RatsverhandlungenFrankreich will Chatkontrolle zustimmen, wenn Verschlüsselung nicht geschwächt wird

Frankreich hat Änderungsvorschläge zum belgischen Chatkontrolle-Kompromiss angekündigt. Würden diese angenommen, würde Frankreich seine bisherige Ablehnung aufgeben. Schon am Mittwoch könnte der Rat dann über die Chatkontrolle abstimmen.

Prompt: a padlock on a smartphone screen, in the background a huge surveillance eye, illustration --ar 16:9
Ob der Änderungsantrag Frankreichs wirklich Verschlüsselung schützt, ist alles andere als klar. (Symbolbild) – Public Domain generiert mit Midjourney

Der EU-Rat für Justiz & Inneres hat sich am gestrigen Donnerstag kurz mit dem Thema Chatkontrolle beschäftigt (Video). Die EU-Innenkommissarin Ylva Johansson stellte in alarmistischen Worten voran, dass die Zahl der Fälle von Kindesmissbrauchsdarstellungen im Internet stark wachsen würde und sprach in diesem Zusammenhang von einer „Pandemie“. Sie nannte dazu Zahlen der US-Organisation NCMEC. Wie eine Recherche von netzpolitik.org gezeigt hat, sind die Zahlen von NCMEC nicht dazu geeignet, Rückschlüsse auf das reale Ausmaß der Gewalt oder Opferzahlen zuzulassen.

Johannson lobte in ihren Ausführungen den Online Safety Bill aus Großbritannien, dieser sei ihrem Verordnungsvorhaben sehr ähnlich. Auch der Online Safety Bill hatte Diskussionen um IT-Sicherheit und Schwächung der Verschlüsselung ausgelöst, Messenger-Anbieter wie WhatsApp und Signal drohten, die Insel zu verlassen. Am Ende hatte der Gesetzgeber in UK die Chatkontrolle aufgeschoben, bis sie „technisch machbar“ sei.

Unbekannte Änderungsvorschläge

Frankreich dankte in der Sitzung dem belgischen Ratsvorsitz für die Kompromissvorschläge und wiederholte seine mögliche Zustimmung zur Chatkontrolle aus der Ratssitzung vom 4. Juni. Das Land habe nun weitere Änderungsvorschläge eingereicht. Diese sollten laut dem Vertreter gewährleisten, dass Verschlüsselung nicht geschwächt werde, und dass Verschlüsselung bei den Diensten weiterhin verfügbar sei. Würden diese Änderungen, deren Wortlaut noch nicht bekannt ist, angenommen, dann würde Frankreich der Verordnung zustimmen.

Der EU-Abgeordnete Patrick Breyer (Piraten) vermutet, dass die Änderung darauf abzielen könnte, die von Schweden vorgeschlagene Bestimmung zum Schutz von Verschlüsselung breiter zu fassen und einen Schutz auch vor der „Umgehung“ oder „Untergrabung“ von Verschlüsselung zu implementieren. Das schließt laut Breyer aber nicht den Einsatz von Client-Side-Scanning aus.

Eine andere Idee könnte laut Breyer sein, dass das Scannen von Ende-zu-Ende-verschlüsselten Inhalten erst in Kraft treten soll, wenn Technologien vorhanden sind, die das ohne Schwächung der Verschlüsselung möglich machen. Das wäre das britische Modell, auf das auch Johansson in der Sitzung hingewiesen hatte.

Für den 19. Juni ist eine weitere Sitzung zum Thema Chatkontrolle geplant. Patrick Breyer, der scheidende Piraten-Abgeordnete im EU-Parlament, warnt davor, dass die Chatkontrolle dann schon abgestimmt werden könnte. Eine Zustimmung des Rates würde den Weg für Trilog-Verhandlungen freimachen – und die umstrittene Chatkontrolle ein weiteres Stück näher rücken lassen. Der Abgeordnete ruft dazu auf, die deutsche Ständige Vertretung in Brüssel anzurufen und dort seine Meinung kundzutun.

