Die EU-Kommission hat kürzlich ein neues Alptraumprojekt für die Datensicherheit und den Datenschutz aller EU-Bürger angekündigt: Anbieter von Kommunikationsplattformen sollen alle Inhalte vorab scannen und Inhalte an Polizeibehörden übermitteln. Chatkontrolle in jedem Chat- und Mailprogramm – alles unter dem üblichen Vorwand der „Verbrechensbekämpfung“.
Der Inhalt im Überblick
- Das Technik-Fabeltier: Wie die EU-Kommission unmögliche technische Mittel herbeizaubern möchte
- Das Fabeltier ist giftig und nicht besonders hübsch
- Was fehlt dem Kinderschutz tatsächlich?
- Die Büchse der Pandora
- Wer bearbeitet die Treffer überhaupt?
- Welche negativen Auswirkungen könnten drohen?
- Widerstand gegen das Vorhaben der EU-Kommission
Das Technik-Fabeltier: Wie die EU-Kommission unmögliche technische Mittel herbeizaubern möchte
Die Pressemitteilung der EU-Kommission vom 11. Mai 2022 enthält viel Text dazu, was für schlimme Straftaten man bekämpfen will. Unkonkret wird es leider beim „Wie“. Klar ist nur das Wer: „Nicht die Strafverfolgungsbehörden sollen tätig werden. Sondern die Anbieter!“
Diese sind natürlich keine Ermittler, keine Polizeibehörde und erst recht nicht geschult und kompetent darin, Straftaten zu erkennen. Daher sollen sie schlicht Technik benutzen, um alle Verdachtsfälle an eine zentrale europäische Stelle weiterzuleiten.
Technik! Die Lösung! Kann immer alles!
Welche Technik? Wie schon bei dem „es wird keine Uploadfilter geben“ Artikel 17 (ursprünglich 13) der Urheberrechts-Richtlinie, wird keine konkrete Technik benannt. Es wird nur festgestellt, was die Anbieter so alles damit für die Polizeibehörden tun sollen. Nämlich: Beim Vorliegen einer „Gefahr“, dass bestimmte Inhalte über die Kommunikationsplattform ausgetauscht werden, sollen diese „erkannt“ und „gemeldet werden“.
Ähnliche Technik bereits im Einsatz mit mäßigem Erfolg
Wer sich mit realer Technik auskennt, dem ist sofort klar, was die einzige Möglichkeit ist, Inhalte zu „erkennen“: Scan-Software. Von YouTube, Twitch und vielen anderen, die Dateiuploads von Nutzern ermöglichen, ist deren Einsatz schon länger bekannt, sowie auch die starke Tendenz der Tools, mehr zu blocken als rechtlich zulässig. Das ist auch auf das Verfahren zurückzuführen: Alle Inhalte werden gescannt. Wenn der Algorithmus meint, die Ähnlichkeit zu den hinterlegten Parametern sei groß genug, wird der Inhalt markiert.
Das gleiche Prinzip wird inzwischen für biometrische Daten in der Straßenüberwachung in China verwendet (und wenn eine Person dann bei Rot über die Straße geht, wird sie an den Pranger gestellt), bei biometrischen Gesichtskontrollen, oder um urheberrechtlich geschütztes Material im Internet zu finden. Die moderneren Systeme werden nicht mehr nur mit einer statischen Datenbank befüllt, bei der 1:1 das gleiche wiedergefunden werden soll. Auch alles, was „ähnlich“ ist, soll irgendwie erkannt werden, mit mittlerem Erfolg. Genau das schwebt auch der EU-Kommission vor. Alles, was irgendwie vielleicht mit Missbrauch von Kindern zu tun haben könnte, soll automatisch gemeldet werden. Auch Grooming! Ein solches System gibt es bisher nicht – und die Fehlerquoten der bekannten Systeme verbieten sich eigentlich, wenn nicht massiv durch Menschen nachkontrolliert wird.
Gewünscht ist also eine erträumte Technik, die es weder gibt noch wirklich geben kann. Sozusagen ein Technik-Fabeltier.
