Kritik an EU-Plan zum Kampf gegen Kindesmissbrauch »Riesenschritt in Richtung eines Überwachungsstaats«

WhatsApp, Telegram und andere Messenger sollen verpflichtet werden, Chats nach Missbrauchsbildern zu durchsuchen. Bürgerrechtler und Experten sind alarmiert – und selbst Ermittler nicht unbedingt glücklich.
Chat-Apps: Brüssel plant »Weltstandard« gegen Missbrauchsaufnahmen

Chat-Apps: Brüssel plant »Weltstandard« gegen Missbrauchsaufnahmen

Foto:

stnazkul / Getty Images

Die beiden EU-Kommissarinnen Dubravka Šuica (Demografie) und Ylva Johansson (Inneres) standen vor einer blauen Videowand mit verschatteten Kinderbildern und trugen eine Bilanz des Grauens vor. Jedes fünfte Kind werde Opfer von sexuellem Missbrauch, klagte Šuica, und leide »unter der traumatischen Erfahrung oft ein Leben lang«. Im Internet seien allein im vergangenen Jahr 85 Millionen Bilder zu finden gewesen, die sexuelle Gewalt gegen Kinder zeigten, klagte Johansson. In 90 Prozent der Fälle lagere das Material »auf Servern in der EU«, weshalb Brüssel nun besonders gefordert sei, »einen Weltstandard« gegen die illegalen Aufnahmen zu entwickeln.

Kern des am Mittwoch vorgestellten Plans ist ein flächendeckendes, aus Brüssel gesteuertes Überwachungssystem. Ein neues »EU-Zentrum gegen Kindesmissbrauch« soll Onlinedienste zwingen können, die gesamte Kommunikation all ihrer Nutzerinnen und Nutzer auf verbotene Inhalte zu scannen. Finden sie Missbrauchsdarstellungen, müssen die Anbieter die Zentralstelle informieren, die nach einer eigenen Prüfung wiederum die zuständigen nationalen Strafverfolgungsbehörden alarmiert. »Wir schützen euch« sei die Botschaft an die Kinder, sagte Johansson, an die Täter laute sie: »Wir kriegen euch«.

Kritiker allerdings fürchten, dass die neue Behörde zu einer Art Big-Brother-Amt werden könnte und dass die EU das emotionale Thema der sexualisierten Gewalt nutzt, um die Privatsphäre einzuschränken. In Berlin versammelten sich am Mittwoch bereits einige von ihnen zu einer Demonstration gegen den von ihnen »Chatkontrolle« genannten Plan.

Welche Onlinedienste und Apps könnten überwacht werden?

Laut dem 135-seitigen Entwurf  der EU-Kommission könnte die EU zahlreiche Unternehmen auffordern, die Kommunikation ihrer Nutzer zu durchleuchten: Neben E-Mail-Anbietern sollen auch Betreiber von Diensten, in denen die Chatfunktion nur eine Beigabe ist, zur Überwachung gezwungen werden können. Damit sind Onlinegames gemeint, Anwendungen zum Teilen von Bildern – beispielsweise Instagram – sowie Video-Hoster. Besonders umstritten dürfte aber sein, dass die Maßnahme Messengerbetreiber wie WhatsApp, Telegram, Signal oder Threema verpflichten kann, private Nachrichten ihrer Nutzerschaft zu scannen.

Finden die Unternehmen Missbrauchsmaterial, müssen sie die zuständige Behörde sowie ein neues EU-Zentrum benachrichtigen, das eigens gegründet und in Den Haag angesiedelt werden soll, möglichst nahe an Europol. Das EU-Zentrum soll auch passende Werkzeuge für die Durchsuchung anbieten, vor allem für jene Anbieter, die sich eine Eigenentwicklung nicht leisten können. Man kann es auch so ausdrücken: Wer nicht mit den eigenen Methoden seine Nutzerschaft überwachen will, soll dazu eine staatlich entwickelte Software verwenden.

Verpflichtet werden können etwa Anbieter mit einer Niederlassung in der EU oder wenn sie »eine signifikante Anzahl an Nutzern« haben. Anders ausgedrückt: Die EU-Kommission will kaum jemanden unberücksichtigt lassen. Dienste, auf die nichts davon zutrifft, die aber im Verdacht stehen, zur Verbreitung der illegalen Inhalte genutzt zu werden, sollen von den Internetprovidern in der EU gesperrt werden können. Damit könnten kleinere Anbieter geblockt werden, deren Betreiber anonym bleiben oder sich dem Zugriff von Behörden entziehen – sie sollen in Europa nicht mehr funktionieren.

