Chatkontrolle: Wir haben ja nichts gegen Verschlüsselung. Aber

"Wir scheitern daran, Kinder heute zu schützen", sagte die EU-Innenkommissarin Ylva Johansson am Mittwoch. Die Kommission verweist darauf, dass 2021 weltweit 85 Millionen Bilder und Videos, die Kindesmissbrauch zeigen, kursierten und sich das Problem während der Pandemie verschärft habe. Das Onlinemagazin Politico Europe nennt Europa einen "Hotspot" für das Hosting solcher Inhalte.  

Längst schon scannen einige Internetunternehmen – Google, Microsoft, Facebook –  Daten auf ihren Plattformen auf Kindesmissbrauchsdarstellungen. Eine vorübergehend gültige EU-Verordnung aus dem vergangenen Sommer hat dies den Anbietern auch ausdrücklich erlaubt.

Dieses freiwillige System habe sich aber als "unzureichend" erwiesen, um Kinder angemessen zu schützen, argumentiert die Kommission nun. Darum sollen nun Regeln den Druck auf die Unternehmen erhöhen – gerade auf die, die bisher noch nicht freiwillig nach Kindesmissbrauchsdarstellungen suchen. 

Internetdiensteanbieter sollen verpflichtet werden können, mithilfe von Software ihre Dienste nach Fotos und Videos von Kindesmissbrauch zu durchsuchen. Entsprechende Funde sollen sie melden und entfernen.

Aufgespürt werden soll dabei sowohl illegales Material, das zuständigen Stellen bereits bekannt ist, als auch Missbrauchsdarstellungen, die erstmals gefunden wurden. Außerdem soll das Anwerben von Kindern für diese Zwecke, sogenanntes Grooming, entdeckt werden. Das heißt, auch Textnachrichten sollen kontrolliert werden.

Diese Regelung soll für ein breites Spektrum von Unternehmen gelten, die Internetdienste anbieten, von Hosting-Firmen, auf deren Server man Daten speichern kann, bis hin zu Messenger-Diensten. Auch für App-Stores soll es Verpflichtungen geben. Halten die Unternehmen sich nicht an die Regeln, würden ihnen Strafen in Höhe von bis zu sechs Prozent ihres weltweiten Umsatzes drohen.

Erst einmal: Umstritten ist nicht, dass Kindesmissbrauch und die Verbreitung entsprechender Abbildungen im Netz bekämpft werden müssen.

Widerspruch erregt allerdings die Idee, dieses Ziel zu verfolgen, indem umfassend Kommunikation überwacht wird. Unter dem Schlagwort #Chatkontrolle regt sich seit Monaten Protest gegen das Vorhaben. Nach Ansicht von Kritikern hebelt es das Grundrecht auf Privatsphäre aus und macht vertrauliche Kommunikation unmöglich. "Man stelle sich vor, die Post würde verdachtslos unsere Briefe öffnen und scannen. Niemand würde sich das bieten lassen", argumentierte zum Beispiel der Europaabgeordnete Patrick Breyer (Piratenpartei) vergangenen Herbst.

Die Kommission wolle Websperren "verpflichtend in allen EU-Staaten einführen und mithilfe einer europäischen Big-Brother-Agentur die Onlinewelt überwachen", sagte Moritz Körner, Innenexperte der FDP im EU-Parlament in Reaktion auf den nun veröffentlichten Entwurf. Er warnte: Unternehmen dürften nicht gezwungen werden, Polizei zu spielen, ihre Kunden auszuspionieren und beim Staat zu melden. Auch EU-Parlamentarier Tiemo Wölken (SPD) kommentierte auf Twitter, der Vorschlag beinhalte "alles, was das Überwachungsherz begehrt".

Dieser Grundkonflikt – Bekämpfung von Kindesmissbrauch einerseits versus Kritik an digitalen Überwachungsmaßnahmen – taucht immer wieder auf. In Deutschland zum Beispiel bereits 2009, als die damalige Familienministerin und heutige EU-Kommissionspräsidentin Ursula von der Leyen für die Bekämpfung von Kindesmissbrauchsdarstellungen im Internet Netzsperren vorschlug und es breiten Widerstand von Bürgerrechtlern gab.

