Chatkontrolle: Mit Grundrechten unvereinbar
Mit der Chatkontrolle Verordnung soll sexuelle Gewalt gegen Kinder bekämpft werden. In diesem Blogpost erklären wir, warum der Entwurf eine Gefahr für die Grundrechte ist.
Der Verordnungsentwurf der EU-Kommission zur Chatkontrolle wird derzeit im Europäischen Parlament und im Ministerrat verhandelt. Der Entwurf verfolgt mit der Bekämpfung sexueller Gewalt gegen Kinder ein Ziel, das für den Schutz von Kindern und ihrer Rechte essenziell ist und Grundrechtseingriffe rechtfertigen kann. An der Effektivität der vorgeschlagenen Maßnahmen bestehen jedoch erhebliche Zweifel. Wir sind davon überzeugt, dass der Entwurf in entscheidenden Punkten gegen die EU-Grundrechtecharta verstößt. Die fünf wichtigsten grundrechtlichen Einwände gegen den Vorschlag zur Chatkontrolle haben wir hier zusammengefasst.
Die Chatkontrolle verletzt das Recht auf Privatsphäre
Der Vorschlag der EU-Kommission sieht eine ganze Reihe an Pflichten für bestimmte Online-Dienste wie Internetzugangsanbieter, App-Stores, Hosting-Plattformen und interpersonelle Kommunikationsdienste vor. Interpersonelle Kommunikationsdienste sind beispielsweise E-Mail-Dienste wie GMail oder Instant Messaging-Dienste wie WhatsApp. Mit „Chatkontrolle“ wird oftmals umgangssprachlich der gesamte Verordnungsentwurf der EU-Kommission bezeichnet. Bei Chatkontrolle im engeren Sinne handelt es sich um den Teil des Gesetzesentwurfs, wonach Behörden Anbieter von Kommunikationsdiensten wie WhatsApp zur Überwachung privater Kommunikation verpflichten können. Dabei handelt es sich um einen besonders schwerwiegenden Eingriff in das Recht auf Privatsphäre und auf den Schutz personenbezogener Daten (Art. 7 und 8 der EU-Grundrechtecharta): Die Überwachung findet anlasslos statt und umfasst den Inhalt der Nachrichten – anders als die ebenfalls grundrechtswidrige Vorratsdatenspeicherung. Diese ist auf Metadaten beschränkt – also auf Informationen darüber, wer zu welchem Zeitpunkt mit wem kommuniziert hat.
Behörden können sogenannte „Aufdeckungsanordnungen“ gegen Anbieter von interpersonellen Kommunikationsdiensten verhängen. Darunter versteht man, dass Behörden z.B. Messenger-Dienste dazu verpflichten können, die Kommunikation all ihrer Nutzer*innen zu überwachen. Dafür reicht aus, dass die Behörde ein erhebliches Risiko festgestellt hat, dass der betroffene Dienst für die Verbreitung sexueller Gewaltdarstellungen genutzt wird. Aufdeckungsanordnungen müssen sich nicht auf die Überwachung der Kommunikation bestimmter Nutzer*innen beschränken, die konkret unter Verdacht stehen. Stattdessen können Behörden anordnen, dass alle Kommunikationsinhalte aller Nutzer*innen des Dienstes präventiv überwacht werden. Es handelt sich also um anlasslose Massenüberwachung.
