Als die Europäische Kommission im Mai 2022 einen Entwurf für eine Verordnung zur Verhinderung des sexuellen Missbrauchs von Kindern (CSAR) vorstellte, die später als Chat Control bekannt wurde, wirkte dies auf den ersten Blick edel. Er wurde von der Kommissarin für Inneres, Ylva Johansson, vorgelegt, und das Ziel war klar und vernünftig: die Bekämpfung des sexuellen Missbrauchs von Kindern im Internet.
Es handelt sich um ein Problem, dessen Lösung unbestritten ist. Wie so oft scheitert es jedoch an der Art und Weise, wie das Ziel erreicht werden soll.
Die Kommission schlägt vor, dass Internetplattformen wie WhatsApp oder Messenger verpflichtet werden, die Kommunikation ihrer Nutzer zu überwachen und bei Verdacht auf Kindesmissbrauch zu melden. Dies betrifft insbesondere die Verbreitung unangemessener Fotos und Videos oder Versuche des sogenannten Grooming, also der Kontaktaufnahme mit Minderjährigen zum Zwecke des Missbrauchs.
Da einige Anwendungen die Kommunikation ihrer Kunden verschlüsseln, sieht der Vorschlag vor, dass jede Nachricht vor der Verschlüsselung und dem Versand überprüft wird.
Beispielloser Eingriff in die Privatsphäre
Das grundlegende Problem besteht jedoch darin, dass die Europäische Kommission mit ihrem hehren Ziel Praktiken sanktioniert hat, für die sich selbst die Genossen in China, die ihre Bürger so gerne überwachen, nicht schämen würden.
Das massenhafte Scannen von Kommunikation öffnet Tür und Tor für den Missbrauch sensibler Daten. Nicht nur durch Hacker, für die Datenbanken mit einer Fülle sensibler Informationen wie ein großer Köder wären, sondern auch durch Mitarbeiter oder Institutionen, denen die Daten zugespielt werden könnten.
Die von Brüssel eingesetzten Kontrolleure könnten die Daten nämlich auch an Nichtregierungsorganisationen oder andere „interessierte“ Dritte weitergeben, wenn dies im Interesse der Forschung und der Prävention von sexuellem Missbrauch im Online-Bereich liegt.
Zitieren wir genau: „Das EU-Zentrum sollte auch dazu beitragen, die Ziele dieser Verordnung zu erreichen, indem es als Zentrum für Wissen, Fachkenntnisse und Forschung zu Fragen im Zusammenhang mit der Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet dient. In diesem Zusammenhang sollte es mit den einschlägigen Interessengruppen aus der Union und aus Drittländern zusammenarbeiten und den Mitgliedstaaten ermöglichen, das gesammelte Wissen und Fachwissen zu nutzen ...“
Selbstverständlich wird auch hinzugefügt, dass zur Erfüllung der Aufgaben dieser Kontrollinstanz „die Verarbeitung und Speicherung bestimmter personenbezogener Daten erforderlich ist“. Dies sollte zwar laut Vorschlag nur „im erforderlichen Umfang“ geschehen, aber die Tür ist bereits einen Spalt breit geöffnet und kann sehr leicht weit aufgestoßen werden.
Damit beginnt jedoch die Liste der Probleme erst.
Sobald die Union einen Mechanismus geschaffen hat, mit dem sie die Kommunikation der Bürger kontrollieren kann, wird der Druck wachsen, ihn auch bei anderen Straftaten einzusetzen. Und es wird schwer zu argumentieren sein, warum Nachrichten, in denen Bomben, Morde, Terrorismus und so weiter erwähnt werden, nicht gemeldet und überprüft werden sollten...
Da es sich um eine enorme Datenmenge handelt, die durchsucht werden muss, wird davon ausgegangen, dass künstliche Intelligenz die primäre Kontrollinstanz sein wird. Diese macht jedoch häufig Fehler und ist noch nicht in der Lage, zuverlässig und systematisch zwischen Humor oder dem Austausch von Kinderfotos zwischen Familienmitgliedern und der Kommunikation echter Raubtiere zu unterscheiden.
Obwohl am Ende des Prozesses ein menschlicher Mitarbeiter stehen sollte, befürchtet ein großer Teil der Öffentlichkeit bereits jetzt, dass die Polizei wegen einer falsch formulierten Meldung an ihre Tür klopfen könnte.
Selbst wenn dies nicht der Fall wäre und das System hundertprozentig zuverlässig funktionieren würde, ist allein schon die Tatsache, dass jemand (oder etwas) hinter dem Rücken der Menschen ihre private Korrespondenz liest und sie zu Verdächtigen macht, unverschämt dreist. Ohne dass sie davon wissen.
Eine Massenüberwachung von Chats würde ganz einfach das Ende der Privatsphäre der in der Union lebenden Europäer bedeuten. Und das, obwohl wir mit anderen Verordnungen wie der DSGVO mit erhobener Faust dafür kämpfen.
