CSA-Verordnung: Rat der EU vor Abstimmung über "freiwillige" Chatkontrolle

Inhaltsverzeichnis

Im langen Streit um neue Pflichten für Anbieter von Internetdiensten, um effektiver gegen Darstellungen sexuellen Kindesmissbrauchs vorzugehen, wird vor einer wichtigen Abstimmung im Rat der EU-Mitgliedstaaten die Kritik immer lauter. Bei der Abstimmung im Innen- und Justizrat (JHA) am Mittwoch könnten die Mitgliedstaaten der Europäischen Union auch gegen die Stimme Deutschlands einen umstrittenen Vorschlag der belgischen Ratspräsidentschaft beschließen. Würde er so Realität, würden Nutzer sich entscheiden müssen: Automatischer Durchsuchung von Chatnachrichten zustimmen – oder keine Bilder und Videos mehr verschicken können. Dagegen erhebt sich lautstarker Protest – und Firmen drohen damit, ihre Produkte nicht mehr in der EU anzubieten.

Sie gehört zu den liegengebliebenen Dossiers der abgelaufenen Legislaturperiode des Europäischen Parlaments und der bisherigen EU-Kommission: die Verordnung zur Bekämpfung von Darstellungen sexuellen Missbrauchs. Seit über zwei Jahren liegt der Vorschlag der EU-Innenkommissarin Ylva Johansson vor. Das bisherige Europaparlament lehnte die darin vorgesehenen Maßnahmen jedoch weitgehend ab. Die Mitgliedstaaten der Europäischen Union wollen sich nun am Mittwoch einigen – auf Drängen der belgischen Ratspräsidentschaft, deren Mandat turnusgemäß Ende Juni ausläuft. Die französische Regierung, die bislang auf Seite der ablehnenden Staaten war, soll den neuen Vorschlag jetzt unterstützen. Da die EU anders als die Bundesrepublik kein Diskontinuitätsprinzip kennt, ein Gesetzgebungsverfahren also auch über die Wahl hinaus fortgesetzt wird, läuft das umstrittene Verfahren auch nach der Europawahl einfach weiter.

Was die Kommission ursprünglich wollte

Wahrscheinlich gibt es kein anderes Dossier der EU-Kommission in der auslaufenden EU-Legislatur, das so viel Unverständnis bei Bürgerrechtlern auslöste wie die sogenannte CSA-Verordnung: Massive Eingriffe in das Telekommunikationsgeheimnis standen von Anfang an auf dem Plan der EU-Innenkommissarin Ylva Johansson. Auf der einen Seite sollten Plattformbetreiber zum automatischen Durchsuchen der Inhalte ihrer Nutzer verpflichtet werden. Auf der anderen Seite sollte die Verschlüsselung von Chatnachrichten bei Messengern umgangen und noch auf dem Endgerät die Nutzerinhalte auf möglicherweise strafbare Darstellungen sexuellen Kindesmissbrauchs durchsucht, das sogenannte "Client-Side-Scanning". Beides sollte mit Meldungen an eine zentrale europäische Erfassungsstelle einhergehen.

Der Aufschrei, den das ursprüngliche Vorhaben mit seinen massiven Grundrechtseingriffen nach sich zog, war laut: Die EU-Kommission wolle die Kommunikation der Nutzer durchleuchten und sich Zugriff nicht nur auf serverseitig gespeicherte Inhalte, sondern sogar auf noch nicht verschickte Inhalte von Endnutzern auf deren Endgeräten verschaffen, so die Kritiker. Die EU-Kommission wandte unter anderem ein, dass ein Großteil der vorgesehenen Maßnahmen bereits heute von den großen Anbietern unternommen werde – etwa durch Google oder Meta, die Inhalte über die US-Meldestelle NCMEC auch europäischen Behörden zur Verfügung stellten. Europa sei an der Stelle eine Art "Free Rider": Profiteur von Maßnahmen in den USA, während man sich selbst beim Grundrechtsschutz besser stelle. Die Meldungen von NCMEC bilden einen Gutteil der Meldungen, die bei europäischen Polizeibehörden als Ermittlungsansätze verfolgt werden. Die EU-Kommission agierte allerdings teilweise mit nicht seriösen Zahlen, um ihr Anliegen politisch durchzubringen.