In ihrer Präsentation des Entwurfes wies EU-Innenkommissarin Johansson Bedenken zurück, wonach die geplanten Verfahren des Entwurfs die Privatsphäre aller Nutzer beschädigten: Die e-Privacy-Richtlinie habe schon immer die Durchsuchung von Kommunikation zur Erkennung von Spam und Malware erlaubt, sagte Johansson laut golem.de. Das solle nun auch mit der neuen Verordnung für Missbrauchsmaterial ermöglicht werden.

Insgesamt bemüht sich die Kommission, ihren Vorschlag als verhältnismäßig darzustellen, weil man strenge Schutzvorkehrungen integriert habe. So fordere sie doch zum Beispiel, dass die Anbieter für die Durchsuchung Methoden anwenden sollten, die einen möglichst geringen Eingriff in die Privatsphäre darstellen sollen. Wie das konkret aussehen könnte, bleibt allerdings offen, siehe nächster Punkt.

Verschlüsselungstechnologie bezeichnet die Kommission in einem FAQ zu dem vorgestellten Entwurf einerseits als ein "wichtiges Werkzeug für den Schutz von Cybersicherheit und Vertraulichkeit von Kommunikation" – verweist gleich danach aber auch darauf, dass sie eben auch von Kriminellen genutzt werden könne. 

Hier drückt sich der Kommissionsentwurf um eine klare Antwort herum. Welche Technologie konkret zum Einsatz kommen soll, geht daraus nicht hervor. Die EU will ein neues Zentrum einrichten, das unter anderem selbst entsprechende Technik entwickeln und bereitstellen soll. Die Internetunternehmen können zum Aufspüren von Kindesmissbrauchsdarstellungen in ihren Diensten aber auch eigene Softwaresysteme zum Einsatz bringen – vorausgesetzt, diese erfüllen eine Reihe von Anforderungen, die in der Verordnung stehen sollen.

Das ist bemerkenswert, denn auf der Ebene der Technik wird eine zentrale Frage entschieden: Kann man die Kommunikation von Millionen von Menschen auf illegale Inhalte hin untersuchen, ohne damit zu sehr in deren Privatsphäre einzugreifen? In zahlreichen Beratungsrunden und Appellen haben Fachleute immer wieder die Grenzen und Probleme bestimmter Technologien für den hier gewünschten Zweck aufgezeigt. Eine für alle Seiten zufriedenstellende Lösung gibt es bisher nicht.

Insofern macht es sich die Kommission an dieser Stelle recht einfach: Sie formuliert im Wesentlichen die Anforderungen und Ziele – und reicht die Verantwortung dafür, wie Internetunternehmen sie umsetzen, zumindest teilweise an sie weiter.

Die Anforderungen an diese Technologien zur Erkennung von Missbrauchsmaterial, die die Kommission in dem Entwurf formuliert, haben es übrigens in sich: Einerseits soll die Technologie effektiv in der Erkennung von Kindesmissbrauchsinhalten sein, andererseits nicht mehr Informationen aus der laufenden Kommunikation extrahieren als für die Erkennung von illegalem Material notwendig. Außerdem soll sie sich auf dem aktuellen Stand der Technik befinden, so wenig in die Vertraulichkeit der Kommunikation und den Schutz personenbezogenen Daten eingreifen wie möglich und, möglichst selten Fehler bei der Erkennung illegaler Inhalte machen. Außerdem sollen die Internetunternehmen, die diese Detektionstechnologien einsetzen, neben diversen anderen Verpflichtugen sicherstellen, dass diese ausschließlich zur Aufdeckung von Kindesmissbrauch verwendet wird und nicht für andere Zwecke.

Es gibt Beobachter, die klar sagen, dass sich unter anderem an dieser Stelle die Realitätsferne des Vorhabens der Kommission zeige, weil hier sehr hohe und teils widersprüchliche Anforderungen an technische Lösungen gestellt werden.

Messenger-Dienste wie Signal, Threema oder WhatsApp verschicken Nachrichten Ende-zu-Ende-verschlüsselt. Das bedeutet: Nur Absender und Empfänger können Nachrichten einsehen. Anders gesagt: Eine umfassende Kontrolle von Inhalten ist bei diesen Diensten derzeit nicht möglich. Diese Vertraulichkeit durch Verschlüsselung ist gewollt.

