Gescannt oder gesperrt werden!
Massenüberwachung mittels erzwungener „Einwilligung“
Eine freie Übersetzung des Artikels „Be scanned – or get banned!“ von EDRi 30. Mai, 2024 und wird parallel auf der Homepage der Digitalen Gesellschaft veröffentlicht.
Zum Ende ihrer Ratspräsidentschaft versucht die belgische Regierung mit einem absurden Taschenspielertrick doch noch eine „Lösung“ für die festgefahrene Situation um die Chatkontrolle im Rat herbeizuführen. Doch auch der neue Vorschlag würde die Sicherheit der Menschen in der Europäischen Union massiv untergraben.
Ein von der belgischen Regierung kurz vor Ende ihrer Ratspräsidentschaft vorgelegte „Kompromissvorschlag“ sieht vor, dass Kommunikationsdienstleister ihre Nutzer*innen dazu auffordern sollen, dem automatisierten Scannen ihrer privaten Chats zuzustimmen – insbesondere auch mittels fehleranfälliger KI-basierter Systeme. Wer dem nicht „freiwillig“ zustimmt, darf keine Bilder, Videos oder URLs mehr versenden.
Die belgische Regierung, die derzeit die wenig beneidenswerte Aufgabe hat, einen Kompromiss zwischen den Mitgliedstaaten der Europäischen Union (EU) zu vermitteln, erklärte bereits vor einigen Monaten, sie habe einen „angemesseneren“ Weg für dieses umstrittene Gesetz gefunden. Die Regierungen von Ländern wie Österreich, Frankreich, Polen, den Niederlanden, Italien, Estland, Finnland und nicht zuletzt die Bundesregierung haben Berichten zufolge während des gesamten Prozesses Bedenken angemeldet. Jetzt stehen sie jedoch unter enormen Druck, eine Einigung im Rat über die CSA-Verordnung zu erzielen, selbst wenn sie dabei auf digitale Rechte verzichten und die technische Realität außen vor lassen müssen.
Denn der auf den 28. Mai datierte Ratstext (9093/24) offenbart nunmehr, dass Belgien seinem Versprechen einer menschenrechtskonformen CSA-Verordnung nicht im Ansatz gerecht wird. Dieser neue Textentwurf übernimmt die vielen Probleme, auf die eine Vielzahl zivilgesellschaftlicher Organisationen erst kürzlich hingewiesen haben (z. B. ein groteskes Missverständnis der Statistiken über fälschlicherweise gekennzeichnete Bilder; das Versäumnis, Ende-zu-Ende-Verschlüsselung zu respektieren und eine Risikokategorisierungsmethode, die sichere und die Privatsphäre respektierende Dienste bestraft, während diejenigen belohnt werden, die systematisch die Privatsphäre der Menschen verletzen). Statt diese Probleme anzugehen, schafft der Vorschlag gleich noch mehr:
Erzwungene Zustimmung
Dem neuen belgischen Ansatz liegt offenbar die Annahme zugrunde, dass es sich nicht um Massenüberwachung handelt, wenn die Menschen dem Scannen zustimmen. Dies ist nicht nur ein fundamental falsches Verständnis von Massenüberwachung, sondern auch geltenden EU-Rechts. Denn eine Einwilligung in die Datenverarbeitung muss freiwillig erteilt werden und kann nicht mit der Drohung erzwungen werden, dass ohne diese Zustimmung keine Bilder mehr mit der Familie geteilt und keine Links mehr an Kolleg*innen geschickt werden können. Big-Tech-Plattformen haben ihre Nutzer jahrelang gezwungen, rechtswidrige Datenverarbeitungspraktiken als Bedingung für die Nutzung ihrer Dienste zu akzeptieren. Mit dem neuesten Text würden die EU-Regierungen buchstäblich zu Nachahmern dieser missbräuchlichen Praktiken und würde Dark Patterns gesetzlich vorschreiben.
Hinzu kommt die vollkommen mangelhafte Praktikabilität eines solchen Mechanismus. Diejenigen, die Material über sexuellen Kindesmissbrauch verbreiten wollen, werden sich einfach weigern, gescannt zu werden und zu einem anderen Dienst wechseln, wenn eine Aufdeckungsanordnung den Dienstanbieter dazu zwingt, die Freigabefunktion für nicht zustimmende Nutzer zu beschränken. Stattdessen werden sämtliche Chats aller Nutzer*innen des Dienstes gescannt, die ihre Einwilligung erteilt haben. Sie geraten in das Schleppnetz der fehlerhaften KI-Überwachung mit potentiell schwerwiegenden Folgen, etwa für Teenager, deren einvernehmliche sexuelle Bilder gekennzeichnet und gemeldet werden, bis hin zu denjenigen, deren Inhalte fälschlicherweise als rechtswidriges Material gekennzeichnet werden.