Kern des Kommissionsvorschlages war dabei ein mehrstufiges Verfahren: Entweder die Anbieter tun möglichst viel von sich aus, also freiwillig – oder sie sollen mit den Mitteln des Gesetzes zu Maßnahmen im Rahmen sogenannter "Aufdeckungsanordnungen" verpflichtet werden können.

Was die belgische EU-Ratspräsidentschaft jetzt vorschlägt

Genau dieser Logik folgt auch der jetzt von der belgischen Ratspräsidentschaft vorgelegte Vorschlag für einen Kompromiss im Kreis der Mitgliedstaaten: Die Anbieter können freiwillige Maßnahmen ergreifen – etwa den Abgleich mit Datenbanken bekannter Missbrauchsdarstellungen oder die KI-gestützte Durchsuchung bei Bildern, Videos, Powerpoints, Gifs oder anderen Nutzerinhalten in Cloud-Backups, in Ordnern von Onlinespeicherdiensten, "einschließlich Diagrammen, Infografiken, Logos, Animationen, Icons, Gifs und Stickern", heißt es in der Ratsvorlage. Das will die belgische Ratspräsidentschaft als Grundrechtschonend verstanden wissen, da etwa Audiodateien oder Textnachrichten nicht durchwühlt werden sollen.

Um die Genauigkeit zu verbessern, soll dabei nach dem Willen der Ratspräsidentschaft ein Scannen gegen bereits bekanntes Material stattfinden, also üblicherweise ein Abgleich der Hashes. Als neues Material an die Behörden gemeldet werden sollen dabei ausschließlich von Nutzern gemeldete Inhalte oder wiederholt aufgefallene Darstellungen sexuellen Kindesmissbrauchs in einem Dienst. Meldungen an das "EU-Zentrum" sollen dabei zuerst pseudonym erfolgen – bis sich der Verdacht nach manueller Prüfung bestätigt hat.

Gerade bei den Regelungsvorschlägen für Messenger-Diensten durften sich allerdings offenkundig die Sicherheitsbehörden kräftig austoben. Während die Vorlage für die Sitzung zwar die Wichtigkeit von Verschlüsselung für Gesellschaft, Wirtschaft und Behörden betone, kommt dieses Bekenntnis mit kräftigen Einschränkungen daher: "Es ist entscheidend, dass Dienste mit Ende-zu-Ende-Verschlüsselung nicht unbeabsichtigterweise zu sicheren Zonen werden, in denen Darstellungen sexuellen Kindesmissbrauchs konsequenzlos geteilt oder verteilt werden", heißt es darin. Die Idee der belgischen Ratspräsidentschaft und der Ratsarbeitsgruppe: Nur wer zustimmt, dass seine Inhalte durchsucht werden, darf visuelle Inhalte oder Internetadressen teilen. Dadurch müsse die Verschlüsselung nicht geschwächt werden, wird in der Vorlage argumentiert.

Wo das Europaparlament steht

Das vorangegangene Europaparlament hatte sich eindeutig und von Links bis Mitte-Rechts klar gegen derartige Vorschläge positioniert. Im neu gewählten Europaparlament sind drei der deutlichsten Widersacher des Kommissionsvorschlages jedoch nicht mehr vertreten: Patrick Breyer (Piraten), Cornelia Ernst (Linke) und Paul Tang (PvDA, Sozialdemokratische Fraktion) sind bei der Wahl am 9. Juni ausgeschieden. Allerdings bleibt der bisherige Berichterstatter des EP, der spanische Konservative Javier Zarzalejos im Parlament. Auch er hatte bei der Positionierung des Parlaments ausgesprochen klar Position gegen derartige Pläne bezogen, auch andere Kritiker wie etwa der Liberale Moritz Körner (FDP) sind weiterhin im Parlament vertreten. Das EP hatte den Kommissionsvorschlag in weiten Teilen verworfen und stattdessen ein anderes Vorgehen vorgeschlagen: Anbieter von Hostingdiensten und von nummernunabhängigen, interpersonalen Kommunikationsdiensten – wie Messenger juristisch genannt werden – sollten zu Maßnahmen zum besseren Schutz von Kindern verpflichtet werden. Allerdings sollten Anbieter, die besonderen Wert auf Privatsphärenschutz und Datenschutz legen, dafür nicht bestraft werden.