Eine solche behördliche Anordnung kann Diensteanbieter dazu verpflichten, Inhalte nach bekannten sowie unbekannten Darstellungen sexueller Gewalt gegen Kinder zu filtern. Darüber hinaus sollen Anbahnungsversuche Erwachsener gegenüber Minderjährigen (Grooming) erkannt werden. Auf diese Weise ermittelte Inhalte müssen die Diensteanbieter an ein neu zu schaffendes EU-Zentrum ausleiten, das die Informationen nach einer Plausibilitätsprüfung an die Strafverfolgungsbehörden der Mitgliedstaaten weitergibt. Auch wenn den Diensteanbietern freigestellt wird, welche Technologien sie einsetzen, um der behördlichen Anordnung nachzukommen, müssen diese Technologien in jedem Fall in der Lage sein, die Kommunikationsinhalte zu analysieren. Um bekannte Darstellungen sexueller Gewalt gegen Kinder aufzudecken genügt womöglich noch ein automatisierter Abgleich von versendeten Mediendateien mit einer Referenzdatenbank. Um unbekannte Darstellungen sexueller Gewalt und Grooming zu erkennen, muss maschinelles Lernen zum Einsatz kommen, das die Kommunikationsinhalte analysiert. Diese Verfahren sind besonders fehleranfällig: Sie geben anhand von Mustern in der analysierten Kommunikation lediglich eine Schätzung darüber ab, um was für einen Inhalt es sich handeln könnte – ohne den Inhalt oder den Gesprächskontext tatsächlich zu verstehen. Der Europäische Gerichtshof hat in seiner Rechtsprechung zur Vorratsdatenspeicherung durchblicken lassen, dass eine anlasslose Massenüberwachung von Kommunikationsinhalten den Wesensgehalt des Rechts auf Privatsphäre verletzen würde.
Anlasslose Massenüberwachung ist mit dem Schutz von Privatsphäre und Datenschutz nach der EU-Charta unvereinbar, egal ob es um verschlüsselte oder unverschlüsselte Kommunikation geht. Im Zentrum der öffentlichen Kritik an der Chatkontrolle steht jedoch, dass diese keine Ausnahme für Kommunikationsdienste vorsieht, die eine Ende-zu-Ende-Verschlüsselung anbieten. Diese Dienste zeichnen sich dadurch aus, dass ausschließlich die an einer privaten Unterhaltung beteiligten Personen die Kommunikationsinhalte lesen können. Immer mehr Menschen greifen gezielt auf Ende-zu-Ende-verschlüsselte Messenger zurück, um sich zu schützen. Erhält der Anbieter eines solchen Messengers eine behördliche Anordnung, kann er diese nicht mit der Begründung zurückweisen, dass er die Kommunikationsinhalte gar nicht mitlesen kann. Verschlüsselung sei zwar wichtig, heißt es in dem Entwurf der EU-Kommission lapidar. Die Diensteanbieter dürften aber nur zwischen solchen Technologien wählen, die ihnen erlauben, die illegalen Inhalte aufzuspüren. Mit anderen Worten: Diensteanbieter, die Ende-zu-Ende-Verschlüsselung ohne Hintertüren anbieten, können behördliche Anordnungen nicht umsetzen und kommen so in Konflikt mit dem Gesetz. Die Aufhebung von Ende-zu-Ende-Verschlüsselung verstärkt die Intensität der Grundrechtseingriffe, die von der anlasslosen Massenüberwachung ausgehen.
Es drohen Chilling Effects für die Kommunikationsgrundrechte
Bereits mehrfach hat der Europäische Gerichtshof angemahnt, dass eine anlasslose Massenüberwachung sich mittelbar negativ auf die Meinungsfreiheit (Art. 11 EU-Grundrechtecharta) auswirkt: Kommunikationsteilnehmer*innen werden darin gebremst, ihre Meinung frei zu äußern, wenn sie sich der Vertraulichkeit ihrer Kommunikation nicht sicher sein können. Das trifft insbesondere Berufsgeheimnisträger*innen wie Journalist*innen bei der Kommunikation mit ihren Quellen, Whistleblower*innen und Oppositionelle. Diese Gefahr wird verstärkt, wenn die Chatkontrolle-Verordnung, wie von der EU-Kommission vorgeschlagen, die Ende-zu-Ende-Verschlüsselung von Messenger-Diensten angreift. Die genannten Personenkreise greifen aus gutem Grund auf solche Messenger zurück. Wird ihnen diese Möglichkeit genommen, weil Diensteanbieter die Verschlüsselung umgehen müssen, ist mit erheblichen „Chilling Effects“, also einer Abschreckungswirkung für die Ausübung der Kommunikationsgrundrechte, zu rechnen.
