4 weeks ago

Going Dark: Europäische Datenschutzbehörden warnen vor gefährlichen Entschlüsselungsplänen



In wenigen Wochen soll eine EU-Gruppe von Fachleuten ihren Abschlussbericht zum Thema „Going Dark“ präsentieren. Nun warnt der Europäische Datenschutzausschuss vor überbordenden Vorschlägen. Beim Kampf gegen Kriminalität dürften Grundrechte nicht ausgehebelt werden.

Überbordende Gesetze könnten mehr Schaden anrichten als Cyber-Kriminalität. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Panthermedia

Vor einer Aushöhlung der EU-Grundrechtecharta warnt der Europäische Datenschutzausschuss (EDPB). Insbesondere die Grundrechte auf Privatsphäre und Datenschutz dürften beim Kampf gegen Kriminalität nicht unter die Räder geraten, fordert das Gremium europäischer Datenschutzbehörden in einer Stellungnahme.

Gerichtet ist das Schreiben an die EU-Kommission und die EU-Länder, die eine sogenannte High-Level-Group (HLG) ins Leben gerufen hatten. Die von Sicherheitsbehörden dominierte Arbeitsgruppe untersucht seit fast zwei Jahren, wie sich zunehmender Digitalisierung und insbesondere Verschlüsselung begegnen lässt. Im Sommer hatte die HLG gleich 42 Empfehlungen zur Debatte gestellt, ein mit weiteren EU-Institutionen abgestimmter Abschlussbericht soll Mitte November präsentiert werden.

Zu den besonders brisanten Vorschlägen der HLG zählt etwa ein neuer Anlauf in Richtung EU-weiter Vorratsdatenspeicherung. Gleichermaßen soll Ermittlungsbehörden der Zugang zu verschlüsselten Geräten und Inhalten ermöglicht werden, hieß es im vorläufigen Empfehlungspapier der Gruppe.

„Notwendige Balance“ müsse gewahrt bleiben

Auch wenn der technischen Entwicklung Rechnung getragen werden müsse, dürfe dabei die „notwendige Balance“ zwischen Kriminalitätsbekämpfung und Grundrechten nicht aus dem Blick geraten, schreibt der EDPB. Wie auch in den HLG-Empfehlungen festgehalten, müssten sämtliche neue Maßnahmen „in voller Übereinstimmung mit den Vorschriften zum Daten- und Privatsphärenschutz“ sowie zur Rechtssprechung des Europäischen Gerichtshofs (EuGH) stehen.

So seien EU-weit harmonisierte Vorschriften zur etwaigen Vorratsdatenspeicherung „positiv“ zu sehen, um Rechtssicherheit zu schaffen, so die Datenschützer:innen. Allerdings gingen die Vorschläge der HLG zu weit, etwa dass die diskutierten Vorhaltepflichten sämtliche „aktuelle und zukünftige“ Online-Dienste umfassen sollten – und nicht nur Telefonie- und Netzanbieter. Hier hatte der EuGH denkbaren Ansätzen zur Vorratsdatenspeicherung gewisse Grenzen gesetzt, die der HLG-Vorschlag jedoch weit hinter sich lässt.

Sollte eine im Einklang mit jüngsten EuGH-Urteilen stehende Speicherpflicht von IP-Adressen kommen, müsste diese die Verknüpfung mit anderen Datenbergen ausdrücklich ausschließen, fordert der EDPB. Zudem betont die Stellungnahme, dass „die Argumentation des Gerichtshofs, die die allgemeine und unterschiedslose Speicherung von IP-Adressen rechtfertigt, keinesfalls automatisch auf andere (sensiblere) Verkehrs- und Standortdaten ausgedehnt werden kann, die ohne weiteres die Erstellung eines detaillierteren Profils des Nutzers ermöglichen könnten“.