Das Fabeltier ist giftig und nicht besonders hübsch
Wer sich mit real existierenden Systemen beschäftigt hat, weiß wie fehleranfällig diese sind. Die biometrischen Gesichtskontrollsysteme wiesen in Tests bis zu 80% Fehlerquote auf: 4 von 5 Personen wurden falsch erkannt, hunderttausende Personen wurden fälschlich als potentielle Straftäter erkannt, nur weil sie minimale Ähnlichkeiten mit echten Straftätern aufwiesen. Als die Blogging Plattform Tumblr 2018 „adult content“ („Erwachsene Inhalte“) verbot und einen Algorithmus einsetzte, um entsprechende Inhalte zu filtern, war dieser derart schlecht, dass viele pornografischen Inhalte nicht erkannt wurden, zugleich aber zigtausende Bilder von Tieren, Landschaften und vollständig bekleideten Menschen als „adult content“ markiert und gelöscht wurden. Die Plattform verlor innerhalb kürzester Zeit einen riesigen Anteil ihrer Nutzer. Das Debakel wurde zu einem riesigen Verlustgeschäft für Inhaber Yahoo.
Zuverlässige Technik für die von der EU-Kommission angeblich verfolgten Zwecke des Aufspürens von Missbrauchsdarstellungen gibt es keine. Das ist der EU-Kommission auch bekannt – weswegen bereits zugegeben wird, dass „Falschmeldungen so gering wie möglich“ gehalten werden sollen. Sie werden in Kauf genommen, ohne dass benannt wird, dass bei einer Massenüberwachung von 450 Millionen EU-Bürger:innen auch Millionen von falsch-positiven Fällen zusammenkommen müssen (Vgl. Anlasslose Massenüberwachung und der Satz von Bayes). Der giftige Stachel ist eingeplant.
Besonders absurd ist aber, dass die von der EU-Kommission beabsichtigte technische Lösung „Grooming“ erkennen soll. Dabei handelt es sich um die Kontaktaufnahme von Erwachsenen zu Kindern oder Jugendlichen, um diese langsam gefügig zu machen. Grooming ist von normaler Kommunikation kaum zu unterscheiden. Ob der Klavierlehrer nun Termine für echte Klavierstunden ausmacht oder nicht, kann weder Mensch noch Maschine aus den Nachrichten herauslesen. In der Pressenachricht wird auch hier die Zielrichtung gleich mit formuliert: Kinder sollen davon abgehalten werden, Chatprogramme in App-Stores herunterzuladen, die eine „Gefahr“ bergen, dass sie darin von Erwachsenen kontaktiert werden. Eltern wird es freuen, dass sie ihre eigenen Kinder nicht mehr anschreiben dürfen.
Das Fabeltier wird in der Realität wohl ein kleines giftiges Tierchen an Software werden – mit unklaren Spezifikationen und zweifelhaftem Erfolg in der Welt.
Was fehlt dem Kinderschutz tatsächlich?
Die Zielrichtung der EU-Kommission ist am deutlichsten kommuniziert: Man will Missbrauchsdarstellungen von Kindern verfolgen, ebenso wie „Grooming“. Gut gewollt ist aber bekanntlich nicht gut gemacht, und so muss man sich auch ansehen, welche Missstände es hier überhaupt zu beheben gibt.
Zuletzt gab es statistisch eine starke Zunahme von Aktivitäten im Bereich Missbrauchsdarstellungen, aber auch mehrfach signifikante Fahndungserfolge – interessanter Weise auch ganz ohne digitale Massenüberwachung. Tatsächlich wird in diesem Bereich sogar recht viel angezeigt, allerdings mit ein paar hässlichen Nebenwirkungen:
- Wer Bilder abspeichert, um sie der Polizei übergeben zu können, oder die automatische Speicherfunktion von Chat-Apps wie WhatsApp aktiviert hat, macht sich selbst ggf. des Besitzes strafbar (dies erhöht die statistischen Verdachtsfälle, bei denen aber keine Verurteilung folgt)
- Die Behörden ermitteln zwar, aber sorgen regelmäßig nicht dafür, dass das Material von Servern etc. verschwindet.
Opferverbände kritisieren letzteres schon länger. An Möglichkeiten und Rechtsgrundlagen fehlt es hier nicht – nur daran, dass sich die Behörden tatsächlich darum kümmern. Aus unerfindlichen Gründen fehlt es aktuell aber am politischen Wille hier zu handeln (ab 44:40).
Wo ermittelt wird, finden sich auch Täter. Zuletzt hat NRW wegen des enormes Skandals in Lügde (hier hatten beteiligte Behörden Warnsignale und Anzeigen lange ignoriert und nicht ermittelt) massiv die finanziellen und personellen Mittel für die Ermittlungen aufgestockt. Seitdem finden sich häufiger Täter.