Wieso könnten die Pläne die Verschlüsselung aller Nutzer schwächen?

Kritiker fürchten mit den EU-Plänen einen Angriff auf eine grundsätzliche Verschlüsselungstechnik, die heutzutage gerade in Messenger-Apps die Privatsphäre von Millionen Nutzerinnen und Nutzern besonders absichert: die sogenannte Ende-zu-Ende-Verschlüsselung. Auch wenn der Begriff im EU-Entwurf nur einmal erwähnt wird und sonst kaum von Verschlüsselung die Rede ist, wird tatsächlich nicht ersichtlich, wie die Überwachung, die sich die EU wünscht, mit der technischen Realität dieser Verschlüsselung zusammengehen kann.

Die EU fordert nämlich, dass die Dienstanbieter unter Umständen nicht nur nach bekanntem Missbrauchsmaterial, sondern auch nach Bildern und Videos von Kindesmisshandlung suchen, die noch nicht bekannt sind. Bekanntes, also bereits gemeldetes Material, wird als sogenannter Hashwert in einer Datenbank gespeichert. Anbieter nutzen heute schon solche Datenbanken, um damit abzugleichen, ob Nutzer bekannte illegale Inhalte über ihre Dienste versenden. Ein Hash ist wie ein digitaler Fingerabdruck einer Datei, ein Bild mit demselben Inhalt sollte immer denselben Hashwert ergeben.

Nicht bekanntes Material müsste zusätzlich erst identifiziert werden, dafür ist Software auf der Basis von sogenannter künstlicher Intelligenz nötig. Die muss in der Lage sein, erlaubte Nacktbilder von illegalen Aufnahmen zu unterscheiden.

Doch beide Ansätze funktionieren nicht innerhalb einer verschlüsselten Kommunikation. Der Abgleich einer Chatnachricht mit einer Hashwert-Datenbank und die Untersuchung mit einer Erkennungssoftware muss daher auf dem Gerät der Nutzerin oder des Nutzers erfolgen, vor dem Versenden oder nach dem Empfang.

Die Ende-zu-Ende-Verschlüsselung etwa von WhatsApp, Signal oder Threema wird dadurch umgangen – dabei soll sie explizit verhindern, dass außer Sender und Empfänger irgendjemand die Kommunikation einsehen kann. Experten sprechen von einer Hintertür: Technisch ist es nicht möglich, einen solchen Überwachungsmechanismus zu entwickeln, der nur die Privatsphäre einzelner Verdächtiger aufweicht. Es wird immer die Datensicherheit aller Nutzerinnen und Nutzer geschwächt, weil die Firmen entweder einen Mechanismus entwickeln, um die Verschlüsselung grundsätzlich umgehen zu können, oder eben nicht.

Es ist jene Quadratur des Kreises, die seit Jahrzehnten zum Streit zwischen Politik und Sicherheitsbehörden auf der einen Seite und Technikexperten auf der anderen führt: Die Kommission wünscht sich, dass die Diensteanbieter es »vermeiden, die Sicherheit und Vertraulichkeit der Kommunikation von Nutzern zu unterminieren«. Sie sollen die Durchsuchung so gestalten, dass ein Missbrauch durch ihre Angestellten oder durch Dritte ausgeschlossen ist. Die Vertraulichkeit der Kommunikation von Millionen unschuldigen Menschen wird aber trotzdem unterminiert, und niemand kann den Missbrauch einer solchen Überwachungsstruktur für alle Zeiten ausschließen, wenn sie erst einmal existiert.

Unter welchen Voraussetzungen soll Kommunikation durchleuchtet werden?

EU-Kommissarin Johansson beteuerte, dass zahlreiche Vorkehrungen getroffen werden sollen, um die Privatsphäre der EU-Bürger zu schützen. So müssten nationale Behörden und Datenschützer etwa vor jedem Scan ihre Erlaubnis geben. Zum Filtern der Kommunikation dürfe die neue EU-Stelle lediglich Software einsetzen, mit der »die Privatsphäre der Bürger am wenigsten gefährdet« werde, versicherte Johansson. »Um die Nadeln im Heuhaufen zu finden, muss man den richtigen Magneten verwenden« – und genau das habe man vor.

