Icon Datenschutzbeauftragter
Datenschutz

Chatkontrolle – Datenschutz am Rubikon?

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Das digitale Briefgeheimnis ist de facto beerdigt: Am 6. Juli 2021 hat eine Mehrheit von 537 der 694 Abgeordneten des EU-Parlamentes einer Ausnahmeverordnung zugestimmt, die es Chat- und Messenger-Providern erlaubt, private Chats, Nachrichten und E-Mails verdachtslos und flächendeckend auf verdächtige Inhalte zu durchsuchen; die Zustimmung des Rates gilt als sicher. Es ist außerdem geplant, aus dieser Erlaubnis zeitnah eine Verpflichtung zu machen. Als Begründung für diesen gravierenden Eingriff in die freiheitlichen Grundrechte dient der Kampf gegen Kindesmissbrauch und Cyber-Grooming.

­­­Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Was beliebt ist auch erlaubt

Konkret dürfen Facebook, Google, Microsoft und Co. wieder jede elektronische Kommunikation, die über ihre Server läuft, von einer KI scannen lassen. Schlägt sie Alarm, werden die Nutzer in der Regel automatisiert und ohne, dass sie darüber unterrichtet würden, den Strafverfolgungsbehörden gemeldet. Nicht einmal die unter besonderem Schutz stehende Korrespondenz von Berufsgeheimnisträgern wie Ärzten, Psychologen und Anwälten wird ausgenommen.

Dies war schon länger geübte Praxis, die aber zunächst ausgesetzt wurde, als die Richtlinie über den europäischen Kodex für die elektronische Kommunikation festlegte, dass für diesen Bereich die E-Privacy-Richtlinie zum Datenschutz Anwendung zu finden habe. Dort heißt es nämlich in Art. 5 Abs. 1:

„Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.“

Und in Art. 6 Abs. 1:

„Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.“

Die Ausnahme-Verordnung stellt nun eine Rechtsvorschrift im Sinne des Art. 15 Abs. 1 der ePrivacy-Richtlinie dar und liefert damit eine Ermächtigung, Verkehrsdaten und Inhalte zu überwachen und zu speichern. Eine Rechtsgrundlage für die Datenverarbeitung ist sie hingegen nicht (siehe Absatz 10 der Begründung zur Ausnahme-Verordnung). Gleichwohl ist vorgesehen, dass die Anbieter ihre Erkenntnisse auch an Organisationen in Drittstaaten außerhalb der EU weiterleiten. Dazu gehören auch die USA, obwohl doch unlängst das EuGH diesen ein nach europäischen Maßstäben unzureichendes Datenschutzniveau attestiert hat – mit allen Konsequenzen.

Keine gute Idee

„Der Zweck heiligt die Mittel“, meint das Parlament und gestattet den Tech-Riesen weitgehend unkontrolliert und mit selbst gewählten Methoden sämtliche Kommunikation auszuwerten, zu speichern und weiterzugeben, obwohl doch deren Geschäftsmodell vielfach der Handel mit den Daten ihrer Kunden ist – ein Schelm, der Arges dabei denkt.

Nicht weniger problematisch ist die Methodik: Ob etwa eine E-Mail verdächtig ist, entscheidet in der Regel einzig eine KI – es ist also „eine auf einer automatisierten Entscheidung beruhende Entscheidung“, der in der DSGVO ein ganzer Artikel gewidmet ist (Art. 22), weil sie so risikobehaftet ist. Wie diese KIs arbeiten, bleibt ein Geheimnis der Anbieter – dass sie es bisher nicht besonders zuverlässig tun, zeigen Erhebungen aus der Schweiz: 86 % aller der Bundespolizei maschinell gemeldeten Verdachtsfälle erweisen sich als unbegründet. Mit kontraproduktiven Folgen: Die alarmierten Behörden, ohnehin chronisch überlastet, werden gezwungen, ihre knappen Kapazitäten für die Bearbeitung von Fällen einzusetzen, die keine sind.

Unabhängig davon steht es im Widerspruch zu den Grundsätzen der Rechtsstaatlichkeit, Privatpersonen entscheiden zu lassen, was strafrechtlich verfolgt werden soll und was nicht und dabei gleich noch die Unschuldsvermutung über Bord gehen zu lassen.

Was mag da als Nächstes folgen? Es ist nur ein kleiner Schritt, die ohnehin installierten Mechanismen nicht nur nach Kinderpornografie scannen zu lassen, sondern auch nach Terrorismus, Drogenhandel, Clankriminalität – die Liste ließe sich beliebig verlängern. Naheliegend ist auch eine Schwächung oder gar ein Verbot der (Ende-zu-Ende-)Verschlüsselung der Kommunikation, behindert sie doch die Überwachung.

Nicht ohne Grund hält Prof. Dr. Ninon Colneric, frühere Richterin am EuGH, die Verordnung für nicht mit EU-Recht vereinbar. Die Grundrechte auf Achtung der Privatsphäre, Datenschutz und freie Meinungsäußerung würden unverhältnismäßig verletzt. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber kritisierte das Vorhaben scharf – es ermögliche eine "flächendeckende und anlasslose Überwachung von digitalen Kommunikationskanälen", die "weder zielführend noch erforderlich" sei.

Fazit

Niemand wird widersprechen, dass Kinderpornografie, sexualisierter Gewalt an Kindern und Cyber-Grooming entschlossen und schlagkräftig bekämpft werden müssen. Dies aber als Totschlagargument für die Einschränkung der Grundlagen unserer Demokratie – nämlich der Meinungsfreiheit und dem Schutz der Privatsphäre – zu nutzen, ist kaum mehr als populistischer Aktionismus und widerspricht den europäischen Idealen. Angesichts der breiten öffentlichen Kritik an der Chatkontrolle bleibt zu hoffen, dass das EU-Parlament sich nach geeigneteren Werkzeugen als dem Holzhammer umsieht. Es wäre zum Beispiel ein guter Anfang, die Ermittlungsbehörden personell und finanziell besser auszustatten.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.