Scharfe Kritik am belgischen Vorschlag

Von dem als Kompromissvorschlag unter den Mitgliedstaaten bezeichneten Text, den die scheidende belgische Ratspräsidentschaft auf ihren letzten Metern noch über die vorläufige Ziellinie bringen will, bevor ab Anfang Juli Ungarn die Ratspräsidentschaft für ein halbes Jahr übernimmt, sind viele Kritiker überhaupt nicht überzeugt. Der Rat hatte sich bereits in der Vergangenheit mit seinen Vorschlägen wenig Freunde gemacht.

Von einem Etikettenschwindel spricht etwa Meredith Whittaker, Präsidentin bei der US-Stiftung, die hinter der beliebten Messenger-App Signal steht: "Die Verpflichtung zum massenhaften Scannen privater Kommunikation untergräbt Verschlüsselung. Punkt." Ob man es Hintertür, Vordertür oder Upload-Moderation nenne, sei irrelevant. Damit würden Einfallstore geschaffen. Signal will sich für den Fall einer solchen Verpflichtung aus der EU zurückziehen.

Auch aus der Zivilgesellschaft hagelt es Kritik: "Von Freiwilligkeit kann hier keine Rede sein", sagt Linus Neumann, Sprecher des Chaos Computer Clubs zu der Idee, dass Nutzer entweder einem Live-Abgleich zustimmen oder keine visuellen Medien und URLs mehr verschicken dürften. Der Internetwirtschaftsverband Eco kritisierte das Vorhaben ebenfalls deutlich – neben der unechten Zustimmungseinholung zum Inhalte-Scan und die damit verbundene Umgehung der Verschlüsselung gebe es "weiterhin ein fehlerhaftes Risikokategorisierungsmodell, das insbesondere Dienste benachteiligt, die Datenschutz und Privatsphäre priorisieren", so der Verband.

Offener Brief von Abgeordneten fordert zu Ablehnung auf

Anfang dieser Woche schrieben 36 Politiker einen offenen Brief an die Mitgliedstaaten und forderten die Ablehnung des belgischen Vorschlags. Vor allem Grüne und Liberale forderten die Mitgliedstaaten dazu auf, dem Vorschlag auf keinen Fall zuzustimmen. In dem Brief wird der belgischen Ratspräsidentschaft vorgeworfen, nur vordergründig auf die Bedenken eingegangen zu sein: "Tatsächlich repräsentiert der Vorschlag der belgischen Ratspräsidentschaft die ursprünglichen Pläne der EU-Kommission von Dezember 2021", heißt es darin unter anderem. Die Bevölkerung werde unter Generalverdacht gestellt und das Image der EU als Garant der Freiheit irreparabel geschädigt. Die Unterzeichner fordern stattdessen mehr Ressourcen für die tatsächliche Verfolgung von Straftaten.

Der Grünen-Bundestagsabgeordnete Tobias Bacherle befürchtet: "Sollte die Verordnung im Sinne der lauten Überwachungsträume des Rats umgesetzt werden, bedeutet das ein faktisches Ende der privaten und sicheren Kommunikation im Netz." Er gehe davon aus, dass auch das neu gewählte Europaparlament an der Ablehnung festhalte – dennoch sei die Ablehnung des Vorschlags durch den Rat der Mitgliedstaaten der EU wichtig. Der FDP-Bundestagsabgeordnete Maximilian Funke-Kaiser fordert: "Wenn es die EU-Länder mit europäischen Bürgerrechten ernst meinen, dann können sie den Kompromissvorschlag nur ablehnen." Denn der würde ein Aufgeben des digitalen Briefgeheimnisses bedeuten und Tür und Tor für den Missbrauch der Technik eröffnen.

(mki)