Missing Link: Warum die britische Chatkontrolle den EU-Plänen so sehr gleicht
Ein Vergleich mit der EU-Regelung zeigt neben zeitlichen und inhaltlichen auch auffällige strukturelle und methodische Parallelen. Das ist kein Zufall.
(Bild: iHaMoo/Shutterstock.com)
(This article is also available in English)
In Großbritannien hat die "Online Safety Bill" bereits die zweite Lesung im "House of Lords" absolviert. Derzeit werden die Änderungen durch das Oberhaus eingearbeitet, einige offensichtlich weit überschießende Passagen wurden dabei entfernt. Geblieben ist allerdings das Prinzip, dass sämtliche Kommunikationen aller Provider darunter fallen werden, egal ob sie im Klartext vorliegen oder sicher verschlüsselt sind. Es ist derselbe totalitäre Ansatz wie in der "Chatkontrolle", die von EU-Kommissarin Ylva Johansson vorangetrieben wird.
Koordinierter Angriff auf Verschlüsselung
Dieses britische Gesetz zum Kinderschutz im Netz fällt nicht nur zeitlich mit der EU-Chatkontrolle zusammen, die im Dezember gestartet ist. Auch inhaltlich und sogar methodisch sind die Parallelen kaum zu übersehen, denn beide Gesetzesvorhaben gehen auf ein gemeinsames strategisches Ziel zurück. Ende-zu-Ende-Verschlüsselung (E2E) von WhatsApp und den anderen Messenger-Diensten soll durch Auflagen aus dem Netz verdrängt werden, die E2E-Anbieter technisch nicht erfüllen können. Erst Ende Januar hatte die schwedische EU-Ratspräsidentschaft behauptet, dass Strafverfolger durch E2E-Verschlüsselung "blind und taub" würden.
Im Abschnitt 98 der Online Safety Bill, der alle sanktionierbaren Arten von Verstößen auflistet, findet sich auch verschlüsselte Kommunikation. Wenn ein Provider die im Durchsuchungsbefehl verlangten Kommunikationen nicht im Klartext liefern kann, so wird das ebenso strafbar, wie das Verfälschen oder nachträgliche Löschen dieser Kommunikationen.
Verschlüsselung systematisch nicht erwähnt
E2E-Anbieter werden in Großbritannien also alleine schon wegen ihres Angebots potenziell unter Strafandrohung stehen. Dasselbe ist im EU-Raum zu erwarten, denn der vorliegende Entwurf für eine europäische Kinderschutz-Verordnung geht von derselben Prämisse aus, nämlich dass E2E-Verschlüsselung die öffentliche Sicherheit bedrohe. Die Methoden, wie Verschlüsselung in diesen beiden Gesetzesentwürfen dargestellt wird, sind überhaupt identisch. Verschlüsselung wird, soweit es irgendwie möglich ist, nicht erwähnt. Im obigen Ausschnitt wird sie etwa mit "für OFCOM nicht lesbar" umschrieben, insgesamt kommt der Begriff "encrypted" sowohl in der "Online Saftey Bill" wie auch in im Text der EU-Chatkontrolle überhaupt nur dreimal vor.
Der eigentliche Schlüsselbegriff wird also bewusst ausgespart, die Auflagen an die Provider werden jedoch so gestaltet, dass sie nur dann erfüllbar sind, wenn die Unternehmen über Nach- oder Generalschlüssel für die Kommunikationen verfügen. Die folgende Passage zeigt, welche Folgen ein E2E-Angebot nach sich ziehen kann, wenn die Regulationsbehörde einen Durchsuchungsbefehl ausstellt und der Provider nur verschlüsselte Daten liefern kann.
In Großbritannien stehen damit nicht nur die Unternehmen unter Strafandrohung. Von Angestellten in leitender Position bis ganz hinunter stehen alle mit einem Fuß im Gefängnis, die für Foren, Chats oder auch E-Mail-Services operativ verantwortlich sind. Ursprünglich war sogar das mögliche Strafausmaß im Text enthalten, neben Geldbußen können auch bis zu zwei Jahre Haft verhängt werden. Will Cathcart, der CEO von WhatsApp, hatte bereits mehrfach angekündigt, im Falle einer Verabschiedung in dieser Form, den britischen Markt zu verlassen.
