ChatControl: Der EU-Gesetzentwurf, der alle privaten Nachrichten scannen will

Introduction (Einleitung)

• Die EU treibt mit ChatControl einen Gesetzentwurf voran, der alle Messaging-Plattformen dazu verpflichten würde, private Nachrichten und Bilder automatisch zu scannen.
• Das Gesetz würde auch für Apps mit Ende-zu-Ende-Verschlüsselung (E2EE) wie Signal oder WhatsApp gelten; ein Opt-out ist nicht möglich.
• Offiziell wird dies mit der Bekämpfung von Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) begründet, könnte aber einen Präzedenzfall für Massenüberwachung von 450 Millionen Europäern schaffen.
• Auch andere Länder wie die Schweiz und das Vereinigte Königreich führen ähnliche Überwachungsgesetze ein und öffnen damit unter dem Vorwand des Kinderschutzes die Tür für weitergehende Überwachung.

What is ChatControl (Was ist ChatControl)

• Kritiker bezeichnen den Gesetzentwurf als Verordnung zur Prävention und Bekämpfung sexuellen Kindesmissbrauchs (CSAR).

• Der Vorschlag macht freiwillige Überwachung durch Unternehmen zu einer staatlichen Pflicht und wurde vorgelegt, nachdem die Übergangsverordnung von 2021 ausgelaufen war.

• Langfristig zielt er darauf ab, über die „Roadmap for Lawful Access to Data“ sämtlichen digitalen Datenbestand für Behörden einsehbar zu machen.

• Scope and Coverage (Umfang und Geltungsbereich)

  • Die Regulierung gilt nicht nur für Messaging-Apps, sondern für alle Anbieter privater Kommunikationsdienste, darunter E-Mail, Dating-Apps, Gaming-Plattformen, soziale Medien, File-Hosting-Dienste (wie Google Drive).
  • Das bedeutet, dass nahezu jeder digitale Dienst, über den Inhalte geteilt werden, der Überwachung unterliegt.

How it Works (Wie es funktioniert)

• ChatControl beruht auf „Client-Side Scanning“. Dabei werden Inhalte auf dem Gerät des Nutzers analysiert, bevor die Nachricht verschlüsselt wird.

• Anders als bei klassischer Überwachung werden damit alle Nachrichten automatisch geprüft, was das Prinzip der Unschuldsvermutung umkehrt.

• Technical Implementation (Technische Umsetzung)

  • Das System scannt vor der Verschlüsselung drei Arten von Inhalten: bekannte illegale Inhalte (Hash-Abgleich), unbekannte potenziell illegale Inhalte (KI-Analyse) und Grooming-Verhalten (Textanalyse).
  • Werden verdächtige Inhalte erkannt, erfolgt automatisch eine Meldung an die Behörden.

• Why This Breaks Encryption (Warum dies Verschlüsselung aushebelt)

  • ChatControl „umgeht“ Verschlüsselung. Nachrichten sind während der Übertragung zwar verschlüsselt, ihr Inhalt wurde jedoch bereits zuvor analysiert, wodurch der Zweck von Ende-zu-Ende-Verschlüsselung (E2EE) entwertet wird.
  • Die Technik macht verschlüsselte Messaging-Apps zu Spyware.

• Governance Structure (Governance-Struktur)

  • Laut Vorschlag würde ein zentrales EU-Zentrum gegen sexuellen Kindesmissbrauch die Meldungen erhalten, die Scantechnologie selbst stünde jedoch nicht unter Kontrolle von EU-Behörden.
  • Diensteanbieter müssten detaillierte Informationen über Nutzer erfassen und außerdem verpflichtende Systeme zur Altersverifikation einführen.
  • Bemerkenswert ist, dass der Entwurf eine Ausnahme für staatliche Konten vorsieht, die für „nationale Sicherheit, die Wahrung der öffentlichen Ordnung oder militärische Zwecke“ genutzt werden.

Real-World Impact (Auswirkungen in der Praxis)

• Encryption Concerns (Bedenken zur Verschlüsselung)

  • Der Entwurf greift die alte Behauptung wieder auf, Verschlüsselung sei ein Hindernis für Ermittlungen.
  • Er untergräbt das nach den Enthüllungen von Edward Snowden gewachsene Bewusstsein für ein Recht auf Verschlüsselung und könnte zur Schaffung eines Instruments zur Überwachung der Gesamtbevölkerung führen.

• False Positives (Fehlalarme)

  • Solche Systeme erreichen eine Fehlalarmrate von etwa 80 %. Nach Angaben irischer Strafverfolgungsbehörden enthielten nur 20,3 % der automatisch gemeldeten Fälle tatsächlich illegale Inhalte.
  • Unschuldige Familienfotos oder medizinische Unterlagen könnten fälschlich markiert werden; es gibt bereits reale Fälle, in denen Konten durch Googles Algorithmen gesperrt wurden.

• Scientific Opposition (Widerstand aus der Wissenschaft)

  • Mehr als 600 Kryptografen und Wissenschaftler aus 35 Ländern veröffentlichten einen offenen Brief, in dem sie das Projekt als „technisch unmöglich“, „gefährlich für die Demokratie“ und als Maßnahme bezeichneten, die die Sicherheit europäischer Bürger „vollständig gefährden“ würde.
  • Die Kommission konnte keine Studien vorlegen, die belegen, dass diese Maßnahmen dem Kinderschutz wirksam dienen.

