Trotz anhaltender Kritik hat die EU-Kommission am Mittwoch einen Entwurf für die geplante Chatkontrolle vorgelegt. Um die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder zu bekämpfen, sollen Messenger wie Whatsapp, Signal und Telegram, aber auch Host-Provider dazu verpflichtet werden, nach Missbrauchsmaterial zu suchen. Datenschützer warnen schon seit Monaten davor, dass die Maßnahme verschlüsselte Kommunikation unterwandern – und gleichzeitig am Ziel vorbeischießen würde. DER STANDARD beantwortet die wichtigsten Fragen zum Vorstoß der Union.

Frage: Die Verbreitung von Darstellungen des Kindesmissbrauchs zu stoppen ist doch unterstützenswert. Wieso wird das Vorhaben so scharf kritisiert?

Antwort: Es steht außer Frage, dass die Verbreitung von Missbrauchsmaterial bekämpft werden muss. Das Problem an der geplanten Chatkontrolle ist, dass sie de facto die Ende-zu-Ende-Verschlüsselung digitaler Kommunikation aushebeln dürfte. Diese schützt Nachrichten nur während des Transportwegs. Die EU will Unternehmen wie Whatsapp, Signal oder Telegram aber dazu verpflichten, eine Hintertüre in ihre Messenger-Dienste einzubauen, um am Smartphone auf die Inhalte zugreifen zu können. Ist ein solches System erst mal implementiert, könnte es in Zukunft auch für andere Zwecke verwendet werden.

Frage: Andere Zwecke?

Antwort: Aller Voraussicht nach dürfte eine automatisierte Suche nach Missbrauchsmaterial eingeführt werden. Wie genau das technisch aussehen wird, überlässt die Kommission den betroffenen Unternehmen. Wahrscheinlich ist jedoch, dass verschickte und empfangene Bilder mit einer Datenbank an Hashes abgeglichen werden. Dabei handelt es sich um digitale Fingerabdrücke, mit denen einschlägig bekanntes Missbrauchsmaterial entdeckt werden kann. Die Implementierung dieses Systems würde aber theoretisch ermöglichen, künftig auch nach anderen Parametern suchen. Der Hackerverein Chaos Computer Club (CCC) warnte deshalb schon, "dass sich die Rechteverwertungsindustrie für das System ebenso brennend interessieren wird wie demokratiefeindliche Regierungen".

Frage: Heißt das, die EU weiß selbst noch nicht, wie das System in Wirklichkeit aussehen soll?

Antwort: Im Entwurf heißt es hierzu nur, dass man betroffenen Unternehmen die Wahl der Technologien überlasse, "die zur wirksamen Erfüllung von Aufdeckungsanordnungen eingesetzt werden".

Frage: Und was passiert, wenn tatsächlich entsprechende Inhalte gefunden werden?

Antwort: Geplant ist die Einrichtung eines "EU Centre for Child Sexual Abuse" (EUCSA). Dieses soll nationalen Behörden beistehen, Risikobewertungen aufstellen und die Sperre von Inhalten anordnen können. Messenger oder Host-Provider müssen entdecktes Missbrauchsmaterial umgehend an das EUCSA melden, das anschließend überprüfen muss, ob tatsächlich ein Verdacht besteht oder nicht. Informationen können von dort entweder an die EU-Polizeibehörde Europol oder an nationale Strafverfolgungsbehörden in den Mitgliedsstaaten weitergeleitet werden. Verantwortlich ist stets jener Staat, in dem die betroffenen Unternehmen ihren Hauptsitz haben. Im Fall der größten Techkonzerne ist dies meist Irland.

Frage: Mit wem wird der EUCSA sonst noch kooperieren?

Antwort: Der Gesetzesentwurf sieht vor, dass das Zentrum neben den genannten Strafverfolgungsbehörden unter anderem mit Partnerorganisationen wie dem US National Centre for Missing and Exploited Children oder der International Association of Internet Hotlines (INHOPE) – also NGOs, die sexuelle Ausbeutung von Kindern bekämpfen – zusammenarbeitet. Die Aufgabe des EUCSA wird es außerdem sein, eine Datenbank mit Indikatoren, also Hashes, aufzubauen, anhand derer Missbrauchsinhalte erkannt werden können.

