Es sah sehr gut aus im vergangenen Herbst: Die europäische Zivilgesellschaft hatte – so schien es – die anlasslose Überwachung sämtlicher digitaler Kommunikation, die „Chatkontrolle“, verhindert. Die spanische Ratspräsidentschaft hatte sich an dem Projekt die Zähne ausgebissen und konnte keine Einigkeit im Rat herbeiführen. Das liegt nicht zuletzt an der ablehnenden Haltung der deutschen Bundesregierung, die sich auch auf den massiven Druck zurückführen lässt, den D64 und andere zivilgesellschaftliche Organisationen über Monate aufgebaut haben. Damit galt es als unmöglich, noch vor der Wahl zum Europäischen Parlament im Juni eine politische Einigung über den Vorschlag zu erzielen. Doch die aktuelle belgische Ratspräsidentschaft lässt sich von den massiven Bedenken von Zivilgesellschaft, Jurist:innen und Wissenschaft nicht beirren und versucht nun doch noch eine Entscheidung kurz vor der Europawahl durchzudrücken.
Raider heißt jetzt Twix – sonst ändert sich nix
Konkret machen die Belgier eine Reihe neuer Vorschläge: Ähnlich wie im Digital Services Act oder dem AI Act sollen Diensteanbieter die Risiken, die von ihren Diensten für die Verbreitung von kindesmissbräuchlichen Materialien ausgeht, eigenständig bestimmen und an Aufsichtsbehörden melden. Dienstanbietern, deren Dienste ein „hohes Risiko“ darstellen, könnten demnach weitere Risikominimierungsmaßnahmen drohen, oder, als letztes Mittel, Anordnungen, um Inhalte zu scannen und Missbrauchsdarstellungen aufzudecken. Die Risikoeinschätzungen würden so zu einem Dreh- und Angelpunkt werden, wobei unklar ist, welche Faktoren zu einer hohen Risikoeinschätzung beitragen würden. Denkbar wäre, dass alle Dienste, die das Teilen bzw. Verbreiten von Inhalten oder verschlüsselte Kommunikation ermöglichen, grundsätzliche als hochrisikohaft gesehen würden. Gerade diese Dienste wissen schließlich nicht – das liegt in der Natur des durch Ende-zu-Ende Verschlüsselung geschützten Kommunikationsgeheimnisses – welche Inhalte über sie verschickt werden. Hinzu kommt, dass Aufdeckungsanordnugen nach wie vor breit und unverhältnismäßig wären und auch Personen mit keinerlei Verbindung zu zu kindesmissbräuchlichen Materialien treffen würden.
Andererseits wirbt die belgische Ratspräsidentschaft für „Flexibilität“ und Entgegenkommen der Mitgliedstaaten bei der Frage, wie mit Ende-zu-Ende verschlüsselter Kommunikation umzugehen ist. Hier schlägt sie vor, dass solche Kommunikation zwar gescannt werden soll, aber nur, wenn das nicht den Bruch von Ende-zu-Ende-Verschlüsselung zur Folge hätte. In der Sache schlägt Belgien mit neuer Verpackung damit nichts anderes als zuvor die Kommission und die spanische Ratspräsidentschaft vor: In dem das „Ende“ der Kommunikation, das jeweilige Endgerät (bspw. ein Smartphone) selbst zum Scanner wird, bliebe der verschlüsselte Kommunikationsvorgang zwischen den Endgeräten intakt („Client-Side-Scanning“). Der Sinn und Zweck von Ende-zu-Ende-Verschlüsselung wird damit allerdings vollständig aufgehoben. Sicherheitsforscher:innen sprechen deshalb zurecht davon, dass jedes Handy zur Wanze wird, die ihre:n Besitzer:in ausspäht.
Neben der weiteren Arbeit an der verpflichtenden Chatkontrolle hat der europäische Gesetzgeber außerdem inzwischen die Interimsverordnung bis April 2026 verlängert, die es Unternehmen wie Meta erlaubt, private Kommunikation freiwillig nach Abbildungen von Kindesmissbrauch zu durchsuchen. Das war angesichts des absehbaren Endes der Interimsverordnung im August 2024 und den stockenden Verhandlungen zur verpflichtenden Chatkontrolle notwendig geworden. Der Europäische Datenschutzbeauftragte hat die Verlängerung massiv kritisiert und bemängelt, dass die Maßnahme trotz der „allgemeinen und wahllosen Überwachung der privaten Kommunikation“ keine wirksame Strategie ist, um gegen Kindesmissbrauch vorzugehen. Zeitgleich lassen zwei Verfahren gegen Meta – initiiert vom EU-Parlamentarier Patrick Breyer und der Gesellschaft für Freiheitsrechte – die Rechtmäßigkeit der Interimsverordnung überprüfen.
Zugriff auf Ende-zu-Ende-verschlüsselte Kommunikation als Menschenrechtsverletzung
Rückenwind bekommen die Kritiker:innen der anlasslosen Massenüberwachung von Kommunikation aus Straßburg: Der Europäische Gerichtshof für Menschenrechte (EGMR) – nicht zu verwechseln mit dem Europäischen Gerichtshof (EuGH) der EU in Luxemburg – hat einmal mehr festgestellt, dass die umfassende russische Vorratsdatenspeicherung, die sowohl Metadaten als auch Inhaltsdaten umfasst, menschenrechtswidrig ist. Einen besonderen Schwerpunkt hat der Gerichtshof dabei auf den Zugriff auf Ende-zu-Ende-verschlüsselte Kommunikation gelegt. Weil auf diese Nachrichten nur zugegriffen werden kann, in dem „Backdoors“ (Hintertüren) in den Messenger-Apps eingerichtet werden, die die Verschlüsselung aller Nutzenden schwächen, sind die Maßnahmen unverhältnismäßig und verletzen das in der Europäischen Menschenrechtskonvention verbürgte Recht auf Privatsphäre der Nutzenden. Ein klarer Fingerzeig an den europäischen Gesetzgeber!
Weniger Verschlüsselung! Mehr Verschlüsselung!
Während sich die belgische Ratspräsidentschaft auf europäischer Ebene für mehr Überwachung und die Umgehung von Verschlüsselung engagiert (statt effektiven Kinderschutz zu stärken, der nicht alsbald von Gerichten gestoppt wird), gibt es vonseiten der Bundesregierung erfreulichere Neuigkeiten: Im BMDV wird derzeit an einem Gesetz für ein Recht auf Verschlüsselung gearbeitet. Damit sollen zukünftig Kommunikationsanbieter, wie Messenger und E-Mail-Anbieter, sowie Cloud-Services verpflichtet werden, für ihre Nutzenden Ende-zu-Ende-Verschlüsselung anzubieten.
Ein solches Recht wäre ein wichtiger Schritt, um den flächendeckenden Einsatz zu verschlüsselten Diensten weiter zu stärken. Derzeit hängt es noch zu oft von der technischen Kompetenz der Nutzenden ab, ob sie – aus technischer wie rechtlicher Perspektive – sicher und überwachungsfrei kommunzieren.
Wir fordern daher, dass die Bundesregierung der Chatkontrolle weiterhin eine klare Absage erteilt und sich dagegen stellt, sämtliche Kommunikation aller Bürger:innen unter Generalverdacht zu stellen. Vielmehr muss das Recht auf Verschlüsselung weiter gestärkt werden. Es ist höchste Zeit, sich auch auf europäischer Ebene für sichere Kommunikation für alle einzusetzen.