Dieser Effekt tritt unabhängig davon ein, ob Diensteanbieter private Kommunikationsinhalte durch eine Hintertür in der Verschlüsselungstechnik überwachen oder durch eine der Verschlüsselung vorgeschaltete Ausleuchtung der Inhalte auf dem Endgerät der Nutzer*innen realisieren (Client-Side Scanning). Die Kommunikationsteilnehmer*innen erwarten, dass ihre Kommunikation vertraulich bleibt – und zwar schon in dem Moment, in dem sie eine Nachricht in das Chatprogramm auf ihrem Handy eingeben – nicht erst in dem Moment, in dem diese Nachricht an deren Adressat*in zugestellt wird. Entscheidend ist, dass die Erwartung in die Vertraulichkeit und Integrität des Kommunikationsprozesses derart erschüttert ist, dass die Betroffenen sich gezwungen sehen, die Ausübung ihrer Kommunikationsfreiheiten selbst einzuschränken.
De-facto-Filterpflicht für Hostinganbieter ohne verfahrensrechtliche Garantien
Die geplanten Pflichten für Messenger stehen unter dem Schlagwort „Chatkontrolle“ im Zentrum der öffentlichen Kritik an dem Verordnungsentwurf. Doch auch die geplanten Auflagen für Hostingdienste, die im Auftrag ihrer Nutzer*innen fremde Inhalte speichern, halten einer grundrechtlichen Prüfung nicht stand. Zu den Hostingdiensten gehören sowohl solche, die Inhalte Dritter für die Allgemeinheit öffentlich zugänglich machen (Plattformen wie YouTube, Hostingdienste öffentlicher Webseiten) als auch solche, die ihren Kund*innen einen privaten Cloudspeicher anbieten (Dropbox, iCloud Drive). Auch Mischformen zählen dazu, bei denen Inhalte nur einem bestimmten geschlossenen Personenkreis zugänglich sind (private Accounts auf Twitter, geschlossene Gruppen auf Facebook, Hoster zugangsbeschränkter Organisationswebseiten). Soweit sich die geplanten Pflichten für Hostinganbieter auf nichtöffentliche Inhalte beziehen, ist die unter 1. und 2. beschriebene Gefährdung der Privatsphäre und der Meinungsfreiheit auch für die Hostingdienste einschlägig. Hinzu kommen spezifische Probleme: Viele der vorgesehenen verfahrensrechtlichen Hürden für Aufdeckungsanordnungen können bei Hostingdiensten ins Leere laufen. Das liegt an den unterschiedlichen Privatsphäre-Regeln für Kommunikation auf Messengern und Hostingdiensten.
Hostingdienste (einschließlich privater Cloudspeicher-Anbieter wie Google oder Dropbox) können nicht nur nach der Chatkontrolle-Verordnung zum Scannen privater Inhalte verpflichtet werden, sie können Inhalte auch freiwillig durchsuchen. Die Chatkontrolle-Verordnung sieht vor, dass alle Diensteanbieter zunächst eine eigene Risikoanalyse vornehmen müssen, ob ihre Dienste das Risiko bergen, für sexuelle Gewalt gegen Kinder missbraucht zu werden. Nur wenn ein Diensteanbieter aus Sicht der Behörden auf diese Risikoanalyse mit unzureichenden Maßnahmen reagiert, verhängen sie eine Aufdeckungsanordnung. Im Rahmen dieser selbst gewählten Maßnahmen kann es dazu kommen, dass Anbieter von Hostingdiensten auf fehleranfällige Filter zur Überwachung privater Kommunikation zurückgreifen – die Grundrechte der Nutzer*innen werden dabei nicht berücksichtigt.