Wirksame Maßnahmen für mehr Kinderschutz kosten Geld
Dafür braucht es allerdings meist nur traditionelle Ermittlungsarbeit, ggf. etwas Kenntnisse im Bereich der digitalen Forensik. Einziger Effekt der automatischen Meldungen aus einer Massenüberwachung heraus wäre die vollkommene Überflutung der Ermittlungsbehörden. Dies zudem mit einer erheblichen Anzahl an falsch-positiven Meldungen. Diese vorzusortieren würde immense Kapazitäten binden, die für tatsächliche Ermittlungen nicht zur Verfügung stehen.
Die Pressemitteilung der EU-Kommission eröffnet auch wieder mit einem lange abgedroschenen Klischee: Dass der digitale Raum „rechtsfrei“ sei. Angeblich wolle man Kinder nun auch im digitalen Raum „genauso“ schützen wie Offline.
Der Vergleich hinkt leider. Gerade weil im Offline-Raum der Schutz der Kinder enorm zu wünschen übrig lässt, wie gerade die Ermittlungsfehler in Fällen wie Lügde und die gruselige Masse an vertuschten Missbrauchsfällen in Institutionen wie den Kirchen, Schulen und Sportverbänden immer wieder zeigen.
Fragt man z.B. den Kinderschutzbund oder Politiker, die sich mit Kinderschutz tatsächlich beschäftigen, so fordern diese mehr Personal insbesondere in der Prävention, um betroffene Kinder schneller finden und vom Täter entfernen zu können. Meist sind die Täter in der erweiterten Familie oder eben dem Sportverein oder der Kirchengemeinde zu finden. Jugendämter und Sozialarbeiter sind für den Opferschutz deutlich wichtiger als Massenüberwachung.
Eine massenhafte Überwachung der kompletten Kommunikation sehen Opferverbände nicht als zielführendes Mittel an, um Missbrauch zu verhindern oder zu ahnden.
Die Büchse der Pandora
Die anlasslose Massenüberwachung der (Online-)Kommunikation ist reihenweise immer und immer wieder an den höchsten Gerichten gescheitert (siehe Vorratsdatenspeicherung), doch eine merkwürdige Gruppe von verbohrten, überwiegend konservativen Politiker:innen will sich davon auch weiterhin nicht abbringen lassen.
Was diese angebliche „Sicherheitspolitik“ angeht, kommt man sich als Datenschützer, Bürger:in eines freien demokratischen Rechtsstaats und vernunftbegabter Mensch inzwischen vor wie in einer Zeitschleife. So oft wie diese Gesetze in abgewandelter Form schon vorgebracht wurden. Die Auswirkungen freidrehender Überwachungsbehörden sind dabei schon lange nicht mehr nur Fiktion. China und die USA zeigen, wie wenig Menschenrechte verbleiben, wenn alles überwacht wird. Wenn Algorithmen entscheiden, wer strafrechtlich verfolgt wird.
Wie bereits dargelegt fehlt es den Ermittlungsbehörden auch kaum an Verdachtsfällen, sondern vielmehr an geschultem Personal zur konkreten Ermittlung und zum Opferschutz. Was die Massenüberwachung aber eröffnet, ist die in China gut erprobte Möglichkeit, jede beliebige kritische oder auch nur unerwünschte Äußerung aus der Öffentlichkeit zu entfernen. Parameter der Algorithmen können jederzeit geändert werden. Weltweit hat sich bereits gezeigt, dass alle Plattformen auf Vorschriften und Kampagnen gegen Missbrauchsdarstellungen ähnlich reagieren: Sie entfernen „sexuelle“ Inhalte, angefangen dort, wo Sexualität „sichtbar“ ist: Bei Schwulen, Lesben, Bisexuellen und anderen Minderheiten. Das hat zwar keinen Effekt zum Schutz von Kindern, aber schränkt die Meinungsfreiheit von Minderheiten effektiv ein. Auffällig ist, dass es regelmäßig nicht zu signifikantem Rückgang von pornografischem Material kommt, sondern gerade harmlose, aber ordentlich mit Schlagworten versehene Inhalte von Minderheiten betroffen sind.
Und selbst wenn man Pornografie erwischt: einvernehmlicher Sex zwischen Erwachsenen ist immer noch legal. Pornografie ist in Deutschland nicht für Jugendliche zugelassen, aber für Erwachsene legal. Dass der Zugang zu legalen Materialien umfassend eingeschränkt werden müsste, ist in einem freien, demokratischen Rechtstaat nicht wirklich vertretbar. Autos sind auch nicht davon illegal, dass man sie erst mit 18 fahren darf.
