Chatkontrolle: EU-Pläne zum Schutz von Kindern im Netz
Die Zahl der Cybergrooming-Fälle ist seit der Coronapandemie stark gestiegen. Allein im Jahr 2021 erhielt das National Center for Missing & Exploited Children (NCMEC) rund 30 Millionen entsprechende Hinweise. Die freiwilligen Regulierungen der Plattformen und Messenger scheinen nicht zu greifen. So hat die EU-Kommission nun ein Gesetzespaket zur Chatkontrolle auf den Weg gebracht. Was steckt dahinter?
Die bisherige rechtliche Lage: Freiwilliges Eingreifen
Dass Missbrauchs-Täter ihre Opfer immer öfter online finden und aufsuchen, ist ein längst bekanntes Problem. Die Pandemie hat die Situation verschärft. So soll allein 2021 die Zahl der sogenannten Cybergrooming-Fälle um 16 % gestiegen sein.
Die EU hat bereits im Juli 2021 mit einer Verordnung reagiert: Seitdem dürfen Anbieter von Sozialen Medien oder Messengerdiensten Inhalte aufspüren, entfernen und melden. Die Regelung sieht das bisher aber ausschließlich auf freiwilliger Basis vor. So wenden Google und Microsoft diesen Prozess in eingeschränktem Maße an. Facebook noch nicht. Auch die Nutzer:innen der Plattformen sind berechtigt, den Diensten die Verbreitung von Missbrauch mit dem Ziel der Löschung zu melden.
Angesichts gestiegener Fallzahlen und ungenügender Mitwirkung der Plattformen, argumentiert die EU-Kommission nun, dass die bestehende Rechtsgrundlage auf Basis von Freiwilligkeit nicht in der Lage ist, das Phänomen zufriedenstellend zu bekämpfen. Auch dass nur bekanntes Material gelöscht wird, reicht der Kommission nicht mehr aus.
Die Änderungen: Automatisierte Chatkontrolle
Brüssel will nun mit einer neuen Gesetzesvorlage (hier im Volltext), dass eine breite Auswahl von Internetanbietern verpflichtet wird, mit Hilfe von Software ihre jeweils eigenen Dienste nach illegalem Foto- oder Videomaterial zu durchsuchen. Die Funde sollen direkt gelöscht und strafrechtlich gemeldet werden. Dabei würde auch private Kommunikation durchforstet.
Aber nicht nur weiterverbreitetes Missbrauchsmaterial soll diesem Scanning unterzogen werden. Um bereits das Herantreten von Täter:innen an ihre Opfer (Cybergrooming) zu verhindern, sollen auch Textnachrichten kontrolliert werden. Dieser Vorgang ist die eigentliche Chatkontrolle im engeren Sinn und ist Hauptkritikpunkt an der Vorlage. Konkret bedeutet Chatkontrolle, dass Emails und Nachrichtenverläufe automatisch gescannt werden. Um der Datenmenge Herr zu werden, müsste dabei Künstliche Intelligenz (KI) zum Einsatz kommen.
Diese soll für alle Unternehmen gelten, die Internetdienste anbieten, das heißt Hostinganbiete oder Messengerdienste sind ebenso eingeschlossen wie App-Stores. Laut Berichten hat die Kommission derzeit bereits WhatsApp, Skype und diverse Videospielanbieter im Visier. Diese würden zunächst eine sogenannte “Detection Order”, also einen Auftrag zur Auffindung relevanten Materials, von der EU erhalten. Dieser Auftrag würde entweder anweisen, bekannte Daten herauszufiltern, wie es derzeit bereits teilweise freiwillig geschieht, oder noch unbekannte Daten durch KI zu suchen. Wie genau die Chatkontrolle funktioniert, hängt dabei vom jeweiligen Messengerdienst ab. Bei einer End-to-End-Verschlüsselung wie beispielsweise bei WhatsApp, müsste die Überwachung auf dem Gerät selbst stattfinden (Client-Side-Scanning). Anders funktioniert es jedoch, wenn Dienste ohne End-zu-End Verschlüsselung operieren, wie zum Beispiel Facebook Messenger oder praktisch alle gängigen Emailanbieter. Dann wird die Überwachung voraussichtlich auf Server-Ebene durchgeführt werden. Die Strafen im Falle einer Verletzung fielen dabei außerordentlich hoch aus: Im Gespräch sind Bußen von bis zu 6 % der weltweiten Umsätze des Unternehmens.
