Eine Arbeitsgruppe der EU-Kommission fordert allen Ernstes Zugriff auf jede Ende-zu-Ende-verschlüsselte Kommunikation und obendrauf eine neue Form der europaweiten Massenüberwachung von Telekommunikations- und Internetdaten. Wenn diesem gefährlichen Unsinn nicht Einhalt geboten wird, kann Europa einpacken.
Der Chaos Computer Club zeichnet zusammen mit mehr als fünfzig weiteren Bürgerrechtsorganisationen und Verbänden einen offenen Brief, in dem die Empfehlungen einer EU-Arbeitsgruppe zurückgewiesen werden, die einen unbeschränkten Zugang zu allen personenbezogenen Daten fordern – ganz losgelöst von technischen oder rechtlichen Realitäten.
In dem offenen Brief fordern wir die Politik nachdrücklich auf, diesen gefährlichen Kurs sofort zu stoppen. Diese fehlgeleiteten und überzogenen Empfehlungen dürfen keinesfalls als Grundlage für die zukünftige EU-Agenda dienen. Die Arbeitsgruppe muss dichtgemacht werden, denn legitimiert ist der Geheimtrupp ohnehin nicht.
Was von Strafverfolgern bedrohlich als „Going Dark“ bezeichnet wird, beschreibt lediglich die Tatsache, dass Privatpersonen, Staat und Wirtschaft endlich alle Daten routinemäßig verschlüsseln, um sich vor Kriminellen und Spionage zu schützen. Die Empfehlungen einer sogenannten High Level Working Group (HLG) zu Datenzugriff und Strafverfolgung drohen, diese mühsam errungenen Fortschritte wieder zu untergraben. Die Empfehlungen der überaus einseitig besetzten Arbeitsgruppe der EU-Kommission bedrohen damit nicht nur fundamentale Grundrechte, sondern gefährden auch die IT-Sicherheit in inakzeptablem Maße und schaffen die Grundlage für eine umfassende Überwachung, die alles bisher Geforderte noch übertrifft.
Der Versuch, staatlichen Stellen Zugang zu verschlüsselter Kommunikation zu verschaffen, ist nicht neu. Die HLG empfiehlt zwar nicht explizit Hintertüren in der Ende-zu-Ende-Verschlüsselung, fordert aber den Zugriff auf entschlüsselte Daten. Wie das praktisch funktionieren und umgesetzt werden soll, bleibt einmal mehr unklar. Die Forderung basiert auf der Illusion, dass technische Lösungen und Innovationen irgendwann das Unmögliche möglich machen könnten. Dabei hat sich in der Vergangenheit ein ums andere Mal gezeigt, dass staatliche Stellen nicht verantwortungsvoller mit den gesammelten Daten umgehen können als Kriminelle im Netz und dass die Hintertüren zudem ein gefundenes Fressen für ausländische oder außereuropäische staatliche und nichtstaatliche Schnüffler sind. [7]
Die HLG schlägt eine Vorratsdatenspeicherung aller Internetdaten vor, die von den Diensteanbietern umgesetzt werden soll. Damit meinen die Vertreter der Strafverfolger und Geheimdienste in der Geheimtruppe nicht nur klassische Kommunikationsdaten wie IP-Adressen oder Port-Nummern, sondern wollen die Speicherpflichten auf alle möglichen Internetdiensteanbieter und alle Online-Dienstleister ausweiten. Das Ziel: Jede Online-Aktivität verfolgen und identifizieren zu können. Das wären dann neue Mitwirkungs- und Speicherpflichten für fast alle Branchen, die heute eben auch digitale Dienste anbieten – ein Schlag für den Wirtschaftsstandort Europa, der seinesgleichen sucht.
Wer jetzt dachte, dass jeder mit Hirn bei solchen Empfehlungen der Arbeitsgruppe lachend abwinken würde, der hat jedenfalls den EU-Rat falsch eingeschätzt: Hier stießen die Forderungen auf offene Ohren. Die EU-Innenminister begrüßten den Irrsinn im Sommer sogleich und wollen ihn zügig umgesetzt sehen.
Sehr geehrte Minister*innen,
wir, die unterzeichnenden Berufsverbände, Medien- und Menschenrechtsorganisationen, Gewerkschaften und Technologieunternehmen, schreiben Ihnen, um die Notwendigkeit einer EU-Agenda für digitale Sicherheit zu unterstreichen. Diese muss Gerechtigkeit, Verantwortlichkeit und die Achtung der Grundrechte gewährleisten und die Entwicklung eines sicheren digitalen Ökosystems unterstützen.