„Was uns Rose heißt…“
Der „neue“ belgische Ansatz wird als „Upload-Moderation“ bezeichnet. Doch trotz des schöner klingenden Namens es immer noch dieselbe Maßnahme, die seit dem ersten Entwurf der Kommission massiver Kritik ausgesetzt ist: das massenhafte Durchsuchen der privaten Kommunikation von Menschen, die keiner Straftat verdächtigt werden und das auch in Ende-zu-Ende-verschlüsselten Umgebungen. Technologie- und Cybersicherheitsexpert*innen haben immer wieder davor gewarnt dass dies nicht sicher durchgeführt werden kann – und die private Kommunikation von Aktivist*innen, Journalist*innen, jungen Menschen, Unternehmen und sogar Regierungen massiv gefährdet!
Als verlogene Augenwischerei entpuppt sich der Vorschlag indem er behauptet, dass Ende-zu-Ende-Verschlüsselung nicht beeinträchtigt würde, wenn die „Upload-Moderation“ (also das Scannen) vor der Verschlüsselung der Nachricht erfolgt. Dies erfordert jedoch notwendig die Verwendung von Client-Side-Scanning (CSS) – eine Form von Spyware auf Endnutzergeräten. Cybersicherheitsexpert*innen haben wiederholt und eindringlich darauf hingewiesen, dass das clientseitige Scannen die Sicherheit der privaten Kommunikation untergräbt und die Endgeräte der Menschen für eine Reihe von Angriffen böswilliger Akteure anfällig macht:
„CSS birgt naturgemäß ernsthafte Sicherheits- und Datenschutzrisiken für die gesamte Gesellschaft, während die Unterstützung der Strafverfolgungsbehörden durch CSS bestenfalls problematisch sein kann. Es gibt zahlreiche Möglichkeiten, wie die clientseitige Überprüfung fehlschlagen, umgangen und missbraucht werden kann.“ –
Bugs in Our Pockets, Abelson et al (2024)
In Anbetracht des von der belgischen Regierung vorgeschlagenen Ansatzes zur Risikokategorisierung, der ausgerechnet sicherere und die Privatsphäre stärker achtende Dienste als besonders gefährlich einstuft, werden die meisten verschlüsselten Ende-zu-Ende-Kommunikationsdienste früher oder später mit einer Aufdeckungsanordnung belegt werden. Dies wird die Sicherheit des Dienstes entscheidend untergraben – was praktisch das Ende der sicheren verschlüsselten Ende-zu-Ende-Kommunikation in Europa bedeuten würde.
Es gibt gute Gründe, warum die digitale Zivilgesellschaft, aber auch technische und juristische Expert*innen sowie zahlreiche Kinderschutzorganisationen immer wieder eingefordert haben, dass die EU einen anderen Ansatz wählen muss. Denn es gibt keine Möglichkeit, die private Kommunikation von Menschen massenhaft zu scannen und zu melden, ohne den Kern ihres Rechts auf Privatsphäre zu verletzen und massive Sicherheitslücken zu schaffen. Die Suche nach einer magischen technischen Lösung ist zum Scheitern verurteilt, weil es keine magische Lösung für das schwerwiegende Problem des sexuellen Kindesmissbrauchs gibt! Es erfordert vielschichtige Lösungen auf gesellschaftlicher und politischer Ebene, jenseits von technokratischen Überwachungsphantasien und populistischen Verkürzungen.
Wenn die EU-Mitgliedstaaten dem neuen belgischen Ansatz zustimmen, werden sie das Teilen von Bildern, Videos und Links in der EU effektiv verbieten, indem sie diese Art von Inhalten nur in der privaten Kommunikation unter Massenüberwachung „erlauben“. Es mag dystopisch und wie eine Folge von Black Mirror klingen – aber wenn sich die Regierungen nicht für unsere Rechte einsetzen und bereit sind grundlegende wissenschaftliche Erkenntnisse anzuerkennen, könnten die Folgen bald auf unser aller Geräte zu sehen sein.