Kompromissversionen
Die Emotionen sind in diesen Tagen jedoch offenbar zu schnell entflammt. Obwohl viele öffentlich bekannte Kommentatoren und Influencer bei Chat Control Alarm schlagen, sind wir in Wahrheit noch weit von der endgültigen Fassung des Gesetzes entfernt, das in Kraft treten könnte. Denn darüber müssen sich die Kommission, das Europäische Parlament und die Mitgliedstaaten einigen.
Viele europäische Abgeordnete sind sich der problematischen Teile des Kommissionsvorschlags bewusst. Dies zeigt sich daran, dass das Europäische Parlament ihn in seiner ursprünglichen Form nicht unterstützt hat.
Im Gegenteil, Ende 2023 verabschiedete der Ausschuss für bürgerliche Freiheiten (LIBE) eine Stellungnahme, in der er mehrere Teile ablehnte. Seiner Meinung nach sollte das Scannen nicht flächendeckend, sondern nur gezielt erfolgen. Die Plattformen müssten nur die Kommunikation verdächtiger Nutzer auf der Grundlage eines Gerichtsbeschlusses überprüfen und Informationen darüber bereitstellen. Gleichzeitig schließt er ausdrücklich Eingriffe in die End-to-End-Verschlüsselung aus.
Die Panik in diesen Tagen wurde vor allem durch die Wiederaufnahme der Diskussion über das Scannen digitaler Kommunikation im Rat der EU, also zwischen den Mitgliedstaaten der Union, ausgelöst. Dahinter steht vor allem Dänemark, das seit Juli den Vorsitz innehat und die Gesetzgebung hartnäckig vorantreibt.
Die Abstimmung sollte bereits am 14. Oktober stattfinden, aber das Kräfteverhältnis ändert sich von Tag zu Tag. Die Länder sollten bis zum 12. September ihre Standpunkte darlegen, aber bisher hat sich keine qualifizierte Mehrheit für die Verabschiedung des Gesetzes gefunden, und die Fristen werden verschoben. Derzeit unterstützen laut öffentlichen Äußerungen von Regierungsvertretern 14 Länder den Entwurf, während neun dagegen sind und vier zögern. Das unentschlossene Deutschland neigt eher zur blockierenden Minderheit, da es sich weigert, die Verschlüsselung und andere umstrittene Passagen aufzuheben.
Es wird jedoch gemunkelt, dass der Rat versucht, einen Kompromiss zu erzielen. Ein Reporter der kasachischen Nachrichtenagentur Qazinform beschrieb, dass die dänische Version des überarbeiteten Entwurfs in groben Zügen dem Entwurf des Europäischen Parlaments ähneln sollte.
Das Scannen sollte sich nur auf visuelle Inhalte (Fotos, Videos) beziehen, nicht auf Text- oder Audio-Nachrichten und Anrufe. Die Verpflichtung zum Scannen und zur Bereitstellung von Daten über private Kommunikation würde auch nur für Online-Dienste gelten, die als „risikoreich“ eingestuft sind. Jeder Erfassungsbefehl müsste von einem Gericht oder einer unabhängigen Behörde genehmigt werden, wobei die Daten vor der menschlichen Kontrolle pseudonymisiert werden müssten.
Warum ist das trotzdem ein Problem?
Die von der kasachischen Agentur Qazinform veröffentlichten Details wurden von anderen Quellen nicht bestätigt. Sie deuten jedoch darauf hin, dass zwischen den Mitgliedstaaten tatsächlich eine Diskussion über eine Version der Verordnung stattfindet, die die umstrittensten Elemente des ursprünglichen Entwurfs abschwächen würde. Nach dem erfolglosen 12. September hat auch die dänische Präsidentschaft etwas Ähnliches kommuniziert.
Auch wenn es wahrscheinlich ist, dass der ursprüngliche Entwurf der Europäischen Kommission weder im Parlament noch unter den Mitgliedstaaten angenommen wird, ist auch bei den überarbeiteten Fassungen Vorsicht geboten.
Wenn Plattformen einmal Instrumente zur Kommunikationskontrolle eingebaut haben, auch wenn sie diese nur gezielt einsetzen, schaffen sie einen Mechanismus, der technisch jederzeit auf alle Bürger ausgeweitet werden kann. Sobald er existiert, muss nur noch abgewartet werden, ob es einen politischen oder ideologischen Auftrag für seinen Einsatz gibt.
Die Änderungen lösen auch nicht das Problem der Entstehung von Datenbanken mit sensiblen Daten, die nicht nur gezielten Angriffen ausgesetzt sind, sondern auch internen Lecks und der Weitergabe von Informationen an verschiedene Dritte. Auch wenn nicht die gesamte private Korrespondenz darin enthalten wäre, gäbe es doch viele Daten, die auch unschuldige Menschen kompromittieren könnten.
Wenn nämlich ein Teil des Prozesses der künstlichen Intelligenz anvertraut wird, wird es nicht wenige falsch-positive Ergebnisse geben, die in den Datenbanken mit anderen Verdächtigen gespeichert werden. Und diese Menschen müssen davon nicht einmal wissen.
Die Risiken aller derzeit vorliegenden Vorschläge sind einfach noch zu groß.