In diesem Zusammenhang möchten wir unsere Bedenken bezüglich der Empfehlungen und des Berichts der „High-Level Group über den Zugang zu Daten für eine wirksame Strafverfolgung“ (HLG) mit Ihnen teilen.[1] Angesichts des übergeordneten Ziels der HLG, den Strafverfolgungsbehörden den größtmöglichen Zugang zu personenbezogenen Daten zu gewähren, sehen wir grundlegende Risiken einer Massenüberwachung sowie erhebliche Gefahren für die Sicherheit und für den Schutz der Privatsphäre, wenn diese Empfehlungen als Grundlage für künftige politische Maßnahmen und Rechtsvorschriften der EU herangezogen würden.
Wir fordern Sie daher dringend auf, die folgenden Empfehlungen bei der Festlegung der EU-Prioritäten in diesem Politikbereich zu berücksichtigen.
Wir möchten davor warnen, den Strafverfolgungsbehörden uneingeschränkte Kompetenzen einzuräumen, die zu einer Massenüberwachung führen und die Grundrechte verletzen können.
Insbesondere sind wir äußerst besorgt über das von der HLG unterstützte Konzept des „lawful access by design“ [2], das darauf abzielt, den Zugang der Strafverfolgungsbehörden zu Daten in die Entwicklung aller Technologien einzubeziehen. In der Praxis würde das die systematische Schwächung aller digitalen Sicherheitssysteme erfordern – einschließlich, aber nicht beschränkt auf Verschlüsselung. Dies würde die Sicherheit und Vertraulichkeit elektronischer Daten und Kommunikation untergraben, die Sicherheit aller Menschen gefährden und ihre Grundrechte massiv einschränken. Das Konzept steht im klaren Widerspruch zu den seit langem bestehenden Empfehlungen von Menschenrechtsorganisationen, Datenschutz- und IT-Sicherheitsexperten und nicht zuletzt zur Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR).[3]
Wir empfehlen daher, alle Maßnahmen zu verwerfen, die den Schutz von Verschlüsselung umgehen oder abschwächen könnten, da sie die Sicherheit und den Schutz der Privatsphäre von Millionen von Menschen und öffentlichen Einrichtungen gefährden und unweigerlich das gesamte digitale Informationsökosystem schädigen würden.
Darüber hinaus möchten wir daran erinnern, dass alle künftigen EU-weit harmonisierten Regelungen zur Vorratsdatenspeicherung und zum Datenzugriff[4] die im EU-Recht und in der ständigen Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) und des EGMR zum Schutz der Grundrechte vor Massenüberwachung verankerten rechtlichen Anforderungen an Notwendigkeit und Verhältnismäßigkeit beachten müssen. In dieser Hinsicht ist die vorgeschlagene Ausweitung der Verpflichtung zur Vorratsdatenspeicherung auf praktisch alle Dienste der Informationsgesellschaft, einschließlich des Internets der Dinge und internetgestützter Dienste[5], besonders bedenklich, da sie die ungezielte und wahllose Speicherung personenbezogener Daten erfordern würde. Diese umfassende und allgemeine Überwachung könnte bei der gesamten Bevölkerung das Gefühl hervorrufen, dass ihr Privatleben ständig überwacht wird. Dies ist unvereinbar mit den genannten Voraussetzungen.
Auch wenn das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation nicht absolut ist, muss jeder Eingriff in die Grundrechte den Grundsätzen von Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit entsprechen. Eine allgemeine und wahllose Vorratsspeicherung personenbezogener Daten, die die Erstellung detaillierter Profile von Personen ermöglicht, sowie Maßnahmen, die die Sicherheit der gesamten privaten Kommunikation untergraben, entsprechen nicht diesen Grundsätzen.
Diese allgemeinen und ungezielten Maßnahmen betreffen auch Personen, deren Kommunikation dem Berufsgeheimnis unterliegt, etwa Ärzt*innen und ihre Patient*innen, Journalist*innen und ihre Quellen, Rechtsanwält*innen und ihre Mandant*innen sowie Sozialarbeiter*innen und ihre Klient*innen. Der für diese Kommunikation gewährte Rechtsschutz ist die unabdingbare Voraussetzung für die wirksame Ausübung anderer Grundrechte durch alle Bürger*innen, einschließlich des Rechts auf ein faires Verfahren und effektive Verteidigung, der Freiheit der Meinungsäußerung und der Informationsfreiheit, der Medien- und Pressefreiheit, der Gedanken- und Religionsfreiheit, der Versammlungs- und Vereinigungsfreiheit sowie des Rechts auf Sozialhilfe und Gesundheitsfürsorge.