Ende-zu-Ende-Verschlüsselung sichert Privatsphäre

Noch strenger ins Gericht geht der EDPB mit Vorschlägen zum Zugriff auf verschlüsselte Daten. Verschlüsselung sei für die Gewährleistung der Sicherheit und Vertraulichkeit personenbezogener Daten und elektronischer Kommunikation „von entscheidender Bedeutung“, da sie einen starken technischen Schutz gegen den Zugriff auf diese Informationen durch Unbefugte – einschließlich des Anbieters – biete.

Erst recht gelte dies für Ende-zu-Ende-verschlüsselte Inhalte. Dass sich hierbei die für die Entschlüsselung notwendigen Schlüssel alleine im Besitz der jeweiligen Nutzer:innen befinden, sei ein „entscheidendes Instrument“ zur Gewährleistung der Vertraulichkeit elektronischer Kommunikation.

Hintertüren jeglicher Art würden dies empfindlich ins Wanken bringen, schreibt der EDPB: „Die Verwendung von Verschlüsselung zu verhindern oder die Wirksamkeit des von ihr gebotenen Schutzes zu schwächen, hätte schwerwiegende Auswirkungen auf die Achtung der Privatsphäre und Vertraulichkeit der Nutzer, auf ihre Meinungsfreiheit sowie auf Innovation und das Wachstum der digitalen Wirtschaft, die auf dem hohen Maß an Vertrauen beruht, das solche Technologien vermitteln.“

Absage an Client-Side-Scanning und Chatkontrolle

Dies sei auch bei Techniken wie sogenanntem Client-Side-Scanning der Fall, bei dem Inhalte vor, respektive nach der Entschlüsselung auf dem Endgerät geprüft werden. Selbst wenn dabei der „Verschlüsselungsalgorithmus im technischen Sinne“ nicht geschwächt werde, würde dies „wahrscheinlich zu einem umfangreichen, ungezielten Zugriff und einer Verarbeitung unverschlüsselter Inhalte auf den Geräten der Endbenutzer führen und die Sicherheit und Vertraulichkeit ihrer Kommunikation beeinträchtigen“, warnt der EDPB.

Unabhängig von den HLG-Vorschlägen geistert die CSS-Technik auch im Kontext der sogenannten Chatkontrolle herum. Angesichts der tiefen Eingriffe in Grundrechte kommt das Vorhaben der EU-Kommission seit Monaten nicht vom Fleck. Während sich das EU-Parlament gegen diese Form von Massenüberwachung ausgesprochen hatte, ringt der EU-Rat anhaltend und bislang erfolglos um eine gemeinsame Position.

Neben einschlägigen Urteilen des EuGH müsse die HLG auch die Rechtssprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) berücksichtigen, betont die Stellungnahme der Datenschützer:innen. Dieser hatte im Frühjahr in einem Verfahren gegen Russland festgehalten, dass das massenhafte und anlasslose Abfangen von Ende-zu-Ende-verschlüsselter Kommunikation samt Schwächung von Verschlüsselung das Grundrecht auf Privatsphäre verletzt. Selbst wenn sich die Überwachung nur gegen einzelne Nutzer:innen richte, würde damit der Verschlüsselungsmechanismus für alle Nutzer:innen geschwächt und sei damit nicht verhältnismäßig, so das Gericht.

Keine gemischten Signale senden

In ihrem Abschlussbericht müsse die HLG eine klare Sprache sprechen, fordert der EDPB. Derzeit würden die vorläufigen Empfehlungen gemischte Signale senden: Übers Ziel hinausschießende Vorschläge würden gleichzeitig abgeschwächt durch widersprüchliche Verweise darauf, dass damit Verschlüsselung oder IT-Sicherheit nicht geschwächt werden dürfe.

Dabei dürfe es nicht bleiben, mahnen die Datenschützer:innen. Sonst würde dies „zu großer Unsicherheit bei den Anbietern und einer möglicherweise inkohärenten Durchsetzung führen und würde folglich dem Ziel zuwiderlaufen, ein ausgewogenes Verhältnis zum Schutz der Grundrechte der Nutzer zu finden.“


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Gesamten Artikel lesen

© Varient 2024. All rights are reserved