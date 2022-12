Im Fokus der neuen Initiative stehen verschlüsselte Messengerdienste. Foto: Unsplash/Adem AY

Im Mai hat die EU-Kommission ihren Vorschlag für eine »Verordnung zur Bekämpfung von Kindesmissbrauch« vorgelegt. Im Mittelpunkt stehen verpflichtende Maßnahmen, mit denen Bilder oder Videos zur sexualisierten Darstellung von Kindern und Jugendlichen im Internet erkannt werden sollen. Plattformbetreiber wie Apple, Google, Meta und Microsoft sollen dieses »Child Sexual Abuse Material« (CSAM) anschließend selbständig entfernen und die Nutzer zur Strafverfolgung an Europol melden. Bei Nichtbefolgung der Vorgaben drohen empfindliche Strafen.

Es ist jedoch fraglich, wozu eine solche CSAM-Verordnung überhaupt gebraucht wird. Die großen Internetfirmen prüfen seit Jahren Uploads ihrer Nutzer auf entsprechendes Material. Dieser freiwillige Einsatz von automatisierten Scannern verstößt jedoch gegen die EU-Datenschutzgrundverordnung und die anvisierte E-Privacy-Verordnung. Deshalb haben das EU-Parlament und die Mitgliedstaaten im Rat einer Ausnahmeregelung zugestimmt, wonach die Tech-Giganten weiterhin hochgeladenes Material anlasslos analysieren dürfen.

Die freiwillige Regelung betrifft ausschließlich unverschlüsselte Kommunikation oder Plattformen, bei denen die Anbieter Zugang zu den Inhalten haben. Davon ausgenommen sind deshalb verschlüsselte Cloud-Speicher, die als Backup des Telefons genutzt werden. Besonders im Fokus der Behörden stehen aber sichere Messengerdienste wie Whatsapp, Telegram, Threema oder das als besonders zuverlässig geltende Signal.

Die Anwendungen sind Ende-zu-Ende-verschlüsselt. Das bedeutet, dass die Anbieter – und damit auch Behörden – eigentlich keine Möglichkeit haben, in die Kommunikation zwischen zwei oder mehr Nutzern einzudringen. Auf diese Verschlüsselungstechnik zielt nun die neue EU-Verordnung. Dafür hat der Europaabgeordnete der Piratenpartei Patrick Breyer den Begriff »Chatkontrolle« geprägt.

Technisch gesehen gibt es nur zwei Wege zum Zugriff auf verschlüsselte Kommunikation. Behörden können »Hintertüren« in die Software einbauen, eine Art Zweitschlüssel. Ein derartiger erfolgreicher Angriff auf bekannte Messenger-Dienste ist bislang aber noch nicht bekannt geworden. Die zweite Möglichkeit ist der direkte Zugriff auf das Gerät, auf dem eine Chatnachricht ver- oder später wieder entschlüsselt wird. Hierfür nutzen Polizeien oder Geheimdienste bei ihren Ermittlungen Trojaner-Programme, etwa um die Kommunikation auf Mobiltelefonen mitzulesen oder sogar das komplette Gerät zu durchsuchen.

Für das anlasslose Scannen sämtlicher Nachrichten aller Internetnutzer sind staatliche Trojaner aber nicht geeignet, für den Einsatz braucht es gewöhnlich auch eine richterliche Anordnung. Deshalb setzt die EU-Kommission in ihrem Vorschlag für eine »Verordnung zur Bekämpfung von Kindesmissbrauch« auf das »kundenseitige Scannen« (»Client Side Scanning«). Dabei wird eine Software zum Mitlesen von Chatprogrammen im Betriebssystem eines Mobiltelefons verankert. Sie vergleicht die Bild- und Videodateien mit bereits bekanntem Material, das als strafbar eingestuft wurde. Verschiedene Organisationen betreiben hierfür Datenbanken mit CSAM die von Plattformbetreibern abgefragt werden können.

Im Sommer hatte Apple angekündigt, ein »kundenseitiges Scannen« von sexualisierten Darstellungen von Kindern und Jugendlichen vorauseilend auf seinen Geräten implementieren zu wollen. Dabei sollten auch verschlüsselte iCloud-Daten durchsucht werden. Ab einer bestimmten Anzahl an gefundenen Dateien würde dann die Polizei informiert.

Die Firma bezeichnete dies als Spagat zwischen dem berechtigten Anliegen der Strafverfolgung einerseits und der Privatheit der Telekommunikation andererseits. Nach teils heftiger Kritik zog Apple das Vorhaben zunächst zurück. Vergangene Woche teilte der Konzern mit, die Suche in Fotos in der Cloud nicht weiterzuverfolgen. Eine komplette Absage an das »Kundenseitige Scannen« von Messengerdiensten ist dies jedoch nicht.

Nun hat das Thema den Bundestag erreicht, denn die Bundesregierung muss sich auf EU-Ebene zu dem Vorschlag der Kommission positionieren. Die noch amtierende tschechische Ratspräsidentschaft will die Chatkontrolle sogar noch verschärfen, berichtet das Portal netzpolitik.org unter Berufung auf eingestufte Protokolle der zuständigen Arbeitsgruppe Strafverfolgung im Europäischen Rat. Inhalte, die bei Suchmaschinen wie Google nach einer Anfrage gelistet werden, sollen demnach gestrichen werden können, ohne dass hierzu, wie von der Kommission vorgesehen, ein richterlicher Beschluss vorgelegt werden muss.

Das »Kundenseitige Scannen« könnte zur Blaupause für autoritäre Staaten werden, um nach allen möglichen Inhalten automatisiert zu suchen. Doch auch in der EU ist absehbar, dass der Zugang zu verschlüsselten Inhalten zur Bekämpfung des sexuellen Missbrauchs von Kindern auf andere Bereiche ausgeweitet wird. Der Rat und die Kommission haben hierzu bereits die Themen »Terrorismus« und »innere Sicherheit« ins Spiel gebracht.