Going DarkEuropäische Datenschutzbehörden warnen vor gefährlichen Entschlüsselungsplänen

In wenigen Wochen soll eine EU-Gruppe von Fachleuten ihren Abschlussbericht zum Thema „Going Dark“ präsentieren. Nun warnt der Europäische Datenschutzausschuss vor überbordenden Vorschlägen. Beim Kampf gegen Kriminalität dürften Grundrechte nicht ausgehebelt werden.

- - in Überwachung - eine Ergänzung
Überbordende Gesetze könnten mehr Schaden anrichten als Cyber-Kriminalität. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Panthermedia

Vor einer Aushöhlung der EU-Grundrechtecharta warnt der Europäische Datenschutzausschuss (EDPB). Insbesondere die Grundrechte auf Privatsphäre und Datenschutz dürften beim Kampf gegen Kriminalität nicht unter die Räder geraten, fordert das Gremium europäischer Datenschutzbehörden in einer Stellungnahme.

Gerichtet ist das Schreiben an die EU-Kommission und die EU-Länder, die eine sogenannte High-Level-Group (HLG) ins Leben gerufen hatten. Die von Sicherheitsbehörden dominierte Arbeitsgruppe untersucht seit fast zwei Jahren, wie sich zunehmender Digitalisierung und insbesondere Verschlüsselung begegnen lässt. Im Sommer hatte die HLG gleich 42 Empfehlungen zur Debatte gestellt, ein mit weiteren EU-Institutionen abgestimmter Abschlussbericht soll Mitte November präsentiert werden.

Zu den besonders brisanten Vorschlägen der HLG zählt etwa ein neuer Anlauf in Richtung EU-weiter Vorratsdatenspeicherung. Gleichermaßen soll Ermittlungsbehörden der Zugang zu verschlüsselten Geräten und Inhalten ermöglicht werden, hieß es im vorläufigen Empfehlungspapier der Gruppe.

„Notwendige Balance“ müsse gewahrt bleiben

Auch wenn der technischen Entwicklung Rechnung getragen werden müsse, dürfe dabei die „notwendige Balance“ zwischen Kriminalitätsbekämpfung und Grundrechten nicht aus dem Blick geraten, schreibt der EDPB. Wie auch in den HLG-Empfehlungen festgehalten, müssten sämtliche neue Maßnahmen „in voller Übereinstimmung mit den Vorschriften zum Daten- und Privatsphärenschutz“ sowie zur Rechtssprechung des Europäischen Gerichtshofs (EuGH) stehen.

So seien EU-weit harmonisierte Vorschriften zur etwaigen Vorratsdatenspeicherung „positiv“ zu sehen, um Rechtssicherheit zu schaffen, so die Datenschützer:innen. Allerdings gingen die Vorschläge der HLG zu weit, etwa dass die diskutierten Vorhaltepflichten sämtliche „aktuelle und zukünftige“ Online-Dienste umfassen sollten – und nicht nur Telefonie- und Netzanbieter. Hier hatte der EuGH denkbaren Ansätzen zur Vorratsdatenspeicherung gewisse Grenzen gesetzt, die der HLG-Vorschlag jedoch weit hinter sich lässt.

Sollte eine im Einklang mit jüngsten EuGH-Urteilen stehende Speicherpflicht von IP-Adressen kommen, müsste diese die Verknüpfung mit anderen Datenbergen ausdrücklich ausschließen, fordert der EDPB. Zudem betont die Stellungnahme, dass „die Argumentation des Gerichtshofs, die die allgemeine und unterschiedslose Speicherung von IP-Adressen rechtfertigt, keinesfalls automatisch auf andere (sensiblere) Verkehrs- und Standortdaten ausgedehnt werden kann, die ohne weiteres die Erstellung eines detaillierteren Profils des Nutzers ermöglichen könnten“.

Ende-zu-Ende-Verschlüsselung sichert Privatsphäre

Noch strenger ins Gericht geht der EDPB mit Vorschlägen zum Zugriff auf verschlüsselte Daten. Verschlüsselung sei für die Gewährleistung der Sicherheit und Vertraulichkeit personenbezogener Daten und elektronischer Kommunikation „von entscheidender Bedeutung“, da sie einen starken technischen Schutz gegen den Zugriff auf diese Informationen durch Unbefugte – einschließlich des Anbieters – biete.

Erst recht gelte dies für Ende-zu-Ende-verschlüsselte Inhalte. Dass sich hierbei die für die Entschlüsselung notwendigen Schlüssel alleine im Besitz der jeweiligen Nutzer:innen befinden, sei ein „entscheidendes Instrument“ zur Gewährleistung der Vertraulichkeit elektronischer Kommunikation.

