Automatische Scans von privaten Nutzerinhalten geplant

Kindesmissbrauch hofft die Politik immer wieder mit technischen Mitteln in den Griff zu bekommen. Man erinnere sich an das Vorhaben der damaligen Bundesfamilienministerin Ursula von der Leyen, mit einem leicht zu umgehenden Sichtschutz vor Webseiten den Zugang zu Missbrauchsabbildungen zu erschweren. Sie scheiterte 2010 am massiven Widerstand der Zivilgesellschaft.

Von der Leyen ist mittlerweile Präsidentin der EU-Kommission. Es mehren sich die Anzeichen, dass sie ihren damals zur Schau gestellten Tech-Solutionismus in die europäische Regierungsbehörde implantiert hat: “Ich erwäge, Unternehmen dazu zu verpflichten, bekanntes Material über sexuellen Kindesmissbrauch aufzudecken und den Behörden zu melden”, hatte Ylva Johansson, Kommissarin für Inneres, bereits im Februar angekündigt. Doch außerhalb der Bürgerrechtlerblase hat davon kaum jemand Notiz genommen.

Das ändert sich gerade, denn die Pläne Johanssons stehen kurz davor, als Entwurf einer neuen EU-Verordnung aus ihrem Hause manifest zu werden. Eigentlich war die Vorstellung des Texts für Dezember geplant, sie wurde aber verschoben und dürfte nun Anfang 2022 anstehen. “Bekämpfung des sexuellen Missbrauchs von Kindern: Erkennung, Entfernung und Meldung illegaler Online-Inhalte” heißt die Gesetzesinitiative. Zum konkreten Entwurf ist nichts in Erfahrung zu bringen. Auf Nachfrage von c’t nannte eine Sprecherin der Kommission keine Details, sondern erklärte lediglich: “Die Kommission arbeitet daran.”

Radikale Richtung

Um eine Idee davon zu bekommen, in welch radikale Richtung die Kommission schwenkt, hilft ein Rückgriff auf September 2020. Ein Leak in der Kommission förderte ein 28-seitiges Arbeitspapier zutage, das es in sich hat. Es führt verschiedene technische Ansätze auf, die geeignet sein sollen, Inhalte in Echtzeit maschinell auf Missbrauchsdarstellungen hin zu prüfen. Spätestens da war klar: Die EU-Kommission arbeitet daran, entweder Inhalte vor der Verschlüsselung auszuleiten oder die Messenger-Verschlüsselungen von den Anbietern aufbrechen zu lassen.

Dass die grundsätzliche Bereitschaft in der EU besteht, private Nutzerinhalte maschinell zu erfassen, auszuwerten und gegebenenfalls automatisiert Strafverfolgungsbehörden zukommen zu lassen, wurde in diesem Sommer deutlich: Mit einer auf drei Jahre befristeten Verordnung erlaubt die EU “Betreibern von Kommunikationsdiensten”, auf der Suche nach Darstellungen von sexuellem Missbrauch von Kindern maschinell Nutzerinhalte zu scannen und bei Treffern auszuleiten. Auch das EU-Parlament stimmte mehrheitlich zu.

Nach Ansicht der Kommission war die Neuregelung nötig geworden, weil eben diese längst geübte Praxis mit einer Änderung an der Datenschutzrichtlinie für elektronische Kommunikation Ende 2020 plötzlich verboten war. Microsoft etwa hat dies ignoriert und weiter in Mails und Onlinespeichern nach Missbrauchsdarstellungen gesucht, Facebook aber hat die proaktiven Scans daraufhin ausgesetzt.

Der vorläufigen Verordnung soll also nun ein großer unbefristeter Wurf folgen, der Scans verpflichtend macht und auch Ende-zu-Ende-verschlüsselte Kommunikation umfasst. Der EU-Abgeordnete und Bürgerrechtler Patrick Breyer hat dafür den Begriff “Chatkontrolle 2.0” geprägt. Er sieht das verfassungsrechtlich geschützte Post- und Fernmeldegeheimnis sowie die Achtung der Europäischen Grundrechtecharta (GRCh) gefährdet und ruft derzeit zum Widerstand gegen die geplante Verordnung auf.

Auch die renommierte deutsche Gesellschaft für Informatik (GI) äußerte sich Anfang November sehr kritisch. Hartmut Pohl, Sprecher des GI-Präsidiumsarbeitskreises, betonte: “Will die EU-Kommission auf eingebaute Hintertüren verzichten, gibt es nach dem Stand der Technik nur die ‘heimliche Online-Durchsuchung’ – sogenanntes ‘client-side scanning’ – der Endgeräte beispielsweise durch Staatstrojaner mit der Durchsuchung aller Speicherinhalte aller Clients und Server. Dies verstößt gegen die europäischen Grundrechte.”

Genau dieses client-side Scanning ist jüngst Apple auf die Füße gefallen: Als der Konzern angekündigt hatte, künftig auf iPhones automatisiert nach Missbrauchsbildern zu suchen, bevor die Daten verschlüsselt in die Cloud geschoben werden, brach ein Sturm der Entrüstung los. Kleinlaut verschob Apple den Plan daraufhin und beschränkt sich auf weniger invasive Maßnahmen. Nun soll diese Methode – bislang weitgehend unbemerkt von der Öffentlichkeit – sogar verpflichtend in der gesamten EU werden.

(hob)