Umstrittene Überwachungsbefugnisse werden ausgeweitet und nie zurückgenommen
Die EU-Kommission beteuert, dass das Instrument nur und ausschließlich gegen Missbrauchsdarstellungen genutzt werden soll. Das ist auf Basis der Erfahrungen der Vergangenheit als kaum verlässlich einzustufen. Überwachungsbefugnisse wurden in der Vergangenheit nach ihrer umstrittenen Einführung „nur für schwerste Straftaten“ oftmals ausgeweitet. Auf immer weitere, längst nicht so schwere Straftaten. Der Katalog der StPO für Telefonüberwachung ist ein lebendiges Zeugnis dieser Praxis. In der jüngeren Vergangenheit haben sich die Sicherheitsbehörden auch an anderer Stelle als sehr wendig im Abbau von Grundrechten gezeigt – für in der Praxis ganz andere Fälle als zunächst angegeben.
Mittels neuer Polizei- und Versammlungsgesetzen wurden immer neue Möglichkeiten eröffnet, Menschen ohne richterlichen Beschluss für bis zu sieben Tage in eine Zelle zu sperren. Zunächst immer verkauft als Mittel gegen Gewaltverbrecher oder Terroristen.
Die meisten Opfer dieser Praxis waren aber seit der Einführung Klimaaktivisten. Wer auf Bäume geklettert ist (Hambacher Forst), sich von Autobahnschildern abgeseilt (IAA München) oder gegen Kohlekraftwerke demonstriert hat (Datteln IV), wurde mit besonderer Häufigkeit ohne richterlichen Beschluss in eine Zelle gesperrt, zudem auch länger als die Vergleichsgruppen.
Ist die Büchse der Pandora erst geöffnet, weiß man nicht mehr, was aus ihr noch alles hervorsteigt. Wehret den Anfängen, hieß es immer. Instrumente wie eine Chatkontrolle machen die Verfolgung von politischen Gegnern leicht wie nie. Wer kann wirklich garantieren, dass diese Instrumente immer in den Händen echter Demokraten sind, die Menschenrechte achten und schützen?
Wer bearbeitet die Treffer überhaupt?
Das andere riesige Problem ist – wie bereits angesprochen – dass es nach einhelliger Überzeugung aller Beteiligten nicht genügend geschultes Personal gibt, um eine Massenüberwachung wirklich sinnvoll zu nutzen. (Eindrucksvoll hat dies z.B. jüngst das „Experiment“ des ZDF Magazin Royal zum Umgang der Polizei mit Anzeigen von Straftaten im Internet bestätigt.)
Genau deswegen will man Fantasie-Technik nutzen: Es ist vollkommen klar, dass es nicht genug Polizisten gibt, die alle Verdachtsfälle mit der notwendigen Aufmerksamkeit verfolgen können. Der Traum ist, dass die Algorithmen so gut sind, dass sie einem Arbeit abnehmen.
Die Realität zeigt aber bisher eher das Gegenteil. Zumal die EU-Kommission sich schon mit den eigenen Ideen in die Tasche lügt: Sie möchte selbst die Parameter für die Such-Algorithmen stellen. Wer sich aber mit den bisherigen „Erfolgen“ staatlicher IT beschäftigt, dem kommt bei der Vorstellung irgendwas zwischen einem amüsierten Schnauben oder absoluter Verzweiflung. Solche IT braucht technisch geschultes Personal, um überhaupt betrieben zu werden. Das Gehaltsgefüge des öffentlichen Dienst ist kaum geeignet, um die besten Köpfe für den Staat arbeiten zu lassen.
Werden dann – wie in der Gegenwart allumfassend geschehen – technische Lösungen von IT-Unternehmen eingekauft, so fehlt es an echtem Verständnis von deren Anwendung und Limitationen. In den USA hat sich „legal tech“ schon ordentliche Blößen gegeben – so waren die Sozialprognosen, auf Basis derer amerikanische Richter das Strafmaß berechneten, für People of Color automatisch schlechter als für Weiße. Je weniger Verständnis und Kontrolle die staatlichen Behörden über die genutzte IT haben, desto mehr sachfremde Erwägungen können unkontrolliert durchgewunken werden.
Von den kartellrechtlichen Problemen noch gar nicht angefangen. Wenn eine bestimmte IT-Lösung zur „Pflicht“ wird, um einen Kommunikationsdienst in der EU überhaupt betreiben zu dürfen, ist dies eine Zugangsbeschränkung. Bereits jetzt sind die realen Marktzugangsbeschränkungen enorm. In einem von amerikanischen IT-Firmen oligopolistisch aufgeteilten Markt, auf dem sich europäische Konkurrenz nicht ernsthaft durchsetzen kann. Wenn eine Milliardenschwere Lizenz eines bestimmten Softwareunternehmens (das vermutlich auch noch beste Lobbyverbindungen zur EU-Kommission unterhält) erforderlich wird, weil nur dort die „Prüfparameter“ der gesetzlichen Regelung eingegeben werden können, ist eine weitere massive Verzerrung des Wettbewerbs vorprogrammiert.