Darin unterscheiden sich Hostingdienste von Messenger-Diensten: Messenger- und Mail-Programme wie Whatsapp, Signal und Google Mail fallen unter die e-Privacy-Richtlinie, die diesen Diensteanbietern grundsätzlich verbietet, private Kommunikationsinhalte ihrer Nutzer*innen zu überwachen. Eine bislang geltende temporäre Ausnahme von diesem Verbot, die ihrerseits schwerwiegenden grundrechtlichen Bedenken begegnet, soll durch die Chatkontrolle-Verordnung ersetzt werden. Nach Inkrafttreten der Chatkontrolle-Verordnung dürfen Messenger und Mail-Programme nur noch auf Grundlage einer behördlichen Anordnung auf private Kommunikationsinhalte zugreifen.
Für Hostinganbieter wie beispielsweise private Cloudspeicher gilt die e-Privacy-Richtlinie mit dem Verbot der Überwachung privater Kommunikation dagegen nicht.
Für Hostinganbieter wird es regelmäßig attraktiv sein, durch „freiwillige“ Maßnahmen einer behördlichen Anordnung zu entgehen. Auf diese Weise behalten die Unternehmen mehr Kontrolle – auch über die Kosten. Denn der Anreiz ist groß, auf kostspielige Maßnahmen zum Schutz der Nutzer*innen-Grundrechte zu verzichten. Ein wahrscheinliches Szenario ist also, dass Hostingdienste „freiwillig“ fehleranfällige Filterprogramme einsetzen, ohne dass die für behördliche Aufdeckungsanordnungen vorgesehenen verfahrensrechtlichen Garantien zum Tragen kommen.
Eine Behörde muss vor der Verhängung einer Anordnung das von dem Dienst ausgehende Risiko mit dem Eingriff in die Kommunikations-Grundrechte der Nutzer*innen abwägen. Der Europäische Gerichtshof hat diesbezüglich enge Grenzen für den verpflichtenden Einsatz von Filtersystemen definiert. Diese sind nur dann mit dem Verbot allgemeiner Überwachungspflichten vereinbar, wenn die Filter so fehlerfrei funktionieren, dass die Diensteanbieter die Inhalte nicht “eigenständig inhaltlich beurteilen müssen”. Zumindest im Fall von unbekanntem Material und der Kontaktanbahnung mit Kindern (Grooming) sind die Filtersysteme hierzu nicht in der Lage. Wenn ein Hostingdienst „freiwillig“ im Rahmen seiner Pflicht zur Risikominimierung Inhalte filtert, findet eine staatliche Abwägung, ob die Filtersysteme überhaupt den grundrechtlichen Anforderungen genügen, nicht statt. Die Folge können unzulässige Accountsperrungen oder falsche Meldungen an Strafverfolgungsbehörden sein, wie bereits mehrfach geschehen.
Geplante Netzsperren erfordern Überwachung des Surfverhaltens
Der Verordnungsentwurf sieht Sperrverpflichtungen für Internetzugangsanbieter vor, die sich auf einzelne Webseiten (URLs) beziehen. Vor Erlass einer Sperranordnung sollen Internetzugangsanbieter den Behörden Informationen über den Zugriff von Nutzer*innen auf die betreffende URL übermitteln. Um die nötigen Informationen über den Aufruf einzelner URLs erheben und an Behörden ausleiten zu können, müssten Internetzugangsanbieter das Surfverhalten all ihrer Kund*innen präventiv und flächendeckend überwachen. Das wäre aber mit dem Verbot allgemeiner Überwachungspflichten und mit dem Grundrecht auf Privatsphäre unvereinbar. Diese Informationen sind für die Internetzugangsanbieter obendrein technisch unzugänglich, wenn die URL durch die Verwendung des https-Protokolls in verschlüsselter Form aufgerufen wird. Inzwischen verwenden fast alle Webseiten https, um sicherzustellen, dass beispielsweise Adress- oder Kreditkartendaten, die Nutzer*innen in Webformulare eingeben, verschlüsselt übertragen werden. Der flächendeckende Einsatz von https wird vom Bundesamt für Sicherheit in der Informationstechnik empfohlen.