Grenzenlose Überwachung: Kritik an den Plänen
Obwohl die Ziele der Pläne auf breite Zustimmung treffen, lösten die angestrebten Verfahren lautstarken Protest von zivilgesellschaftlichen Organisationen und der Fachwelt aus. Dabei wird in erster Linie auf den präzedenzlosen Überwachungsgrad digitaler Kommunikation verwiesen. Eine häufig geäußerte Analogie ist, dass die Post vor jeder Auslieferung jeden einzelnen Brief vorsichtshalber öffnen würde. Grundrechteorganisationen sind der Meinung, dass dadurch eine vertrauliche und sichere private Kommunikation verunmöglicht würde. Zudem würde die geforderte Technik aktuelle, verschlüsselte Kommunikation wie beispielsweise die gängige End-to-End Verschlüsselung praktisch aufheben.
Der Datenschutzbeauftragte der Bundesrepublik, Ulrich Kelber, beschreibt die Vorlage in einem Twitter-Thread als schlicht unvereinbar mit europäischen Werten. Denn auch wenn die KI die Hauptarbeit übernimmt, würden stets Menschen beteiligt sein und damit ist Missbrauch nicht ausgeschlossen.
Bei einem Treffen hinter verschlossenen Türen hat die Kommission gegenüber Vertreter:innen der Mitgliedstaaten eben dies eingeräumt. Ein geleaktes Protokoll dokumentiert, dass selbst Brüssel davon ausgeht, dass Ermittler:innen irrtümliche Meldungen der Erkennungssoftware sichten müssten. So könnten beispielsweise auch Nacktfotos Unschuldiger oder einvernehmliches Sexting betroffen sein. Die Kommission rechnet dabei, laut Protokoll des Treffens, mit einer Fehlerquote von gar 10 %.
Ein zweiter Kritikpunkt sind rechtliche Bedenken. Eine bevölkerungsweite und automatische Chatkontrolle widerspricht, nach der Meinung vieler Expert:innen, dem geltenden EU-Menschenrechtsrahmen. Ebenfalls ist unklar, ob die Vorlage überhaupt mit den Grundgesetzen der EU-Mitgliedsländer vereinbar ist. Insbesondere in Deutschland äußerten die Ampelkoalitionäre ebenso wie die Fraktion der Linken im Bundestag überparteilich Bedenken.
„Jede private Nachricht anlasslos zu kontrollieren, halte ich nicht für vereinbar mit unseren Freiheitsrechten.“ Nancy Faeser
Mit Innenministerin Nancy Faeser, Digitalminister Volker Wissing und Justizminister Marco Buschmann haben sich die entscheidenden Ministerien bereits deutlich gegen die Vorlage positioniert. Die FDP spricht von einem “Angriff auf die Bürgerrechte”. Es gilt als wahrscheinlich, dass die Vorlage in der derzeitigen Form an der Bundesrepublik scheitern wird.
Drittens wird eine mögliche Kommerzialisierung von sensiblen Daten befürchtet. Denn es ist derzeit unklar, welche technische Lösung eingesetzt wird. Die Kommission will dafür eine zentrale Stelle einrichten. Allerdings ist auch möglich, dass bereits bestehende Varianten kommerzieller Anbieter übernommen werden. Unternehmen versuchen bereits durch Lobbyarbeit, sich entsprechende Aufträge zu sichern. Datenschützer:innen befürchten, dass letztlich Drittanbietern Zugriff auf Daten gewährt werden könnte.
Wie geht es weiter?
Die Pläne der EU-Kommission scheinen zu wackeln. Denn nicht zuletzt ist fraglich, ob das Verfahren überhaupt zu den gewünschten Ergebnissen führen würde. Der Chaos Computer Club, Europas größte “Hackervereinigung” meint nicht nur, dass es ein “überbordender Ansatz” sei, sondern auch “leicht zu umgehen”. Selbst das Kinderrechteforum schließt sich diesem Urteil an.
In einem offenen Brief an die Kommission fordern nun knapp einhundert Organisationen, die Pläne zurückzuziehen. Die Vorlage widerspreche dem Recht auf Privatssphäre. Gezeichnet wurde das Schreiben unter anderem von D64 – Zentrum für Digitalen Fortschritt, Digitalcourage, Digitale Gesellschaft, dem Whistleblower-Netzwerk, dem International Press Institute oder Privacy International.
Um in Kraft zu treten, müssen sowohl das EU-Parlament als auch die Mitgliedsstaaten zustimmen. Angesichts der Kritik allein aus Deutschland scheint dies derzeit allerdings ausgeschlossen. Um alle Akteure zu überzeugen, wird die Kommission ihren Entwurf demnächst nachschärfen müssen. Ob ein Kompromiss gefunden wird, bleibt – trotz der Einigkeit in den Zielen der Bekämpfung von Kindesmissbrauch – offen.