Bundestag: EU-Initiative zur Chatkontrolle fällt bei Experten komplett durch
Sachverständige warnen angesichts des EU-Plans zum Durchsuchen von Kommunikation vorm Füttern eines nie dagewesenen, grundrechtswidrigen Überwachungsmonsters.
(Bild: In Green/Shutterstock.com)
Daran konnten sich selbst langjährige Abgeordnete bislang nicht erinnern: Bei einer Anhörung im Digitalausschuss des Bundestags sprachen sich am Mittwoch alle Experten einvernehmlich gegen einen Gesetzesvorschlag aus. Dabei handelte es um den bereits seit Längerem umkämpften Entwurf der EU-Kommission für eine Verordnung zur Online-Überwachung unter dem Aufhänger des Kampfs gegen sexuellen Kindesmissbrauch. Mit Markus Hartmann, dem Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW), warnte sogar ein Ermittler, dass das Vorhaben als Ganzes unverhältnismäßig und "der Strafverfolgung nicht zuträglich" wäre.
Elina Eickstädt, Sprecherin des Chaos Computer Clubs (CCC) sowie des Bündnisses "Chatkontrolle stoppen!", und Teresa Widlok vom Verein für liberale Netzpolitik Load waren sich von vornherein einig: Der Kinderschutz sei ein wichtiges Ziel. Die Initiative führe aber zu einer Überwachungsinfrastruktur "unvorhergesehenen Ausmaßes", die "noch nie dagewesen ist".
Eingriff in die Grundrechte
Vor allem durch die vorgesehenen Aufdeckungsanordnungen, auf deren Basis Anbieter auch verschlüsselter Chat-Dienste wie WhatsApp, Signal oder Threema sowie etwa von Videokonferenzen und Games nach bekannten und neuen Darstellungen sexuellen Kindesmissbrauchs suchen müssten, greife "in zahlreiche Grundrechte massiv" ein, monierte Widlok. Dabei müssten Inhalte von Kommunikation eigentlich tabu sein und ein Recht auf Verschlüsselung eingeführt werden.
Eickstädt erkannte an, dass sich die Bundesregierung mittlerweile zumindest einig sei, eine Chatkontrolle mithilfe von Client-Side-Scanning (CSS) abzulehnen. Damit würde private Kommunikation direkt auf Endgeräten der Nutzer analysiert und ausgeleitet, was eine Ende-zu-Ende-Verschlüsselung unterliefe. Aber auch unverschlüsselte Inhalte könnten vertraulich sein. Zudem drohe etwa mit Websperren ein "Zensurinstrument ohnegleichen".
Strafverfolgung um jeden Preis
Auch wenn es sinnvoll sei, die europäischen Zusammenarbeit im Kampf gegen Kindesmissbrauch über ein EU-Zentrum zu stärken, riet Oberstaatsanwalt Hartmann von einer "Strafverfolgung um jeden Preis" ab. Der Staat platziere auch keine Kameras in jeder Privatwohnung. Das Interesse an der Strafrechtspflege müsse der Gesetzgeber in einen Ausgleich mit Grundrechten bringen.
Zudem seien solche tiefen Eingriffe gar nicht erforderlich, da es mit dem jetzt schon teils praktizierten Hash-basierten serverseitigen Scannen ein milderes Mittel gebe. Dieses reiche, um Hinweise auf Kindesmissbrauch zu bekommen und solche Vergehen wirkungsvoll zu bekämpfen. Auch ein "umfassendes Konzept einer Vorratsdatenspeicherung" sei nicht erforderlich angesichts von Konzepten wie der "Login-Falle". Oft müssten die Ermittler auch gar keine Verschlüsselung aufbrechen, da eine große Zahl von Tätern ungeschützt kommuniziere. Das vielbemühte "Going Dark"-Szenario werde "ein wenig überhöht".
Künstliche Intelligenz versagt
Auch die Hoffnung der Kommission, Künstliche Intelligenz (KI) zur Detektion von Missbrauchsmaterial zu verwenden, trägt Hartmann zufolge nicht. Die ZAC NRW habe ein solches Instrument seit 2017 im produktiven Einsatz. Damit ließe sich zwar ein bestehender Anfangsverdacht überprüfen. Es sei aber ungeeignet, einen solchen zu begründen. Die Fehlerraten bei Treffern seien zudem so hoch, dass unzulässig viele Betroffene in den Fokus der Behörden gerieten.