Tatsächlich nennt der Gesetzentwurf eine Hürde, bevor ein Anbieter wie WhatsApp verpflichtet würde, die Chats seiner Nutzerschaft zu scannen: Zunächst müssten die Diensteanbieter eine Risikobewertung vornehmen und gegebenenfalls Maßnahmen zum Schutz Minderjähriger einführen. Wenn die zuständige Behörde eines Mitgliedstaats entscheidet, dass diese Maßnahmen nicht ausreichen, kann sie die »detection order« bei Gericht oder einer anderen unabhängigen Behörde beantragen.

Voraussetzung für eine zeitlich grundsätzlich befristete »detection order«, also eine behördliche Anordnung, Kommunikationsinhalte zu durchsuchen, ist erstens ein »signifikantes Risiko«, dass ein Dienst zur Verbreitung von Missbrauchsdarstellungen genutzt wird. Zweitens muss der Grund für die Anweisung schwerer wiegen als die negativen Konsequenzen für alle Betroffenen – es soll »eine faire Balance zwischen den Grundrechten dieser Beteiligten sichergestellt« sein.

Allerdings steht an anderer Stelle, dass einem Dienst, der neu auf den Markt kommt, auch dann die Überwachung der Kommunikation befohlen werden könnte, wenn vergleichbare Dienste in der Vergangenheit zur Verbreitung von strafbaren Inhalten genutzt wurden. Das könnte bedeuten, dass auch WhatsApp verpflichtet werden kann, wenn ein anderer Messenger in der Vergangenheit als Plattform für Pädokriminelle aufgefallen ist. EU-Prüfer könnten mit entsprechenden Strafverfahren argumentieren, in denen eine entsprechende Nutzung der Messenger nachgewiesen worden war.

Könnten EU-Beamte versehentlich legale Chatnachrichten lesen?

Darüber hinaus sieht der Entwurf verschiedene Maßnahmen gegen Grooming vor, also die Kontaktaufnahme von Erwachsenen mit Missbrauchsabsichten zu Minderjährigen. Anbieter von Kommunikationsdiensten, die in ihrer Risikobewertung zu dem Schluss kommen, dass Grooming bei ihnen möglich ist, sollen eine Altersverifikation einführen, um minderjährige Nutzerinnen und Nutzer zu identifizieren. App-Store-Anbieter wie Google und Apple sollen dafür sorgen, dass Minderjährige diese Apps gar nicht erst herunterladen können. Und eine »detection order« kann auch die Durchsuchung von Textnachrichten nach Fällen von Grooming beinhalten.

Letzteres bedeutet: Bürgerinnen und Bürger der EU müssten damit rechnen, dass jede ihrer privaten Nachrichten vor dem Absenden automatisiert überprüft wird – auch Anwälte, Journalistinnen und andere Geheimnisträger.

Die Kommission versucht zu beschwichtigen: Dieses Scannen sei »oftmals der einzig mögliche Weg«, Grooming zu erkennen, so steht es im Entwurf. Aber die Technik »verstehe« den Inhalt einer Kommunikation ja nicht, sondern suche lediglich nach bekannten Mustern, die auf mögliches Grooming hinweisen. Solche Technologien seien mittlerweile hochgradig akkurat, »allerdings bleibt eine menschliche Aufsicht nötig«. Heißt: Es könnte passieren, dass Mitarbeiter von Tech-Unternehmen oder im zweiten Schritt auch EU-Beamte private und eigentlich verschlüsselte Nachrichten von EU-Bürgern ansehen, obwohl deren Inhalt gar nicht illegal ist.

Dass die Auswertung von Metadaten mindestens so wirksam sein kann, verschweigt die Kommission. Man kann, ohne den Kommunikationsinhalt zu durchsuchen, allein anhand von Zeitstempeln und ähnlichen Daten erkennen, ob ein Erwachsener wiederholt versucht, eine dem Nutzungsverhalten nach wahrscheinlich minderjährige Person zu kontaktieren, die nicht zum engeren Beziehungskreis gehört. Dass »hochgradig akkurat« bei Milliarden von Chats in absoluten Zahlen immer noch eine riesige Zahl falsch-positiver Treffer ergibt, gesteht die Kommission nicht ein.

Was sagen Anbieter und Fachleute dazu?