Welche negativen Auswirkungen könnten drohen?
Wo Daten sind, da kommen die Schweine zum Trog. Je größer die Datensammlung, desto interessanter ist sie für Verbrecher, Werbetreibende und andere halbseidene Nutznießer.
Die automatische Meldungen der Personen, die den Inhalt in das Programm geladen haben, erfordert Folgendes: Die Übermittlung deren persönlicher Daten zusammen mit der Meldung. Wo jede einzelne Nachricht vor dem Versenden gescannt und auf Parameter geprüft wird, gibt es tausende Gründe, dass sich andere unrühmliche Gestalten an dieses System dranhängen.
Um die Original-Inhalte scannen zu können, muss die Suche an den unverschlüsselten Daten stattfinden. Moderne Chat-Apps (Signal, Threema, auch WhatsApp etc.) sind Ende-zu-Ende verschlüsselt. Dies bedeutet, dass wegen der genutzten Verschlüsselungstechnologie kein Außenstehender rekonstruieren kann, was in der verschickten Nachricht enthalten ist. Das heißt: Hier MUSS es eine Hintertür geben, die die Daten für den Chatanbieter oder eine staatliche Stelle unverschlüsselt zur Verfügung stellt. Das würde die Verschlüsselung faktisch abschaffen
Das ist quasi eine Einladung. Um Geschäftsgeheimnisse abzugreifen, Passwörter auszulesen, umfassende private Kommunikation nicht nur den staatlichen Behörden, sondern auch in Richtung eines Werbenetzwerks oder eines Erpressers abzuleiten.
Die Vorstellung, die diesem Überwachungskonzept zugrunde liegt, offenbart auch das massiv fehlende Verständnis der EU-Kommission für alle Aspekte der Datensicherheit und Verschlüsselung. Der Schaden wird wie immer enorm sein. Wer seine Daten sicher austauschen möchte, müsste diese mit Methoden aus dem letzten Jahrhundert verschicken. Sämtliche digitale Kommunikation – letztlich sind auch Business-Systeme, ebenso wenig wie E-Mails von der Regelung ausgenommen – wäre nicht mehr sicher.
Wie man ob all dieser Gefahren zum vorliegenden Gesetzesentwurf kommen kann, ist wenig nachvollziehbar. Eine Stärkung Europas als Wirtschafts- oder Menschenrechts-Standort stellt das jedenfalls nicht dar.
Widerstand gegen das Vorhaben der EU-Kommission
Widerstand gegen das Vorhaben der EU-Kommission hagelt es aus allen Bereichen. Chat-Anbieter, Social-Media-Plattformen, Kinderschutzorganisationen, Datenschützer, Journalisten, Politiker: die Kritik in der Öffentlichkeit war zahlreich. Wirklich beeindruckt zu haben, scheint das in Brüssel bisher niemanden.
Eine Online-Petition gegen den Entwurf erreichte binnen Tagen über 100.000 Unterschriften. Doch die weltpolitische Lage, insbesondere der Ukraine-Krieg, ziehen natürlich die Aufmerksamkeit stark auf sich. Datenschutz, Datensicherheit und die Abwehr staatlicher Massenüberwachung sind Themen, die schon länger an Zugkraft in der Öffentlichkeit verloren haben. Erst recht, wenn ellenlang mit der angeblichen Verfolgung von „Kindesmissbrauch“ durch die neuen Gesetze geworben wird. Dagegen kann ja bekanntlich niemand sein, weswegen die Ausrede so gerne für absurde Überwachungsinstrumente herangezogen wird. Wer gegen Massenüberwachung ist, soll gleich in eine Ecke mit Verbrechern gestellt werden.
Es bleibt nur zu hoffen, dass Wirtschaftsverbänden in noch größerem Umfang bewusst wird, wie gefährlich das Vorhaben für ihre Geschäftsgeheimnisse ist. Wenn sie die Macht ihrer eigenen Lobby aufbringen, kann dies den irrsinnigen Plan der EU-Kommission noch stoppen. Es ist leider nicht davon auszugehen, dass von selbst Vernunft in Brüssel Einzug hält.
