Irischer Rechtsausschuss: Chat-Kontrolle gefährdet Privatsphäre aller Bürger

Michael Schäfer
25 Kommentare
Irischer Rechtsausschuss: Chat-Kontrolle gefährdet Privatsphäre aller Bürger
Bild: Peggy_Marco | gemeinfrei

Irland hat in der jüngsten Vergangenheit in Sachen Datenschutz und Bürgerrechte im digitalen Raum nicht unbedingt immer geglänzt, daher überrascht das Ergebnis des irischen Rechtsausschusses um so mehr. So sieht der Rechtsausschuss des Parlamentes die Privatsphäre und Meinungsfreiheit aller EU-Bürger gefährdet.

Seit mittlerweile einem Jahr wächst der Streit zwischen EU-Rat und EU-Parlament rund um die geplante Überwachung der Kommunikation per Messenger. Die Fronten sind dabei nach wie vor verhärtet. Wie das Vorhaben am Ende ausschauen wird, ist aktuell nicht abzusehen – auch ein komplettes Scheitern in den sogenannten Trilog-Verhandlungen gilt bei vielen Experten nicht als ausgeschlossen. Das EU-Parlament stutzte die Pläne in diesem Monat zusammen, so soll es keine Chatkontrolle für Ende-zu-Ende-verschlüsselte Dienste sowie weniger Überwachungspflichten für Anbieter geben. Zudem will das EU-Parlament die KI-Erfassung vollständig aus dem Entwurf entfernen. Der EU-Rat will dagegen nur eine Ausnahme für nummerngebundene Dienste machen. Das bedeutet: Die Chat-Dienste von Facebook, iMessage von Apple, WhatsApp, Signal, Telegram oder Threema müssten scannen. Auf Telefonnummern basierende Dienste wie SMS oder auch Skype wären hingegen nicht betroffen. Für den Rat dürfte der jetzt veröffentlichte Bericht des Rechtsausschuss des irischen Parlaments sehr ungelegen kommen: Dieser spricht sich klar gegen das EU-weit geplante Vorhaben aus, wie Netzpolitik.org aktuell berichtet.

Schutz wird grundsätzlich unterstützt

Grundsätzlich würde der Ausschuss das Vorgehen gegen sexuellen Missbrauch von Kindern im Netz unterstützen, sehe aber an vielen Stellen noch Klärungsbedarf. Besonders die anlasslose und massenhafte Durchleuchtung privater digitaler Inhalte in Chats, Cloud-Diensten und Mails stößt den Beteiligten böse auf. So müssten Online-Dienste wie Facebook, Twitter, aber auch Speicher- oder Hosting-Dienste wie Dropbox und andere Anbieter auf Anordnung mittels Client-Side-Scanning (CSS) Inhalte vor ihrer Verschlüsselung auf den Nutzergeräten durchsuchen.

Generalverdacht mit Folgen

Die Abgeordneten würden in dem Gesetz alle Nutzer dieser Dienste in der EU unter Generalverdacht stellen, was dazu führt, „dass viele Menschen in ein Netz von Verdächtigungen für die schlimmste Art von Verbrechen gezogen werden, obwohl sie nichts Falsches getan haben“. Gleichzeitig ist der Ausschuss der Ansicht, dass das Vorhaben einen extremen Eingriff in das Recht der Menschen auf Privatsphäre, Vertraulichkeit der Kommunikation, Datenschutz und das Recht auf freie Meinungsäußerung darstellt. Die Anbieter müssten sich zur Durchführung der Vorgaben ihrer Meinung nach entscheiden, entweder vollends auf Verschlüsselungen zu verzichten oder Hintertüren einzubauen, was eine Verschlüsselung wieder ad absurdum führen würde.

Zur gleichen Schlussfolgerung sind bereits vorher sowohl der Europäische Datenschutzausschuss (EDPB) sowie der Europäische Datenschutzbeauftragte (EDPS) gekommen, die ebenso der Meinung sind, dass das Scannen von Inhalten vor der Übertragung und der Verarbeitung von unverschlüsselten Inhalten auf den Geräten der Endnutzer zu einem beträchtlichen, unkontrollierten Zugang führen kann.

Ausschuss sieht mehr Nach- als Vorteile

Zwar wäre das Überprüfen von unverschlüsselten Inhalten bereits jetzt mit der aktuellen Rechtsprechung vereinbar, die Erweiterung auf verschlüsselte Daten würde laut dem Bericht aber die hohen Erwartungen nicht erfüllen. Bereits jetzt prüfen viele Anbieter auf eigene Initiative bei ihnen gespeicherte Inhalte, doch lediglich 9,7 Prozent aller Verdachtsmeldungen der Facheinrichtung National Center for Missing and Exploited Children (NCMEC) im Jahr 2020 seien für die irische Polizei verwertbar gewesen. Gleichzeitig führen die Abgeordneten die Schweizer Polizei als weiteres Beispiel an, bei der rund 80 Prozent der Meldungen im gleichen Zeitraum für die Strafverfolgungsbehörden irrelevant waren.