Mit einer Zustimmung Frankreichs würde die derzeit vorhandene Sperrminorität fallen und die Chatkontrolle-Verordnung könnte in die Trilog-Verhandlung von Kommission, Rat und Parlament.

Es bleibt anlasslose Überwachung

Die Chatkontrolle ist nicht nur politisch und technisch umstritten, sondern auch juristisch. Der Juristische Dienst der EU-Staaten hat die Chatkontrolle letztes Jahr als rechtswidrig bezeichnet und gewarnt, dass Gerichte das geplante Gesetz wieder kippen könnten. Am grundsätzlichen Problem der Chatkontrolle, nämlich der anlasslosen Überwachung unbescholtener Menschen, ändert auch der belgische Kompromissvorschlag bislang nichts. Das hatte auch Deutschland bei den Verhandlungen zuletzt angemerkt.

Die Chatkontrolle hat breiten Widerspruch nicht nur in der Zivilgesellschaft hervorgerufen. Dabei ist auffällig, dass der Deutsche Kinderschutzbund wie auch Vertreter:innen von Ermittlungsbehörden das anlasslose Durchleuchten privater Dateien und Kommunikation gleichsam als unverhältnismäßig ablehnen. Diese Kritik äußern auch weltweit führende IT-Sicherheitsforscher:innen, zahlreiche Wissenschaftler:innen und der Menschenrechtskommissar der Vereinten Nationen.

Die Chatkontrolle wird auch von europäischen und deutschen Datenschutzbehörden sowie von mehr als 100 internationalen Digital- und Bürgerrechtsorganisationen abgelehnt. Tech-Firmen wie Apple halten es für technisch unmöglich, Daten automatisch zu scannen, ohne dabei die Privatsphäre und die IT-Sicherheit zu gefährden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. „Diese sollten laut dem Vertreter gewährleisten, dass Verschlüsselung nicht geschwächt werde, und dass Verschlüsselung bei den Diensten weiterhin verfügbar sei.“

    Ernst gemeinte Frage:
    Was haben die immer mit ihrem „Schwächen der Verschlüsselung“? Es gibt keine Schwächung! Entweder es ist verschlüsselt oder nicht!! Das wurde schon zig mal gesagt. Auch von Sicherheitsexperten. Wann geht das endlich in denen ihren Kopf rein?!

    Client Side Scanning schwächt die Ende-zu-Ende-Verschlüsselung nicht – es umgeht sie und macht sie damit quasi nutzlos.
    Solche Forderungen mit der Formulierung „die Verschlüsselung darf nicht geschwächt werden“ bergen immer wieder die Gefahr, dass dann von den Überwachungsfanatikern (also v.a. Kommission und Rat) dann frei nach dem Motto kommt „die Verschlüsselung wird nicht geschwächt. Wir scannen ja nur bevor verschlüsselt wird. Also alles gut“ und sich die Leute die solche Forderungen formulieren (d.h. hier Frankreich) hinters Licht führen lassen und am Ende doch noch zustimmen.

    Die hätten klar sagen sollen: „Alles was Verschlüsselung umgeht oder verhindert, lehnen wir ab. Punkt. Und da gibt’s auch keine Kompromisse“
    Aber genau dieses Rumgeeiere der Kritiker verschafft den Überwachungsfetischisten Zeit für neue Ideen und um weitere Lügen zu erfinden und so über kurz oder lang die Kritiker eventuell doch noch zur Zustimmung zu bewegen.

  2. Client-Side-Scanning würde ich sogar genau so gefährlich, wenn nicht noch als viel gefährlicher bezeichnen als das Aufbrechen der Verschlüsselung, zumal man so Zugriff auf ALLES auf dem Gerät bekommen kann. Aber Beides ist völlig inakzeptabel!

