Letzte Woche hat die britische Regierung in einer Erklärung im House of Lords eingestanden(neues Fenster), dass Teile des umstrittenen Online-Sicherheitsgesetzes möglicherweise technisch nicht durchsetzbar sind, ohne die Ende-zu-Ende-Verschlüsselung zu brechen. Dies erhielt zu Recht viel Aufmerksamkeit, da es eine bedeutende Veränderung in der Haltung der britischen Regierung darstellte.
Das Gesetz in seiner aktuellen Fassung würde von Technologieunternehmen verlangen, Nachrichten auf missbräuchliche Inhalte zu scannen. Jedoch haben Proton und andere Datenschutzaktivisten wiederholt erklärt(neues Fenster), dass es keinen Weg gibt, dies zu tun, ohne die Ende-zu-Ende-Verschlüsselung für alle zu zerstören. Obwohl die Stellungnahme der Regierung keine rechtlichen Änderungen am Text vornahm (was wir immer noch für entscheidend halten), stellte sie dennoch einen wichtigen Sieg dar, indem sie zugab, dass es keine Technologie gibt, die die Online-Aktivitäten aller überwachen kann, während sie gleichzeitig Sicherheit und Privatsphäre bietet. Damit rückte das Vereinigte Königreich in Einklang mit dem seit langem bestehenden Expertenkonsens, und jegliche gegenteilige Behauptungen sind eine Illusion.
Leider hat die Europäische Kommission keine solche öffentliche Anerkennung gezeigt, während sie weiterhin ihren Vorschlag vorantreibt, der gemeinhin als Chat-Kontrolle bezeichnet wird. Chat-Kontrolle ist vorgeblich eine Maßnahme zur Bekämpfung von sexuellem Missbrauch von Kindern, über den wir uns alle einig sind, dass er abscheulich ist. Anstatt sich jedoch auf Personen zu konzentrieren, die verdächtigt werden, sich an diesen kriminellen Aktivitäten zu beteiligen, geht der Text davon aus, dass jeder, der einen bestimmten Dienst nutzt, per se schuldig ist – nicht, weil er etwas Falsches getan hat, sondern weil er einen bestimmten Dienst nutzt.
Verbrechensbekämpfung unter Wahrung der Privatsphäre
Das ist ein erheblicher Unterschied zu justiziellen Maßnahmen in der Offline-Welt. Es gibt viele Wege, Kriminalität online zu bekämpfen, ohne die Rechte eines ganzen Kontinents zu verletzen. Der Entwurf der Europäischen Kommission geht sogar noch weiter als die Pläne des Vereinigten Königreichs und umfasst Bestimmungen, die effektiv die Ende-zu-Ende-Verschlüsselung für eine noch breitere Auswahl an Diensten verbieten könnten, einschließlich Messenger, E-Mail-Anbieter, Dateispeicherdienste und andere Plattformen.
Wie das Online-Sicherheitsgesetz versucht auch die Chat-Kontrolle, das ernste Problem illegaler Inhalte anzugehen, indem sie ein anderes ernstes Problem schafft: die Zerstörung des Rechts auf Privatsphäre.
Juristen verschiedener europäischer Institutionen haben bereits unverblümt gesagt(neues Fenster), dass die Chat-Kontrolle „de facto zu einer permanenten Überwachung aller zwischenmenschlichen Kommunikationen führen würde“, was in der EU illegal ist. Während der Rat und das Parlament in den kommenden Wochen ihre Position zum Vorschlag der Europäischen Kommission überdenken, ist es entscheidend, dass die Gesetzgeber in Brüssel und den europäischen Hauptstädten nun den rechtlichen Empfehlungen folgen und den Text entsprechend ändern.
Was sie mit ‚permanenter Überwachung‘ meinen
Seit Jahren zielen Regierungen weltweit im Namen der nationalen Sicherheit, der Terrorismusbekämpfung oder des Kinderschutzes auf Technologieunternehmen ab. Unabhängig vom Grund basieren ihre vorgeschlagenen Lösungen allzu oft auf irgendeiner Form von Massenüberwachung oder Hintertüren zur Verschlüsselung.
Es ist die gleiche Geschichte mit dem Online-Sicherheitsgesetz und der Chat-Kontrolle. Jeder Vorschlag ermächtigt Regulierungsbehörden, Unternehmen zu zwingen, ihre eigene Verschlüsselung durch Client-Side-Scanning zu brechen — eine Methode, Nachrichten zu scannen, bevor sie an den Empfänger gesendet werden — oder eine andere hypothetische Technologie, die in der Realität nicht existiert. Das Problem ist, dass es keinen Weg gibt, diese Methoden umzusetzen, während die Privatsphäre gewahrt bleibt.
Wenn du die Ende-zu-Ende-Verschlüsselung auf deiner Plattform für eine Person brichst, brichst du sie für alle. Das zerstört nicht nur das Vertrauen der Kunden in deinen Dienst, sondern lädt auch Hacker ein, Schwachstellen zu finden und so viele Daten wie möglich zu stehlen. Es gibt keine Hintertür, die nur den Guten Einlass gewährt.
Die Ironie dabei ist, dass das Brechen der Verschlüsselung auf den beliebtesten Plattformen illegale Aktivitäten online nicht verhindern wird. Kriminelle werden einfach auf andere sichere, nicht kooperative Plattformen umsteigen oder ihre eigene Verschlüsselungssoftware (von der vieles Open Source ist) nutzen, um ihre illegalen Aktivitäten außerhalb der öffentlichen Aufmerksamkeit fortzusetzen.
Für Sicherheit und Datenschutz in der EU
Proton hat es deutlich gemacht: Wir würden rechtliche Schritte einleiten, sollten wir eine Anfrage erhalten, unsere Verschlüsselung zu brechen. Abgesehen von der Tatsache, dass diese Anfragen nach europäischem Recht sehr wahrscheinlich illegal wären und uns Grund für rechtliche Schritte geben würden, wäre es für uns inakzeptabel, unsere Verschlüsselung und die Sicherheit aller Nutzer, Unternehmen und Organisationen, die auf uns setzen, sowohl in der EU als auch weltweit, zu untergraben.
Aber wir geben die Hoffnung nicht auf, dass das Europäische Parlament und der Rat das Richtige tun werden. Wir wissen durch Gespräche mit Gesetzgebern in Brüssel, dass es eine wachsende Opposition gegen die Vorschläge gibt und ein Verständnis für die Gefahren, die der Gesetzentwurf darstellt.
Jedoch ist „Verständnis“ allein nicht ausreichend. Der Rat und das Parlament arbeiten derzeit an ihren jeweiligen Positionen und werden diese voraussichtlich in den kommenden Wochen annehmen. Es ist entscheidend, dass sie den aktuellen wissenschaftlichen und technologischen Stand berücksichtigen und den Text durch Einführung starker Sicherheitsvorkehrungen für Verschlüsselung, Ende-zu-Ende-Verschlüsselung und allgemeine Grundrechte ändern.
Europa hat dank der DSGVO einen weltweiten Datenschutzstandard gesetzt und hat mit NIS2 auch eine führende Position in der Cybersicherheit und Unterstützung für Verschlüsselung. Die EU muss auf dieser Führungsrolle aufbauen, statt sie zu untergraben. Es ist durchaus möglich, Verbrechen zu bekämpfen, während gleichzeitig Privatsphäre und Verschlüsselung gewahrt werden. Wir müssen eine Balance zwischen dem Schutz der Gesellschaft und dem Schutz von Bürgerrechten finden.