Frage: Wie soll trotz all dieser Maßnahmen die Privatsphäre von Nutzerinnen und Nutzern geschützt werden?

Antwort: Die EU-Kommission betont, dass das Gesetz auf den Schutz von Kindern abziele und "insbesondere deren Grundrechte auf Menschenwürde und Unversehrtheit" betreffe. Bei allen Maßnahmen müsse demnach das Wohl des Kindes an erster Stelle stehen. Man sei sich bewusst, dass die geplanten Maßnahmen die Grundrechte von Nutzerinnen und Nutzern entsprechender Dienste berühren, insbesondere das Recht auf Privatsphäre und jenes auf Meinungs- und Informationsfreiheit. "Keines dieser Rechte ist absolut, auch wenn sie von großer Bedeutung sind, und sie müssen im Zusammenhang mit ihrer Funktion in der Gesellschaft betrachtet werden", heißt es im Entwurf. Die Kommission nimmt also bewusst eine Einschränkung der Rechte fast aller Smartphone-User in Kauf.

Frage: Selbst wenn die EU oder nationale Regierungen das System nicht missbrauchen sollten: Wie kann sichergestellt werden, dass die Dienstleister keinen Unsinn treiben?

Antwort: Betroffene Unternehmen sollen laut dem Entwurf sicherstellen, dass sie bei der Suche nach Missbrauchsmaterial nicht selbst auf die angewandten Technologien zugreifen können. Dadurch solle eine "Beeinträchtigung der Sicherheit und Vertraulichkeit der Kommunikation" von Nutzern vermieden werden – eine Formulierung, die der Sicherheitsforscher Alec Muffet kritisiert. Auf Twitter paraphrasiert er den Absatz folgendermaßen: "Wir wollen eine Hintertür, aber wir wollen nicht, dass *jeder* sie benutzen kann. Nur wir guten Menschen."

Frage: Und was passiert, wenn ein Unternehmen nicht kooperieren will?

Antwort: Strafen für Nichteinhaltung der geplanten Maßnahmen sollen von den Mitgliedsstaaten festgelegt werden. Diese sollen "effektiv, proportional und abschreckend" sein. Dabei solle sichergestellt werden, dass die Maximalstrafe nicht sechs Prozent des jährlichen Gesamtumsatzes von Unternehmen überschreitet.

Frage: Der Entwurf wird sicherlich scharf kritisiert, oder?

Antwort: Die geplante Chatkontrolle sei laut dem Chaos Computer Club eine "fehlgeleitete Überwachungsmaßnahme". Täterinnen und Täter würden für die Verbreitung von Missbrauchsmaterial auf andere Kanäle setzen. Schon im März attestierten 39 Bürgerrechtsorganisationen der EU zudem, dass sie das Gesetz "zum Weltmarktführer bei der Massenüberwachung mache". Auch der Verband Österreichischer Internetprovider (ISPA) sieht mit dem Verordnungsverstoß alle Befürchtungen bestätigt. Laut ISPA-Präsident Harald Kapper sei das Vorhaben ein "Frontalangriff auf die IT-Sicherheit und das Grundrecht auf Privatsphäre". Laut der Datenschützerin Ella Jakubowska sei zudem das "Recht auf Privatleben und die Vertraulichkeit der Online-Kommunikation" gefährdet.

Frage: Wie geht es jetzt weiter?

Antwort: Der Entwurf wird im nächsten Schritt an das EU-Parlament übermittelt. Dieses wird einen Ausschuss zur Bearbeitung des Vorschlags einrichten und kann Änderungen vorschlagen, bevor es eine finale Position bekanntgibt. Erst dann gehen die Verhandlungen in den Trilog zwischen Kommission, Rat und Parlament. Bis die Regulierung tatsächlich in Kraft treten wird, dürfte es also noch länger dauern. Ob die Chatkontrolle tatsächlich in dieser Form umgesetzt wird, bleibt also abzuwarten. (Mickey Manakas, 11.5.2022)