    1. Prinzipiell bzw. allgemein so ist das so, da Verschlüsselung Ziele hat. Ohne diese Ziele zu erreichen, ist es eigentlich keine Verschlüsselung mehr. Technisch beginnt die Verschlüsselung dann zwar nach dem Abhören, aber die Ziele, die Verschlüsselung bieten soll, sind so nicht mehr erreichbar. Allerdings wäre vom Konzept her eine eingeschränkte Schnittstelle mit KI dabei, die nur auf dem Gerät läuft und nur von Messengern benutzt wird, theoretisch noch „schonender“.

      Leider haut das nicht hin. Weil an allen Ecken und Enden weitestgehen nichts dran stimmt. Mein Gerät soll mich jetzt verraten? Zwingend dann die Schnittstelle nach Außen zum Reportieren, und es wird Scheiße sein. Ein Rattenschwanz an Blödsinn folgt. Oder berät es clientside dabei, den Kinderpornofilter zu umgehen? Positiv formuliert wäre das ein Jugendschutzfilter, den ich gerne bei der Jugend aufgespielt sehe, aber doch nicht bei Erwachsenen, dann noch gegen deren Willen.

      Da hätte „clientside“ durchaus Potential. Aber dann müssten die zugeben, über Jahre hinweg Schwachsinn gefordert zu haben. Gesünder für alle wär’s…

      1. Selbst mit Beschränkung auf Jugendliche gäbe es wahrscheinlich zu viele False Positives. Es ist zudem meines Erachtens viel zu riskant, die psychischen Effekte auf Kinder in Kauf zu nehmen, die durch die permanente Bespitzelung und Bedrohung entstehen. Wie sollen Kinder sich ausprobieren, wenn sie fürchten müssen, dass eine Staatsautorität jederzeit involviert werden könnte? Was genau passiert, wenn ein False Positive / True Positive vorliegt und wie genau wird dabei sichergestellt, dass das Kind (Opfer) dabei kein Trauma erleidet? Wie findet die Polizei heraus, ob ein Erwachsener oder ein Kind hinter einer Telefonnummer steckt und wo die Person wohnt?

        1. Natürlich bleibt das Mist. Schon Eltern das prüfen zu lassen wäre wohl schädlich. Sozialarbeiterkonzept mit Einschätzung? Ach nee, nur Überwachungsgeld soll es kosten…

        2. Vor Kurzem wurde noch jeder 1Pimmel verfolgt. Der Effekt dessen ist sicherlich Abstumpfung und Lächerlichkeit. „Das Gesetz ist lächerlich“. Die Gesetzgebung auch, aber das lernt man erst auf dem Gymnasium.

  3. Ich kann einfach nicht verstehen wie man überhaupt versucht so etwas einzuführen. Das wird doch sofort auf alles mögliche ausgeweitet sobald die Technik erst mal steht.

    1. Gab ja schon längst entsprechende Wunschlisten für die Ausweitung:

      Die diverser Politiker
      https://netzpolitik.org/2023/ueberwachung-politiker-fordern-ausweitung-der-chatkontrolle-auf-andere-inhalte/

      Und auch von Europol kam damals, als das Lobby-Netzwerk zur Chatkontrolle aufgedeckt wurde, schon ein solche Wunsch, die neue EU-Spionagezentrale für andere Zwecke als die Suche von Missbrauchsbildern zu nutzen.

      https://netzpolitik.org/2023/anlasslose-massenueberwachung-recherchen-decken-netzwerk-der-chatkontrolle-lobby-auf/

      1. Weiß jemand, ob Linuxdistributionen ebenfalls von der Chatkontrolle betroffen wären?

        Und wenn Signal sein Versprechen wahr macht und sich vom Europäischen Markt zurückzieht: Wäre es nicht möglich die App aus einer alternativen Quelle herunterzuladen bzw. selbst zu kompilieren?