Allmächtige Behörden, Gerichte nicht gebraucht
Die Durchsuchungsbefehle an die Plattformbetreiber kommen nicht etwa von einem ordentlichen Gericht, sondern von der britischen Regulationsbehörde Ofcom. Quasi auf Zuruf dieser Behörde werden WhatsApp und alle anderen Anbieter verpflichtet, die Kommunikationen ganzer Segmente ihres Netzes zu scannen, wenn eine Beschwerde vorliegt. Auch Einsprüche und alle weiteren Interaktionen laufen über die Behörde. Ofcom erhalte durch die "Online Safety Bill" weit mehr Überwachungsbefugnisse als der "Investigatory Powers Act" 2016 dem britischen Geheimdienst GCHQ zugestanden habe, heißt es in einem Rechtsgutachten für die Bürgerrechtsorganisation Index on Censorship.
Auch im EU-Raum wird es für einen Durchsuchungsbefehl keine Gerichte brauchen. Das geht aus den Begleitdokumenten des Kommissionsentwurfs zur Chatkontrolle hervor. Anzeigen wegen Verbreitung von "Kinderpornografie" gehen von den Polizeibehörden des Mitgliedsstaats direkt an das im Rahmen der EU-Verordnung vorgesehene, neue "EU-Centre gegen Kindesmissbrauch". Von dort ergeht eine "Detection Order" an den betreffenden Betreiber, der dann die Kommunikationen in bestimmten Segmenten seiner Plattform mit einer zentralen Datenbank abgleichen muss, die das EU-Centre gegen Kindesmissbrauch unterhält.
Mit einem jährlichen Aufwand von mehr als zwei Milliarden Euro und 100 Mitarbeitern wird da eine völlig neue Behörde geschaffen, die direkt bei Europol in Den Haag angesiedelt wird. De facto ist das gleichbedeutend mit einer Erweiterung der Befugnisse von Europol.
Aus Anlass der "Online Safety Bill" hatten die britischen Behörden Mitte Januar ihre gemeinsame Erklärung zur E2E-Verschlüsselung von 2018 mit einem Update versehen. Unterzeichnet wurde sie von den Innen- und Justizministern Großbritanniens, der USA, Australiens, Neuseelands und Kanadas. Das sind alle fünf Staaten der Spionage-Allianz "Five Eyes".
Akkordiert wurde der oben geschilderte Ansatz weder von Politikern in London noch in Brüssel, sondern auf den Konferenzen der "Five Eyes" und den Treffen im "Club de Berne", dem informellen Gremium europäischer Geheimdienste. Verschlüsselung fällt in Kernkompetenz dieser Dienste und deshalb waren sie auch als erste damit befasst, erst dann wurden FBI und Europol im Jahr 2017 vorgeschickt. Die Kampagne unter dem reißerischen Titel "Die Polizei wird blind" wurde 2018 mehrere Monate lang vorangetrieben. Im November publizierten dann zwei ranghohe technische Mitarbeiter des GCHQ ein Manifest im renommierten LawFare-Blog. Der Inhalt ist die Langversion der Five-Eyes-Erklärung von oben.
In Australien wurde das Ziel schon wenige Tage nach diesem Manifest erreicht. Im Dezember 2018 verabschiedete das australische Parlament ohne Debatte oder Änderungsanträge den Assistance and Access Act. Es handelt sich um ein reines Ermächtigungsgesetz für den Geheimdienst "Australian Signals Directorate" und die Polizeibehörden zum Zugriff auf verschlüsselte Kommunikation.
Wie es nun weitergeht
Die britische "Online Safety Bill" kommt möglicherweise schon kommende Woche wieder ins Oberhaus zur dritten und letzten Lesung, dann folgt die finale Abstimmung. In den USA wiederum ist in den nächsten Tagen oder Wochen mit dem "Kids Online Safety Act" (KOSA) rechnen, der Entwurf dafür liegt seit Mitte Dezember im US-Senat. Nicht wirklich überraschend enthält dieser vom demokratischen Senator Richard Blumenthal stammende Gesetzesentwurf ziemlich genau alle Bestimmungen, die auch in der Chatkontrolle der EU-Kommissarin Ylva Johansson sowie den einschlägigen Gesetzen in Großbritannien und Australien enthalten sind.
Metakritiken und zweckdienliche Hinweise an den Autor können über dieses Formular sicher verschlüsselt eingeworfen werden.
(mho)