Der Kommissionsentwurf zur Bekämpfung von Kindesmissbrauchsdarstellungen legt aber keinerlei Ausnahmen für derartige Messenger-Dienste fest. Auch sie könnten dazu gezwungen werden, Fotos oder Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen oder gegen Grooming vorzugehen.

Das ist ein Problem, denn dadurch würden Anbieter gezwungen werden, genau das Feature ihres Dienstes kaputt zu machen, das viele Nutzerinnen und Nutzer besonders schätzen – nämlich die Möglichkeit, wirklich vertraulich miteinander zu kommunizieren. Das befürchten jedenfalls Netzbürgerrechtler, IT-Fachleute und Digitalpolitiker. "Klar, Messenger dürfen weiter verschlüsseln, solange sie trotzdem Missbrauchsinhalte in privater Kommunikation finden. Wie soll das gehen?", fragt Felix Reda von der Gesellschaft für Freiheitsrechte. Auch WhatsApp-Chef Will Cathcarth schreibt auf Twitter, er sei "unglaublich enttäuscht", dass die geplante Verordnung "die Ende-zu-Ende-Verschlüsselung nicht schützt".

Eine Variante dafür wäre, dass die Anbieter gezwungen werden, Hintertüren in ihre Verschlüsselung einzubauen und Ermittlungsbehörden Einblicke in die Chatkommunikation zu gewähren. In einem frühen Stadium der Diskussion kursierten solche Ideen seitens des EU-Rates. Das Problem daran: Verschlüsselung kann man nicht nur ein bisschen aufweichen: Modifizieren Messenger-Anbieter ihre Ende-zu-Ende-verschlüsselten Dienste so, dass Behörden hineinschauen dürfen, ist die vertrauliche Kommunikation perdu – und das wollte man in der EU dann auch nicht direkt.

Technisch betrachtet könnte eine Alternative dazu sein, dass Chatinhalte per Abgleich von Hashes, also einer Art Fingerabdruck bereits aufgespürten Missbrauchsmaterials oder sogenanntem Client-side-Scanning (CSS) lokal auf dem Gerät überprüft werden, noch bevor sie verschlüsselt oder verschickt werden.

Formell gesehen ist der Vorteil: Die Verschlüsselung der Dienste selbst wird nicht aufgeknackt. IT-Sicherheitsexperten und Digitalbürgerrechtler haben aber auch gegen Client-Side-Scanning-Verfahren zahlreiche Einwände, etwa der Chaos Computer Club. Er argumentiert unter anderem: Auch eine solche Überprüfung von Inhalten mit Unterstützung von künstlicher Intelligenz sei "ein Angriff auf jegliche vertrauliche Kommunikation", auch bei guten Erkennungsraten würden völlig legale Inhalte fälschlicherweise als illegal markiert und weiterleitet, es drohten Intransparenz und eine Ausweitung des Wirkungsbereiches. Explizit vor dem Einsatz von Client-side-Scanning haben Informatiker und IT-Verbände im März eindringlich gewarnt – weil damit Sicherheit wie Vertraulichkeit im Internet untergraben würden und damit auch essenzielle Bestandteile einer intakten Demokratie.

Nein, der Weg ist komplizierter: Die Kommission will, dass Anbieter erst einmal analysieren, wie groß das Risiko ist, dass ihr Dienst für die Verbreitung von Missbrauchsdarstellungen genutzt werden könnte oder bereits genutzt wurde. Und sie sollen versuchen, Abhilfe zu schaffen. 

Bleibt das, was die Internetunternehmung zur Bekämpfung des Problems tun, in den Augen der Behörden, die die Einhaltung der Verordnung überwachen sollen, nicht zufriedenstellend, dann können diese vor Gericht eine Detection Order erwirken – also die oben bereits erwähnte Verpflichtung zum softwaregestützten Überprüfen von Inhalten. Hosting-Provider können dann verpflichtet werden, aufgespürte Bilder und Videos von Kindesmissbrauch zu löschen. Und Internet-Access-Provider sollen verpflichtet werden können, den Zugang zu Bildern und Videos zu sperren, wenn es, zum Beispiel wegen Hostings außerhalb der EU, nicht möglich ist, die Inhalte zu entfernen. 

Nein. Das EU-Parlament und der Rat, also die EU-Staaten, müssen jetzt über den Vorschlag der Kommission beraten und sich auf eine endgültige Fassung einigen. Es kann also noch zu Änderungen kommen.