        1. Die Frage kann man so nicht beantworten, da genau das ausgeschlossen werden sollte. Ein Gefahr für Open-Source wenn man dann Zugang zu den überwachten Netzwerken möchte. Die Abschwächung von Verschlüsslungen zielt darauf ab entweder Schwachstellen einzusetzen oder eine Art Masterkey einzubauen der alles öffnet. Was die Verschlüsselung ja ins absurdum führen würde. Wer verschlüsselt hat etwas zu verbergen, so die Meinung der Politik.

        2. Darum ist der Teil mit „Clientside“ und „schonend“ ja im Grunde Makulatur.

          Entweder ist es babyeierleicht zu umgehen (andere App mit selbem Protokoll, Landeseinstellungen und VPN, you name it…), oder es wird gnadenlos gegenregistriert und gehasht und gepetzt. Zweie können sich immer ohne Kontrolle unterhalten, aber der Gesprächspartner weiß vielleicht nicht die Registratur zu umgehen – oder anders herum formuliert: wer das umgehen kann, setzt sowieso auf einen kleineren Messenger.

          Es bliebe das Massenproblem.

        3. Man muss zwei Dinge unterscheiden – Client-Side-Scanning und ein Verschlüsselungsverbot.

          Beim Client-Side-Scanning wird noch vor der eigentlichen Veschlüsselung alles abgegriffen und geprüft. Das geschieht, wenn es auf Provider- oder der Anbieterseite eines Dienstes wie z. B. eines Chatportals passiert, unabhängig davon, welches Betriebssystem oder welche Messenger verwendet werden.

          Bei der Verschlüsselung ist es anders, da z. B. jeder Messenger etc. ein eigenes Verschlüsselungsprotokoll verwendet und dieses entweder durch ein Verbot nicht benutzt werden darf oder eben „Nachschlüssel“ für Behörden existieren, die dann nach Belieben (anders kann man es bei den diskutierten Plänen nicht formulieren) darauf zugreifen können.

          Der Signal-Code ist auf github verfügbar. Es gibt einige Signal-Forks, z. B. Molly, LibreSignal (https://github.com/LibreSignal/LibreSignal) oder Signal-JW u. a.

        4. Als Erweiterung zu diesem Gedanke: Was ist mit selbst gehosteten Matrix-Instanzen? Kann ja jeder auf einem eigenen Server betreiben und sich recht leicht Kontrollen entziehen.

          Es wäre auch komplett unverhältnismäßig, Klein(st)-/Hobby-Anbietern das Scannen aufzubürden, mal ganz abgesehen von der sehr fraglichen technischen Machbarkeit für viele. Kommt eine Regelung ähnlich der Gatekeeper-Debatte bei Appstores etc. abhängig von Nutzerzahlen?

  4. Wird sowieso kommen. Wir wissen, dass die Befürworter alle von finanzstarken Unternehmen gekauft wurden. Netzpolitik hat darüber berichtet. Der kritische Teil hat zu viel Angst als Kinderschänder gebrandmarkt zu werden und der Rest kümmert sich nicht drum. Das ist eben kein gesellschaftlich relevantes Thema, weshalb weder Tagesschau noch ZEIT oder SZ darüber berichten. Geht ja nur um ein paar Geeks, welche sich Fachchinesisch um die Ohren hauen. —- ich hoffe, dass Netzpolitik sich darauf vorbereitet. Also statt am Mittwoch überrascht zu tun und Geheule in Worte zu fassen, schon mal recherchieren: Wenn der Vorschlag im Trilog liegt, wie könnte er noch verhindert werden? Bereits im Parlament, sind die neuen Mitglieder dafür bzw. dagegen? Oder erst durch eine Klage? — Würde mich bereits am Mittwoch interessieren. Dass die Chatkontrolle für die Trilog-Verhandlungen angenommen wird, steht nämlich faktisch schon fest. Und das weiss auch jeder.