Dies bestätigte Martin Steinebach vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Die von der Kommission angepriesenen Erkennungsraten von 99,9 Prozent erreiche man nur bei "bekannten Darstellungen", die "robuste Hashverfahren" ermöglichten. Bei neuen Bildern oder Videos lägen die Fehlerraten schon bei etwa zehn Prozent, beim Ausfindigmachen von Annäherungsversuchen via Cybergrooming sogar bei bis zu zwanzig Prozent. Bei Milliarden täglich ausgetauschter Bilder müssten so viele Millionen händisch geprüft werden.
Hinsehen wichtiger als automatisierte Filter
Als falsch bezeichnete Joachim Türk aus dem Vorstand des Kinderschutzbundes einen Wettstreit zwischen Kinder- und Datenschutz. Menschen jeglichen Alters hätten Anspruch auf körperliche Unversehrtheit und private Kommunikation. Alle müssten sich analog und online austauschen dürfen ohne Sorge, überwacht zu werden. Dies mache es unmöglich, eine "anlasslose Chatkontrolle als Option zu akzeptieren". Angesichts des gewaltigen Dunkelfelds im Nahbereich bei Kindesmissbrauch über Familie, Vereine, Verwandte oder Babysitter seien Prävention, Hinsehen und Forschung wichtiger als automatisierte Filter, zumal KI selbst künftig erheblich mehr Missbrauchsdarstellungen erzeugen dürfte.
Niemand sei damit gedient, ein "evident grundrechtswidriges Gesetz" zu verabschieden, verdeutlichte Felix Reda von der Gesellschaft für Freiheitsrechte (GFF). Ein solches würde vor dem Europäischen Gerichtshof ohnehin scheitern. Der bis dahin angerichtete Schaden wäre aber immens. Dabei mache es keinen Unterschied, ob die Überwachung sich auf einem verschlüsselten oder unverschlüsselten Dienst abspiele.
Reda mahnte zudem, andere Aspekte aus dem Entwurf wie die Pflicht zur Altersverifikation etwa durch Hosting- und Cloud-Dienste, E-Mail-Provider oder App-Store-Betreiber. Damit würde nicht nur die Anonymität im Netz untergraben. Kinder hätten oft noch gar keine Identifikationsmöglichkeit, sodass nur eine sehr invasive und fehleranfällige "biometrische Erfassung" in Frage käme. Alternative App-Stores wie F-Droid und viele Open-Source-Projekte könnten eine Altersprüfung zudem mit ihren dezentralen Strukturen gar nicht stemmen. Die vorgesehenen Netzsperren gegen einzelne URLs wären zudem nur machbar ohne HTTPS-Verschlüsselung, die aber unerlässlich sei für die Online-Sicherheit. Letztlich sei die Rechtsgrundlage der Verordnung im Rahmen der Harmonisierung des Binnenmarkts mehr als fraglich.
Aufsichtsbehörden wären außen vor
Zusammen mit Ella Jakubowska von der Bürgerrechtsorganisation European Digital Rights (EDRi) plädierte Reda dafür, dass nationale Parlamente wie der Bundestag die Regierungen binden müssten, in Brüssel nicht für den Entwurf zu stimmen. Mit dem Widerstand etwa in Irland, Österreich und den Niederlanden sei eine Sperrminorität greifbar.
"Weit außerhalb jeglicher Maßstäblichkeit" verordnete der Bundesdatenschutzbeauftragte Ulrich Kelber den Vorstoß. Es gebe nicht nur Widersprüche zu Grundprinzipien der Datenschutz-Grundverordnung (DSGVO) wie Datenminimierung, Zweck- und Verhältnismäßigkeit. Würden die Aufdeckungstechniken einmal eingeführt, seien die Aufsichtsbehörden auch draußen. Selbst bei Geheimdiensten hätten sie mehr Befugnisse. Autoritäre Staaten erhielten zudem ein "Produkt", das schon auf Überwachung ausgelegt sei.
(mki)