Hintertüren jeglicher Art würden dies empfindlich ins Wanken bringen, schreibt der EDPB: „Die Verwendung von Verschlüsselung zu verhindern oder die Wirksamkeit des von ihr gebotenen Schutzes zu schwächen, hätte schwerwiegende Auswirkungen auf die Achtung der Privatsphäre und Vertraulichkeit der Nutzer, auf ihre Meinungsfreiheit sowie auf Innovation und das Wachstum der digitalen Wirtschaft, die auf dem hohen Maß an Vertrauen beruht, das solche Technologien vermitteln.“

Absage an Client-Side-Scanning und Chatkontrolle

Dies sei auch bei Techniken wie sogenanntem Client-Side-Scanning der Fall, bei dem Inhalte vor, respektive nach der Entschlüsselung auf dem Endgerät geprüft werden. Selbst wenn dabei der „Verschlüsselungsalgorithmus im technischen Sinne“ nicht geschwächt werde, würde dies „wahrscheinlich zu einem umfangreichen, ungezielten Zugriff und einer Verarbeitung unverschlüsselter Inhalte auf den Geräten der Endbenutzer führen und die Sicherheit und Vertraulichkeit ihrer Kommunikation beeinträchtigen“, warnt der EDPB.

Unabhängig von den HLG-Vorschlägen geistert die CSS-Technik auch im Kontext der sogenannten Chatkontrolle herum. Angesichts der tiefen Eingriffe in Grundrechte kommt das Vorhaben der EU-Kommission seit Monaten nicht vom Fleck. Während sich das EU-Parlament gegen diese Form von Massenüberwachung ausgesprochen hatte, ringt der EU-Rat anhaltend und bislang erfolglos um eine gemeinsame Position.

Neben einschlägigen Urteilen des EuGH müsse die HLG auch die Rechtssprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) berücksichtigen, betont die Stellungnahme der Datenschützer:innen. Dieser hatte im Frühjahr in einem Verfahren gegen Russland festgehalten, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation samt Schwächung von Verschlüsselung das Grundrecht auf Privatsphäre verletzt. Selbst wenn sich die Überwachung nur gegen einzelne Nutzer:innen richte, würde damit der Verschlüsselungsmechanismus für alle Nutzer:innen geschwächt und sei damit nicht verhältnismäßig, so das Gericht.

Keine gemischten Signale senden

In ihrem Abschlussbericht müsse die HLG eine klare Sprache sprechen, fordert der EDPB. Derzeit würden die vorläufigen Empfehlungen gemischte Signale senden: Übers Ziel hinausschießende Vorschläge würden gleichzeitig abgeschwächt durch widersprüchliche Verweise darauf, dass damit Verschlüsselung oder IT-Sicherheit nicht geschwächt werden dürfe.

Dabei dürfe es nicht bleiben, mahnen die Datenschützer:innen. Sonst würde dies „zu großer Unsicherheit bei den Anbietern und einer möglicherweise inkohärenten Durchsetzung führen und würde folglich dem Ziel zuwiderlaufen, ein ausgewogenes Verhältnis zum Schutz der Grundrechte der Nutzer zu finden.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Tomas ist in Wien aufgewachsen, hat dort für diverse Provider gearbeitet und daneben Politikwissenschaft studiert. Seine journalistische Ausbildung erhielt er im Heise-Verlag, wo er für die Mac & i, c't und Heise Online schrieb.

Kontakt: E-Mail (OpenPGP), Twitter, Telefon: +49-30-577148268

Veröffentlicht 06.11.2024 um 08:05
Kategorie
Schlagworte
Weitere Artikel
Mann schreit in Telefon
Überwachung

Going DarkEU-Expertengruppe fordert Hintertüren und mehr Überwachung

Kann die Polizei in Zeiten von Verschlüsselung noch gut ermitteln? Eine Expertengruppe der EU sollte dazu Empfehlungen abgeben und fordert jetzt Hintertüren zu verschlüsselten Nachrichten und viele weitere Überwachungsmöglichkeiten. Wir veröffentlichen die eingestuften Empfehlungen des von Sicherheitsbehörden dominierten Gremiums.

Lesen Sie diesen Artikel: EU-Expertengruppe fordert Hintertüren und mehr Überwachung
Ein Porträtfoto von Katarzyna Szymielewicz
Demokratie

Neue polnische Regierung„Es hat sich nichts geändert, rein gar nichts“

Wir sprechen mit Katarzyna Szymielewicz, Präsidentin der polnischen NGO Panoptykon Foundation. Wie hat sich die Situation für digitale Rechte verändert, seit Donald Tusk die Regierung übernommen hat? Was passiert an der Ostgrenze des Landes? Wie steht es um die Untersuchung zu Pegasus? Und sitzen wir alle in einem sinkenden Schiff?

Lesen Sie diesen Artikel: „Es hat sich nichts geändert, rein gar nichts“

1 Ergänzungen

  1. Ist alles egal, wird trotzdem kommen. Denn in einem EU-Papier wurde mal erwähnt die Mitgliedstaaten sollen doch bitte in den Medien berichten, wie sie mit Chatkontrolle etc. die Täter hätten schnappen können.

    Dann noch ein Paar Schwarzweißbilder von Kindern die traurig ein Teddybären in den Armen halten und fertig ist das Propagandapaket.

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.