• Easily Defeated (Leicht zu umgehen)

  • Professionelle Kriminelle können das System leicht mit Methoden wie doppelter Verschlüsselung, geteilten Links zu externen Plattformen, Steganografie (Verstecken von Daten in Bildern) oder der Nutzung dezentraler Plattformen umgehen.
  • Damit erfasst das System am Ende wohl nur Amateurkriminelle, ist jedoch deutlich erfolgreicher bei seinem eigentlichen Ziel: umfassender Überwachung von Privatpersonen.

Business Interests (Geschäftliche Interessen)

• Industry Players (Akteure der Branche)

  • Der CSAR-Vorschlag stützt sich eher auf Behauptungen kommerzieller Überwachungsunternehmen als auf unabhängige Forschung.
  • Unternehmen, die Erkennungssysteme wie Microsofts PhotoDNA entwickeln, lobbyieren für die Verabschiedung des Gesetzes und versuchen, sich eine monopolartige Marktposition zu sichern.
  • Diese Systeme könnten proprietär, nicht überprüfbar und rechtlich äußerst mächtig werden.

• Rhetorical Tactics (Rhetorische Taktiken)

  • Die EU-Kommissarin Ylva Johansson verwendet emotionale Rhetorik wie „Jemand muss für die Kinder sprechen“.
  • Das ist die typische politische Formel „Denkt an die Kinder“, die eine rationale Debatte über Datenschutzfragen behindert und Gegner als Gegner des Kindeswohls framet.

EU Country Positions (Positionen der EU-Staaten)

• Vote Breakdown (Abstimmungsstand)

  • Dafür (12 Länder): Bulgarien, Kroatien, Zypern, Dänemark, Frankreich, Ungarn, Irland, Litauen, Malta, Portugal, Rumänien, Spanien.
  • Dagegen (7 Länder): Österreich, Tschechien, Estland, Finnland, Luxemburg, die Niederlande, Polen.
  • Unentschlossen (8 Länder): Belgien, Deutschland, Griechenland, Italien, Lettland, die Slowakei, Slowenien, Schweden.
  • Die derzeitigen Unterstützerstaaten erreichen nicht die für die Verabschiedung erforderliche bevölkerungsgewichtete Schwelle von 65 %.

• National Stances (Nationale Positionen)

  • Stark ablehnende Länder äußern verfassungsrechtliche und datenschutzbezogene Bedenken und lehnen Massenüberwachung ab.
  • Unentschlossene Länder prüfen technische und rechtliche Details und zeigen eine vorsichtige Haltung.

• Current Status (Aktueller Stand)

  • Seit dem 12. September ändern sich die Positionen der einzelnen Länder fortlaufend.

Consequences (Folgen)

• Cybersecurity gets compromised (Beeinträchtigung der Cybersicherheit)
  • Werden Verschlüsselung absichtlich Schwachstellen hinzugefügt, können diese von Kriminellen oder ausländischen Akteuren ausgenutzt werden.
  • Im Februar 2024 urteilte der Europäische Gerichtshof für Menschenrechte, dass eine Pflicht zur Schwächung von Verschlüsselung in einer demokratischen Gesellschaft nicht notwendig ist.
• Innovation suffers (Innovation leidet)
  • Europäische Cybersecurity-Unternehmen, die für die Einhaltung der Regulierung Backdoors einbauen müssten, würden auf dem Weltmarkt an Wettbewerbsfähigkeit verlieren.
• Tech companies will leave Europe (Tech-Unternehmen werden Europa verlassen)
  • Datenschutzorientierte Unternehmen wie Signal und Proton ziehen bereits in Betracht, ihren Betrieb in Europa einzustellen oder ihre Infrastruktur zu verlagern.
• Europe might become dependent on US surveillance (Europa könnte von US-Überwachung abhängig werden)
  • Wenn Überwachungstechnologie an US-Unternehmen ausgelagert wird, besteht das Risiko, dass die US-Regierung über den CLOUD Act Zugriff auf Daten europäischer Bürger erhält.
• Social behavior changes (Veränderungen im sozialen Verhalten)
  • Wenn Menschen sich der Überwachung bewusst werden, setzt ein „chilling effect“ ein, also Selbstzensur.

Take Action (Jetzt handeln)

• Verbreiten Sie das Thema mit den Hashtags #ChatControl und #StopScanningMe.
• Unterzeichnen Sie auf change.org Petitionen gegen den Gesetzentwurf und verfolgen Sie dort aktuelle Informationen dazu.
• Kontaktieren Sie die Abgeordneten Ihres Landes und fordern Sie sie auf, sich gegen den Entwurf zu stellen.
• Nutzen Sie datenschutzfreundliche Werkzeuge wie Signal.

Conclusion (Fazit)

• Es ist ironisch, dass Europa mit der DSGVO einst digitale Privatsphäre etabliert hat und diese mit ChatControl nun systematisch abzubauen versucht.
• Der Gesetzentwurf ist eine historische Weichenstellung: ob Europa als erste Demokratie die Massenüberwachung privater Kommunikation normalisieren wird oder digitale Rechte verteidigt.
• Autoritäre Regime weltweit beobachten diese Entscheidung genau; sie könnte als Rechtfertigung für globale Überwachung dienen.