TelemetrieDeck

Threema

Tresorit

Tuta

Fachverbände und Unterstützer