Kein Wunder, dass Bürgerrechtler, IT-Experten und Politiker entsetzt sind. Der Europaabgeordnete Patrick Breyer von den Piraten etwa spricht von einem »Riesenschritt in Richtung eines Überwachungsstaates nach chinesischem Vorbild«.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Grünenpolitiker Konstantin von Notz, stellvertretender Fraktionsvorsitzender, und Tobias Bacherle, Obmann im Digitalausschuss und Mitglied im Auswärtigen Ausschuss, haben »massive Zweifel, dass dies mit geltendem europäischen wie deutschen Grundrecht sowie der EuGH-Rechtsprechung vereinbar ist«. Der Kryptografieprofessor Matthew D. Green schrieb auf Twitter , der Entwurf beschreibe »die ausgefeilteste Massenüberwachungsmaschinerie, die jemals außerhalb von China und der Sowjetunion eingesetzt« werden würde. Die Technik, die fehlerfrei illegale Inhalte und Grooming erkennen könnte, existiere nicht, daher werde es zu Fehlern kommen. Und wenn die fehlerhafte Technik erst einmal im Einsatz sei, würden andere Staaten darauf zurückgreifen wollen.

Alexandra Koch-Skiba, Leiterin der Beschwerdestelle des eco Verbands der Internetwirtschaft, sagte: »Der Entwurf hat aus unserer Sicht das Potenzial, einen Freifahrtschein für staatliche Überwachung zu schaffen. Das ist ineffektiv und illegal. Für einen nachhaltigen Kinder- und Jugendschutz bräuchte es stattdessen mehr Personal für Ermittlungen und eine umfassende Strafverfolgung«.

Will Cathcart, der Chef von WhatsApp, kritisierte eine geleakte Fassung der EU-Pläne bereits am Dienstagabend scharf. »Starke Verschlüsselung schützt die Privatsphäre und Sicherheit von Milliarden Menschen. Dass zu schwächen, ist ein Fehler«, twitterte Cathcart. Der EU-Vorschlag sei eine »furchtbare Idee.« (Lesen Sie hier ein ausführliches SPIEGEL-Gespräch mit dem WhatsApp-Chef zum Thema Verschlüsselung und Datenschutz.)

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Martin Blatter, Chef des Schweizer Krypto-Messengers Threema, sagte dem SPIEGEL, der Plan »würde vielleicht einem totalitären Regime zur Ehre gereichen, hat aber in einer Demokratie nichts zu suchen«. Laut Blatter sei es zudem technisch gar nicht möglich, zuverlässig illegale Grooming-Versuche und Missbrauchsbilder nur mit einem Algorithmus zu erkennen. »Die Kommissionspläne könnten demnach zu einer Massenkriminalisierung unbescholtener Bürger führen.«

Hilft das Gesetz, mehr Pädokriminelle festzunehmen?

Auch deutsche Strafverfolger kritisieren die EU-Pläne hinter vorgehaltener Hand. Zwar begrüßen mehrere Ermittler, dass die EU neue einheitliche Regeln gegen Kindesmissbrauch verabschieden will und dabei auch diverse Internetdienste in die Pflicht nimmt. Doch die aktuellen Pläne würden nicht unbedingt dazu führen, mehr Pädokriminelle festzunehmen, erläutern mehrere langjährige Ermittler.

Einer der Gründe: Zwar würde das Gesetz zu mehr Meldungen von Missbrauchsbildern führen, aber diese führten nicht automatisch zu mehr Ermittlungserfolgen. Die Strafverfolger hätten heute schon genug Datenpunkte. Das Problem sei, all die Fälle mit den vorhandenen Ressourcen abzuarbeiten und die besonders gefährlichen Täter zu finden. »Wir haben heute schon ein Heuhaufen-Problem. Die Masse der neuen Meldungen nach den EU-Plänen droht unsere Strafverfolgung eher lahmzulegen«, beschreibt es ein Ermittler. Deshalb sei der Plan zwar lobenswert, aber die aktuelle Umsetzung kontraproduktiv, heißt es aus Strafverfolgerkreisen.

Außerdem gäbe es andere Wege, mehr Tätern auf die Spur zu kommen. »Wenn es nur darum geht, mehr Fälle zu haben und mehr Täter zu fassen, dann braucht man nicht einen solchen Grundrechtseingriff«, sagt ein anderer langjähriger Ermittler im Bereich Kindesmissbrauch.

Wie geht es jetzt weiter?

Der Entwurf der Kommission muss sowohl von den Mitgliedstaaten der EU als auch vom Parlament noch angenommen werden. Dabei können gerade die besonders umstrittenen Abschnitte entweder einfach abgenickt, aber auch noch abgewandelt oder gestoppt werden. Die deutsche Bundesregierung etwa hat sich in ihrem Koalitionsvertrag ausdrücklich zu einem Recht auf Verschlüsselung bekannt und Ende-zu-Ende-Verschlüsselung gelobt.