Auch eine gezielte Sperrung von einzelnen URLs ist den Internetzugangsanbietern ohne eine Aufgabe der https-Verschlüsselung und die Überwachung der Kommunikationsinhalte nicht möglich. DNS-Sperren sind für die geplante Sperrung einzelner URLs nicht geeignet, denn sie betreffen stets ganze Domains. Eine DNS-Sperre, die gegen eine Missbrauchsdarstellung auf einer Sharehosting-Plattform gerichtet ist, würde auch alle anderen Inhalte des Sharehosters betreffen und damit den Anforderungen des Europäischen Gerichtshofs an die Zielgerichtetheit von Netzsperren nicht entsprechen. In der Praxis besteht also eine erhebliche Gefahr, dass Internetzugangsanbieter die Sperranordnungen entweder zulasten der Meinungs- und Informationsfreiheit übererfüllen, indem sie eine ganze Domain mittels DNS sperren. Oder sie müssen beim Versuch einer zielgenauen Sperrung die Sicherheit der Onlinekommunikation mittels https aufgeben und das Surfverhalten ihrer Kund*innen überwachen.
Altersverifikation birgt Gefahren für Kommunikationsfreiheit
Der Verordnungsentwurf sieht vor, dass alle Anbieter von Messenger- und Mail-Programmen, die für Grooming in Betracht kommen, das Alter ihrer Nutzer*innen verifizieren müssen. Das festgestellte Risiko muss dabei nicht erheblich sein – die Verpflichtung zur Altersverifizierung würde also grundsätzlich für alle Mail- und Messengerdienste gelten, die Kommunikation zwischen Minderjährigen und Erwachsenen ermöglichen. Darüber hinaus trifft die Pflicht zur Altersverifizierung auch alle Anbieter von App-Stores. Diese müssen darüber hinaus verhindern, dass minderjährige Nutzer*innen Apps überhaupt herunterladen können, von denen ein erhebliches Risiko ausgeht, für Grooming genutzt zu werden.
Zur Altersverifizierung wählen Diensteanbieter zwischen Verfahren zur Altersbeurteilung (beispielsweise KI-gestützte Gesichtsanalyse, wie sie Instagram bereits einsetzt) und solchen zur Altersfeststellung (mittels eines Ausweisdokuments oder eines digitalen Identitätsnachweises). Beide Verfahren sind für die Nutzer*innen äußerst eingriffsintensiv. Die Feststellung des Alters über Ausweispapiere kommt einem Verbot der anonymen Internetnutzung nahe. Die KI-gestützte Gesichtsanalyse wiederum wird von Diensteanbietern gerne auf externe Firmen ausgelagert, über deren Umgang mit diesen besonders sensiblen personenbezogenen Daten die Nutzer*innen kaum Kontrolle haben. Kommt die Technologie zu einer falschen Einschätzung, können außerdem auch jung aussehende Erwachsene von der Nutzung bestimmter Apps ausgeschlossen werden. Wer über keine Ausweispapiere verfügt oder seine biometrischen Daten keinem Unternehmen anvertrauen will, wird von elementarer Kommunikationstechnologie ausgeschlossen. Ein modernes Smartphone ohne App-Store zu nutzen ist kaum möglich. Auch ein Verzicht auf Messenger-Dienste ist gerade für Menschen, die aus gutem Grund besonderen Wert auf eine anonyme Internetnutzung legen (Whistleblower*innen, Betroffene von Stalking, politisch Verfolgte), unzumutbar. Im Gegensatz zu Diensteanbietern können Nutzer*innen außerdem nicht immer zwischen verschiedenen Verfahren der Altersverifikation wählen.
Für minderjährige Nutzer*innen (insbesondere für Jugendliche) kommt hinzu, dass ihre Kommunikationsgrundrechte empfindlich eingeschränkt werden, wenn App-Stores ihnen kategorisch verweigern, bestimmte Apps zu installieren, ohne dass eine Abwägung dieser Rechte gegen das von der App ausgehende Risiko für minderjährige Nutzer*innen stattgefunden hat. Durch die starke Marktkonzentration in diesem Bereich sind die Möglichkeiten zum Ausweichen auf einen alternativen App-Store begrenzt.