Automatisierte Werkzeuge sind dabei für den Rechtsausschuss kein Allheilmittel. Nicht selten schlagen die von den Anbietern noch nicht ausgereiften Werkzeuge fehlerhaft an. Das ein Fehlalarm aber massive Folgen nach sich ziehen kann, zeigt ein Fall, über den die New York Times im letzten Jahre berichtet hatte: Aufgrund der Anfang 2021 wegen der Pandemie geschlossenen Arztpraxen hatte ein Vater ein Bild eines Hautausschlages im Intimbereich seines Sohnes an einen Arzt gesendet. Zum Verhängnis wurde ihm, dass das Bild gleichzeitig mit der Google-Cloud synchronisiert wurde und der Algorithmus dieses als Child Sexual Abuse Material (CSAM) einstufte. Daraufhin sperrte Google seinen Account und reichte automatisiert eine Meldung beim NCMEC ein – was wiederum Polizeiermittlungen nach sich zog. Der Vater verlor aufgrund der Maßnahmen den Zugang zu all seinen Fotos, seinem E-Mail-Account, seinen Kontakten und seiner Telefonnummer.

Systeme nicht vertrauenswürdig

Diese Fehlalarme sind keine Seltenheit, auch bei anderen Anbietern wurden Nutzer bereits für falsche Einschätzungen der Software ausgesperrt. Eine unabhängige Untersuchung von REPHRAIN (National Research Centre on Privacy, Harm Reduction and Adversarial Influence Online) habe laut dem Bericht erst im Februar dieses Jahres die Problematik verdeutlicht, wenn sich bei der Suche nach einschlägigem Material auf Algorithmen verlassen wird. Dabei wurden fünf gängige Systeme auf den Prüfstand gestellt, von denen keines fundamentale Grundrechtstandards eingehalten habe und bei denen die Rate falscher Meldungen entweder nicht quantifiziert werden konnte oder diese unannehmbar hoch war.

Polizei würde Meldeflut nicht Herr werden

Der Bericht zeigt zudem auf, was das schnelle Anschlagen bei den Kontrollen für die Verfolgungsbehörden bedeuten würde. Dabei wird die Zahl von rund zehn Milliarden täglich innerhalb der EU verschickten Nachrichten genannt, bei denen bereits eine Meldungsrate von 0,001 Prozent dafür sorgen würde, dass die Behörden jeden Tag 100.000 Nachrichten überprüfen müssten. Die Anzahl stellt ungefähr das aktuelle Volumen dar, welches die britische National Crime Agency pro Jahr von NCMEC übermittelt bekommt. Somit würde die Kontrolle, sollte sie in der vorgesehenen Form eingeführt werden, zu viele Kräfte innerhalb der Polizei binden, die dann nicht mehr für die Strafverfolgung zur Verfügung stehen würden. Bereits 2021 wurden dem Bericht zufolge weltweit rund 85 Millionen Bilder gemeldet.

Nicht konform mit EU-Recht

Neben den genannten Kritikpunkten führt der Ausschuss ein Rechtsgutachten an (PDF), das der deutsche EU-Abgeordnete Patrick Breyer in Auftrag gegeben hatte. Dieser sieht die Anstrengungen einer Kontrolle in der angegebenen Form nicht mit dem EU-Recht in Einklang zu bringen. Zum gleichen Ergebnis (PDF) kam bereits in der letzten Woche der Wissenschaftliche Dienst des EU-Parlaments. Dadurch zweifelt der Rechtsausschuss an, dass das Gesetz, sollte es in seiner jetzigen Form eingeführt werden, lange Bestand haben wird: „Der Ausschuss glaubt, dass dem effektiven Schutz von Kindern nicht gedient ist, indem ein kontraproduktives Gesetz verabschiedet wird, das später von Gerichten gekippt wird“. Für sie stelle die Idee, dass der Einsatz entsprechender Systeme Polizeikräfte, Sozialarbeiter und Lehrer ersetzen könnte, eine Form von „magischem Denken“ dar, das in schlechter Politik münden würde. Stattdessen sollte sich darauf konzentriert werden, dass die Polizei die in der Gesellschaft verwurzelten Probleme vor Ort besser angehen kann.