Ende-zu-Ende-Verschlüsselung weiterhin durch geplante EU-Verordnung in Gefahr

Die Gesellschaft für Informatik ruft die Bundesregierung auf, der Position des EU-Rates zur Verordnung über Kindesmissbrauch nicht zuzustimmen, weil sie weiterhin die Gefahr für anlasslose Massenüberwachung privater Kommunikation birgt und es viel wirkungsvollere Maßnahmen für effektiven und zielgerichteten Kinderschutz gibt.

Die geplante EU-Verordnung zur Verhinderung und Bekämpfung von sexuellem Kindesmissbrauch ("Child Sexual Abuse" (CSA)) sieht weiterhin das sogenannte Client-Side-Scanning vor, wie aktuelle Arbeitsdokumente aus dem Rat der Europäischen Union zeigen (WK-3036-REV-1 und REV-2). Dies unterminiere eine effektive Ende-zu-Ende-Verschlüsselung und berge die erhebliche Gefahr anlassloser Massenüberwachung privater Kommunikation. Die Gesellschaft für Informatik e.V. (GI) hat das wiederholt kritisiert (u.a. im September 2023), zuletzt im Rahmen eines offenen Briefes an die EU-Mitgliedsstaaten. Deshalb fordert die GI die Bundesregierung auf, bei ihrem Standpunkt zu bleiben und die CSA-Verordnung in der aktuellen Form abzulehnen.

Dr. Martin Weigele, Sprecher des GI-Arbeitskreises Datenschutz und IT-Sicherheit: "Der neue Vorschlag des EU-Rats bringt keine substantiellen Verbesserung bezüglich der Kritikpunkte mit sich. Insbesondere die Ermächtigung zur anlasslosen Überwachung privater Kommunikation aller Bürgerinnen und Bürger in der EU wird beibehalten. Deshalb halten wir unsere Kritik aufrecht und fordern die Bundesregierung auf, sich auch weiterhin gegen die Initiative zu stellen."

Gemeinsam mit anderen zivilgesellschaftlichen Organisationen und Expert*innen sieht die GI insbesondere drei Punkte äußerst kritisch:

1. Zwar enthält der neue Vorschlag der belgischen EU-Präsidentschaft Passagen, wonach Provider nicht gezwungen werden sollen, auf Verschlüsselung zu verzichten oder Daten zu entschlüsseln (Art. 1, Abs. 5). Allerdings sind weiterhin Generalklauseln enthalten, die die Überwachung auf das Scannen unverschlüsselter Daten in den Endgeräten (Client-Side-Scanning) verlagert und so die eigentlich sichere Ende-zu-Ende-Verschlüsselung aushebelt: Die Provider werden verpflichtet, auf Anforderung eine Späh- und Überwachungsfunktion zu installieren (Art. 10, Abs. 1 und Art. 50, Abs. 1a). Auch wurde das Verbot zur Umgehung von Verschlüsselung gestrichen (Art. 1, Abs. 5 durch Streichung des Begriffes "Circumvention"). Damit wäre das Problem mangelnden Schutzes vor Ausspähung lediglich verlagert.
2. Die Differenzierung zwischen Hochrisikodiensten und anderen Diensten hilft nicht beim Schutz legitimer Kommunikation, weil alle Dienste, die durch Ende-zu-Ende-Verschlüsselung geschützt werden, potenziell als Hochrisikodienste eingestuft werden (siehe WK-3036-REV-2.pdf, Kapitel 2.B). Ohnehin ist die Auswahl eines genutzten Dienstes keine Rechtfertigung für die anlasslose Überwachung unbescholtener Nutzer.
3. Dass Chats erst ab zwei Meldungen der (äußerst unzuverlässigen) Bilderkennungsalgorithmen gemeldet werden sollen, hilft nicht gegen unbegründeten Alarm, weil falsch gemeldete Strandbilder oder einvernehmlicher Austausch pornografischer Bilder oder Videos ("Sexting") wohl selten nur einzelne Fotos umfassen.

Im Ergebnis muss leider festgestellt werden, dass der neuerliche Vorschlag der EU-Präsidentschaft keine substantiellen Veränderungen bezüglich der zentralen Kritikpunkte mit sich bringt. Insbesondere die Ermächtigung zur anlasslosen Überwachung privater Kommunikation unbescholtener Bürger*innen wird beibehalten. Die GI unterstreicht ihre Kritik und fordert die Bundesregierung auf, für Grund- und Menschenrechte einzustehen und den aktuellen Entwurf der CSA-Verordnung abzulehnen. Stattdessen wünschen wir uns effektiven und zielgerichteten Kinderschutz, wie ihn zahlreiche Expert*innen und Bürgerrechts- und Kinderschutzorganisationen fordern.