  5. „Eine andere Idee könnte laut Breyer sein, dass das Scannen von Ende-zu-Ende-verschlüsselten Inhalten erst in Kraft treten soll, wenn Technologien vorhanden sind, die das ohne Schwächung der Verschlüsselung möglich machen. Das wäre das britische Modell, auf das auch Johansson in der Sitzung hingewiesen hatte.“ Das würde bedeutet, daß das Scannen von Inhalten niemals in Kraft treten kann, denn Ende-zu-Ende verschlüsselt läßt keine Möglich auf den Inhalt zuzugreifen. Auch ist Client-Side-Scanning mit Ende-zu-Ende verschlüsselung nicht realisierbar, denn Client-Side-Scanning bedeutet, daß es eben nicht am Ende verschlüsselt ist, sondern irgendwo dazwischen nach dem Scanning. Mittlerweile ist die EU eine vereinigung von Wirtshaftslobbyisten und Überwachungsfanatikern, die sehr an eine kriminelle vereinigung erinnert.

  6. Genau, Matrix wird schwierig zu kontrollieren sein. Theoretisch könnte man den Server zusätzlich anonym offshore hosten.

    Ebenso gibt es P2P-Messenger die ohne Serverstruktur auskommen. (Briar)

    Aber hierbei ginge der Komfort von Mainstream-Messengern wie Signal verloren.

    Allerdings kann ich mir nicht vorstellen, dass man Apps wie Signal dann nicht mehr aus einer Alternativquelle (z.B. Websites, Torrent, etc.) beziehen und Nutzen kann.

    Oder seht ihr das anders?

    Und wie oben schon jemand geschrieben hat, es ist ja kein allgemeines Verschlüsselungsverbot geplant, sondern die Daten werden vor der Verschlüsselung gescannt. Danach werden sie verschlüsselt und versendet, sodass die gescannten Nachrichten genauso aussehen dürften wie die ungescannten.

    Man wird sich vermutlich – sollte es so kommen – mit dem Gedanken anfreunden müssen, dass alles in Zukunft komplizierter wird. Handy bei Ebay kaufen und sichere App aus dem Appstore laden wird vermutlich nicht mehr gehen.

    Bleibt trotzdem zu hoffen, dass es nicht durch geht oder im Nachhinein vom EuGH gekippt wird.

    Weiß jemand, wie lange so etwas dauern kann, wenn sofort dagegen geklagt würde von einer Bürgerrechtsorganisation z.B.?

  7. Das grenzt schon an Unverschämtheit einfach mal die Wörter auszutauschen und zu hoffen daß das keiner merkt. Eine Verschlüsselung mit Nachschlüssel ist keine Verschlüsselung mehr. Das ist nur noch ein Schlechter Witz und nur eine Frage der Zeit wann das in irgend einer Form kompromittiert wird! Und was das Client-Side-Scanning angeht ist davon auszugehen dass das Ratz-Fatz auf Hassrede, Politische Meinungen, unerwünschte Haltungen usw. ausgeweitet wird. Entsprechende Begehrlichkeiten gibt es schon zuhauf. Nahezu jeder Mensch lässt mal Dampf ab oder hat eine Meinung die er mit jemandem persönlich teilt. Niemand wird mehr seine Meinung sagen ohne im Hinterkopf zu haben dass er abgehört werden könnte. Von intimen Chats kann man dann ohnehin gleich absehen. Sofort wird man verdächtig. Mit fast allem was man sagt oder irgendwie teilt wird man Gefahr laufen in den Fokus von Strafverfolgung zu geraten. Von all den Profilen die garantiert angelegt werden will ich garnicht erst reden. Jeder wird irgendwann eine Art von „Profil“ irgendwo bei den entsprechenden Behörden haben. Egal wie: Beide Optionen sind überhaupt nicht verhandelbar und in keiner Weise akzeptabel!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.