Wir sind besorgt, dass die geplanten weitreichenden Befugnisse der Strafverfolgungsbehörden zum Zugriff auf Daten die Vertraulichkeit geschützter Kommunikation und damit verbundene Grundrechte beeinträchtigen würden. Es besteht die Gefahr, dass diese Maßnahmen missbraucht werden, um Journalist*innen, Menschenrechtsverteidiger*innen, Anwält*innen, Aktivist*innen und politische Dissident*innen zu verfolgen. Zur Wahrung dieser Grundrechte ist es entscheidend, dass die EU die Unverletzlichkeit von Daten und anderen Beweismitteln garantiert, die durch das Berufsgeheimnis geschützt sind.
Verantwortungsbewusste Gerätehersteller und Diensteanbieter haben erhebliche Ressourcen in die Verbesserung der Sicherheit ihrer Geräte und der Zuverlässigkeit ihrer Dienste investiert. Diese Innovationen erfüllen nicht nur die Anforderungen der zunehmend datenschutzbewussten Nutzer*innen, sondern auch die der Regulierungsbehörden, die für die Durchsetzung hoher Standards in den Bereichen Cybersicherheit und Datenschutz zuständig sind. Die EU verfügt über einen einzigartigen Vorteil dank eines Datenschutzrahmens, der einen hohen rechtlichen Standard für den Schutz der Grundrechte und -freiheiten der Menschen in einer Welt setzt, in der die Privatsphäre ständig angegriffen wird.
Leider könnte die Fähigkeit der europäischen Bevölkerung, auch in Zukunft vertrauenswürdige digitale Werkzeuge zu wählen, durch die Vorstellungen der HLG untergraben werden. Sie empfiehlt, den Betreibern umfangreiche und teilweise widersprüchliche Verpflichtungen aufzuerlegen. So sollen sie gezwungen werden, mehr Nutzer*innendaten zu sammeln und aufzubewahren, als für die Erbringung ihrer Dienste erforderlich ist, die Überwachung in Echtzeit[6] zu ermöglichen und den Strafverfolgungsbehörden entschlüsselte Daten zur Verfügung zu stellen – und das alles, ohne die Sicherheit ihrer Systeme zu gefährden. Trotz der erklärten Absicht der HLG, die digitale Sicherheit nicht zu untergraben, gibt es tatsächlich keine technische Möglichkeit, das Versprechen durch Ende-zu-Ende-Verschlüsselung geschützter Kommunikation zu brechen, ohne die Sicherheit der Kommunikationssysteme zu schwächen. Eine für die Strafverfolgung gedachte Hintertür – oder ein anderer Umgehungsmechanismus – kann immer auch von anderen Akteuren ausgenutzt werden, wie zahlreiche Beispiele gezeigt haben.[7]
Schließlich skizziert die HLG auch einen besorgniserregenden Durchsetzungsrahmen, der harte Sanktionen zur Abschreckung und Bestrafung für die Nichteinhaltung von EU-Verpflichtungen und Rechtsdurchsetzungsanordnungen vorsieht (Verwaltungsmaßnahmen, Handelsverbote bis hin zu Haftstrafen).[8] Wir sehen hier die Gefahr, dass zuverlässige Anbieter sicherer Dienste entweder vom EU-Markt verdrängt werden oder ihre Tätigkeit einstellen müssen, wenn es sich um kleine oder gemeinnützige Unternehmen handelt – oder dass sie an der Entwicklung sicherer Lösungen gehindert werden, wenn sie in der EU niedergelassen sind. Dies wäre natürlich allen Initiativen und Ambitionen der EU im Bereich der Cybersicherheit äußerst abträglich.
Wir sind uns darüber im Klaren, dass die den Strafverfolgungsbehörden zur Verfügung stehenden Ermittlungsmaßnahmen dem digitalen Zeitalter angemessen sein und den einzigartigen Herausforderungen, die grenzüberschreitende Online-Dienste mit sich bringen, wirksam begegnen müssen. Effizienz sollte jedoch nicht auf Kosten einer Schwächung der Grundrechte, des Rechtsschutzes und der europäischen Wirtschaft erreicht werden. Wir sind davon überzeugt, dass diese Ziele des Gemeinwohls mit weniger einschneidenden Maßnahmen erreicht werden können als mit Massenüberwachung und der systematischen Schwächung wesentlicher Sicherheitsgarantien.
Wir danken Ihnen im Voraus und stehen Ihnen bei Fragen gern zur Verfügung.